Configure como um evento automático é criado

  • Versão de lançamento: Australia
  • Atualizado 12 de mar. de 2026
  • 9 min. de leitura

    • Configure o. ServiceNow AI Platform para criar eventos automaticamente em MISP.

    Antes de Iniciar

    Procedimento

    1. Navegar até Tudo > Integração MISP > Perfis automáticos de criação de evento.
    2. Clique em Nova.
    3. No formulário, preencha os campos.
      Tabela 1. Nome do formulário
      Campo Descrição
      Nome Nome do perfil de criação automática de eventos.
      Descrição Descrição resumida sobre o perfil. Uma descrição mais detalhada é compartilhada por meio dos atributos na próxima fase da criação do evento.
      Ordem Ordem do perfil quando as condições de acionamento são atendidas. O padrão é 100. Deixe esta configuração como padrão.

      Se você criar vários perfis, este valor fornecerá uma prioridade de execução em tempo de execução quando dois ou mais perfis compartilharem condições de acionamento. O perfil com o número mais baixo tem a prioridade mais alta.
      Origem MISP origem da criação do evento.
      Ativo Opção que indica se o perfil está ativo ou inativo. A opção é desmarcada por padrão para indicar que o perfil está desativado.

      Este perfil não estará ativo até que você conclua todas as etapas de configuração do perfil e clique em Concluir .
    4. Clique em Continuar.

    Configure as condições do gatilho de evento

    Configure as condições do gatilho de evento no ServiceNow AI Platform para que você possa acionar automaticamente um evento em MISP quando as condições forem atendidas.

    Antes de Iniciar

    Função necessária: sn_sec_misp.write

    Procedimento

    1. No formulário Condições do gatilho, preencha os detalhes que podem acionar um evento.
      Você pode criar uma lógica composta fornecendo as condições do gatilho baseadas em campos de incidente de segurança ou campos observáveis. Você também pode criar eventos em MISP se os observáveis não tiverem um evento correspondente em MISP. Você pode optar por criar uma lógica composta usando uma combinação das três condições do gatilho: Gatilho baseado em campos de incidente de segurança, gatilho baseado em campos observáveis e Criar evento MISP, se um observável não tiver eventos correspondentes no MISP. Se você selecionar vários gatilhos, poderá juntá-los usando a condição E. Considere criar um perfil com novas condições se você precisar usar a condição OU.
      Tabela 2. Formulário Condições do gatilho de evento
      Campo Descrição
      Acionar com base nos campos de incidente de segurança MISP evento que você pode criar se todas as condições do gatilho de incidente de segurança forem atendidas.
      Condições do gatilho de incidente de segurança Filtros na primeira linha que você pode definir usando as listas e os campos do construtor de condições. Para adicionar mais condições, clique em E ou OU. Se E for selecionado, todas as condições deverão ser correspondidas. Se OU for selecionado, qualquer uma das condições poderá ser correspondida.

      Para definir uma segunda condição de filtro, clique em Novos critérios .
      Acionar com base em campos observáveis MISP evento que você pode criar se todas as condições do gatilho do observável forem atendidas.
      Condições do gatilho observáveis Filtros na primeira linha que você pode definir usando as listas e os campos do construtor de condições. Para adicionar mais condições, clique em E ou OU. Se E for selecionado, todas as condições deverão ser correspondidas. Se OU for selecionado, qualquer uma das condições poderá ser correspondida.

      Para definir uma segunda condição de filtro, clique em Novos critérios .
      Criar evento MISP se o observável não tiver eventos correspondentes no MISP MISP evento que você pode criar se um observável não tiver eventos correspondentes em MISP.
      Figura 1. Condições do gatilho de evento

      O exemplo a seguir mostra as condições do gatilho de evento conforme você configura o. MISP perfil de criação de evento.

      Configure condições baseadas em um evento criado no MISP.
    2. Clique em Continuar.

    Mapeie o. MISP campos de evento

    Mapeie o. MISP campos de evento no ServiceNow AI Platform para que as informações do incidente de segurança estejam disponíveis quando MISP os eventos são criados.

    Antes de Iniciar

    Função necessária: sn_sec_misp.write

    Procedimento

    1. No formulário, preencha os campos.
      Tabela 3. Formulário de mapeamento de campo de evento do MISP padrão
      Campo Descrição
      Informações do evento Informações do evento que são criadas automaticamente a partir do ServiceNow AI Platform Resposta a incidentes de segurança.

      . Informações do evento O campo oferece suporte a variáveis de substituição usando ⁠ Durante a criação de um evento, essas variáveis são substituídas pelos valores de campo de incidente de segurança reais. A variável de substituição é substituída pela URL do incidente de segurança.
      Distribuição Opção que controla quem pode exibir este evento após a publicação do evento. Esta opção também controla se o evento é sincronizado com outros servidores. A distribuição é herdada pelos atributos, e a configuração mais restritiva vence. As opções de distribuição são as seguintes:
      • Somente sua organização: Permite que somente membros da sua organização exibam este evento. O evento pode ser extraído para outra instância por um dos membros da sua organização, onde somente sua organização pode ter acesso para exibi-lo. Os eventos com esta configuração não são sincronizados.
      • Somente esta comunidade: Habilita usuários que fazem parte do seu MISP para exibir o evento, incluindo sua própria organização, organizações neste MISP e organizações executadas MISP servidores que sincronizam com este servidor. Qualquer outra organização que se conectar aos seus servidores vinculados está impedida de exibir o evento.
      • Comunidades conectadas: Habilita os usuários que fazem parte do seu MISP para exibir o evento, incluindo todas as organizações neste MISP servidor, todas as organizações no MISP servidores que sincronizam com este servidor e as organizações de hospedagem de servidores que se conetam a qualquer servidor que esteja a dois saltos de distância. Qualquer outra organização conectada aos servidores vinculados que estão a dois saltos de distância está impedida de exibir o evento.
      • Todas as comunidades: Compartilha o evento com todos MISP comunidades.
      Nível de ameaça Campo que indica o nível de risco do evento. Você pode categorizar incidentes em três categorias de ameaça diferentes (baixa, média, alta). Este campo também pode ser deixado como indefinido. A seguir estão as opções:
      • Baixo: Malware geral em massa
      • Médio: Ameaças persistentes avançadas (APT)
      • Alto: APTs sofisticados e ataques de 0 dias
      Status da análise Fase atual da análise do evento, com as seguintes opções possíveis:
      • Inicial: A análise está apenas começando
      • Em andamento: A análise está em andamento
      • Concluído: A análise está concluída
      O exemplo a seguir mostra o formulário que você pode usar para criar um evento no MISP.
      Figura 2. Mapeamento de campo de evento MISP padrão
      Configure o formulário para criar um novo evento no MISP.
    2. Clique em Continuar.

    Mapeie ou associe SIR observáveis como atributos para MISP eventos

    Mapeie o. Resposta a incidentes de segurança tipos de observáveis para MISP tipos de atributo porque MISP tipos de atributo e o. SIR os observáveis podem ser diferentes.

    Antes de Iniciar

    Função necessária: sn_sec_misp.write

    Por Que e Quando Desempenhar Esta Tarefa

    . Integração de MISP para Operações de segurança fornece um mapeamento do sistema de base que você usa ao adicionar SIR observáveis como atributos para a. MISP evento.

    Você pode optar por modificar o mapeamento do sistema de base para se adequar ao seu ambiente. Por exemplo, você pode mapear vários SIR observáveis para apenas um MISP tipo de atributo. Se algum tipo de observável não estiver mapeado, o. outro MISP o tipo de atributo é selecionado por padrão.

    Procedimento

    1. No formulário Opções adicionais, mapeie o. SIR observável e. MISP tipos de atributo.
    2. Mapeie o. Resposta a incidentes de segurança tipos de observáveis para MISP tipos de atributo conforme descrito na tabela a seguir.
      Tabela 4. Mapeamento do observável de SIR e tipo de atributo do MISP
      Campo Descrição
      Adicionar todos os observáveis associados como atributos Opção que você habilita para adicionar observáveis disponíveis em um incidente de segurança a um MISP evento como atributos.

      Esta opção habilita o mapeamento na seção Tipo de observável para Mapeamento de tipo de atributo.
      Mapeamento de tipo de observável para tipo de atributo Opção para mapear o. SIR tipos de observáveis para MISP tipos de atributo. Por exemplo, você pode mapear o número de CVE em SIR para o atributo de vulnerabilidade em MISP.

      Você pode adicionar um SIR tipo de observável para apenas um MISP tipo de atributo.

      O sistema de base fornece um mapeamento do SIR tipos de observáveis para MISP tipos de atributo.

      Se houver SIR os tipos de observáveis não são mapeados para um MISP e, em seguida, o observável é mapeado para outro tipo de atributo em MISP.

      Para adicionar um novo mapeamento, clique em Adicionar tipo de observável , pesquise por SIR tipo de observável e, em seguida, mapeie para o correspondente MISP tipo de atributo.

      Clique no ícone Remover mapeamento Remover mapeamento.para remover o. SIR e. MISP associação de mapeamento de atributos.

      Nota:
      Para obter mais informações sobre MISP tipos de atributo, consulte Documentação do MISP .
      Filtrar observáveis com base em marcadores de segurança Opção para filtrar os observáveis com base nos marcadores de segurança selecionados.

      Marcadores de segurança : Adicione marcadores para filtrar os observáveis. Por exemplo, se você estiver adicionando um marcador chamado "Bloquear do compartilhamento" ou "TLP: Branco", se um dos observáveis tiver algum desses marcadores associados, esses observáveis não serão adicionados como um atributo ao evento MISP durante a criação do evento MISP.
      Definir sinalizador de IDS de atributo quando a descoberta observável for mal-intencionada Opção que permite que você saiba se um observável está marcado como malicioso em SIR, em seguida, o atributo correspondente em MISP Tem o sinalizador IDS habilitado. Se o sinalizador de IDS não estiver definido, o atributo será considerado como informação contextual e não será usado para detecção automática de intrusão.

      O exemplo a seguir mostra como navegar até a página de opções adicionais. Nesta página, você pode habilitar o mapeamento de observáveis SIR e tipos de atributo MISP, adicionar novo SIR Tipos de observáveis, como a rede IPV6 e a rede IPV4, e mapeiam para o. MISP Endereço IP do domínio do tipo de atributo.

      Figura 3. Mapeamento SIR observáveis e. MISP tipos de atributo
      Mapeie o observável SIR e o tipo de atributo MISP.

    Sincronizar MITRE-ATT&CK informações para MISP eventos

    Sincronize o. MITRE-ATT&CK informações com MISP atributos para melhor análise de incidentes de segurança e ameaças.

    Antes de Iniciar

    Função necessária: sn_sec_misp.write

    Procedimento

    No formulário Opções adicionais, revise as opções para sincronizar o. MITRE-ATT&CK informações com MISP atributos.
    Tabela 5. Formulário de Opções avançadas
    Campo Descrição
    Sincronizar incidente de segurança MITRE-ATT&CK™ técnicas como galáxias locais para MISP evento Opção para sincronizar o. ServiceNow AI Platform SIR incidente de segurança MITRE-ATT&CK™ técnicas como galáxias locais no MISP evento.
    Nota:
    Para adicionar galáxias locais, o usuário que configurou a integração deve pertencer à organização host do correspondente MISP servidor.
    Sincronizar incidente de segurança MITRE-ATT&CK™ técnicas como galáxias globais para MISP evento Opção para sincronizar o. ServiceNow AI Platform SIR incidente de segurança MITRE-ATT&CK™ técnicas como galáxias globais no MISP evento.

    Resultado

    Você criou um perfil que permite criar eventos automaticamente em MISP em ServiceNow AI Platform. Agora você pode exibir os eventos na lista relacionada Eventos do MISP associados.

    Adicione marcadores MISP aos eventos

    Adicione marcadores MISP aos eventos MISP criados.

    Antes de Iniciar

    Função necessária: sn_sec_misp.write

    Procedimento

    1. No formulário Opções adicionais, navegue até Selecione marcadores MISP para adicionar ao evento na exibição do formulário.
    2. Revise as opções para adicionar marcadores aos eventos criados.
      Tabela 6. Formulário de Opções avançadas
      Campo Descrição
      Adicionar marcadores ao evento MISP criado Opção que permite adicionar automaticamente marcadores MISP aos eventos criados a partir da ServiceNow.
      Marcadores (local) Os marcadores selecionados serão adicionados como marcadores locais ao evento MISP.
      Marcadores (global) Os marcadores selecionados serão adicionados como marcadores globais ao evento MISP.
    3. Clique em Salvar.

    Resultado

    A adição de marcadores MISP ajuda na classificação do evento.