Configurer la façon dont un événement automatique est créé
Configurer le Now Platform pour créer automatiquement des événements dans MISP.
Avant de commencer
- Examiner le MISP Rôle d’utilisateur et autorisations qui sont requises pour utiliser les fonctionnalités bidirectionnelles MISP .
- Rôle requis : sn_si.admin, sn_ti.admin
Procédure
Configurer les conditions de déclenchement d’événement
Configurez les conditions de déclenchement d’événement dans afin de Now Platform pouvoir déclencher automatiquement un événement lorsque MISP les conditions sont remplies.
Avant de commencer
Rôle requis : sn_sec_misp.write
Procédure
-
Dans le formulaire Conditions de déclenchement, renseignez les détails qui peuvent déclencher un événement.
Vous pouvez créer une logique de composé en fournissant les conditions de déclenchement basées sur les champs d’incident de sécurité ou les champs observables. Vous pouvez également créer des événements dans MISP si les observables n’ont pas d’événement correspondant dans MISP. Vous pouvez choisir de créer une logique de composé à l’aide d’une combinaison des trois conditions de déclenchement : Déclencher en fonction des champs d’incident de sécurité, Déclencher en fonction des champs observables et Créer un événement MISP, si un observable n’a pas d’événements correspondants dans MISP. Si vous sélectionnez plusieurs déclencheurs, vous pouvez les joindre à l’aide de la condition ET. Envisagez de créer un profil avec de nouvelles conditions si vous devez utiliser la condition OU.
Tableau 2. Formulaire Conditions de déclenchement d’événement Champ Description Déclencher en fonction des champs d'incident de sécurité MISP Événement que vous pouvez créer si toutes les conditions de déclenchement de l’incident de sécurité sont remplies. Conditions de déclenchement des incidents de sécurité Filtres de la première ligne que vous pouvez définir à l’aide des listes et des champs du générateur de conditions. Pour ajouter d’autres conditions, cliquez sur ET ou OU. Si ET est sélectionné, toutes les conditions doivent être mises en correspondance. Si OU est sélectionné, l’une ou l’autre des conditions peut être mise en correspondance. Pour définir une deuxième condition de filtre, cliquez sur Nouveau critère.
Déclencher en fonction des champs observables MISP Événement que vous pouvez créer si toutes les conditions de déclenchement de l’observable sont remplies. Conditions de déclenchement des observables Filtres de la première ligne que vous pouvez définir à l’aide des listes et des champs du générateur de conditions. Pour ajouter d’autres conditions, cliquez sur ET ou OU. Si ET est sélectionné, toutes les conditions doivent être mises en correspondance. Si OU est sélectionné, l’une ou l’autre des conditions peut être mise en correspondance. Pour définir une deuxième condition de filtre, cliquez sur Nouveau critère.
Créer un événement MISP en l'absence d'événements correspondants pour l'observable dans MISP MISP Événement que vous pouvez créer si un observable n’a pas d’événements correspondants dans MISP. Figure 1. Conditions de déclenchement de l’événement L’exemple suivant montre les conditions de déclenchement d’événement lorsque vous configurez le profil de création d’événement MISP .
Mapper les champs d’événement MISP
Mappez les MISP champs d’événement afin que les informations sur les incidents de sécurité soient disponibles lors de la Now PlatformMISP création d’événements.
Avant de commencer
Rôle requis : sn_sec_misp.write
Procédure
-
Renseignez les champs du formulaire.
Tableau 3. Formulaire par défaut du mappage de champs d’événements MISP Champ Description Informations sur l'événement Informations sur l’événement qui sont automatiquement créées à partir du Now Platform Réponse aux incidents de sécurité. Le champ Informations sur l’événement prend en charge les variables de substitution à l’aide de ${SIR FIELD LABEL}$. Lors de la création d’un événement, ces variables sont remplacées par les valeurs réelles des champs Incident de sécurité. La variable de substitution ${URL}$ est remplacée par l’URL de l’incident de sécurité.
Distribution Option qui contrôle qui peut afficher cet événement après la publication de l’événement. Cette option contrôle également si l’événement est synchronisé avec d’autres serveurs. La distribution est héritée par les attributs, et le paramètre le plus restrictif l’emporte. Les options de distribution sont les suivantes : - Votre organisation uniquement : autorise uniquement les membres de votre organisation à afficher cet événement. L’événement peut être transféré vers une autre instance par l’un des membres de votre organisation, où seule votre organisation peut avoir accès pour l’afficher. Les événements avec ce paramètre ne sont pas synchronisés.
- Cette communauté uniquement : permet aux utilisateurs qui font partie de votre MISP communauté d’afficher l’événement, y compris votre propre organisation, les organisations sur ce MISP serveur et les organisations qui exécutent MISP des serveurs qui se synchronisent avec ce serveur. Toute autre organisation qui se connecte à vos serveurs liés ne peut pas voir l’événement.
- Communautés connectées : permet aux utilisateurs qui font partie de votre MISP communauté d’afficher l’événement, y compris toutes les organisations sur ce MISP serveur, toutes les organisations sur les MISP serveurs qui se synchronisent avec ce serveur et les organisations d’hébergement des serveurs qui se connectent à n’importe quel serveur situé à deux sauts de distance. Toutes les autres organisations connectées aux serveurs liés qui se trouvent à deux sauts de distance ne peuvent pas voir l’événement.
- Toutes les communautés : partage l’événement avec toutes les MISP communautés.
Niveau de menace Champ qui indique le niveau de risque de l’événement. Vous pouvez classer les incidents en trois catégories de menaces différentes (faible, moyenne, élevée). Ce champ peut également être laissé non défini. Les options sont les suivantes : - Faible : logiciel malveillant de masse général
- Moyen : menaces persistantes avancées (APT)
- Élevée : APT sophistiquées et attaques sur 0 jour
État de l'analyse Étape actuelle de l’analyse de l’événement, avec les options possibles suivantes : - Initial : l’analyse ne fait que commencer
- En cours : l’analyse est en cours
- Terminé : l’analyse est terminée
L’exemple suivant montre le formulaire que vous pouvez utiliser pour créer un événement dans MISP.Figure 2. Mappage de champ d'événement MISP par défaut
Mapper ou associer des SIR observables en tant qu’attributs à MISP des événements
Mappez les types d’observables Réponse aux incidents de sécurité aux types d’attributs MISP , car les types d’attributs MISP et les SIR observables peuvent être différents.
Avant de commencer
Rôle requis : sn_sec_misp.write
Pourquoi et quand exécuter cette tâche
fournit MISP integration for Security Operations un mappage du système de base que vous utilisez lorsque vous ajoutez SIR des observables en tant qu’attributs à un MISP événement.
Vous pouvez choisir de modifier le mappage du système de base en fonction de votre environnement. Par exemple, vous pouvez mapper plusieurs SIR observables à un seul type d’attribut MISP . Si des types d’observables ne sont pas mappés, l’autre MISP type d’attribut est sélectionné par défaut.
Procédure
-
Mappez les types d’observables Réponse aux incidents de sécurité aux types d’attributs MISP , comme décrit dans la table suivante.
Tableau 4. Correspondance entre les observables du SIR et les types d'attributs du MISP Champ Description Ajouter tous les observables associés en tant qu'attributs Option permettant d’ajouter des observables disponibles dans un incident de sécurité à un MISP événement en tant qu’attributs. Cette option active le mappage dans la section Mappage du type d’observable au type d’attribut.
Mappage type observable à type d’attribut Option permettant de mapper les types d’observables SIR aux types d’attributs MISP . Par exemple, vous pouvez mapper le numéro CVE à SIR l’attribut de vulnérabilité dans MISP. Vous pouvez ajouter un type d’observable SIR à un seul type d’attribut MISP .
Le système de base fournit un mappage des types d’observables aux types d’attributs SIRMISP .
Si des types d’observables SIR ne sont pas mappés à un type d’attribut MISP , l’observable est mappé à l’autre type d’attribut dans MISP.
Pour ajouter un nouveau mappage, cliquez sur Ajouter un type d’observable, recherchez le type d’observable SIR , puis mappez-le au type d’attribut correspondant MISP .
Cliquez sur l’icône Supprimer le
pour supprimer l’association de mappage d’attribut SIR et MISP .Remarque :Pour plus d’informations sur MISP les types d’attributs, consultez la documentation MISP.Filtrer les éléments observables en fonction des balises de sécurité Option permettant de filtrer les observables en fonction des balises de sécurité sélectionnées. Balises de sécurité : ajoutez des balises pour filtrer les observables. Par exemple, si vous ajoutez une balise appelée « Block from sharing » ou « TLP : White », si l’un des observables a l’une de ces balises associée, ces observables ne seront pas ajoutés en tant qu’attribut à l’événement MISP lors de la création de l’événement MISP.
Définir le marqueur IDS d'attribut lorsque le résultat observable est malveillant Option qui vous permet de savoir que si un observable est marqué comme malveillant dans SIR, le marqueur IDS est activé pour l’attribut MISP correspondant. Si le marqueur IDS n’est pas défini, l’attribut est considéré comme une information contextuelle et n’est pas utilisé pour la détection automatique des intrusions. L’exemple suivant montre comment naviguer vers la page d’options supplémentaires. Sur cette page, vous pouvez activer le mappage des observables SIR et des types d’attributs MISP, ajouter de nouveaux SIR types d’observables, tels que le réseau IPV6 et le réseau IPV4, et le mapper à l’adresse IP du domaine de type d’attribut MISP .
Figure 3. Mappage des SIR observables et MISP des types d’attributs
Synchroniser les informations avec les MITRE-ATT&CKMISP événements
Synchronisez les informations avec MISP les MITRE-ATT&CK attributs pour une meilleure analyse des incidents de sécurité et des menaces.
Avant de commencer
Rôle requis : sn_sec_misp.write
Procédure
| Champ | Description |
|---|---|
| Synchroniser les techniques d’incident MITRE-ATT&CK™ de sécurité en tant que galaxies locales à l’événement MISP | Option permettant de synchroniser les techniques d’incident Now Platform SIRMITRE-ATT&CK™ de sécurité en tant que galaxies locales dans l’événement MISP . Remarque : Pour ajouter des galaxies locales, l’utilisateur qui a configuré l’intégration doit appartenir à l’organisation hôte du serveur correspondant MISP . |
| Synchroniser les techniques d’incident MITRE-ATT&CK™ de sécurité en tant que galaxies globales à l’événement MISP | Option permettant de synchroniser les techniques d’incident Now Platform SIRMITRE-ATT&CK™ de sécurité en tant que galaxies globales dans l’événement MISP . |
Résultats
Ajouter des balises MISP aux événements
Ajoutez des balises MISP aux événements MISP créés.
Avant de commencer
Rôle requis : sn_sec_misp.write