Ergänzung erkennbarer Elemente in MISP

  • Freigeben Version: Australia
  • Aktualisiert 12. März 2026
  • 9 Minuten Lesedauer

    • Durch Anreicherung erkennbarer Elemente mit zusätzlichen Informationen aus verschiedenen MISP Quellen während Untersuchungen zur Reaktion auf Incidents können Sie identifizierte Bedrohungen eindämmen.

    Aktivieren Sie die automatische Anreicherung erkennbarer Elemente in MISP

    Aktivieren Sie die automatische Anreicherung erkennbarer Elemente in ServiceNow AI Platform MISP Wenn dem Security Incident neue erkennbare Elemente zugeordnet sind.

    Vorbereitungen

    • Aktivieren Sie Security Incident Response Systemeigenschaft für Aktiviert oder deaktiviert die geplante Aufgabe „erkennbare Elemente für Security Incidents suchen“ Option zum Auslösen der Ergänzungsfähigkeit erkennbarer Elemente in SIR.
    • Erforderliche Rolle: sn_si.Analyst

    Prozedur

    1. Navigieren zu Alle > Security Incident > Alle Incidents anzeigenan.
    2. Wählen Sie den Security Incident aus, der die erkennbaren Elemente enthält, in denen Sie die Daten erkennbarer Elemente anreichern möchten MISP Für.
    3. Überprüfen Sie die Arbeitsnotizen, nachdem dem Security Incident neue erkennbare Elemente zugeordnet wurden.

      Das folgende Beispiel zeigt, dass eine Arbeitsnotiz veröffentlicht, wenn Integration von Sicherheitsvorgängen: Flow für erkennbare Elemente anreichern Auslöser.

      Zeigen Sie die Arbeitsnotizen des Anreicherungsstatus erkennbarer Elemente an.

    4. In MISP Zugehörige Liste der Ergänzungsergebnisse des Security Incidents. Zeigen Sie die Ergänzungsergebnisse an, nachdem die Flow-Ausführung abgeschlossen ist.
      Zeigen Sie die Arbeitsnotizen des Anreicherungsstatus erkennbarer Elemente an, nachdem die Ausführung abgeschlossen ist.
      Hinweis:
      Sie müssen dies konfigurieren MISP Die zugehörige Liste „Ergänzungsergebnisse“ wird in den zugehörigen Listen für Security Incidents angezeigt. Weitere Informationen finden Sie unter Konfiguration der zugehörigen Liste .
      Das folgende Beispiel zeigt die Ergänzungsergebnisse in MISP.
      Zeigen Sie die Ergänzungsergebnisse auf der Registerkarte „MISP-Anreicherungsergebnisse“ an.
      Die folgende Tabelle zeigt die MISP-Ergänzungsergebnisse.
      Tabelle : 1. MISP-Datenanreicherungs-Ergebnisse
      Feld Beschreibung
      Ereignis ID des Ereignisses. Klicken Sie auf „Öffnen“, um den Datensatz in anzuzeigen ServiceNow AI Platform Instanz.
      Org Organisation, die das Ereignis ursprünglich erstellt hat.
      Erkennbares Element Erkennbares Element, das dem Ereignis zugeordnet ist.
      Kategorie Kategorie des Attributs.

      Zeigen Sie die Liste der Kategorien in an MISP-Dokumentation .
      Typ Typ des Attributs.

      Zeigen Sie die Liste der Typen in an MISP-Dokumentation .
      MISP-Tags Liste der Tags, die mit verknüpft sind MISP Attribut.
      MISP-Galaxien Liste der Galaxien, die mit verknüpft sind MISP Attribut.
      Kommentar Kontextbezogener Kommentar zur weiteren Beschreibung des Attributs. Diese Kommentare werden nicht für Korrelationen verwendet und sind rein informativ.
      IDS Kompromittierungsindikator, der es ermöglicht, in alle berechtigten Exporte aufzunehmen.
      Verteilung Verteilung des Attributs nach der Veröffentlichung. Ein Attribut kann eine andere Verteilungsebene als das Ereignis haben. In beiden Fällen wird die niedrigste Verteilungsebene verwendet.
      Hyperlink zum MISP-Ereignis Link zu MISP Ereignis, das auf gespeichert ist MISP Server.
      IntegrationsVendor Integrationslieferant, der die Daten zur Ergänzung bereitstellt.
      Rohdaten Rohdaten, die mit verknüpft sind MISP Attribut.

    Führen Sie eine manuelle Ergänzung erkennbarer Elemente in durch MISP

    Wählen Sie einzelne oder mehrere erkennbare Elemente aus, und führen Sie eine manuelle Ergänzung erkennbarer Elemente durch, damit Sie erkennbare Elemente mit zusätzlichen Informationen aus verschiedenen ergänzen können MISP Quellen.

    Vorbereitungen

    Prozedur

    1. Navigieren zu Alle > Security Incident > Alle Incidents anzeigenan.
    2. Wählen Sie den Security Incident aus, der die erkennbaren Elemente enthält, für die Sie die Ergänzung durchführen möchten.
    3. Klicken Sie Auf Alle Zugehörigen Listen Anzeigen Und Zugeordnete Erkennbare Elemente Registerkarte.
    4. Wählen Sie das erkennbare Element aus, und klicken Sie im Menü „Aktionen“ auf Führen Sie Eine Anreicherung Erkennbarer Elemente Aus .
      Sie können mehrere erkennbare Elemente für eine Sichtungssuche auswählen.
      Das Dialogfeld Anreicherung erkennbarer Elemente ausführen wird angezeigt.
    5. Wählen Sie ein aus MISP Quelle und wählen Sie in der Spalte ausgewählt eine Implementierung aus, um die ausgewählten erkennbaren Elemente anzureichern.
    6. Klicken Sie auf Absenden.
      Eine Arbeitsnotiz zeigt, dass Integration von Sicherheitsvorgängen: Bereichern Sie den Workflow für erkennbare Elemente Wurde ausgelöst. Die zugehörigen Implementierungs-Workflows werden ausgeführt, um die Ergänzung durchzuführen. Sie können die Arbeitsnotizen im Security Incident anzeigen, um den Status anzuzeigen.

      Das folgende Beispiel zeigt, wie die Arbeitsnotizen für eine manuelle Ergänzung erkennbarer Elemente angezeigt werden.

      Abbildung : 1. Arbeitsnotizen für die manuelle Ergänzung erkennbarer Elemente
      Zeigen Sie Arbeitsnotizen für die manuelle Ergänzung erkennbarer Elemente an.
      Die Ergänzungsnachricht listet das erstellte Ereignis auf. Sie können das Ereignis in anzeigen ServiceNow AI Platform Oder in MISP Instanz und zeigen Sie die Details des Datensatzes auf der Registerkarte „MISP-Anreicherungsergebnisse“ an.

    Fügen Sie Tags hinzu, oder entfernen Sie sie MISP Attribute

    Fügen Sie Tags in hinzu, oder entfernen Sie sie MISP Zum Klassifizieren von Ereignissen oder Attributen. Sie können Global Tagging verwenden, um Ihre Klassifizierung zu aktivieren, oder Tags lokal verwenden, wenn Sie dies nicht möchten MISP Ereignisse, die während Ihrer Klassifizierung geändert werden sollen.

    Vorbereitungen

    • Überprüfung des folgenden Elements: MISP Anwenderrolle und -Berechtigungen Zur Verwendung von MISP bidirektionale Funktionen.
    • Stellen Sie sicher, dass das Attribut, das Sie bearbeiten, zur gleichen Organisation wie gehört MISP Anwender.
    • Beachten Sie, dass die Tags und Galaxien, die Ihnen zur Verfügung stehen, auf basieren MISP Quelle und ihre Verteilungsberechtigungen.
    • Erforderliche Rolle: sn_sec_misp.write

    Prozedur

    1. Navigieren zu Alle > Security Incident > Alle Incidents anzeigenan.
    2. Wählen Sie den Security Incident aus, der die erkennbaren Elemente, Attribute oder Ereignisse enthält, für die Sie die Tags hinzufügen möchten.
    3. Klicken Sie Auf Alle Zugehörigen Listen Anzeigen Und die zugehörige Liste „MISP-Anreicherungsergebnisse“.
    4. Klicken Sie auf das Vorschausymbol Vorschausymbol.Neben einem Datensatz, und klicken Sie dann auf Datensatz Öffnen .
      Das folgende Beispiel zeigt, wie überprüft wird MISP-Anreicherungsergebnisse Und wie geöffnet wird MISP Ergänzungsdatensatz.
      Abbildung : 2. MISP-Anreicherungsergebnisdatensatz
    5. Überprüfen Sie den MISP-Anreicherungsergebnisdatensatz.
      Tabelle : 2. MISP-Anreicherungsergebnis
      Feld Beschreibung
      Erkennbares Element
      Ereignis Ereignis-ID, die von zugewiesen wird MISP Server, als das Ereignis zuerst erstellt oder in importiert wurde MISP.

      Zeigen Sie eine Vorschau des Ereignisses an, oder klicken Sie auf den Datensatz, um die Ereignisdaten in anzuzeigen MISP Ereignisdatenseite.
      Org Organisation, die erstellt hat MISP Attribut.
      Kategorie Kategorie des Attributs, das Sie dem bestimmten Ereignis in hinzufügen MISP. Sie können eine Option auswählen, z. B. eine interne Referenz, Netzwerkaktivität, Finanzbetrug usw.
      Typ Typ von MISP Attribut.
      IntegrationsVendor Integrationslieferant, der die Daten für die Ergänzung erkennbarer Elemente bereitstellt.
      Erstellungsdatum (in MISP) Datum, an dem das Ereignis zuerst erstellt oder in importiert wurde MISP.
      IDS Status, der angibt, ob ein erkennbares Element in als schädlich markiert ist SIR. Das entsprechende Attribut in MISP Ist auch als „wahr“ markiert.
      Verteilung Verteilungsoptionen-Steuerungen, z. B. wer dieses Ereignis nach der Veröffentlichung anzeigen kann. Diese Option steuert auch, ob das Ereignis mit anderen Servern synchronisiert wird. Die Verteilung wird von den Attributen geerbt, und die restriktivste Einstellung gewinnt. Die Verteilungsoptionen lauten wie folgt:
      • Nur Ihre Organisation: Ermöglicht nur Mitgliedern Ihrer Organisation, dieses Ereignis anzuzeigen. Das Ereignis kann von einem Ihrer Organisationsmitglieder in eine andere Instanz abgerufen werden, über die nur Ihre Organisation Zugriff zum Anzeigen hat. Ereignisse mit dieser Einstellung werden nicht synchronisiert.
      • Nur diese Community: Aktiviert Anwender, die Teil von sind MISP community, um das Ereignis anzuzeigen, einschließlich Ihrer eigenen Organisation und Organisationen MISP Server und Organisationen, die ausgeführt werden MISP Server, die mit diesem Server synchronisiert werden. Alle anderen Organisationen, die mit diesen verknüpften Servern verbunden sind, dürfen das Ereignis nicht anzeigen.
      • Verbundene Communities: Ermöglicht Anwender, die Teil von sind MISP community zum Anzeigen des Ereignisses, einschließlich aller Organisationen in diesem MISP Server, alle Organisationen auf MISP Server, die mit diesem Server synchronisiert werden, und die Hosting-Organisationen von Servern, die eine Verbindung zu einem Server herstellen, der zwei Hops entfernt ist. Alle anderen Organisationen, die mit den verknüpften Servern verbunden sind, die zwei Hops entfernt sind, können das Ereignis nicht anzeigen.
      • Alle Communities: Teilt das Ereignis mit allen MISP communities, die es ermöglichen, das Ereignis frei verfügbar zu machen.
      Hyperlink zum MISP-Ereignis Link zu MISP Ereignis, das auf gespeichert ist MISP Server.
      Rohdaten Rohdetails für den Ergänzungsdatensatz für erkennbare Elemente.
      Kommentar Kommentare, die Sie für die Attribute hinzufügen. Diese Kommentare dienen nur zu Informationszwecken und werden nicht für Korrelationen verwendet.
      Tags (lokal) Tags, die in den der Host-Organisation verfügbar sind MISP Instanz zum Aktivieren von Tagging für Synchronisierung und Exportfilterung. MISP Ereignisse werden nicht geändert, wenn Sie lokale Tags verwenden. Diese Tags werden immer entfernt, bevor sie mit anderen synchronisiert werden MISP Instanzen und freigegebene Communities.
      Tags (global) Tags, die global zur Freigabe und Synchronisierung mit anderen verfügbar sind MISP Instanzen und freigegebene Communities. Wenn Sie globale Tags zu hinzufügen MISP Instanzen ändern Sie Ereignisse.
      Galaxien (lokal) Galaxien, die in den der Host-Organisation verfügbar sind MISP Instanz für Synchronisierung und Exportfilterung. MISP Ereignisse werden nicht geändert, wenn Sie lokale Galaxien verwenden. Diese Galaxien werden immer entfernt, bevor sie mit anderen synchronisiert werden MISP Instanzen und freigegebene Communities.
      Galaxien (global) Galaxien, die global verfügbar sind, um mit anderen geteilt und synchronisiert zu werden MISP Instanzen und freigegebene Communities. Wenn Sie globale Galaxien hinzufügen, MISP Ereignisse werden geändert.
    6. Klicken Sie auf das Bearbeitungssymbol, um entweder ein lokales oder ein globales Tag zu bearbeiten Symbol „Bearbeiten“.In einer der folgenden Optionen:
    • Tags (lokal)
    • Tags (global)
    1. Geben Sie im Dialogfeld „MISP-Attribut-Tags“ den Namen des Tags ein, nach dem gesucht und hinzugefügt werden soll.
    2. Klicken Sie Auf Aktualisieren Sie Tags auf MISP-Attribut .

      Das folgende Beispiel zeigt, dass Sie durch Klicken auf das Bearbeitungssymbol für die lokalen Tags die Tags C3, Adware, C2 und Botnet 3101 suchen und hinzufügen und den MISP-Server mit den Tags aktualisieren können. Die Bestätigungsnachricht zeigt an, dass alle Tags in aktualisiert wurden MISP.

      Die Tags wurden erfolgreich in aktualisiert MISP Server.
    3. Um die Änderungen im Datensatz anzuzeigen, klicken Sie auf Formular Neu Laden In der Erfolgsmeldung.

    Fügen Sie Galaxien zu hinzu, oder entfernen Sie sie MISP Ereignis oder Attribut

    Fügen Sie Galaxien in hinzu, oder entfernen Sie sie MISP Damit Sie diese Objekte in als Cluster klassifizieren können MISP Und hängen Sie sie an an MISP Ereignisse oder Attribute.

    Vorbereitungen

    • Überprüfung des folgenden Elements: MISP Anwenderrolle und -Berechtigungen Zur Verwendung von MISP bidirektionale Funktionen.
    • Zum Hinzufügen lokaler Galaxien muss der Anwender, der die Integration konfiguriert hat, zur Host-Organisation des entsprechenden gehören MISP Server.
    • Beachten Sie, dass die Tags und Galaxien, die Ihnen zur Verfügung stehen, auf basieren MISP Quelle und ihre Verteilungsberechtigungen.
    • Erforderliche Rolle: sn_sec_misp.write

    Prozedur

    1. Klicken Sie auf das Bearbeitungssymbol Symbol „Bearbeiten“.In einer der folgenden Optionen.
    • Galaxien (lokal)
    • Galaxien (global)
    1. Geben Sie im Dialogfeld MISP-Ereignisgalaxien die Details ein.
      Tabelle : 3. Dialogfeld „MISP-Ereignisgalaxien“
      Feld Beschreibung
      Ereignis-ID Ereignis-ID, die von zugewiesen wird MISP Server, als das Ereignis zuerst erstellt oder in importiert wurde MISP.
      Namespace Namespace, in dem die Galaxie gespeichert ist. Sie können Namespaces verwenden, um ähnliche Galaxien zu gruppieren.
      Galaxien Galaxie, in der Sie die Clusterinformationen speichern.
      Cluster Informationen zu den Clustern in der Galaxie.
    2. Klicken Sie Auf Aktualisieren Sie Galaxien auf MISP-Attribut .
      Das folgende Beispiel zeigt, dass Sie durch Klicken auf das Bearbeitungssymbol für die lokalen Galaxien den veralteten Namespace auswählen, die Galaxie Enterprise Attack – Angriffsmuster auswählen und die Clusterinformationen hinzufügen können. Nachdem die Galaxie-Informationen aktualisiert wurden, können Sie die Erfolgsmeldung anzeigen.

    3. Um die Änderungen im Datensatz anzuzeigen, klicken Sie auf Formular Neu Laden In der Erfolgsmeldung.

    Ergebnisse

    Die Galaxieinformationen wurden erfolgreich in aktualisiert MISP Server.

    Fügen Sie Kommentare zu hinzu MISP Attribut

    Fügen Sie Kommentare für hinzu MISP Attribute. Die von Ihnen hinzugefügten Kommentare dienen nur zu Informationszwecken und werden nicht für die Korrelation von verwendet MISP Daten.

    Vorbereitungen

    Prozedur

    1. Klicken Sie auf das Bearbeitungssymbol Symbol „Bearbeiten“.Im Feld Kommentar.
    2. Geben Sie Ihren Kommentar in das Feld Attributkommentar ein.
    3. Klicken Sie Auf Aktualisieren Sie den Kommentar auf das MISP-Attribut .
      Das folgende Beispiel zeigt, dass Sie durch Klicken auf das Bearbeitungssymbol neben dem Kommentarfeld einen Kommentar hinzufügen und dann aktualisieren können MISP Attribut. Nachdem der Kommentar aktualisiert wurde, können Sie die Erfolgsmeldung anzeigen.

    4. Um die Änderungen im Datensatz anzuzeigen, klicken Sie auf Formular Neu Laden In der Erfolgsmeldung.

    Ergebnisse

    Der Kommentar wurde erfolgreich in aktualisiert MISP Server.