Pesquisas de vista em MISP

  • Versão de lançamento: Washingtondc
  • Atualizado 1 de fev. de 2024
  • 8 min. de leitura

    • Você pode executar pesquisas de vista em observáveis na instância MISP para determinar com que frequência determinados tipos de ataques, como ataques de phishing ou comunicações com um IP ou URL mal-intencionado, ocorrem em sua rede. Cada ocorrência é considerada uma vista.

    Vistas em MISP

    As vistas indicam que um indicador, objeto ou atributo foi visto e sua validade foi confirmada. Vistas em MISP é um sistema que permite responder a atributos em um evento. Ele foi projetado para fornecer um método fácil para os usuários confirmarem que viram um determinado atributo, dando a ele mais confiabilidade. Você pode visualizar um atributo várias vezes.
    Nota:
    Os observáveis são conhecidos como atributos no MISP.

    Alguns atributos são considerados falsos positivos, o que significa que eles não são vistas válidas. Outros atributos são válidos apenas por uma determinada duração, como uma campanha de phishing que é executada por apenas uma semana. Você pode atribuir uma data de expiração aos atributos que são válidos por uma determinada duração, mas cada organização pode atribuir apenas uma data de expiração válida a um atributo.

    As vistas criadas em MISP por usuários de organizações marcadas como locais no servidor MISP correspondente são conhecidas como vistas internas. As vistas criadas em MISP por usuários de organizações marcadas como remotas no servidor MISP correspondente são conhecidas como vistas externas.

    Pesquisas de vista em SIR

    O fluxo de trabalho Security Operations Integration - Sightings Search executa a pesquisa de detecções. Este fluxo de trabalho aceita uma lista de observáveis, encontra todos os recursos de implementação, cria as consultas baseadas nas configurações de pesquisa de vista e executa as pesquisas baseadas no fluxo de trabalho configurado.

    As pesquisas de detecções ajudam os analistas a determinar a predominância de uma ameaça ao longo do tempo. Você pode selecionar observáveis individuais ou vários e o intervalo de datas para sua pesquisa de um incidente de segurança. Os resultados são incluídos nas listas relacionadas Detecçõesde incidentes de segurança , Resultadosda pesquisa de detecções e Detalhes da pesquisa de detecções.

    Ao começar a analisar um incidente, você pode configurar seu Now Platform para executar automaticamente uma pesquisa de vistas ou executar manualmente uma pesquisa de vistas observáveis para identificar outros usuários em sua organização que foram afetados pelo mesmo ataque de phishing.

    Habilitar pesquisas de vista automáticas no MISP

    Habilite a pesquisa de detecções em MISP para ser executada automaticamente para que o fluxo de trabalho Integração do Security Operations - Pesquisa de detecções seja acionado sempre que novos observáveis forem associados a um incidente de segurança.

    Antes de Iniciar

    Verifique se o Perfil de configuração de pesquisa de vistas para MISP está ativo.

    Função necessária: sn_si.analyst

    Por Que e Quando Desempenhar Esta Tarefa

    Se você habilitar a capacidade de pesquisa de vista seja executada automaticamente no MISP configuração de integração do, a pesquisa de vista em MISP é acionada quando novos observáveis são associados a um incidente de segurança. Por padrão, a opção Executar pesquisa de vista automaticamente quando novos observáveis são associados ao incidente de segurança está habilitada.

    Procedimento

    1. Navegar até Todos > Incidente de segurança > Mostrar Todos os Incidentes.
    2. Selecione o incidente de segurança que contém os observáveis que você deseja exibir nos dados de pesquisa de detecções MISP.
    3. Revise as anotações de trabalho depois que novos observáveis forem associados ao incidente de segurança.
      Uma anotação de trabalho é publicada quando o fluxo de trabalho Integração do Security Operations - Pesquisa de detecções é acionado.

      O exemplo a seguir mostra a seção de anotações de trabalho.

      Exiba as anotações de trabalho e verifique se o fluxo de trabalho Pesquisa de detecções foi acionado.
    4. Exiba as informações agregadas de observáveis que são vistos em todos os eventos (globais) e categorizados por suas vistas internas ou externas após a conclusão da execução do fluxo de trabalho.
      Exiba as informações nas listas relacionadas Vistas, Resultadosda pesquisa de vistas e Detalhes da pesquisa de vistas.O exemplo a seguir mostra o registro de pesquisa de vistas que foi criado na lista relacionada Vistas.
      Exiba o registro de Pesquisa de Vistas que foi criado na guia Vistas.
      Tabela 1. Registro de pesquisa de detecções
      Campo Descrição
      Criado em Data e hora em que o registro de pesquisa de vistas foi criado.
      Observável Observável que é pesquisado pela consulta.
      Contagem de vista Contagem de avistamentos internos e externos.
      Fonte Origem do observável. Se o observável for de uma organização MISP, o registro será precedido pelas palavras MISP.
      É local Status de se a vista foi relatada por um usuário interno.
      Link de pesquisa de vista Link de pesquisa de detecções na instância MISP.
      Resumo Tipo de vistas associadas ao registro. Os três tipos de Detecções são Detecção, Falso-positivo e Vencimento.

      A coluna Resumo aparece somente quando o MISP integration for Security Operations está instalado. Se outras fontes além de MISP forem exibidas, a entrada da coluna Resumo estará vazia para esse registro.

    Executar uma pesquisa de vista manual no MISP

    Selecione um ou vários observáveis e execute uma pesquisa de vista manual na aplicação Now Platform MISP integration for Security Operations para determinar a predominância de uma ameaça ao longo do tempo.

    Antes de Iniciar

    Procedimento

    1. Navegar até Todos > Incidente de segurança > Mostrar Todos os Incidentes.
    2. Selecione o incidente de segurança que contém os observáveis para os quais você deseja executar a pesquisa de detecções MISP.
    3. Clique em Mostrar todas as listas relacionadas e na guia Observáveis associados.
    4. Selecione o observável e, no menu Ações, clique em Executar pesquisa de detecções.
      Você pode selecionar vários observáveis para uma pesquisa de vista.
      A caixa de diálogo Executar pesquisa de vistas é aberta.
    5. Especifique o intervalo de datas para pesquisar os dados de pesquisa de detecções.
      Tabela 2. Caixa de diálogo Executar pesquisa de vistas
      Campo Descrição
      Último Número de horas ou dias anteriores à criação do incidente a ser pesquisado.

      O padrão é 7 dias. O limite é de 99 horas ou dias.
      entre Intervalo de datas para pesquisa. As datas padrão são as seguintes:
      • A data e a hora em que o incidente foi criado.
      • A data e a hora que são sete dias antes da abertura do incidente.
    6. Clique em Pesquisar.
      O exemplo a seguir mostra os resultados da pesquisa de vista manual nas anotações de trabalho.
      Resultados da pesquisa de vista manual nas anotações de trabalho.

    Resultado

    Um registro de pesquisa de detecções é criado. Depois que a execução do fluxo de trabalho for concluída, você poderá exibir as informações agregadas dos observáveis que são vistos em todos os eventos (globais) e categorizados por suas vistas internas ou externas. Os dados agregados e de avistamentos associados são exibidos no incidente de segurança nas listas relacionadas Avistamentos, Resultadosda pesquisa de avistamentos e Detalhes da pesquisa de detecções.

    Relatar vistas para MISP

    Relate avistamentos de dados de ameaças para que você possa reagir a falsos positivos em seus dados e aumentar sua conscientização quando ocorrer uma ameaça verdadeira. Você também pode adicionar uma data de expiração para um observável ou atributo específico.

    Antes de Iniciar

    Por Que e Quando Desempenhar Esta Tarefa

    O MISP integration for Security Operations permite que você relate avistamentos para MISP globalmente em todos os eventos. Para relatar um avistamento para um evento específico, você deve usar a instância MISP e relatar o avistamento localmente.

    Para relatar uma vista para MISP, o observável ou o atributo deve estar disponível na instância MISP.

    Procedimento

    1. Navegar até Todos > Incidente de segurança > Mostrar Todos os Incidentes.
    2. Selecione o incidente de segurança que contém os observáveis para os quais você deseja relatar as vistas para MISP.
    3. Clique em Mostrar todas as listas relacionadas e na lista relacionada de Vistas.
    4. Selecione o observável e, no menu Ações, selecione uma das opções a seguir.
      OpçãoDescrição
      MISP: relatar vista de observável Relate o observável como avistado para MISP. Se o observável estiver associado a vários eventos, ele será atualizado em todos os eventos.
      MISP: relatar observável como falso-positivo Relate o observável como um falso positivo para MISP.
      MISP: relatar observável como expirado Relate o observável como expirado para MISP.
      Se você selecionar observáveis que não sejam específicos de uma origem MISP, o menu Ações mostrará a contagem de origens MISP relevantes. O exemplo a seguir mostra quatro de oito observáveis relevantes para MISP.O exemplo a seguir mostra o menu de ações e os observáveis relevantes para envio.
      Figura 1. Menu Ações que mostra os observáveis relevantes para envio
      O menu Ações mostra os observáveis relevantes para o MISP.
    5. Opcional: Se você selecionou a opção MISP: Relatar vista observável, deverá preencher os campos da caixa de diálogo Relatar vista observável para MISP.
      Tabela 3. Caixa de diálogo Relatar vista observável para MISP
      Campo Descrição
      Fonte Campo de origem que corresponde à origem MISP da vista.
      Data Campo de data que corresponde à data em que o observável foi avistado. Se a data estiver vazia, a data e a hora atuais serão preenchidas em MISP.

      O exemplo a seguir mostra como navegar até a lista relacionada de Vistas no incidente de segurança. Nessa lista, você pode selecionar um observável e relatar a vista do observável para MISP. A mensagem de sucesso mostra que a vista foi enviada com sucesso para MISP.

      Figura 2. Relata avistamentos observáveis ao MISP
      Relata avistamentos observáveis ao MISP
      1. Clique em Relatar vista.
    6. Opcional: Se você selecionou a opção MISP: Relatar observável como falso positivo, preencha os campos da caixa de diálogo Relatar observável como falso positivo para MISP.
      Tabela 4. Caixa de diálogo Relatar observável como falso-positivo para MISP
      Campo Descrição
      Origem (opcional) Campo de origem que corresponde à origem MISP. Use este campo para declarar o observável como um falso positivo.
      Data Campo de data que corresponde à data em que o observável foi considerado um falso positivo. Se a data estiver vazia, a data e a hora atuais serão preenchidas em MISP.
      1. Clique em Relatar falso-positivo.
    7. Opcional: Se você selecionou a opção MISP: Relatar observável como expirado, deverá preencher os campos da caixa de diálogo Relatar expiração do observável para MISP.
      Tabela 5. Caixa de diálogo Relatar expiração do observável ao MISP
      Campo Descrição
      Fonte Campo de origem que corresponde à origem MISP. Use este campo para definir um observável como expirado.
      Data Campo de data que corresponde à data em que o observável expirou. Se a data estiver vazia, a data e a hora atuais serão preenchidas em MISP.
      1. Clique em Relatar expiração.

    Resultado

    As vistas foram atualizadas com sucesso para o servidor MISP.