MISP integration for Security Operations
Com MISP integration for Security Operations, você pode investigar incidentes de segurança com pesquisas de vista, enriquecimento observável e criar ou atualizar eventos em MISP. Usando MISP, você pode investigar ataques direcionados mais rapidamente, melhorar a taxa de detecção e reduzir o número de falsos positivos em seu ambiente.
Solicitar aplicativos na Store
Acesse o site ServiceNow Store para ver todos os aplicativos disponíveis e obter informações sobre como enviar solicitações para a loja. Para obter informações sobre notas de versão cumulativa para todos os aplicativos liberados, consulte as ServiceNow Store notas de versão do histórico de versão.
Visão geral do MISP
MISP, que significa Malware Information Sharing Platform, permite trocar e compartilhar inteligência de ameaças e Indicadores de compromisso (IoCs) sobre o malware e os ataques direcionados em sua comunidade de membros confiáveis. Você também pode compartilhar MISP informações com comunidades privadas ou abertas. Ao trocar informações MISP, você pode investigar ataques direcionados mais rapidamente, melhorar a taxa de detecção e reduzir o número de falsos positivos em seu ambiente.
MISP e Security Operations
Consulte o exemplo a seguir para saber como as informações de MISP fluem com as aplicações Security Operations.
Principais recursos
- Conectar a privado e público MISP instâncias.
- Suporte à pesquisa de vista manual e automática de observáveis.
- Executar pesquisa de vista na gestão de casos.
- Relatar ou atualizar vistas para um atributo:
- Relatar um observável como vista (global)
- Relatar um observável como falso positivo (global)
- Relatar um observável como expirado
- Suporte ao enriquecimento observável manual e automático. Os resultados incluem o atributo MISP e as informações de evento associadas aos observáveis.
- Aprimoramento de atributo em MISP que inclui adicionar ou atualizar marcadores, galáxiasou comentários.
- Criação de evento no MISP de SIR: oferece suporte à criação manual e automática de eventos em MISP de SIR.
- Atualize um evento [ MISP de SIR que inclui adicionar ou atualizar marcadores, galáxiasou atributos.
- Adicionar observáveis associados a incidentes de segurança como atributos a um MISP evento.
- Extrair automaticamente MITRE-ATT&CK™ informações de MISP atributos e associe as informações a SIR incidentes de segurança.
- Adicionar automaticamente SIR MITRE-ATT&CK™ informações como galáxias para um MISP evento.
Principais conceitos
Esta integração inclui os seguintes conceitos-chave que você deve saber:- MISP é uma plataforma de inteligência contra ameaças (TIP). Você usa TIPs para coletar, correlacionar, categorizar, compartilhar e integrar dados de ameaças à segurança em tempo real para oferecer suporte à priorização de ações e ajudar na prevenção, detecção e resposta de ataques.
- MISP é um TIM (Threat Intelligence Management). Você usa TIMs para transformar dados de ameaça em inteligência contra ameaças por meio de contexto e para priorizar automaticamente as ameaças por pontuação e relevância definidas pelo usuário.
- MISP Camada de dados
- Eventos são encapsulamentos para informações vinculadas contextualmente.
- Atributos são pontos de dados individuais, que podem ser indicadores ou dados de suporte.
- Os objetos são composição de atributo de modelo personalizado.
- Referências de objeto são os relacionamentos entre os outros blocos de construção.
- Vistas são ocorrências específicas de tempo de um ponto de dados detectado.
- MISP Camada de contexto
- Marcadores são rótulos anexados a eventos ou atributos e podem vir de taxonomias.
- Clusters de galáxias são itens da base de conhecimento que você pode usar para rotular eventos ou atributos que vêm de galáxias.
- Os relacionamentos de cluster denotam relacionamentos predefinidos entre clusters.
- Os indicadores contêm um padrão que você pode usar para detectar atividades cibernéticas suspeitas ou mal-intencionadas.
- Os atributos em MISP podem ser indicadores de rede (endereço IP), indicadores do sistema (uma cadeia de caracteres na memória) ou até mesmo detalhes da conta bancária. Os atributos em MISP são conhecidos como observáveis em outros SIEMs ou formatos como STIX.
- Um tipo descreve o atributo. Por exemplo, MD5 ou um URL.
- A categoria de atributo descreve um atributo. Por exemplo, uma entrega de carga útil.
- Um marcador IDS determina se um atributo pode ser usado automaticamente para detecção.
Como sua organização pode se beneficiar do MISP integration for Security Operations
Os analistas de segurança devem obter e manter a conscientização da situação do cenário de ameaças, o que significa que eles devem consolidar e integrar manualmente uma quantidade enorme de dados de ameaças. Coletar, consolidar e integrar esses dados consome um tempo valioso, o que atrasa a detecção e a análise de ameaças. MISP integration for Security Operations permite que os analistas detectem mais ameaças e respondam mais rapidamente, integrando a inteligência de segurança MISP em uma instância Now Platform existente.
Ao usar o MISP integration for Security Operations, sua organização pode realizar as seguintes ações:
- Permita que seus analistas de segurança respondam rapidamente e com o contexto certo.
- Melhore a eficiência da sua equipe de segurança automatizando os fluxos de trabalho de incidentes para detectar e conter ameaças.
- Reduza o tempo de pesquisa manual e permita que os analistas de segurança operacionalizem e selecionem indicadores de dentro do Now Platform.
Conheça esta integração
| Identificador de documento | Título do documento |
|---|---|
| MISP site de documentação | Site de documentação do MISP |
| ServiceNow site da documentação do produto | Site de documentação do produto da ServiceNow |