Configurar como um evento automático é criado

  • Versão de lançamento: Washingtondc
  • Atualizado 1 de fev. de 2024
  • 8 min. de leitura

    • Configure o Now Platform para criar automaticamente eventos em MISP.

    Antes de Iniciar

    Procedimento

    1. Navegar até Todos > Integração MISP > Perfis automáticos de criação de evento.
    2. Clique em Nova.
    3. No formulário, preencha os campos.
      Tabela 1. Formulário de nome
      Campo Descrição
      Nome Nome do perfil de criação automática de eventos.
      Descrição Breve descrição do perfil. Uma descrição mais detalhada é compartilhada por meio dos atributos na próxima fase da criação do evento.
      Ordem Ordem do perfil quando as condições de gatilho são atendidas. O padrão é 100. Deixe esta configuração como padrão.

      Se você criar vários perfis, este valor fornecerá uma prioridade de execução em tempo de execução quando dois ou mais perfis compartilharem condições de gatilho. O perfil com o número mais baixo tem a prioridade mais alta.
      Fonte MISP origem para a criação do evento.
      Ativo Opção que indica se o perfil está ativo ou inativo. A opção é desmarcada por padrão para indicar que o perfil está desativado.

      Este perfil não está ativo até que você conclua todas as etapas de configuração do perfil e clique em Concluir.
    4. Clique em Continuar.

    Configurar condições do gatilho de evento

    Configure as condições do gatilho de evento em Now Platform para que você possa acionar automaticamente um evento em MISP quando as condições forem atendidas.

    Antes de Iniciar

    Função necessária: sn_sec_misp.write

    Procedimento

    1. No formulário Condições do gatilho, preencha os detalhes que podem acionar um evento.
      Você pode criar uma lógica composta fornecendo as condições do gatilho que são baseadas em campos de incidente de segurança ou campos observáveis. Você também pode criar eventos em MISP se os observáveis não tiverem um evento correspondente em MISP. Você pode optar por criar uma lógica composta usando uma combinação das três condições do gatilho - Acionar com base em campos de incidente de segurança, Acionar com base em campos de observáveis e Criar evento de MISP, se um observável não tiver eventos correspondentes no MISP. Se você selecionar vários gatilhos, poderá juntá-los usando a condição AND. Considere criar um perfil com novas condições se você precisar usar a condição OU.
      Tabela 2. Formulário Condições do gatilho de evento
      Campo Descrição
      Acionar com base nos campos de incidente de segurança MISP evento que você pode criar se todas as condições do gatilho de incidente de segurança forem atendidas.
      Condições do gatilho de incidente de segurança Filtros na primeira linha que você pode definir usando as listas e os campos do construtor de condições. Para adicionar mais condições, clique em E ou OU. Se AND for selecionado, todas as condições deverão ser correspondidas. Se OU for selecionado, qualquer uma das condições poderá ser correspondida.

      Para definir uma segunda condição de filtro, clique em Novos critérios.
      Acionar com base em campos observáveis MISP evento que você pode criar se todas as condições do gatilho observáveis forem atendidas.
      Condições do gatilho observáveis Filtros na primeira linha que você pode definir usando as listas e os campos do construtor de condições. Para adicionar mais condições, clique em E ou OU. Se AND for selecionado, todas as condições deverão ser correspondidas. Se OU for selecionado, qualquer uma das condições poderá ser correspondida.

      Para definir uma segunda condição de filtro, clique em Novos critérios.
      Criar evento MISP se o observável não tiver eventos correspondentes no MISP MISP evento que você pode criar se um observável não tiver eventos correspondentes em MISP.
      Figura 1. Condições do gatilho de evento

      O exemplo a seguir mostra as condições do gatilho de evento conforme você configura o perfil de criação de evento MISP.

      Configure condições baseadas em um evento criado no MISP.
    2. Clique em Continuar.

    Mapear os campos de evento MISP

    Mapeie os campos de evento MISP no Now Platform para que as informações do incidente de segurança estejam disponíveis quando os eventos MISP forem criados.

    Antes de Iniciar

    Função necessária: sn_sec_misp.write

    Procedimento

    1. No formulário, preencha os campos.
      Tabela 3. Formulário de mapeamento de campo de evento MISP padrão
      Campo Descrição
      Informações do evento Informações do evento que são criadas automaticamente a partir de Now Platform Security Incident Response.

      O campo Informações do evento oferece suporte a variáveis de substituição usando $⁠{SIR FIELD LABEL}$. Durante a criação de um evento, essas variáveis são substituídas pelos valores reais do campo de incidente de segurança. A variável de substituição ${URL}$ é substituída pelo URL do incidente de segurança.
      Distribuição Opção que controla quem pode exibir este evento depois que ele é publicado. Esta opção também controla se o evento é sincronizado com outros servidores. A distribuição é herdada pelos atributos e a configuração mais restritiva vence. As opções de distribuição são as seguintes:
      • Somente sua organização: permite que somente membros da sua organização exibam este evento. O evento pode ser puxado para outra instância por um dos membros da sua organização, onde somente sua organização pode ter acesso para exibi-lo. Eventos com esta configuração não são sincronizados.
      • Somente esta comunidade: permite que os usuários que fazem parte da sua comunidade MISP exibam o evento, incluindo sua própria organização, organizações neste servidor MISP e organizações que executam servidores MISP que são sincronizados com este servidor. Todas as outras organizações que se conectam aos seus servidores vinculados têm restrição para exibir o evento.
      • Comunidades conectadas: permite que os usuários que fazem parte da sua comunidade MISP exibam o evento, incluindo todas as organizações neste servidor MISP, todas as organizações nos servidores MISP que sincronizam com este servidor e as organizações de hospedagem de servidores que se conectam a qualquer servidor que está a dois saltos de distância. Quaisquer outras organizações conectadas aos servidores vinculados que estão a dois saltos de distância têm restrição para exibir o evento.
      • Todas as comunidades: compartilha o evento com todas as MISP comunidades.
      Nível de ameaça Campo que indica o nível de risco do evento. Você pode categorizar os incidentes em três categorias de ameaça diferentes (baixa, média e alta). Este campo também pode ser deixado como indefinido. A seguir estão as opções:
      • Baixo: malware geral em massa
      • Média: ameaças persistentes avançadas (APT)
      • Alto: APTs sofisticados e ataques de dia 0
      Status da análise Fase atual da análise do evento, com as seguintes opções possíveis:
      • Inicial: a análise está apenas começando
      • Em andamento: a análise está em andamento
      • Concluído: a análise está concluída
      O exemplo a seguir mostra o formulário que você pode usar para criar um evento no MISP.
      Figura 2. Mapeamento de campo de evento MISP padrão
      Configure o formulário para criar um novo evento no MISP.
    2. Clique em Continuar.

    Mapear ou associar SIR observáveis como atributos para MISP eventos

    Mapeie os tipos de observáveis Security Incident Response para os tipos de atributo MISP porque os tipos de atributo MISP e os observáveis SIR podem ser diferentes.

    Antes de Iniciar

    Função necessária: sn_sec_misp.write

    Por Que e Quando Desempenhar Esta Tarefa

    O MISP integration for Security Operations fornece um mapeamento do sistema de base que você usa ao adicionar SIR observáveis como atributos a um evento MISP.

    Você pode optar por modificar o mapeamento do sistema de base para se adequar ao seu ambiente. Por exemplo, você pode mapear vários observáveis SIR para apenas um tipo de atributo MISP. Se algum tipo de observável não estiver mapeado, o outro MISP tipo de atributo será selecionado por padrão.

    Procedimento

    1. No formulário Opções adicionais, mapeie os tipos de atributo SIR observável e MISP.
    2. Mapeie os tipos de observável Security Incident Response para os tipos de atributo MISP conforme descrito na tabela a seguir.
      Tabela 4. Mapeamento do observável de SIR e tipo de atributo do MISP
      Campo Descrição
      Adicionar todos os observáveis associados como atributos Opção que você habilita para adicionar observáveis disponíveis em um incidente de segurança a um evento MISP como atributos.

      Esta opção habilita o mapeamento na seção Tipo de observável para mapeamento de tipo de atributo.
      Tipo de observável para mapeamento de tipo de atributo Opção para mapear os tipos de observável SIR para os tipos de atributo MISP. Por exemplo, você pode mapear o Número CVE em SIR para o atributo de vulnerabilidade em MISP.

      Você pode adicionar um tipo de observável SIR a apenas um tipo de atributo MISP.

      O sistema de base fornece um mapeamento dos tipos de observável SIR para os tipos de atributo MISP.

      Se algum tipo de observável SIR não estiver mapeado para um tipo de atributo MISP, o observável será mapeado para o outro tipo de atributo em MISP.

      Para adicionar um novo mapeamento, clique em Adicionar tipo de observável, pesquise o tipo de observável SIR e mapeie para o tipo de atributo MISP correspondente.

      Clique no ícone Remover mapeamento Remover mapeamento. para remover a associação de mapeamento de atributo SIR e MISP.

      Nota:
      Para obter mais informações sobre os tipos de atributo MISP, consulte a documentação do MISP.
      Definir sinalizador de IDS de atributo quando a descoberta observável for mal-intencionada Opção que permite saber que se um observável estiver marcado como mal-intencionado em SIR, o atributo correspondente em MISP terá o sinalizador IDS habilitado. Se o sinalizador IDS não estiver definido, o atributo será considerado como informação contextual e não será usado para detecção automática de intrusão.

      O exemplo a seguir mostra como navegar até a página de opções adicionais. Nesta página, você pode habilitar os observáveis SIR e o mapeamento de tipos de atributo MISP, adicionar novos tipos de observáveis SIR, como a rede IPV6 e a rede IPV4, e mapeá-los para o endereço IP de domínio do tipo de atributo MISP.

      Figura 3. Mapeamento de SIR observáveis e MISP tipos de atributo
      Mapear observável SIR e tipo de atributo MISP.

    Sincronizar informações MISPMITRE-ATT&CK para eventos []

    Sincronize as informações [ MITRE-ATT&CK com os atributos MISP para obter uma melhor análise de ameaças e incidentes de segurança.

    Antes de Iniciar

    Função necessária: sn_sec_misp.write

    Procedimento

    No formulário Opções adicionais, revise as opções para sincronizar as informações de MITRE-ATT&CK com os atributos MISP.
    Tabela 5. Formulário Opções avançadas
    Campo Descrição
    Sincronizar técnicas de Incidente de segurança MITRE-ATT&CK™ como galáxias locais para o evento MISP Opção para sincronizar as técnicas de Now Platform SIR incidente de segurança MITRE-ATT&CK™ como galáxias locais no evento MISP.
    Nota:
    Para adicionar galáxias locais, o usuário que configurou a integração deve pertencer à organização host do servidor MISP correspondente.
    Sincronizar técnicas de Incidente de segurança MITRE-ATT&CK™ como galáxias globais para o evento MISP Opção para sincronizar as técnicas de Now Platform SIR incidente de segurança MITRE-ATT&CK™ como galáxias globais no evento MISP.

    Resultado

    Você criou um perfil que permite criar eventos automaticamente em MISP a partir de Now Platform. Agora você pode exibir os eventos na lista relacionada de eventos de MISP associados.