Gerenciamento de eventos no MISP

  • Versão de lançamento: Washingtondc
  • Atualizado 1 de fev. de 2024
  • 11 min. de leitura

    • Você pode criar eventos em MISP automaticamente ou manualmente a partir de Now Platform. Você também pode editar os dados do evento em MISP a partir de Now Platform.

    Verificando eventos criados automaticamente no MISP

    Você pode verificar os eventos criados automaticamente depois de configurar o perfil de criação de evento em sua instância Now Platform.

    Perfil de criação automática de evento

    A configuração do perfil de criação automática de eventos é feita pelas funções de usuário sn_si.admin ou sn_ti.admin no Integração MISP > Perfis automáticos de criação de evento módulo.

    Exibindo os dados do evento MISP

    Você pode exibir os eventos criados das seguintes maneiras:

    • Exiba as anotações de trabalho dos eventos criados. Você pode exibir os detalhes do evento na instância Now Platform e também como ele aparece no servidor MISP, conforme mostrado no exemplo a seguir.
      Figura 1. Anotações de trabalho para eventos criados
      Exiba as anotações de trabalho dos eventos criados.
    • Clique na lista relacionada Eventos de MISP associados. Aqui, você pode exibir o evento em relação ao incidente de segurança e aos recursos MISP conforme mostrado no exemplo a seguir.
      Figura 2. Lista de eventos associados
      Exibir a lista de eventos associados
    • Exiba os dados do evento MISP na exibição de formulário para revisar as informações detalhadas sobre os eventos MISP, conforme mostrado no exemplo a seguir.
      Figura 3. Dados do evento na exibição de formulário
      Exiba os dados do evento na exibição de formulário para ver as informações detalhadas do evento MISP.

    Criar manualmente um evento no MISP

    Crie manualmente eventos em MISP a partir de Now Platform para capturar informações contextualmente relacionadas representadas como atributos e objetos.

    Antes de Iniciar

    Procedimento

    1. Navegar até Todos > Incidente de segurança > Mostrar Todos os Incidentes.
    2. Selecione o incidente de segurança que contém os observáveis para os quais você deseja criar um evento.
    3. Clique em Criar um novo evento no MISP.
    4. Na caixa de diálogo Criar um novo evento no MISP, preencha os detalhes.
      Tabela 1. Criar um evento na caixa de diálogo do MISP
      Campo Descrição
      Data Data de criação do evento em MISP.
      Informações do evento Informações do evento que são criadas automaticamente a partir de Now Platform Security Incident Response.
      Nível de ameaça Nível de risco do evento. Você pode categorizar os incidentes em três categorias de ameaça diferentes (baixa, média e alta). Este campo também pode ser deixado como indefinido. A seguir estão as opções:
      • Baixo: malware geral em massa
      • Média: ameaças persistentes avançadas (APT)
      • Alto: APTs sofisticados e ataques de dia 0
      Fonte MISP origem para a criação do evento.
      Distribuição Opção que controla quem pode exibir este evento depois que ele é publicado. Esta opção também controla se o evento é sincronizado com outros servidores. A distribuição é herdada pelos atributos. A configuração mais restritiva vence. As opções de distribuição são as seguintes:
      • Somente sua organização: permite que somente os membros da sua organização exibam este evento. O evento pode ser puxado para outra instância por um dos membros da sua organização, onde somente sua organização tem acesso para exibi-lo. Eventos com esta configuração não são sincronizados.
      • Somente esta comunidade: permite que os usuários que fazem parte da sua comunidade MISP exibam o evento, incluindo sua própria organização, organizações neste servidor MISP e organizações que executam servidores MISP que são sincronizados com este servidor. Outras organizações conectadas a servidores vinculados têm restrição para exibir o evento.
      • Comunidades conectadas: permite que os usuários que fazem parte da sua comunidade MISP exibam o evento, incluindo todas as organizações neste servidor MISP, todas as organizações em servidores MISP que sincronizam com este servidor e as organizações de hospedagem de servidores que se conectam a qualquer servidor que está a dois saltos de distância. Quaisquer outras organizações conectadas aos servidores vinculados que estão a dois saltos deste servidor têm restrição para exibir o evento.
      • Todas as comunidades: compartilha o evento com todas as MISP comunidades.
      Análise Fase atual da análise do evento com as seguintes opções possíveis:
      • Inicial: a análise está apenas começando
      • Em andamento: a análise está em andamento
      • Concluído: a análise está concluída
      Opções avançadas Adicionar observáveis associados do SIR como atributos ao evento MISP Opção para adicionar observáveis disponíveis em um incidente de segurança a um evento MISP como atributos.

      Esta opção habilita o sinalizador Definir atributo IDS quando a descoberta observável for mal-intencionada.
      Definir sinalizador de IDS de atributo quando a descoberta observável for mal-intencionada Observável marcado como malicioso em SIR. O atributo correspondente em MISP também está marcado como verdadeiro.
      Sincronizar técnicas de incidente de segurança MITRE ATT e CK como galáxias locais para evento MISP Opção para sincronizar as técnicas de Now Platform SIR incidente de segurança MITRE-ATT&CK™ como galáxias locais no evento MISP.
      Sincronizar técnicas de incidente de segurança MITRE ATT e CK como galáxias globais para evento MISP Opção para sincronizar as técnicas de Now Platform SIR incidente de segurança MITRE-ATT&CK™ como galáxias globais no evento MISP.
    5. Clique em Criar novo evento MISP.

      O exemplo a seguir mostra que, ao criar um evento em MISP, você pode exibir os resultados no incidente de segurança. Você também pode exibir as anotações de trabalho, o evento na instância Now Platform e o evento no servidor MISP, conforme mostrado no exemplo a seguir.

      Figura 4. Criar manualmente um evento no MISP da Now Platform
      Crie manualmente um evento no MISP da Now Platform.
      Você pode exibir os resultados das seguintes maneiras:
      • Uma mensagem de sucesso aparece na parte superior da página do incidente de segurança. Você pode exibir os detalhes do evento na instância Now Platform e também como ele aparece no servidor MISP.
      • Nas anotações de trabalho, você pode exibir a mensagem de sucesso com mais detalhes. Você também pode exibir os detalhes do evento na instância Now Platform e também como ele aparece no servidor MISP.
      • Na lista relacionada Eventos de MISP associados, você pode exibir o evento em relação ao incidente de segurança e aos recursos MISP.

    Adicionar atributos a um evento MISP

    Adicione atributos a um evento, como tipo, categoria e outras informações contextuais sobre o evento.

    Antes de Iniciar

    • Analise o MISP função e permissões do usuário para usar os recursos bidirecionais MISP.
    • Verifique se o evento ao qual você está adicionando ou atualizando o atributo pertence à mesma organização que o usuário MISP.
    • Função necessária: sn_sec_misp.write

    Procedimento

    1. Navegar até Todos > MISP > Eventos de MISP associados.
      Você também pode navegar até a lista relacionada de Evento de MISP associado em qualquer incidente de segurança.
    2. Clique no evento MISP para o qual você deseja adicionar um atributo.
    3. Clique em Adicionar atributo ao evento MISP.
    4. Na caixa de diálogo Adicionar atributo ao evento, preencha os detalhes.
      Tabela 2. Adicionar atributo à caixa de diálogo de evento
      Campo Descrição
      Valor Valor real do atributo. Insira dados sobre o valor que é baseado no que é válido para o tipo de atributo escolhido. Por exemplo, para um atributo do tipo ip-src (endereço IP de origem), 11.11.11.11 é um valor válido.
      Nota:
      Você só pode selecionar atributos ou observáveis que compartilham contexto com o evento. Os observáveis ainda não podem ter um atributo em MISP.
      Categoria Categoria do atributo. A categoria descreve o aspecto do malware para este atributo. Um exemplo seriam os mecanismos de persistência do malware ou da atividade de rede.
      Tipo Tipo que explica a categoria. Por exemplo, se um invasor usar um endereço IP para um ataque, um endereço de e-mail de origem ou um arquivo enviado por meio de um anexo poderá descrever a entrega de carga de um malware. Esses tipos de atributos têm a categoria de entrega de carga.
      Distribuição Usuários que podem exibir este atributo. A distribuição é herdada por atributos. A configuração mais restritiva vence.
      Usar atributo como uma assinatura de IDS Observável marcado como malicioso em SIR. O atributo correspondente em MISP também está marcado como verdadeiro.
      Comentários Comentários que você adiciona aos atributos.

      O exemplo a seguir mostra que, navegando na lista Eventos de MISP associados, você pode exibir o registro de evento 5627 e adicionar atributos ao evento. Os atributos incluem o valor (testdomain.com), categoria como análise externa, tipo como domínio. Você também pode habilitar o IDS. A mensagem de sucesso no registro do evento mostra que o atributo foi adicionado ao evento, conforme mostrado no exemplo a seguir.

      Figura 5. Adicionar atributo a um evento MISP
      Adicionando atributo a um evento MISP.
    5. Clique em Adicionar atributo ao evento MISP.

    Resultado

    Você pode exibir o atributo adicionado na seção Atributos.

    Adicionar marcadores a um evento MISP

    Adicione marcadores em Now Platform MISP para classificar eventos ou atributos. Você pode usar marcadores globalmente para habilitar sua classificação ou usar marcadores localmente quando não quiser que os eventos MISP sejam modificados durante sua classificação.

    Antes de Iniciar

    • Analise o MISP função e permissões do usuário para usar os recursos bidirecionais MISP.
    • Verifique se o evento que você está editando pertence à mesma organização que o usuário MISP.
    • Observe que os marcadores e galáxias disponíveis para você são baseados na origem MISP e em suas permissões de distribuição.
    • Função necessária: sn_sec_misp.write

    Procedimento

    1. Navegar até Todos > Incidente de segurança > Mostrar Todos os Incidentes.
    2. Selecione o incidente de segurança que contém o evento ao qual você deseja adicionar marcadores.
    3. Clique em Mostrar todas as listas relacionadas e na lista relacionada Resultados de aprimoramento do MISP.
    4. Clique no ID do evento na lista de resultados de aprimoramento.
      Você também pode navegar a partir de MISP > Eventos de MISP associados módulo.
    5. Revise o registro do evento de MISP.
      Tabela 3. Exibição de formulário de evento de MISP
      Campo Descrição
      ID de Evento ID do evento atribuído por MISP quando o evento foi criado ou importado pela primeira vez para o servidor MISP.
      UUID ID que identifica exclusivamente eventos e atributos.
      Organização do criador Organização que criou o evento na instância MISP.
      Organização do proprietário Organização que possui o evento na instância MISP. Este campo está visível somente para os administradores.
      Usuário do criador Usuário que criou o evento em MISP.
      Última mudança Data em que o evento foi modificado pela última vez.
      Origem do MISP MISP origem em que o evento é criado.
      Data de criação (no MISP) Data em que o evento foi criado ou importado pela primeira vez no servidor MISP.
      Nível de ameaça Nível de risco do evento. Os incidentes podem ser categorizados em três categorias de ameaça diferentes (baixa, média e alta). Este campo pode ser deixado como indefinido. A seguir estão as opções:
      • Baixo: malware geral em massa
      • Média: ameaças persistentes avançadas (APT)
      • Alto: APTs sofisticados e ataques de dia 0
      Análise Fase atual da análise do evento com as seguintes opções possíveis:
      • Inicial: a análise está apenas começando
      • Em andamento: a análise está em andamento
      • Concluído: a análise está concluída
      Distribuição Distribuição do atributo individual. Um atributo pode ter um nível de distribuição diferente do evento.
      Publicado Status de se o evento foi publicado ou não. A publicação permite que os atributos do evento sejam usados para todas as exportações qualificadas e notifica os usuários que assinaram os alertas de evento.
      Hiperlink de evento MISP Link para o evento MISP que é armazenado no servidor MISP.
      Informações Descrição resumida do evento.
      Marcadores (locais) Marcadores que estão disponíveis na instância MISP da organização host para habilitar a marcação para sincronização e filtragem de exportação. MISP eventos não são modificados quando você usa marcadores locais. Marcadores locais são sempre removidos antes de serem sincronizados com outras instâncias MISP e comunidades de compartilhamento.
      Marcadores (Globais) Marcadores que estão disponíveis globalmente para serem compartilhados e sincronizados com outras instâncias MISP e comunidades de compartilhamento. Ao adicionar marcadores globais a instâncias MISP, você pode modificar eventos.
      Galáxias (locais) Galáxias que estão disponíveis na instância MISP da organização do host para sincronização e filtragem de exportação. MISP eventos não são modificados quando você usa galáxias locais. Essas galáxias locais são sempre removidas antes de serem sincronizadas com outras instâncias MISP e comunidades de compartilhamento.
      Galáxias (Global) Galáxias que estão disponíveis globalmente para serem compartilhadas e sincronizadas com outras instâncias MISP e comunidades de compartilhamento. Ao adicionar galáxias globais, MISP é possível modificar eventos.
    6. Para editar um marcador local ou global, clique no ícone de edição ícone de edição. em uma das seguintes opções:
    • Marcadores (locais)
    • Marcadores (Globais)
    1. Na caixa de diálogo Marcadores de evento do MISP, insira o nome do marcador para pesquisar e adicionar os marcadores.
    2. Clique em Atualizar marcadores para evento MISP.

      O exemplo a seguir mostra que, ao clicar no ícone de edição dos marcadores locais, você pode pesquisar e adicionar os marcadores C3, Adware, C2 e Botnet 3101 e atualizar o servidor MISP com os marcadores. A mensagem de confirmação mostra que todos os marcadores foram atualizados em MISP.

      Figura 6. Atualizando marcadores para evento MISP
      Atualizando marcadores para um evento MISP.
    3. Clique em Recarregar formulário na mensagem de sucesso para exibir as mudanças no registro.

    Resultado

    Os marcadores foram atualizados com sucesso no servidor MISP.

    Atualizar galáxias para um evento ou atributo MISP

    Adicione ou remova galáxias em Now Platform MISP para que você possa classificar esses objetos como um cluster na instância MISP e anexá-los a MISP eventos ou atributos.

    Antes de Iniciar

    • Analise o MISP função e permissões do usuário necessário para usar os recursos bidirecionais MISP.
    • Para adicionar galáxias locais, o usuário que configurou a integração deve pertencer à organização do host do servidor MISP correspondente.
    • Os marcadores e galáxias disponíveis para você são baseados na origem MISP e em suas permissões de distribuição.
    • Função necessária: sn_sec_misp.write

    Procedimento

    1. Clique no ícone de edição ícone de edição. em uma das seguintes opções.
    • Galáxias (locais)
    • Galáxias (Global)
    1. Na caixa de diálogo Galáxias de evento do MISP, digite e pesquise para adicionar os marcadores.
    2. Clique em Atualizar galáxias para evento MISP.

      O exemplo a seguir mostra como clicar no ícone de edição das galáxias locais, selecionar o namespace obsoleto, selecionar a galáxia Ataque empresarial - Padrão de ataque e adicionar informações do cluster. Depois que as informações da galáxia forem atualizadas, você poderá exibir a mensagem de sucesso.

      Figura 7. Atualizar informações da galáxia para evento MISP
      Atualizando as informações da galáxia para o evento MISP.
      As galáxias foram atualizadas com sucesso no servidor MISP.
    3. Clique em Recarregar formulário na mensagem de sucesso para exibir as mudanças no registro.