Como gerenciar eventos no MISP

  • Versão de lançamento: Yokohama
  • Atualizado 30 de jan. de 2025
  • 12 min. de leitura

    • Você pode criar eventos em MISP automaticamente ou manualmente a partir de Now Platform. Você também pode editar os dados do evento em MISP a partir de Now Platform.

    Como verificar eventos criados automaticamente no MISP

    Você pode verificar os eventos criados automaticamente depois de configurar o perfil de criação de eventos em sua instância Now Platform.

    Perfil de criação automática de eventos

    A configuração do perfil de criação automática de eventos é feita pelas funções de usuário sn_si.admin ou sn_ti.admin no Integração MISP > Perfis automáticos de criação de evento módulo.

    Exibição dos dados do evento MISP

    Você pode exibir os eventos criados das seguintes maneiras:

    • Exiba as anotações de trabalho dos eventos criados. Você pode exibir os detalhes do evento na instância Now Platform e também como ele aparece no servidor MISP, conforme mostrado no exemplo a seguir.
      Figura 1. Anotações de trabalho para eventos criados
      Exiba as anotações de trabalho dos eventos criados.
    • Clique na lista relacionada Eventos de MISP associados. Aqui, você pode exibir o evento em relação ao incidente de segurança e aos recursos MISP, conforme mostrado no exemplo a seguir.
      Figura 2. Lista de eventos associados
      Exibir a lista de eventos associados
    • Exiba os dados do evento MISP na exibição do formulário para revisar as informações detalhadas sobre os eventos MISP, conforme mostrado no exemplo a seguir.
      Figura 3. Dados do evento na exibição do formulário
      Exiba os dados do evento na exibição do formulário para ver as informações detalhadas do evento MISP.

    Criar manualmente um evento no MISP

    Crie eventos manualmente em MISP a partir de Now Platform para capturar informações relacionadas ao contexto representadas como atributos e objetos.

    Antes de Iniciar

    Procedimento

    1. Navegar até Tudo > Incidente de segurança > Mostrar todos os incidentes.
    2. Selecione o incidente de segurança que contém os observáveis para os quais você deseja criar um evento.
    3. Clique em Criar um novo evento no MISP.
    4. Na caixa de diálogo Criar um novo evento no MISP, preencha os detalhes.
      Tabela 1. Criar um evento na caixa de diálogo do MISP
      Campo Descrição
      Data Data de criação do evento em MISP.
      Informações do evento Informações de evento que são criadas automaticamente a partir de Now Platform Resposta a incidentes de segurança.
      Nível de ameaça Nível de risco do evento. Você pode categorizar os incidentes em três categorias de ameaça diferentes (baixa, média, alta). Este campo também pode ser deixado como indefinido. A seguir estão as opções:
      • Baixo: malware geral em massa
      • Médio: ameaças persistentes avançadas (APT)
      • Alto: APTs sofisticados e ataques de dia 0
      Origem MISP origem para a criação do evento.
      Distribuição Opção que controla quem pode exibir este evento depois que o evento é publicado. Esta opção também controla se o evento é sincronizado com outros servidores. A distribuição é herdada pelos atributos. A configuração mais restritiva vence. As opções de distribuição são as seguintes:
      • Somente sua organização: permite que somente os membros da sua organização exibam este evento. O evento pode ser extraído para outra instância por um dos membros da sua organização, onde somente a sua organização tem acesso para exibi-lo. Eventos com esta configuração não são sincronizados.
      • Somente esta comunidade: permite que os usuários que fazem parte da sua comunidade MISP exibam o evento, incluindo sua própria organização, organizações neste servidor MISP e organizações que executam servidores MISP que são sincronizados com este servidor. Quaisquer outras organizações conectadas a servidores vinculados estão impedidas de exibir o evento.
      • Comunidades conectadas: permite que os usuários que fazem parte da sua comunidade MISP exibam o evento, incluindo todas as organizações neste servidor MISP, todas as organizações em servidores MISP que são sincronizados com este servidor e as organizações de hospedagem de servidores que se conectam a qualquer servidor que está a dois saltos de distância. Quaisquer outras organizações conectadas aos servidores vinculados que estão a dois saltos deste servidor estão impedidas de exibir o evento.
      • Todas as comunidades: compartilha o evento com todas as MISP comunidades.
      Análise Fase atual da análise do evento com as seguintes opções possíveis:
      • Inicial: a análise está apenas começando
      • Em andamento: a análise está em andamento
      • Concluído: a análise está concluída
      Opções avançadas Adicionar observáveis associados do SIR como atributos ao evento MISP Opção para adicionar observáveis disponíveis em um incidente de segurança a um evento MISP como atributos.

      Esta opção habilita o sinalizador Definir atributo IDS quando a descoberta do observável for mal-intencionada.
      Definir sinalizador de IDS de atributo quando a descoberta observável for mal-intencionada Observável marcado como mal-intencionado em SIR. O atributo correspondente em MISP também está marcado como verdadeiro.
      Filtrar observáveis com base em marcadores de segurança Opção para filtrar os observáveis com base nos marcadores de segurança selecionados. Esta opção fornece a capacidade de distinguir e gerenciar os eventos de MISP na inteligência contra ameaças.

      Marcadores de segurança: adicione marcadores para filtrar os observáveis. Por exemplo, se você estiver adicionando um marcador chamado "Bloquear contra compartilhamento" ou "TLP: branco", se um dos observáveis tiver algum desses marcadores associados, esses observáveis não serão adicionados como um atributo ao evento de MISP durante o MISP criação de eventos.
      Sincronizar técnicas de incidente de segurança do MITRE ATT&CK como galáxias locais para o evento de MISP Opção para sincronizar as técnicas Now Platform SIR de incidente de segurança MITRE-ATT&CK™ como galáxias locais no evento MISP.
      Sincronizar técnicas de incidente de segurança MITRE ATT e CK como galáxias globais para evento MISP Opção para sincronizar as técnicas Now Platform SIR de incidente de segurança MITRE-ATT&CK™ como galáxias globais no evento MISP.
      Adicionar marcadores ao evento MISP Opção que permite adicionar marcadores de MISP aos eventos criados na ServiceNow. Esta opção exibe as seguintes opções:
      • Local (marcadores):os marcadores selecionados serão adicionados como marcadores locais ao evento de MISP.
      • Global (marcadores):os marcadores selecionados serão adicionados como marcadores globais ao evento de MISP.
    5. Clique em Criar novo evento MISP.

      O exemplo a seguir mostra que, ao criar um evento em MISP, você pode exibir os resultados no incidente de segurança. Você também pode exibir as anotações de trabalho, o evento na instância Now Platform e o evento no servidor MISP, conforme mostrado no exemplo a seguir.

      Figura 4. Criar manualmente um evento no MISP na Now Platform
      Crie manualmente um evento no MISP na Now Platform.
      Você pode exibir os resultados das seguintes maneiras:
      • Uma mensagem de sucesso aparece na parte superior da página do incidente de segurança. Você pode exibir os detalhes do evento na instância Now Platform e também como ele aparece no servidor MISP.
      • Nas anotações de trabalho, você pode exibir a mensagem de sucesso com mais detalhes. Você também pode exibir os detalhes do evento na instância Now Platform e como ele aparece no servidor MISP.
      • Na lista relacionada Eventos de MISP associados, você pode exibir o evento em relação ao incidente de segurança e aos recursos MISP.

    Adicionar atributos a um evento MISP

    Adicione atributos a um evento, como tipo, categoria e outras informações contextuais sobre o evento.

    Antes de Iniciar

    • Revise MISP função e permissões do usuário para usar os MISP recursos bidirecionais.
    • Verifique se o evento ao qual você está adicionando ou atualizando o atributo pertence à mesma organização que o usuário MISP.
    • Função necessária: sn_sec_misp.write

    Procedimento

    1. Navegar até Tudo > MISP > Eventos de MISP associados.
      Você também pode navegar até a lista relacionada ao Evento de MISP associado em qualquer incidente de segurança.
    2. Clique no evento MISP ao qual você deseja adicionar um atributo.
    3. Clique em Adicionar atributo ao evento de MISP.
    4. Na caixa de diálogo Adicionar atributo ao evento, preencha os detalhes.
      Tabela 2. Caixa de diálogo Adicionar atributo ao evento
      Campo Descrição
      Valor Valor real do atributo. Insira dados sobre o valor que se baseia no que é válido para o tipo de atributo escolhido. Por exemplo, para um atributo do tipo ip-src (endereço IP de origem), 11.11.11.11 é um valor válido.
      Nota:
      Você só pode selecionar atributos ou observáveis que compartilham contexto com o evento. Os observáveis ainda não podem ter um atributo em MISP.
      Categoria Categoria do atributo. A categoria descreve o aspecto do malware para este atributo. Um exemplo seriam os mecanismos de persistência do malware ou da atividade de rede.
      Tipo Tipo que explica a categoria. Por exemplo, se um invasor usar um endereço IP para um ataque, um endereço de e-mail de origem ou um arquivo enviado por meio de um anexo poderá descrever a entrega de carga de um malware. Esses tipos de atributos têm a categoria de entrega de carga.
      Distribuição Usuários que podem exibir este atributo. A distribuição é herdada por atributos. A configuração mais restritiva vence.
      Usar atributo como uma assinatura de IDS Observável marcado como mal-intencionado em SIR. O atributo correspondente em MISP também está marcado como verdadeiro.
      Comentários Comentários que você adiciona aos atributos.

      O exemplo a seguir mostra que, ao navegar na lista Eventos MISP associados, você pode exibir o registro de evento 5627 e adicionar atributos ao evento. Os atributos incluem o valor (testdomain.com), categoria como análise externa, tipo como domínio. Você também pode habilitar o IDS. A mensagem de sucesso no registro do evento mostra que o atributo foi adicionado ao evento, conforme mostrado no exemplo a seguir.

      Figura 5. Adicionar atributo a um evento de MISP
      Adicionar atributo a um evento de MISP.
    5. Clique em Adicionar atributo ao evento de MISP.

    Resultado

    Você pode exibir o atributo adicionado na seção Atributos.

    Adicionar marcadores a um evento MISP

    Adicione marcadores em Now Platform MISP para classificar eventos ou atributos. Você pode usar a marcação globalmente para habilitar sua classificação ou usar marcadores localmente quando não quiser que os eventos MISP sejam modificados durante a classificação.

    Antes de Iniciar

    • Revise MISP função e permissões do usuário para usar os MISP recursos bidirecionais.
    • Verifique se o evento que você está editando pertence à mesma organização que o usuário MISP.
    • Observe que os marcadores e galáxias disponíveis para você são baseados na origem MISP e em suas permissões de distribuição.
    • Função necessária: sn_sec_misp.write

    Procedimento

    1. Navegar até Tudo > Incidente de segurança > Mostrar todos os incidentes.
    2. Selecione o incidente de segurança que contém o evento ao qual você deseja adicionar marcadores.
    3. Clique em Mostrar todas as listas relacionadas e na lista relacionada de Resultados de aprimoramento do MISP.
    4. Clique no ID do evento na lista de resultados de aprimoramento.
      Você também pode navegar pelo MISP > Eventos de MISP associados módulo.
    5. Revise o registro de eventos de MISP.
      Tabela 3. Exibição do formulário de eventos de MISP
      Campo Descrição
      ID de Evento ID do evento atribuído por MISP quando o evento foi criado ou importado pela primeira vez para o servidor MISP.
      UUID ID que identifica exclusivamente eventos e atributos.
      Organização do criador Organização que criou o evento na instância MISP.
      Organização do proprietário Organização proprietária do evento na instância MISP. Este campo está visível somente para os administradores.
      Usuário do criador Usuário que criou o evento em MISP.
      Última Mudança Data em que o evento foi modificado pela última vez.
      Origem do MISP MISP origem em que o evento é criado.
      Data de criação (no MISP) Data em que o evento foi criado ou importado pela primeira vez no servidor MISP.
      Nível de ameaça Nível de risco do evento. Os incidentes podem ser categorizados em três categorias de ameaça diferentes (baixa, média e alta). Este campo pode ser deixado como indefinido. A seguir estão as opções:
      • Baixo: malware geral em massa
      • Médio: ameaças persistentes avançadas (APT)
      • Alto: APTs sofisticados e ataques de dia 0
      Análise Fase atual da análise do evento com as seguintes opções possíveis:
      • Inicial: a análise está apenas começando
      • Em andamento: a análise está em andamento
      • Concluído: a análise está concluída
      Distribuição Distribuição do atributo individual. Um atributo pode ter um nível de distribuição diferente do evento.
      Publicado Status que indica se o evento foi publicado ou não. A publicação permite que os atributos do evento sejam usados para todas as exportações qualificadas e notifique os usuários que assinaram os alertas de evento.
      Hiperlink de evento MISP Link para o evento MISP que está armazenado no servidor MISP.
      Informações Descrição resumida do evento.
      Marcadores (local) Marcadores que estão disponíveis na instância MISP da organização host para habilitar a marcação para sincronização e filtragem de exportação. MISP eventos não são modificados quando você usa marcadores locais. Os marcadores locais são sempre removidos antes de serem sincronizados com outras MISP instâncias e comunidades de compartilhamento.
      Marcadores (global) Marcadores que estão disponíveis globalmente para serem compartilhados e sincronizados com outras MISP instâncias e comunidades de compartilhamento. Ao adicionar marcadores globais a instâncias MISP, você pode modificar eventos.
      Galáxias (local) Galáxias que estão disponíveis na instância MISP da organização host para sincronização e filtragem de exportação. MISP eventos não são modificados quando você usa galáxias locais. Essas galáxias locais são sempre eliminadas antes de serem sincronizadas com outras MISP instâncias e comunidades de compartilhamento.
      Galáxias (global) Galáxias que estão disponíveis globalmente para serem compartilhadas e sincronizadas com outras MISP instâncias e comunidades de compartilhamento. Ao adicionar galáxias globais, MISP, você pode modificar eventos.
    6. Para editar um marcador local ou global, clique no ícone de edição ícone de edição. em uma das seguintes opções:
    • Marcadores (local)
    • Marcadores (global)
    1. Na caixa de diálogo Marcadores de evento do MISP, insira o nome do marcador para pesquisar e adicionar os marcadores.
    2. Clique em Atualizar marcadores para evento MISP.

      O exemplo a seguir mostra que, ao clicar no ícone de edição dos marcadores locais, você pode pesquisar e adicionar os marcadores C3, Adware, C2 e Botnet 3101 e atualizar o servidor MISP com os marcadores. A mensagem de confirmação mostra que todos os marcadores foram atualizados em MISP.

      Figura 6. Atualizando marcadores para evento MISP
      Atualizando marcadores para um evento de MISP.
    3. Clique em Recarregar formulário na mensagem de sucesso para exibir as mudanças no registro.

    Resultado

    Os marcadores foram atualizados com sucesso no servidor MISP.

    Atualizar galáxias para um evento ou atributo MISP

    Adicione ou remova galáxias em Now Platform MISP para que você possa classificar esses objetos como um cluster na instância MISP e anexá-los a eventos ou atributos MISP.

    Antes de Iniciar

    • Revise MISP função e permissões do usuário necessário para usar os MISP recursos bidirecionais.
    • Para adicionar galáxias locais, o usuário que configurou a integração deve pertencer à organização host do servidor MISP correspondente.
    • Os marcadores e galáxias disponíveis para você são baseados na origem MISP e em suas permissões de distribuição.
    • Função necessária: sn_sec_misp.write

    Procedimento

    1. Clique no ícone de edição Ícone de edição. em uma das seguintes opções.
    • Galáxias (local)
    • Galáxias (global)
    1. Na caixa de diálogo Galáxias de eventos do MISP, digite e pesquise para adicionar os marcadores.
    2. Clique em Atualizar galáxias para evento de MISP.

      O exemplo a seguir mostra como clicar no ícone de edição das galáxias locais, selecionar o namespace descontinuado, selecionar a galáxia Ataque empresarial - padrão de ataque e adicionar informações do cluster. Depois que as informações da galáxia forem atualizadas, você poderá exibir a mensagem de sucesso.

      Figura 7. Atualizar informações da galáxia para o evento MISP
      Atualizando informações da galáxia para o evento MISP.
      As galáxias foram atualizadas com sucesso no servidor MISP.
    3. Clique em Recarregar formulário na mensagem de sucesso para exibir as mudanças no registro.