Aprimoramento de observável em MISP

  • Versão de lançamento: Xanadu
  • Atualizado 1 de ago. de 2024
  • 9 min. de leitura

    • Ao aprimorar os observáveis com informações adicionais de várias MISP origens durante as investigações de resposta do incidente, você pode conter as ameaças identificadas.

    Habilitar enriquecimento automático de observável em MISP

    Habilite o enriquecimento automático de observáveis no Now Platform MISP quando novos observáveis estiverem associados ao incidente de segurança.

    Antes de Iniciar

    • Habilite a propriedade do sistema Security Incident Response para a opção Habilita ou Desabilita o trabalho agendado, Pesquisar observáveis de incidentes de segurança para acionar a capacidade de aprimoramento do observável em SIR.
    • Função necessária: sn_si.analyst

    Procedimento

    1. Navegar até Todos > Incidente de segurança > Mostrar todos os incidentes.
    2. Selecione o incidente de segurança que contém os observáveis para os quais você deseja aprimorar os dados do observável em MISP.
    3. Revise as anotações de trabalho depois que novos observáveis forem associados ao incidente de segurança.

      O exemplo a seguir mostra que uma anotação de trabalho é publicada quando o fluxo Integração de Operações de segurança - Aprimorar observável é acionado.

      Exiba as anotações de trabalho do status de aprimoramento do observável.

    4. Na lista relacionada MISP Resultados de aprimoramento do incidente de segurança, exiba os resultados de aprimoramento após a conclusão da execução do fluxo.
      Exiba as anotações de trabalho do status de aprimoramento do observável após a conclusão da execução.
      Nota:
      Você deve configurar para que a lista relacionada MISP Resultados de aprimoramento apareça nas listas relacionadas a incidentes de segurança. Para obter mais informações, consulte configuração de lista relacionada.
      O exemplo a seguir mostra os resultados de aprimoramento no MISP.
      Exiba os resultados de aprimoramento na guia Resultados de aprimoramento do MISP.
      A tabela a seguir mostra os resultados de aprimoramento do MISP.
      Tabela 1. Resultados de enriquecimento de MISP
      Campo Descrição
      Evento ID do evento. Clique em Abrir para exibir o registro na instância Now Platform.
      Organização Organização que criou originalmente o evento.
      Observável Observável que está associado ao evento.
      Categoria Categoria do atributo.

      Exiba a lista de categorias na documentação do MISP.
      Tipo Tipo do atributo.

      Exiba a lista de tipos na documentação do MISP.
      Marcadores MISP Lista de marcadores associados ao atributo MISP.
      Galáxias MISP Lista de galáxias associadas ao atributo MISP.
      Comentário Comentário contextual para descrever melhor o atributo. Esses comentários não são usados para correlação e são exclusivamente informativos.
      IDS Indicador de comprometimento, o que permite que ele seja incluído em todas as exportações qualificadas.
      Distribuição Distribuição do atributo depois que ele é publicado. Um atributo pode ter um nível de distribuição diferente do evento. Em qualquer um dos casos, o nível de distribuição mais baixo é usado.
      Hiperlink para o evento MISP Link para o evento MISP, que está armazenado no servidor MISP.
      Fornecedor de integração Fornecedor de integração que fornece os dados para enriquecimento.
      Dados brutos Dados brutos associados ao atributo MISP.

    Executar um aprimoramento de observável manual em MISP

    Selecione observáveis individuais ou múltiplos e execute um aprimoramento de observável manual para que você possa aprimorar observáveis com informações adicionais de várias MISP origens.

    Antes de Iniciar

    Procedimento

    1. Navegar até Todos > Incidente de segurança > Mostrar todos os incidentes.
    2. Selecione o incidente de segurança que contém os observáveis para os quais você deseja executar o aprimoramento.
    3. Clique em Mostrar todas as listas relacionadas e na guia Observáveis associados.
    4. Selecione o observável e, no menu Ações, clique em Executar aprimoramento de observável.
      Você pode selecionar vários observáveis para uma pesquisa de detecções.
      A caixa de diálogo Executar aprimoramento de observável é exibida.
    5. Selecione uma origem MISP e, na coluna Selecionada, selecione uma implementação para aprimorar os observáveis selecionados.
    6. Clique em Enviar.
      Uma anotação de trabalho mostra que o fluxo de trabalho Integração de Operações de segurança - Aprimorar observável foi acionado. Os fluxos de trabalho de implementação associados são executados para realizar o aprimoramento. Você pode exibir as anotações de trabalho no incidente de segurança para exibir o status.

      O exemplo a seguir mostra como exibir as anotações de trabalho para um aprimoramento de observável manual.

      Figura 1. Anotações de trabalho para enriquecimento observável manual
      Exibir anotações de trabalho para enriquecimento observável manual.
      A mensagem de aprimoramento lista o evento criado. Você pode exibir o evento na instância Now Platform ou na instância MISP e exibir os detalhes do registro na guia Resultados de aprimoramento do MISP.

    Adicionar ou remover marcadores dos atributos MISP

    Adicione ou remova marcadores em MISP para classificar eventos ou atributos. Você pode usar a marcação globalmente para habilitar sua classificação ou usar marcadores localmente quando não quiser que os eventos MISP sejam modificados durante a classificação.

    Antes de Iniciar

    • Revise MISP função e permissões do usuário para usar os MISP recursos bidirecionais.
    • Verifique se o atributo que você está editando pertence à mesma organização que o usuário MISP.
    • Observe que os marcadores e galáxias disponíveis para você são baseados na origem MISP e em suas permissões de distribuição.
    • Função necessária: sn_sec_misp.write

    Procedimento

    1. Navegar até Todos > Incidente de segurança > Mostrar todos os incidentes.
    2. Selecione o incidente de segurança que contém os observáveis, atributos ou eventos aos quais você deseja adicionar os marcadores.
    3. Clique em Mostrar todas as listas relacionadas e na lista relacionada de Resultados de aprimoramento do MISP.
    4. Clique no ícone de visualização ícone de visualização. ao lado de um registro e clique em Abrir registro.
      O exemplo a seguir mostra como revisar os resultados de aprimoramento do MISP e como abrir um registro de aprimoramento MISP.
      Figura 2. Registro de resultado de aprimoramento do MISP
    5. Revise o registro de resultado de aprimoramento do MISP.
      Tabela 2. Resultado do aprimoramento de MISP
      Campo Descrição
      Observável
      Evento ID do evento atribuído pelo servidor MISP quando o evento foi criado ou importado pela primeira vez para MISP.

      Visualize o evento ou clique no registro para exibir os dados do evento na página MISP Dados do evento.
      Organização Organização que criou o atributo MISP.
      Categoria Categoria do atributo que você adiciona ao evento específico em MISP. Você pode selecionar uma opção como referência interna, atividade de rede, fraude financeira e assim por diante.
      Tipo Tipo de atributo MISP.
      Fornecedor de integração Fornecedor de integração que fornece os dados para o aprimoramento do observável.
      Data de criação (no MISP) Data em que o evento foi criado ou importado pela primeira vez para MISP.
      IDS Status de um observável marcado como mal-intencionado em SIR. O atributo correspondente em MISP também está marcado como verdadeiro.
      Distribuição Controles de opção de distribuição, como quem pode exibir este evento depois que ele é publicado. Esta opção também controla se o evento é sincronizado com outros servidores. A distribuição é herdada pelos atributos e a configuração mais restritiva vence. As opções de distribuição são as seguintes:
      • Somente sua organização: permite que somente membros da sua organização exibam este evento. O evento pode ser extraído para outra instância por um dos membros da sua organização, onde somente a sua organização tem acesso para exibi-lo. Eventos com esta configuração não são sincronizados.
      • Somente esta comunidade: permite que os usuários que fazem parte da sua comunidade MISP exibam o evento, incluindo sua própria organização, organizações neste servidor MISP e organizações que executam servidores MISP que são sincronizados com este servidor. Quaisquer outras organizações conectadas a esses servidores vinculados estão impedidas de exibir o evento.
      • Comunidades conectadas: permite que os usuários que fazem parte da sua comunidade MISP exibam o evento, incluindo todas as organizações neste servidor MISP, todas as organizações em servidores MISP que são sincronizados com este servidor e as organizações de hospedagem de servidores que se conectam a qualquer servidor que está a dois saltos de distância). Quaisquer outras organizações conectadas aos servidores vinculados que estão a dois saltos de distância estão impedidas de exibir o evento.
      • Todas as comunidades: compartilha o evento com todas as MISP comunidades, o que permite que o evento fique disponível gratuitamente.
      Hiperlink para o evento MISP Link para o evento MISP que está armazenado no servidor MISP.
      Dados brutos Detalhes brutos do registro de dados de aprimoramento do observável.
      Comentário Comentários que você adiciona aos atributos. Esses comentários são apenas para fins informativos e não são usados para correlação.
      Marcadores (local) Marcadores que estão disponíveis na instância MISP da organização host para habilitar a marcação para sincronização e filtragem de exportação. MISP eventos não são modificados quando você usa marcadores locais. Esses marcadores são sempre removidos antes de serem sincronizados com outras MISP instâncias e comunidades de compartilhamento.
      Marcadores (global) Marcadores que estão disponíveis globalmente para serem compartilhados e sincronizados com outras MISP instâncias e comunidades de compartilhamento. Ao adicionar marcadores globais a instâncias MISP, você modifica eventos.
      Galáxias (local) Galáxias que estão disponíveis na instância MISP da organização host para sincronização e filtragem de exportação. MISP eventos não são modificados quando você usa galáxias locais. Essas galáxias são sempre eliminadas antes de serem sincronizadas com outras MISP instâncias e comunidades de compartilhamento.
      Galáxias (global) Galáxias que estão disponíveis globalmente para serem compartilhadas e sincronizadas com outras MISP instâncias e comunidades de compartilhamento. Quando você adiciona galáxias globais, os eventos MISP são modificados.
    6. Para editar um marcador local ou global, clique no ícone de edição ícone de edição. em uma das seguintes opções:
    • Marcadores (local)
    • Marcadores (global)
    1. Na caixa de diálogo Marcadores de atributo do MISP, insira o nome do marcador para pesquisar e adicioná-lo.
    2. Clique em Atualizar marcadores para atributo MISP.

      O exemplo a seguir mostra que, ao clicar no ícone de edição dos marcadores locais, você pode pesquisar e adicionar os marcadores C3, Adware, C2 e Botnet 3101 e atualizar o servidor MISP com os marcadores. A mensagem de confirmação mostra que todos os marcadores foram atualizados em MISP.

      Os marcadores são atualizados com sucesso no servidor MISP.
    3. Para exibir as mudanças no registro, clique em Recarregar formulário na mensagem de sucesso.

    Adicionar ou remover galáxias de um evento ou atributo MISP

    Adicione ou remova galáxias em MISP para que você possa classificar esses objetos como um cluster em MISP e anexá-los a eventos ou atributos MISP.

    Antes de Iniciar

    • Revise MISP função e permissões do usuário para usar os MISP recursos bidirecionais.
    • Para adicionar galáxias locais, o usuário que configurou a integração deve pertencer à organização host do servidor MISP correspondente.
    • Observe que os marcadores e galáxias disponíveis para você são baseados na origem MISP e em suas permissões de distribuição.
    • Função necessária: sn_sec_misp.write

    Procedimento

    1. Clique no ícone de edição Ícone de edição. em uma das seguintes opções.
    • Galáxias (local)
    • Galáxias (global)
    1. Na caixa de diálogo Galáxias de eventos do MISP, preencha os detalhes.
      Tabela 3. Caixa de diálogo Galáxias de eventos do MISP
      Campo Descrição
      ID de Evento ID do evento atribuído pelo servidor MISP quando o evento foi criado ou importado pela primeira vez para MISP.
      Namespace Namespace onde a galáxia está armazenada. Você pode usar namespaces para agrupar galáxias semelhantes.
      Galáxias Galáxia em que você armazena as informações do cluster.
      Clusters Informações sobre os clusters na galáxia.
    2. Clique em Atualizar galáxias para atributo MISP.
      O exemplo a seguir mostra que, ao clicar no ícone de edição das galáxias locais, você pode selecionar o namespace descontinuado, selecionar a galáxia Ataque empresarial - padrão de ataque e adicionar as informações do cluster. Depois que as informações da galáxia forem atualizadas, você poderá exibir a mensagem de sucesso.

    3. Para exibir as mudanças no registro, clique em Recarregar formulário na mensagem de sucesso.

    Resultado

    As informações da galáxia foram atualizadas com sucesso no servidor MISP.

    Adicionar comentários ao atributo MISP

    Adicione comentários para os atributos MISP. Os comentários adicionados são apenas para fins informativos e não são usados para correlação de dados MISP.

    Antes de Iniciar

    • Revise MISP função e permissões do usuário para usar os MISP recursos bidirecionais.
    • Verifique se o atributo que você está editando pertence à mesma organização que o usuário MISP.
    • Função necessária: sn_sec_misp.write

    Procedimento

    1. Clique no ícone de edição Ícone de edição. no campo Comentário.
    2. Insira seu comentário no campo Comentário do atributo.
    3. Clique em Atualizar comentário para atributo MISP.
      O exemplo a seguir mostra que, ao clicar no ícone de edição ao lado do campo de comentário, você pode adicionar um comentário e atualizar o atributo MISP. Depois que o comentário for atualizado, você poderá exibir a mensagem de sucesso.

    4. Para exibir as mudanças no registro, clique em Recarregar formulário na mensagem de sucesso.

    Resultado

    O comentário foi atualizado com sucesso no servidor MISP.