Pesquisas de detecções em MISP

  • Versão de lançamento: Xanadu
  • Atualizado 1 de ago. de 2024
  • 8 min. de leitura

    • Você pode executar pesquisas de detecções em observáveis na instância MISP para determinar com que frequência determinados tipos de ataques, como ataques de phishing ou comunicações com um IP ou URL mal-intencionado, ocorrem em sua rede. Cada ocorrência é considerada uma detecção.

    Detecções em MISP

    As vistas indicam que um indicador, objeto ou atributo foi visto e sua validade foi confirmada. Detecções em MISP é um sistema que permite responder a atributos em um evento. Ele foi projetado para fornecer um método fácil para os usuários confirmarem que viram um determinado atributo, dando a ele mais confiabilidade. Você pode visualizar um atributo várias vezes.
    Nota:
    Os observáveis são conhecidos como atributos no MISP.

    Alguns atributos são considerados falso-positivos, o que significa que não são detecções válidas. Outros atributos são válidos por apenas uma determinada duração, como uma campanha de phishing que é executada por apenas uma semana. Você pode atribuir uma data de vencimento aos atributos que são válidos por uma determinada duração, mas cada organização pode atribuir apenas uma data de vencimento válida a um atributo.

    As detecções criadas em MISP por usuários de organizações marcadas como locais no servidor MISP correspondente são conhecidas como detecções internas. As detecções criadas em MISP por usuários de organizações marcadas como remotas no servidor MISP correspondente são conhecidas como detecções externas.

    Pesquisas de detecções em SIR

    O fluxo de trabalho Integração de Operações de segurança - Pesquisa de detecções executa a pesquisa de detecções. Este fluxo de trabalho aceita uma lista de observáveis, encontra capacidades de implementação, cria as consultas baseadas nas configurações de pesquisa de detecções e executa as pesquisas baseadas no fluxo de trabalho configurado.

    As pesquisas de detecções ajudam os analistas a determinar a predominância de uma ameaça ao longo do tempo. Você pode selecionar observáveis individuais ou múltiplos e o intervalo de datas para sua pesquisa de um incidente de segurança. Os resultados são incluídos nas listas relacionadas Detecçõesde incidentes de segurança, Resultadosda pesquisa de detecções e Detalhes da pesquisa de detecções.

    Ao começar a analisar um incidente, você pode configurar seu Now Platform para executar automaticamente uma pesquisa de detecções ou executar manualmente uma pesquisa de detecções de observável para identificar outros usuários em sua organização que foram afetados pelo mesmo ataque de phishing.

    Habilitar pesquisas de detecções automáticas no MISP

    Habilite a pesquisa de detecções em MISP para ser executada automaticamente para que o fluxo de trabalho Integração de Operações de segurança - Pesquisa de detecções seja acionado sempre que novos observáveis forem associados a um incidente de segurança.

    Antes de Iniciar

    Verifique se o Perfil de configuração de pesquisa de detecções para MISP está ativo.

    Função necessária: sn_si.analyst

    Por Que e Quando Desempenhar Esta Tarefa

    Se você habilitar a capacidade de pesquisa de detecções seja executada automaticamente no MISP configuração de integração, a pesquisa de detecções em MISP será acionada quando novos observáveis forem associados a um incidente de segurança. Por padrão, a opção Executar pesquisa de detecções automaticamente quando novos observáveis estão associados ao incidente de segurança está habilitada.

    Procedimento

    1. Navegar até Todos > Incidente de segurança > Mostrar todos os incidentes.
    2. Selecione o incidente de segurança que contém os observáveis que você deseja exibir nos dados de pesquisa de detecções MISP.
    3. Revise as anotações de trabalho depois que novos observáveis forem associados ao incidente de segurança.
      Uma anotação de trabalho é publicada quando o fluxo de trabalho Integração de Operações de segurança - Pesquisa de detecções é acionado.

      O exemplo a seguir mostra a seção de anotações de trabalho.

      Exiba as anotações de trabalho e verifique se o fluxo de trabalho Pesquisa de detecções foi acionado.
    4. Exiba as informações agregadas de observáveis que são vistos em todos os eventos (global) e categorizados por suas detecções internas ou externas após a conclusão da execução do fluxo de trabalho.
      Exiba as informações nas listas relacionadas Detecções, Resultados da pesquisa de detecções e Detalhes da pesquisa de detecções.O exemplo a seguir mostra o registro de pesquisa de detecções que foi criado na lista relacionada Detecções.
      Exiba o registro Pesquisa de detecções que foi criado na guia Detecções.
      Tabela 1. Registro de pesquisa de detecções
      Campo Descrição
      Criação Data e hora em que o registro de pesquisa de detecções foi criado.
      Observável Observável pesquisado pela consulta.
      Contagem de detecções Contagem de detecções internas e externas.
      Origem Origem do observável. Se o observável for de uma organização MISP, o registro será precedido pelas palavras MISP.
      É local Status se a detecção foi relatada por um usuário interno.
      Link de pesquisa de detecção Link de pesquisa de detecções na instância MISP.
      Resumo Tipo de detecções associadas ao registro. Os três tipos de Detecções são Detecção, Falso-positivo e Expiração.

      A coluna Resumo aparece somente quando o MISP integration for Security Operations está instalado. Se forem exibidas origens diferentes de MISP, a entrada da coluna Resumo estará vazia para esse registro.

    Executar uma pesquisa de detecções manual em MISP

    Selecione observáveis individuais ou múltiplos e execute uma pesquisa de detecções manual na aplicação Now Platform MISP integration for Security Operations para determinar a predominância de uma ameaça ao longo do tempo.

    Antes de Iniciar

    Procedimento

    1. Navegar até Todos > Incidente de segurança > Mostrar todos os incidentes.
    2. Selecione o incidente de segurança que contém os observáveis para os quais você deseja executar a pesquisa de detecções MISP.
    3. Clique em Mostrar todas as listas relacionadas e na guia Observáveis associados.
    4. Selecione o observável e, no menu Ações, clique em Executar Pesquisa de detecções.
      Você pode selecionar vários observáveis para uma pesquisa de detecções.
      A caixa de diálogo Executar pesquisa de detecções é aberta.
    5. Especifique o intervalo de datas para pesquisar os dados de pesquisa de detecções.
      Tabela 2. Caixa de diálogo Executar pesquisa de detecções
      Campo Descrição
      Último Número de horas ou dias anteriores à criação do incidente a ser pesquisado.

      O padrão é 7 dias. O limite é de 99 horas ou dias.
      entre Intervalo de datas a serem pesquisadas. As datas padrão são as seguintes:
      • A data e a hora em que o incidente foi criado.
      • A data e a hora que são sete dias antes da abertura do incidente.
    6. Clique em Pesquisar.
      O exemplo a seguir mostra os resultados da pesquisa de detecções manual nas anotações de trabalho.
      A pesquisa de detecções manual resulta nas anotações de trabalho.

    Resultado

    Um registro de pesquisa de detecções é criado. Depois que a execução do fluxo de trabalho for concluída, você poderá exibir as informações agregadas de observáveis que são vistos em todos os eventos (global) e categorizados por suas detecções internas ou externas. Os dados agregados e de detecções associados são exibidos no incidente de segurança nas listas relacionadas Detecções, Resultadosda pesquisa de detecções e Detalhes da pesquisa de detecções.

    Relatar detecções para MISP

    Relate detecções de dados de ameaças para que você possa reagir a falsos positivos em seus dados e aumentar sua conscientização quando ocorrer uma ameaça positiva verdadeira. Você também pode adicionar uma data de expiração para um observável ou atributo específico.

    Antes de Iniciar

    Por Que e Quando Desempenhar Esta Tarefa

    O MISP integration for Security Operations permite que você relate detecções para MISP globalmente em todos os eventos. Para relatar uma detecção para um evento específico, você deve usar a instância MISP e relatar a detecção localmente.

    Para relatar uma detecção para MISP, o observável ou o atributo deve estar disponível na instância MISP.

    Procedimento

    1. Navegar até Todos > Incidente de segurança > Mostrar todos os incidentes.
    2. Selecione o incidente de segurança que contém os observáveis para os quais você deseja relatar as detecções para MISP.
    3. Clique em Mostrar todas as listas relacionadas e na lista relacionada Detecções.
    4. Selecione o observável e, no menu Ações, selecione uma das seguintes opções.
      OpçãoDescrição
      MISP: relatar detecções de observável Relate o observável como avistado para MISP. Se o observável estiver associado a vários eventos, ele será atualizado em todos os eventos.
      MISP: relatar observável como falso-positivo Relate o observável como um falso-positivo para MISP.
      MISP: relatar observável como expirado Relate o observável como expirado para MISP.
      Se você selecionar observáveis que não são específicos de uma origem MISP, o menu Ações mostrará a contagem de origens MISP relevantes. O exemplo a seguir mostra quatro de oito observáveis como relevantes para MISP.O exemplo a seguir mostra o menu de ações e os observáveis relevantes para envio.
      Figura 1. Menu Ações que mostra os observáveis relevantes para envio
      O menu Ações mostra os observáveis relevantes para o MISP.
    5. Opcional: Se você selecionou a opção MISP: Relatar detecções de observável, preencha os campos da caixa de diálogo Relatar detecções de observável ao MISP.
      Tabela 3. Caixa de diálogo Relatar vista observável para MISP
      Campo Descrição
      Origem Campo de origem que corresponde à origem MISP da detecção.
      Data Campo de data que corresponde à data em que o observável foi avistado. Se a data estiver vazia, a data e hora atuais serão preenchidas em MISP.

      O exemplo a seguir mostra como navegar até a lista relacionada Detecções no incidente de segurança. Nessa lista, você pode selecionar um observável e relatar a detecção de observável para MISP. A mensagem de sucesso mostra que a detecção foi enviada com sucesso para MISP.

      Figura 2. Relata detecções de observável ao MISP
      Relata detecções de observável ao MISP
      1. Clique em Relatar detecções.
    6. Opcional: Se você selecionou a opção MISP: Relatar observável como falso-positivo, preencha os campos da caixa de diálogo Relatar observável como falso-positivo para MISP.
      Tabela 4. Caixa de diálogo Relatar observável como falso-positivo para MISP
      Campo Descrição
      Origem (opcional) Campo de origem que corresponde à origem MISP. Use este campo para declarar o observável como um falso-positivo.
      Data Campo de data que corresponde à data em que o observável foi identificado como um falso-positivo. Se a data estiver vazia, a data e hora atuais serão preenchidas em MISP.
      1. Clique em Relatar falso-positivo.
    7. Opcional: Se você selecionou a opção MISP: Relatar observável como expirado, preencha os campos da caixa de diálogo Relatar expiração do observável para MISP.
      Tabela 5. Caixa de diálogo Relatar expiração do observável ao MISP
      Campo Descrição
      Origem Campo de origem que corresponde à origem MISP. Use este campo para definir um observável como expirado.
      Data Campo de data que corresponde à data em que o observável expirou. Se a data estiver vazia, a data e hora atuais serão preenchidas em MISP.
      1. Clique em Relatar expiração.

    Resultado

    As detecções foram atualizadas com sucesso para o servidor MISP.