Aprimoramento do observável em MISP

  • Versão de lançamento: Australia
  • Atualizado 12 de mar. de 2026
  • 9 min. de leitura

    • Enriquecendo observáveis com informações adicionais de vários MISP durante as investigações de resposta a incidentes, você pode conter ameaças identificadas.

    Habilite o aprimoramento automático do observável em MISP

    Habilite o aprimoramento automático de observável no ServiceNow AI Platform MISP quando novos observáveis são associados ao incidente de segurança.

    Antes de Iniciar

    • Habilite o. Resposta a incidentes de segurança propriedade do sistema para Ativa ou desativa o trabalho agendado, Pesquisar observáveis de incidentes de segurança opção para acionar a capacidade de aprimoramento do observável em SIR.
    • Função necessária: sn_si.analyst

    Procedimento

    1. Navegar até Tudo > Incidente de segurança > Mostrar todos os incidentes.
    2. Selecione o incidente de segurança que contém os observáveis nos quais você deseja enriquecer os dados do observável MISP para.
    3. Revise as anotações de trabalho depois que novos observáveis forem associados ao incidente de segurança.

      O exemplo a seguir mostra que uma anotação de trabalho publica quando Integração de operações de segurança - Enriquecer o fluxo observável gatilhos.

      Exiba as anotações de trabalho do status de aprimoramento do observável.

    4. Em MISP Lista relacionada de resultados de aprimoramento do incidente de segurança, exiba os resultados de aprimoramento após a conclusão da execução do fluxo.
      Exiba as anotações de trabalho do status de aprimoramento do observável após a conclusão da execução.
      Nota:
      Você deve configurar esse MISP A lista relacionada de resultados de aprimoramento aparece nas listas relacionadas a incidentes de segurança. Para obter mais informações, consulte configuração da lista relacionada .
      O exemplo a seguir mostra os resultados de aprimoramento no MISP.
      Exiba os resultados de aprimoramento na guia Resultados de aprimoramento do MISP.
      A tabela a seguir mostra os resultados de aprimoramento do MISP.
      Tabela 1. Resultados de enriquecimento de MISP
      Campo Descrição
      Evento ID do evento. Clique em Abrir para exibir o registro no ServiceNow AI Platform instância.
      Organização A organização que criou originalmente o evento.
      Observável Observável associado ao evento.
      Categoria Categoria do atributo.

      Exiba a lista de categorias no Documentação do MISP .
      Tipo Tipo do atributo.

      Exiba a lista de tipos no Documentação do MISP .
      Marcadores MISP Lista de marcadores associados ao MISP atributo.
      Galáxias MISP Lista de galáxias associadas a MISP atributo.
      Comentário Comentário contextual para descrever melhor o atributo. Estes comentários não são usados para correlação e são puramente informativos.
      IDS Indicador de compromisso, que permite que seja incluído em todas as exportações elegíveis.
      Distribuição Distribuição do atributo depois que ele é publicado. Um atributo pode ter um nível de distribuição diferente do evento. Em ambos os casos, o nível de distribuição mais baixo é usado.
      Hiperlink para o evento MISP Link para MISP evento, que é armazenado no MISP servidor.
      Fornecedor de integração Fornecedor de integração que fornece os dados para aprimoramento.
      Dados brutos Dados brutos associados ao MISP atributo.

    Execute um aprimoramento de observável manual em MISP

    Selecione observáveis individuais ou múltiplos e execute um aprimoramento manual do observável para que você possa enriquecer observáveis com informações adicionais de vários MISP fontes.

    Antes de Iniciar

    Procedimento

    1. Navegar até Tudo > Incidente de segurança > Mostrar todos os incidentes.
    2. Selecione o incidente de segurança que contém os observáveis para os quais você deseja executar o aprimoramento.
    3. Clique em Mostrar todas as listas relacionadas e o. Observáveis associados .
    4. Selecione o observável e, no menu Ações, clique em Execute o aprimoramento do observável .
      Você pode selecionar vários observáveis para uma pesquisa de detecções.
      A caixa de diálogo Executar aprimoramento do observável é exibida.
    5. Selecione um MISP E na coluna Selecionado, selecione uma implementação para enriquecer os observáveis selecionados.
    6. Clique em Enviar.
      Uma anotação de trabalho mostra que o. Integração de operações de segurança - Enriquecer o fluxo de trabalho do observável foi acionado. Os fluxos de trabalho de implementação associados são executados para executar o aprimoramento. Você pode exibir as anotações de trabalho no incidente de segurança para exibir o status.

      O exemplo a seguir mostra como exibir as anotações de trabalho para um aprimoramento de observável manual.

      Figura 1. Anotações de trabalho para aprimoramento do observável manual
      Exibir anotações de trabalho para aprimoramento do observável manual.
      A mensagem de aprimoramento lista o evento criado. Você pode exibir o evento no ServiceNow AI Platform ou no MISP E exiba os detalhes do registro na guia Resultados de aprimoramento do MISP.

    Adicione ou remova marcadores a MISP atributos

    Adicione ou remova marcadores em MISP para classificar eventos ou atributos. Você pode usar a marcação globalmente para habilitar sua classificação ou usar marcadores localmente quando não quiser MISP eventos a serem modificados durante sua classificação.

    Antes de Iniciar

    • Revise MISP permissões e função do usuário para usar o. MISP recursos bidirecionais.
    • Verifique se o atributo que você está editando pertence à mesma organização que MISP usuário.
    • Observe que os marcadores e galáxias que estão disponíveis para você são baseados em MISP origem e suas permissões de distribuição.
    • Função necessária: sn_sec_misp.write

    Procedimento

    1. Navegar até Tudo > Incidente de segurança > Mostrar todos os incidentes.
    2. Selecione o incidente de segurança que contém os observáveis, atributos ou eventos aos quais você deseja adicionar os marcadores.
    3. Clique em Mostrar todas as listas relacionadas E a lista relacionada de resultados de aprimoramento do MISP.
    4. Clique no ícone de visualização Ícone de visualização.ao lado de um registro e clique em Abrir registro .
      O exemplo a seguir mostra como revisar o. Resultados de aprimoramento do MISP e como abrir um MISP registro de aprimoramento.
      Figura 2. Registro do resultado de aprimoramento do MISP
    5. Revise o registro de resultado de aprimoramento do MISP.
      Tabela 2. Resultado do aprimoramento de MISP
      Campo Descrição
      Observável
      Evento ID do evento atribuído pelo MISP servidor em que o evento foi criado ou importado pela primeira vez MISP.

      Visualize o evento ou clique no registro para exibir os dados do evento no MISP Página Dados do evento.
      Organização Organização que criou o. MISP atributo.
      Categoria Categoria do atributo que você adiciona ao evento específico em MISP. Você pode selecionar uma opção como uma referência interna, atividade de rede, fraude financeira e assim por diante.
      Tipo Tipo de MISP atributo.
      Fornecedor de integração Fornecedor de integração que fornece os dados para o aprimoramento do observável.
      Data de criação (no MISP) Data em que o evento foi criado ou importado pela primeira vez MISP.
      IDS Status de se um observável está marcado como mal-intencionado em SIR. O atributo correspondente em MISP também está marcado como verdadeiro.
      Distribuição Controles de opção de distribuição, como quem pode exibir este evento depois que ele é publicado. Esta opção também controla se o evento é sincronizado com outros servidores. A distribuição é herdada pelos atributos, e a configuração mais restritiva vence. As opções de distribuição são as seguintes:
      • Somente sua organização: Permite que somente membros da sua organização exibam este evento. O evento pode ser extraído para outra instância por um dos membros da sua organização, onde somente sua organização tem acesso para exibi-lo. Os eventos com esta configuração não são sincronizados.
      • Somente esta comunidade: Habilita usuários que fazem parte do seu MISP para exibir o evento, incluindo sua própria organização, organizações neste MISP e organizações executadas MISP servidores que sincronizam com este servidor. Qualquer outra organização conectada a esses servidores vinculados está impedida de exibir o evento.
      • Comunidades conectadas: Habilita os usuários que fazem parte do seu MISP para exibir o evento, incluindo todas as organizações neste MISP servidor, todas as organizações em MISP servidores que sincronizam com este servidor e as organizações de hospedagem de servidores que se conetam a qualquer servidor que esteja a dois saltos de distância. Qualquer outra organização conectada aos servidores vinculados que estão a dois saltos de distância está impedida de exibir o evento.
      • Todas as comunidades: Compartilha o evento com todos MISP, o que permite que o evento esteja disponível gratuitamente.
      Hiperlink para o evento MISP Link para MISP evento armazenado no MISP servidor.
      Dados brutos Detalhes brutos do registro de dados de aprimoramento do observável.
      Comentário Comentários que você adiciona aos atributos. Estes comentários são apenas para fins informativos e não são usados para correlação.
      Marcadores (local) Marcadores que estão disponíveis na organização host MISP instância para habilitar a marcação para sincronização e filtragem de exportação. MISP os eventos não são modificados quando você usa marcadores locais. Esses marcadores são sempre removidos antes de serem sincronizados com outros MISP e comunidades de compartilhamento.
      Marcadores (global) Marcadores que estão disponíveis globalmente para serem compartilhados e sincronizados com outros MISP e comunidades de compartilhamento. Quando você adiciona marcadores globais a MISP, você modifica eventos.
      Galáxias (local) Galáxias que estão disponíveis na organização host MISP instância para filtragem de sincronização e exportação. MISP os eventos não são modificados quando você usa galáxias locais. Estas galáxias são sempre despojadas antes de serem sincronizadas com outras MISP e comunidades de compartilhamento.
      Galáxias (global) Galáxias que estão disponíveis globalmente para serem compartilhadas e sincronizadas com outras MISP e comunidades de compartilhamento. Quando você adiciona galáxias globais, MISP os eventos foram modificados.
    6. Para editar um marcador local ou global, clique no ícone de edição Ícone Editar.em uma das seguintes opções:
    • Marcadores (local)
    • Marcadores (global)
    1. Na caixa de diálogo Marcadores de atributo do MISP, insira o nome do marcador a ser pesquisado e adicionado.
    2. Clique em Atualize marcadores para o atributo MISP .

      O exemplo a seguir mostra que, ao clicar no ícone de edição dos marcadores locais, você pode pesquisar e adicionar os marcadores C3, Adware, C2 e Botnet 3101 e atualizar o servidor MISP com os marcadores. A mensagem de confirmação mostra que todos os marcadores foram atualizados em MISP.

      Os marcadores são atualizados com sucesso no MISP servidor.
    3. Para exibir as mudanças no registro, clique em Recarregar formulário na mensagem de sucesso.

    Adicione ou remova galáxias a MISP evento ou atributo

    Adicione ou remova galáxias em MISP para que você possa classificar esses objetos como um cluster em MISP e anexe-os a. MISP eventos ou atributos.

    Antes de Iniciar

    • Revise MISP permissões e função do usuário para usar o. MISP recursos bidirecionais.
    • Para adicionar galáxias locais, o usuário que configurou a integração deve pertencer à organização host do correspondente MISP servidor.
    • Observe que os marcadores e galáxias que estão disponíveis para você são baseados em MISP origem e suas permissões de distribuição.
    • Função necessária: sn_sec_misp.write

    Procedimento

    1. Clique no ícone de edição Ícone Editar.em uma das seguintes opções.
    • Galáxias (local)
    • Galáxias (global)
    1. Na caixa de diálogo Galáxias de evento MISP, preencha os detalhes.
      Tabela 3. Galáxias de evento MISP
      Campo Descrição
      ID do evento ID do evento atribuído pelo MISP servidor em que o evento foi criado ou importado pela primeira vez MISP.
      Namespace Namespace onde a galáxia está armazenada. Você pode usar namespaces para agrupar galáxias semelhantes.
      Galáxias Galaxy onde você armazena as informações do cluster.
      Clusters Informação sobre os enxames na galáxia.
    2. Clique em Atualize galáxias para atributo MISP .
      O exemplo a seguir mostra que, ao clicar no ícone de edição das galáxias locais, você pode selecionar o namespace obsoleto, selecionar o ataque empresarial - galáxia de padrão de ataque e adicionar as informações do cluster. Depois que as informações da galáxia forem atualizadas, você poderá exibir a mensagem de sucesso.

    3. Para exibir as mudanças no registro, clique em Recarregar formulário na mensagem de sucesso.

    Resultado

    As informações da galáxia foram atualizadas com sucesso no MISP servidor.

    Adicione comentários a MISP atributo

    Adicione comentários para MISP atributos. Os comentários que você adiciona são apenas para fins informativos e não são usados para correlação de MISP dados.

    Antes de Iniciar

    • Revise MISP permissões e função do usuário para usar o. MISP recursos bidirecionais.
    • Verifique se o atributo que você está editando pertence à mesma organização que MISP usuário.
    • Função necessária: sn_sec_misp.write

    Procedimento

    1. Clique no ícone de edição Ícone Editar.No campo Comentário.
    2. Insira seu comentário no campo Comentário do atributo.
    3. Clique em Atualizar comentário para atributo MISP .
      O exemplo a seguir mostra que, ao clicar no ícone de edição ao lado do campo de comentário, você pode adicionar um comentário e atualizar o. MISP atributo. Depois que o comentário for atualizado, você poderá exibir a mensagem de sucesso.

    4. Para exibir as mudanças no registro, clique em Recarregar formulário na mensagem de sucesso.

    Resultado

    O comentário foi atualizado com sucesso em MISP servidor.