Aprimoramento de observável em MISP

  • Versão de lançamento: Washingtondc
  • Atualizado 1 de fev. de 2024
  • 10 min. de leitura

    • Ao aprimorar os observáveis com informações adicionais de várias fontes MISP durante as investigações de resposta do incidente, você pode conter as ameaças identificadas.

    Habilitar aprimoramento observável automático em MISP

    Habilite o aprimoramento observável automático no Now Platform MISP quando novos observáveis forem associados ao incidente de segurança.

    Antes de Iniciar

    • Habilite a propriedade do sistema Security Incident Response para a opção Habilita ou desabilita o trabalho programado, Pesquisar observáveis de incidente de segurança para acionar a capacidade de aprimoramento do observável em SIR.
    • Função necessária: sn_si.analyst

    Procedimento

    1. Navegar até Todos > Incidente de segurança > Mostrar Todos os Incidentes.
    2. Selecione o incidente de segurança que contém os observáveis que você deseja aprimorar os dados observáveis em MISP para.
    3. Revise as anotações de trabalho depois que novos observáveis forem associados ao incidente de segurança.

      O exemplo a seguir mostra que uma anotação de trabalho é publicada quando o fluxo de trabalho Integração do Security Operations - Aprimorar observável é acionado.

      Exiba as anotações de trabalho do status de aprimoramento do observável.
    4. Na lista relacionada MISP Resultados de aprimoramento do incidente de segurança, exiba os resultados de aprimoramento após a conclusão da execução do fluxo de trabalho.
      Nota:
      Você deve configurar que a lista relacionada Resultados de aprimoramento MISP apareça nas listas relacionadas a incidentes de segurança. Para obter mais informações, consulte a configuração da lista relacionada.
      O exemplo a seguir mostra os resultados de aprimoramento no MISP.
      Exiba os resultados de aprimoramento na guia Resultados de aprimoramento do MISP.
      A tabela a seguir mostra os resultados de aprimoramento do MISP.
      Tabela 1. Resultados do aprimoramento de MISP
      Campo Descrição
      Evento ID do evento. Clique em abrir para exibir o registro na instância Now Platform.
      Organização Organização que criou originalmente o evento.
      Observável Observável que está associado ao evento.
      Categoria Categoria do atributo.

      Exiba a lista de categorias na documentação do MISP.
      Tipo Tipo do atributo.

      Exiba a lista de tipos na documentação do MISP.
      Marcadores MISP Lista de marcadores associados ao atributo MISP.
      Galáxias MISP Lista de galáxias associadas ao atributo MISP.
      Comentário Comentário contextual para descrever melhor o atributo. Esses comentários não são usados para correlação e são puramente informativos.
      IDS Indicador de comprometimento, o que permite que ele seja incluído em todas as exportações qualificadas.
      Distribuição Distribuição do atributo depois que ele é publicado. Um atributo pode ter um nível de distribuição diferente do evento. Em ambos os casos, o nível de distribuição mais baixo é usado.
      Hiperlink para o evento MISP Link para o evento MISP, que é armazenado no servidor MISP.
      Fornecedor de integração Fornecedor de integração que fornece os dados para aprimoramento.
      Dados brutos Dados brutos associados ao atributo MISP.

    Executar um aprimoramento observável manual no MISP

    Selecione observáveis individuais ou vários e execute um aprimoramento de observável manual para que você possa aprimorar os observáveis com informações adicionais de várias fontes MISP.

    Antes de Iniciar

    Procedimento

    1. Navegar até Todos > Incidente de segurança > Mostrar Todos os Incidentes.
    2. Selecione o incidente de segurança que contém os observáveis para os quais você deseja executar o aprimoramento.
    3. Clique em Mostrar todas as listas relacionadas e na guia Observáveis associados.
    4. Selecione o observável e, no menu Ações, clique em Executar aprimoramento de observável.
      Você pode selecionar vários observáveis para uma pesquisa de vista.
      A caixa de diálogo Executar aprimoramento de observável é exibida.
    5. Selecione uma origem MISP e, na coluna Selecionado, selecione uma implementação para aprimorar os observáveis selecionados.
    6. Clique em Enviar.
      Uma anotação de trabalho mostra que o fluxo de trabalho Security Operations Integration - Enrich Observable foi acionado. Os fluxos de trabalho de implementação associados são executados para realizar o aprimoramento. Você pode exibir as anotações de trabalho no incidente de segurança para exibir o status.

      O exemplo a seguir mostra como exibir as anotações de trabalho para um aprimoramento observável manual.

      Figura 1. Anotações de trabalho para aprimoramento observável manual
      Exiba anotações de trabalho para aprimoramento observável manual.
      A mensagem de aprimoramento lista o evento criado. Você pode exibir o evento na instância Now Platform ou na instância MISP e exibir os detalhes do registro na guia Resultados de aprimoramento do MISP.

    Adicionar ou remover marcadores a atributos MISP

    Adicione ou remova marcadores em MISP para classificar eventos ou atributos. Você pode usar marcadores globalmente para habilitar sua classificação ou usar marcadores localmente quando não quiser que os eventos MISP sejam modificados durante sua classificação.

    Antes de Iniciar

    • Analise o MISP função e permissões do usuário para usar os recursos bidirecionais MISP.
    • Verifique se o atributo que você está editando pertence à mesma organização que o usuário MISP.
    • Observe que os marcadores e galáxias disponíveis para você são baseados na origem MISP e em suas permissões de distribuição.
    • Função necessária: sn_sec_misp.write

    Procedimento

    1. Navegar até Todos > Incidente de segurança > Mostrar Todos os Incidentes.
    2. Selecione o incidente de segurança que contém os observáveis, atributos ou eventos para os quais você deseja adicionar os marcadores.
    3. Clique em Mostrar todas as listas relacionadas e na lista relacionada Resultados de aprimoramento do MISP.
    4. Clique no ícone de visualização ícone de visualização. ao lado de um registro e clique em Abrir registro.
      O exemplo a seguir mostra como revisar os resultados de aprimoramento do MISP e como abrir um registro de aprimoramento MISP.
      Figura 2. Registro de resultado de aprimoramento do MISP
    5. Revise o registro do resultado de aprimoramento do MISP.
      Tabela 2. Resultado do aprimoramento de MISP
      Campo Descrição
      Observável
      Evento ID do evento atribuído pelo servidor MISP quando o evento foi criado ou importado pela primeira vez para o MISP.

      Visualize o evento ou clique no registro para exibir os dados do evento na MISP página Dados do evento.
      Organização Organização que criou o atributo MISP.
      Categoria Categoria do atributo que você adiciona ao evento específico em MISP. Você pode selecionar uma opção como referência interna, atividade de rede, fraude financeira e assim por diante.
      Tipo Tipo de atributo MISP.
      Fornecedor de integração Fornecedor de integração que fornece os dados para o aprimoramento observável.
      Data de criação (no MISP) Data em que o evento foi criado ou importado pela primeira vez para MISP.
      IDS Status de um observável marcado como malicioso em SIR. O atributo correspondente em MISP também está marcado como verdadeiro.
      Distribuição Controles de opção de distribuição, como quem pode exibir este evento depois que ele for publicado. Esta opção também controla se o evento é sincronizado com outros servidores. A distribuição é herdada pelos atributos e a configuração mais restritiva vence. As opções de distribuição são as seguintes:
      • Somente sua organização: permite que somente membros da sua organização exibam este evento. O evento pode ser puxado para outra instância por um dos membros da sua organização, onde somente sua organização tem acesso para exibi-lo. Eventos com esta configuração não são sincronizados.
      • Somente esta comunidade: permite que os usuários que fazem parte da sua comunidade MISP exibam o evento, incluindo sua própria organização, organizações neste servidor MISP e organizações que executam servidores MISP que são sincronizados com este servidor. Quaisquer outras organizações conectadas a esses servidores vinculados têm restrição para exibir o evento.
      • Comunidades conectadas: permite que os usuários que fazem parte da sua comunidade MISP exibam o evento, incluindo todas as organizações neste servidor MISP, todas as organizações em servidores MISP que sincronizam com este servidor e as organizações de hospedagem de servidores que se conectam a qualquer servidor ou seja, dois saltos de distância). Quaisquer outras organizações conectadas aos servidores vinculados que estão a dois saltos de distância têm restrição para exibir o evento.
      • Todas as comunidades: compartilha o evento com todas as MISP comunidades, o que permite que o evento fique disponível gratuitamente.
      Hiperlink para o evento MISP Link para o evento MISP que é armazenado no servidor MISP.
      Dados brutos Detalhes brutos do registro de dados de aprimoramento do observável.
      Comentário Comentários que você adiciona aos atributos. Esses comentários são apenas para fins informativos e não são usados para correlação.
      Marcadores (locais) Marcadores que estão disponíveis na instância MISP da organização host para habilitar a marcação para sincronização e filtragem de exportação. MISP eventos não são modificados quando você usa marcadores locais. Esses marcadores são sempre removidos antes de serem sincronizados com outras instâncias MISP e comunidades de compartilhamento.
      Marcadores (Globais) Marcadores que estão disponíveis globalmente para serem compartilhados e sincronizados com outras instâncias MISP e comunidades de compartilhamento. Ao adicionar marcadores globais a instâncias MISP, você modifica eventos.
      Galáxias (locais) Galáxias que estão disponíveis na instância MISP da organização do host para sincronização e filtragem de exportação. MISP eventos não são modificados quando você usa galáxias locais. Essas galáxias são sempre removidas antes de serem sincronizadas com outras instâncias MISP e comunidades de compartilhamento.
      Galáxias (Global) Galáxias que estão disponíveis globalmente para serem compartilhadas e sincronizadas com outras instâncias MISP e comunidades de compartilhamento. Quando você adiciona galáxias globais, os eventos MISP são modificados.
    6. Para editar um marcador local ou global, clique no ícone de edição ícone de edição. em uma das seguintes opções:
    • Marcadores (locais)
    • Marcadores (Globais)
    1. Na caixa de diálogo Marcadores de atributo do MISP, insira o nome do marcador a ser pesquisado e adicionado.
    2. Clique em Atualizar marcadores para atributo MISP.

      O exemplo a seguir mostra que, ao clicar no ícone de edição dos marcadores locais, você pode pesquisar e adicionar os marcadores C3, Adware, C2 e Botnet 3101 e atualizar o servidor MISP com os marcadores. A mensagem de confirmação mostra que todos os marcadores foram atualizados em MISP.

      Os marcadores são atualizados com sucesso no servidor MISP.
    3. Para exibir as mudanças no registro, clique em Recarregar formulário na mensagem de sucesso.

    Adicionar ou remover galáxias de um evento ou atributo MISP

    Adicione ou remova galáxias em MISP para que você possa classificar esses objetos como um cluster em MISP e anexá-los a MISP eventos ou atributos.

    Antes de Iniciar

    • Analise o MISP função e permissões do usuário para usar os recursos bidirecionais MISP.
    • Para adicionar galáxias locais, o usuário que configurou a integração deve pertencer à organização host do servidor MISP correspondente.
    • Observe que os marcadores e galáxias disponíveis para você são baseados na origem MISP e em suas permissões de distribuição.
    • Função necessária: sn_sec_misp.write

    Procedimento

    1. Clique no ícone de edição ícone de edição. em uma das seguintes opções.
    • Galáxias (locais)
    • Galáxias (Global)
    1. Na caixa de diálogo Galáxias de evento do MISP, preencha os detalhes.
      Tabela 3. Caixa de diálogo Galáxias de evento do MISP
      Campo Descrição
      ID de Evento ID do evento atribuído pelo servidor MISP quando o evento foi criado ou importado pela primeira vez para o MISP.
      Namespace Namespace onde a galáxia está armazenada. Você pode usar namespaces para agrupar galáxias semelhantes.
      Galáxias Galáxia em que você armazena as informações do cluster.
      Clusters Informações sobre os clusters na galáxia.
    2. Clique em Atualizar galáxias para atributo MISP.
      O exemplo a seguir mostra que, ao clicar no ícone de edição das galáxias locais, você pode selecionar o namespace obsoleto, selecionar a galáxia Ataque empresarial - Padrão de ataque e adicionar as informações do cluster. Depois que as informações da galáxia forem atualizadas, você poderá exibir a mensagem de sucesso.

    3. Para exibir as mudanças no registro, clique em Recarregar formulário na mensagem de sucesso.

    Resultado

    As informações da galáxia foram atualizadas com sucesso no servidor MISP.

    Adicionar comentários ao atributo MISP

    Adicione comentários para os atributos MISP. Os comentários adicionados são apenas para fins informativos e não são usados para correlação de dados MISP.

    Antes de Iniciar

    Procedimento

    1. Clique no ícone de edição ícone de edição. no campo Comentário.
    2. Insira seu comentário no campo Comentário do atributo.
    3. Clique em Atualizar comentário para atributo MISP.
      O exemplo a seguir mostra que, clicando no ícone de edição ao lado do campo de comentário, você pode adicionar um comentário e atualizar o atributo MISP. Depois que o comentário for atualizado, você poderá exibir a mensagem de sucesso.

    4. Para exibir as mudanças no registro, clique em Recarregar formulário na mensagem de sucesso.

    Resultado

    O comentário foi atualizado com sucesso no servidor MISP.