Durch die Anreicherung von erkennbaren Elementen mit zusätzlichen Informationen aus verschiedenen MISP -Quellen während Untersuchungen zur Reaktion auf Incidents können Sie identifizierte Bedrohungen eindämmen.

Aktivieren Sie die automatische Ergänzung erkennbarer Elemente in MISP

Aktivieren Sie die automatische Ergänzung erkennbarer Elemente in Now Platform MISP, wenn dem Security Incident neue erkennbare Elemente zugeordnet werden.

Vorbereitungen

  • Aktivieren Sie die Systemeigenschaft Security Incident Response für die Option Aktiviert oder deaktiviert die geplante Aufgabe, Erkennbare Security Incident -Elemente suchen, um die Ergänzungsfunktion für erkennbare Elemente in SIRauszulösen.
  • Erforderliche Rolle: sn_si.analyst

Prozedur

  1. Navigieren zu Alle > Security Incident > Alle Incidents anzeigen.
  2. Wählen Sie den Security Incident aus, der die erkennbaren Elemente enthält, für die Sie die Daten zu erkennbaren Elementen in MISP anreichern möchten.
  3. Überprüfen Sie die Arbeitsnotizen, nachdem dem Security Incident neue erkennbare Elemente zugeordnet wurden.

    Das folgende Beispiel zeigt, dass eine Arbeitsnotiz veröffentlicht wird, wenn der Workflow „Security Operations Integration – Erkennbares Element anreichern“ ausgelöst wird.

    Zeigen Sie die Arbeitsnotizen des Status der Ergänzung erkennbarer Elemente an.
  4. Zeigen Sie in der zugehörigen Liste MISP Ergänzungsergebnisse des Security Incident die Ergänzungsergebnisse an, nachdem die Workflow-Ausführung abgeschlossen ist.
    Hinweis: Sie müssen so konfigurieren, dass die zugehörige Liste MISP Ergänzungsergebnisse in den zugehörigen Listen für Security Incidents angezeigt wird. Weitere Informationen finden Sie unter Konfiguration der zugehörigen Liste.
    Das folgende Beispiel zeigt die Ergänzungsergebnisse in MISP.
    Zeigen Sie die Ergänzungsergebnisse auf der Registerkarte MISP-Ergänzungsergebnisse an.
    Die folgende Tabelle zeigt die MISP-Ergänzungsergebnisse.
    Tabelle : 1. MISP-Anreicherungsergebnisse
    Feld Beschreibung
    Ereignis ID des Events. Klicken Sie auf „Öffnen“, um den Datensatz in der Instanz Now Platform anzuzeigen.
    Org Organisation, die das Event ursprünglich erstellt hat.
    Erkennbares Element Erkennbares Element, das dem Event zugeordnet ist.
    Kategorie Kategorie des Attributs.

    Zeigen Sie die Liste der Kategorien in der MISP-Dokumentationan.
    Typ Typ des Attributs.

    Zeigen Sie die Liste der Typen in der MISP-Dokumentationan.
    MISP-Tags Liste der Tags, die dem Attribut MISP zugeordnet sind.
    MISP-Galaxien Liste der Galaxien, die dem Attribut MISP zugeordnet sind.
    Anmerkung Kontextbezogener Kommentar zur weiteren Beschreibung des Attributs. Diese Kommentare werden nicht für die Korrelation verwendet und dienen nur der Information.
    IDS Kompromittierungsindikator, der es ermöglicht, ihn in alle berechtigten Exporte aufzunehmen.
    Verteilung Verteilung des Attributs nach der Veröffentlichung. Ein Attribut kann eine andere Verteilungsebene als das Event haben. In beiden Fällen wird die niedrigste Verteilungsebene verwendet.
    Hyperlink zum MISP-Ereignis Link zum Ereignis MISP, das auf dem Server MISP gespeichert ist.
    IntegrationsVendor Integrationsanbieter, der die Daten für die Anreicherung bereitstellt.
    Rohdaten Rohdaten, die dem Attribut MISP zugeordnet sind.

Führen Sie eine manuelle Ergänzung erkennbarer Elemente in durch MISP

Wählen Sie einzelne oder mehrere erkennbare Elemente aus, und führen Sie eine manuelle Ergänzung erkennbarer Elemente durch, damit Sie erkennbare Elemente mit zusätzlichen Informationen aus verschiedenen MISP Quellen anreichern können.

Vorbereitungen

Prozedur

  1. Navigieren zu Alle > Security Incident > Alle Incidents anzeigen.
  2. Wählen Sie den Security Incident aus, der die erkennbaren Elemente enthält, für die Sie die Ergänzung durchführen möchten.
  3. Klicken Sie auf Alle zugehörigen Listen anzeigen und die Registerkarte Zugeordnete erkennbare Elemente anzeigen.
  4. Wählen Sie das erkennbare Element aus, und klicken Sie im Menü Aktionen auf Anreicherung erkennbarer Elemente ausführen.
    Sie können mehrere erkennbare Elemente für eine Sichtungssuche auswählen.
    Das Dialogfeld „Anreicherung erkennbarer Elemente ausführen“ wird angezeigt.
  5. Wählen Sie eine Quelle MISP aus, und wählen Sie in der Spalte Ausgewählt eine Implementierung aus, um die ausgewählten erkennbaren Elemente anzureichern.
  6. Klicken Sie auf Absenden.
    Eine Arbeitsnotiz zeigt, dass der Workflow „Security Operations Integration – Erkennbares Element anreichern“ ausgelöst wurde. Die zugehörigen Implementierungs-Workflows werden ausgeführt, um die Ergänzung durchzuführen. Sie können die Arbeitsnotizen im Security Incident anzeigen, um den Status anzuzeigen.

    Das folgende Beispiel zeigt, wie die Arbeitsnotizen für eine manuelle Ergänzung erkennbarer Elemente angezeigt werden.

    Abbildung : 1. Arbeitsnotizen für die manuelle Ergänzung erkennbarer Elemente
    Zeigen Sie Arbeitsnotizen für die manuelle Ergänzung erkennbarer Elemente an.
    In der Ergänzungsnachricht wird das erstellte Event aufgelistet. Sie können das Event in der Instanz Now Platform oder MISP anzeigen und die Details des Datensatzes auf der Registerkarte MISP-Ergänzungsergebnisse anzeigen.

Fügen Sie Tags zu Attributen MISP hinzu, oder entfernen Sie sie

Fügen Sie Tags in MISP hinzu, oder entfernen Sie sie, um Events oder Attribute zu klassifizieren. Sie können Tagging global verwenden, um Ihre Klassifizierung zu aktivieren, oder Tags lokal verwenden, wenn MISP Events während der Klassifizierung nicht geändert werden sollen.

Vorbereitungen

  • Überprüfen Sie die MISP Benutzerrolle und Berechtigungen für die Verwendung der bidirektionalen Funktionen von MISP.
  • Vergewissern Sie sich, dass das Attribut, das Sie bearbeiten, zu derselben Organisation gehört wie der Benutzer MISP.
  • Beachten Sie, dass die Tags und Galaxien, die Ihnen zur Verfügung stehen, auf der Quelle MISP und ihren Verteilungsberechtigungen basieren.
  • Erforderliche Rolle: sn_sec_misp.write

Prozedur

  1. Navigieren zu Alle > Security Incident > Alle Incidents anzeigen.
  2. Wählen Sie den Security Incident aus, der die erkennbaren Elemente, Attribute oder Ereignisse enthält, für die Sie die Tags hinzufügen möchten.
  3. Klicken Sie auf Alle zugehörigen Listen anzeigen und die zugehörige Liste MISP-Ergänzungsergebnisse anzeigen.
  4. Klicken Sie auf das Vorschausymbol Vorschausymbol. neben einem Datensatz, und klicken Sie dann auf Datensatz öffnen.
    Das folgende Beispiel zeigt, wie Sie die MISP -Ergänzungsergebnisse überprüfen und einen MISP -Ergänzungsdatensatz öffnen.
    Abbildung : 2. MISP-Ergänzungsergebnisdatensatz
  5. Überprüfen Sie den MISP-Ergänzungsergebnisdatensatz.
    Tabelle : 2. MISP-Anreicherungsergebnis
    Feld Beschreibung
    Erkennbares Element
    Ereignis Event-ID, die vom Server MISP zugewiesen wurde, als das Event zuerst erstellt oder in MISPimportiert wurde.

    Zeigen Sie eine Vorschau des Events an, oder klicken Sie auf den Datensatz, um die Event-Daten auf der Seite MISP „ Event-Daten“ anzuzeigen.
    Org Organisation, die das Attribut MISP erstellt hat.
    Kategorie Kategorie des Attributs, das Sie dem spezifischen Event in MISPhinzufügen. Sie können eine Option auswählen, z. B. eine interne Referenz, Netzwerkaktivität, Finanzbetrug usw.
    Typ Typ des Attributs MISP.
    IntegrationsVendor Integrationsanbieter, der die Daten für die Ergänzung erkennbarer Elemente bereitstellt.
    Erstellungsdatum (in MISP) Datum, an dem das Event erstmals erstellt oder in MISPimportiert wurde.
    IDS Status, ob ein erkennbares Element in SIRals schädlich markiert ist. Das entsprechende Attribut in MISP wird ebenfalls als „true“ markiert.
    Verteilung Steuerelemente der Verteilungsoption, z. B. wer dieses Event anzeigen kann, nachdem es veröffentlicht wurde. Diese Option steuert auch, ob das Event mit anderen Servern synchronisiert wird. Die Verteilung wird von den Attributen geerbt, und die restriktivste Einstellung hat Vorrang. Die Verteilungsoptionen lauten wie folgt:
    • Nur Ihre Organisation: Ermöglicht nur Mitgliedern Ihrer Organisation, dieses Event anzuzeigen. Das Event kann von einem Ihrer Organisationsmitglieder in eine andere Instanz abgerufen werden, wo nur Ihre Organisation Zugriff hat, um es anzuzeigen. Events mit dieser Einstellung werden nicht synchronisiert.
    • Nur diese Community: Ermöglicht Benutzern, die Teil Ihrer MISP Community sind, das Event anzuzeigen, einschließlich Ihrer eigenen Organisation, Organisationen auf diesem MISP Server und Organisationen, die MISP Server ausführen, die mit diesem Server synchronisieren. Alle anderen Organisationen, die mit diesen verknüpften Servern verbunden sind, können das Event nicht anzeigen.
    • Verbundene Communities: Ermöglicht Benutzern, die Teil Ihrer Community MISP sind, das Event anzuzeigen, einschließlich aller Organisationen auf diesem Server MISP, aller Organisationen auf Servern MISP, die mit diesem Server synchronisiert werden, und der Hosting-Organisationen von Servern, die eine Verbindung zu einem beliebigen Server herstellen , also zwei Hops entfernt). Alle anderen Organisationen, die mit den verknüpften Servern verbunden sind, die zwei Hops entfernt sind, können das Event nicht anzeigen.
    • Alle Communitys: Gibt das Event für alle MISP Communities frei, wodurch das Event frei verfügbar ist.
    Hyperlink zum MISP-Ereignis Link zum Ereignis MISP, das auf dem Server MISP gespeichert ist.
    Rohdaten Rohdetails für den Datensatz der Ergänzung erkennbarer Elemente.
    Anmerkung Kommentare, die Sie für die Attribute hinzufügen. Diese Kommentare dienen nur zu Informationszwecken und werden nicht für die Korrelation verwendet.
    Tags (lokal) Tags, die in der Instanz MISP der Hostorganisation verfügbar sind, um Tagging für die Synchronisierung und Exportfilterung zu aktivieren. MISP Events werden nicht geändert, wenn Sie lokale Tags verwenden. Diese Tags werden immer entfernt, bevor sie mit anderen MISP -Instanzen und Freigabe-Communities synchronisiert werden.
    Tags (global) Tags, die global verfügbar sind, um mit anderen MISP Instanzen und Sharing-Communities geteilt und synchronisiert zu werden. Wenn Sie globale Tags zu MISP -Instanzen hinzufügen, ändern Sie Events.
    Galaxien (lokal) Galaxien, die in der Instanz MISP der Hostorganisation für Synchronisierung und Exportfilterung verfügbar sind. MISP Events werden nicht geändert, wenn Sie lokale Galaxien verwenden. Diese Galaxien werden immer entfernt, bevor sie mit anderen MISP Instanzen und Communitys synchronisiert werden.
    Galaxien (global) Galaxien, die global verfügbar sind, um mit anderen MISP Instanzen und Sharing-Communities geteilt und synchronisiert zu werden. Wenn Sie globale Galaxien hinzufügen, werden MISP Events geändert.
  6. Um ein lokales oder globales Tag zu bearbeiten, klicken Sie auf das Bearbeitungssymbol Bearbeitungssymbol. in einer der folgenden Optionen:
  • Tags (lokal)
  • Tags (global)
  1. Geben Sie im Dialogfeld „MISP-Attribut-Tags“ den Namen des zu suchenden und hinzuzufügenden Tags ein.
  2. Klicken Sie auf Tags für MISP-Attribut aktualisieren.

    Das folgende Beispiel zeigt, dass Sie durch Klicken auf das Bearbeitungssymbol für die lokalen Tags die Tags C3, Adware, C2 und Botnet 3101 suchen und hinzufügen und den MISP-Server mit den Tags aktualisieren können. Die Bestätigungsmeldung zeigt, dass alle Tags in MISPaktualisiert wurden.

    Die Tags werden auf dem Server MISP erfolgreich aktualisiert.
  3. Um die Änderungen im Datensatz anzuzeigen, klicken Sie in der Erfolgsmeldung auf Formular neu laden.

Fügen Sie einem MISP -Ereignis oder -Attribut Galaxien hinzu, oder entfernen Sie sie

Fügen Sie Galaxien in MISP hinzu, oder entfernen Sie sie, damit Sie diese Objekte als Cluster in MISP klassifizieren und an MISP Events oder Attribute anhängen können.

Vorbereitungen

  • Überprüfen Sie die MISP Benutzerrolle und Berechtigungen für die Verwendung der bidirektionalen Funktionen von MISP.
  • Um lokale Galaxien hinzuzufügen, muss der Benutzer, der die Integration konfiguriert hat, zur Hostorganisation des entsprechenden MISP -Servers gehören.
  • Beachten Sie, dass die Tags und Galaxien, die Ihnen zur Verfügung stehen, auf der Quelle MISP und ihren Verteilungsberechtigungen basieren.
  • Erforderliche Rolle: sn_sec_misp.write

Prozedur

  1. Klicken Sie auf das Bearbeitungssymbol Bearbeitungssymbol. in einer der folgenden Optionen.
  • Galaxien (lokal)
  • Galaxien (global)
  1. Füllen Sie im Dialogfeld „MISP-Event-Galaxien“ die Details aus.
    Tabelle : 3. Dialogfeld „MISP-Event-Galaxien“.
    Feld Beschreibung
    Event-ID Event-ID, die vom Server MISP zugewiesen wurde, als das Event zuerst erstellt oder in MISPimportiert wurde.
    Namespace Namespace, in dem die Galaxie gespeichert ist. Sie können Namespaces verwenden, um ähnliche Galaxien zu gruppieren.
    Galaxien Galaxie, in der Sie die Clusterinformationen speichern
    Cluster Informationen zu den Clustern in der Galaxie.
  2. Klicken Sie auf Galaxien für MISP-Attribut aktualisieren.
    Das folgende Beispiel zeigt, dass Sie durch Klicken auf das Bearbeitungssymbol für die lokalen Galaxien den veralteten Namespace und die Galaxie Enterprise Attack - Attack Pattern auswählen und die Clusterinformationen hinzufügen können. Nachdem die Galaxie-Informationen aktualisiert wurden, können Sie die Erfolgsmeldung anzeigen.

  3. Um die Änderungen im Datensatz anzuzeigen, klicken Sie in der Erfolgsmeldung auf Formular neu laden.

Ergebnisse

Die Galaxie-Informationen wurden erfolgreich auf dem Server MISP aktualisiert.

Fügen Sie dem Attribut MISP Kommentare hinzu

Fügen Sie Kommentare für die Attribute MISP hinzu. Die Kommentare, die Sie hinzufügen, dienen nur zu Informationszwecken und werden nicht für die Korrelation von MISP Daten verwendet.

Vorbereitungen

Prozedur

  1. Klicken Sie auf das Bearbeitungssymbol Bearbeitungssymbol. im Feld Kommentar.
  2. Geben Sie Ihren Kommentar in das Feld Attributkommentar ein.
  3. Klicken Sie auf Kommentar zu MISP-Attribut aktualisieren.
    Das folgende Beispiel zeigt, dass Sie durch Klicken auf das Bearbeitungssymbol neben dem Kommentarfeld einen Kommentar hinzufügen und dann das Attribut MISP aktualisieren können. Nachdem der Kommentar aktualisiert wurde, können Sie die Erfolgsmeldung anzeigen.

  4. Um die Änderungen im Datensatz anzuzeigen, klicken Sie in der Erfolgsmeldung auf Formular neu laden.

Ergebnisse

Der Kommentar wurde erfolgreich auf dem Server MISP aktualisiert.