Pesquisas de detecções em MISP

  • Versão de lançamento: Australia
  • Atualizado 12 de mar. de 2026
  • 8 min. de leitura

    • Você pode realizar pesquisas de detecções em observáveis no MISP Para determinar com que frequência determinados tipos de ataques, como ataques de phishing ou comunicações com um IP ou URL malicioso, ocorrem em sua rede. Cada ocorrência é considerada um avistamento.

    Vistas em MISP

    As detecções indicam que um indicador, objeto ou atributo foi visto e sua validade foi confirmada. Vistas em MISPé um sistema que permite responder a atributos em um evento. Ele foi projetado para fornecer um método fácil para que seus usuários confirmem que viram um determinado atributo, dando mais credibilidade. Você pode ver um atributo várias vezes.
    Nota:
    Os observáveis são conhecidos como atributos no MISP.

    Alguns atributos são considerados como falsos positivos, o que significa que não são avistamentos válidos. Outros atributos são válidos por apenas uma determinada duração, como uma campanha de phishing executada por apenas uma semana. Você pode atribuir uma data de expiração aos atributos que são válidos por uma determinada duração, mas cada organização pode atribuir apenas uma data de expiração válida a um atributo.

    Vistas criadas em MISP Por usuários de organizações marcadas como locais no servidor MISP correspondente são conhecidas como detecções internas. Vistas criadas em MISP por usuários de organizações marcadas como remotas no correspondente MISP o servidor é conhecido como detecções externas.

    Pesquisas de detecções em SIR

    . Integração de operações de segurança - Fluxo de trabalho de pesquisa de detecções executa a pesquisa de detecções. Isso o flow aceita uma lista de observáveis, encontra todos os recursos de implementação, cria as consultas baseadas nas configurações de pesquisa de detecções e executa as pesquisas baseadas no configurado fluxo.

    As pesquisas de detecções ajudam os analistas a determinar a prevalência de uma ameaça ao longo do tempo. Você pode selecionar observáveis individuais ou vários observáveis e o intervalo de datas para sua pesquisa de um incidente de segurança. Os resultados são incluídos no Incidente de segurança Vistas , Resultados da pesquisa de detecções e. Detalhes da pesquisa de detecções listas relacionadas.

    Ao começar a analisar um incidente, você pode configurar seu ServiceNow AI Platform para execute automaticamente uma pesquisa de detecções ou execute manualmente uma pesquisa de detecções de observáveis para identificar outros usuários em sua organização que são afetados pelo mesmo ataque de phishing.

    Habilite pesquisas de detecções automáticas em MISP

    Habilite a pesquisa de detecções em MISP Para executar automaticamente para que o fluxo de trabalho Integração de operações de segurança - Pesquisa de detecções seja acionado sempre que novos observáveis forem associados a um incidente de segurança.

    Antes de Iniciar

    Verifique se Perfil de configuração de pesquisa de detecções para MISP está ativo.

    Função necessária: sn_si.analyst

    Por Que e Quando Desempenhar Esta Tarefa

    Se você habilitar a capacidade de pesquisa de detecções a ser executada automaticamente no MISP configuração de integração, a pesquisa de detecções em MISP aciona quando novos observáveis são associados a um incidente de segurança. Por padrão, o. Execute a Pesquisa de detecções automaticamente quando novos observáveis estiverem associados ao incidente de segurança a opção está habilitada.

    Procedimento

    1. Navegar até Tudo > Incidente de segurança > Mostrar todos os incidentes.
    2. Selecione o incidente de segurança que contém os observáveis que você deseja exibir no MISP dados de pesquisa de detecções.
    3. Revise as anotações de trabalho depois que novos observáveis forem associados ao incidente de segurança.
      Uma anotação de trabalho é publicada quando Integração de operações de segurança - Fluxo de trabalho de pesquisa de detecções foi acionado.

      O exemplo a seguir mostra a seção de anotações de trabalho.

      Exiba as anotações de trabalho e verifique se o fluxo de trabalho de Pesquisa de detecções foi acionado.
    4. Exiba as informações agregadas de observáveis que são vistos em todos os eventos (globais) e categorizados por suas detecções internas ou externas após a conclusão da execução do fluxo de trabalho.
      Exiba as informações no Vistas , Resultados da pesquisa de detecções e. Detalhes da pesquisa de detecções Listas relacionadas.O exemplo a seguir mostra o registro de pesquisa de detecções que foi criado na lista relacionada detecções.
      Exiba o registro de Pesquisa de detecções que foi criado na guia detecções.
      Tabela 1. Registro de pesquisa de detecções
      Campo Descrição
      Criação em Data e hora em que o registro de pesquisa de detecções foi criado.
      Observável Observável pesquisado pela consulta.
      Contagem de detecções Contagem de detecções internas e externas.
      Origem Origem do observável. Se o observável for de um MISP organização, o registro é precedido pelas palavras MISP .
      É local Status que indica se a detecção foi relatada por um usuário interno.
      Link de pesquisa de detecção Link de pesquisa de detecções no MISP instância.
      Resumo Tipo de detecções associadas ao registro. Os três tipos de avistamentos são avistamento, falso-positivo e expiração.

      A coluna Resumo aparece somente quando Integração de MISP para Operações de segurança está instalado. Se origens diferentes de MISP For exibida, a entrada da coluna Resumo está vazia para esse registro.

    Execute uma pesquisa de detecção manual em MISP

    Selecione observáveis individuais ou vários observáveis e execute uma pesquisa de detecção manual no ServiceNow AI Platform Integração de MISP para Operações de segurança aplicação para determinar a prevalência de uma ameaça ao longo do tempo.

    Antes de Iniciar

    Procedimento

    1. Navegar até Tudo > Incidente de segurança > Mostrar todos os incidentes.
    2. Selecione o incidente de segurança que contém os observáveis que você deseja executar MISP pesquisa de detecções por.
    3. Clique em Mostrar todas as listas relacionadas e o. Observáveis associados .
    4. Selecione o observável e, em seguida, no menu Ações, clique em Execute a Pesquisa de detecções .
      Você pode selecionar vários observáveis para uma pesquisa de detecções.
      A caixa de diálogo Executar pesquisa de detecções é aberta.
    5. Especifique o intervalo de datas para pesquisar os dados de pesquisa de detecções.
      Tabela 2. Caixa de diálogo Executar Pesquisa de detecções
      Campo Descrição
      Último Número de horas ou dias antes da criação do incidente a ser pesquisado.

      O padrão é 7 dias. O limite é de 99 horas ou dias.
      entre Intervalo de datas para pesquisar. As datas padrão são as seguintes:
      • A data e hora em que o incidente foi criado.
      • A data e hora que são sete dias antes da abertura do incidente.
    6. Clique em Pesquisar.
      O exemplo a seguir mostra os resultados da pesquisa de detecção manual nas anotações de trabalho.
      Resultados da pesquisa de vistas manuais nas anotações de trabalho.

    Resultado

    Um registro de Pesquisa de detecções é criado. Após a conclusão da execução do fluxo de trabalho, você pode exibir as informações agregadas de observáveis que são vistos em todos os eventos (globais) e categorizados por suas detecções internas ou externas. Os dados agregados e de detecções associados são exibidos no incidente de segurança em Vistas , Resultados da pesquisa de detecções e. Detalhes da pesquisa de detecções listas relacionadas.

    Relate avistamentos para MISP

    Relate detecções de dados de ameaças para que você possa reagir a falsos positivos em seus dados e aumentar sua conscientização quando ocorrer uma ameaça positiva verdadeira. Você também pode adicionar uma data de expiração para um observável ou atributo específico.

    Antes de Iniciar

    Por Que e Quando Desempenhar Esta Tarefa

    . Integração de MISP para Operações de segurança permite relatar detecções para MISP em todos os eventos. Para relatar um avistamento a um evento específico, você deve usar MISP e relate a detecção localmente.

    Para relatar um avistamento para MISP, o observável ou o atributo deve estar disponível no MISP instância.

    Procedimento

    1. Navegar até Tudo > Incidente de segurança > Mostrar todos os incidentes.
    2. Selecione o incidente de segurança que contém os observáveis aos quais você deseja relatar as detecções MISP para.
    3. Clique em Mostrar todas as listas relacionadas E a lista relacionada detecções.
    4. Selecione o observável e, no menu Ações, selecione uma das seguintes opções.
      OpçãoDescrição
      MISP: Relatar detectar detectável Relate o observável como observado para MISP. Se o observável estiver associado a vários eventos, ele será atualizado em todos os eventos.
      MISP: Relatar observável como falso positivo Relate o observável como falso positivo para MISP.
      MISP: Relatar observável como expirado Relate o observável como expirado para MISP.
      Se você selecionar observáveis que não são específicos de um MISP Origem, o menu Ações mostra a contagem de relevantes MISP fontes. O exemplo a seguir mostra quatro de oito observáveis como relevantes para MISP.O exemplo a seguir mostra o menu Ações e os observáveis relevantes para envio.
      Figura 1. Menu Ações que mostra os observáveis relevantes para envio
      O menu Ações mostra os observáveis relevantes para o MISP.
    5. Opcional: Se você selecionou MISP: Relatar detectar detectável , você deve preencher os campos da caixa de diálogo Relatar detecção observável para MISP.
      Tabela 3. Relatar detectável para MISP caixa de diálogo
      Campo Descrição
      Origem Campo de origem que corresponde a. MISP origem do avistamento.
      Data Campo de data que corresponde à data em que o observável foi avistado. Se a data estiver vazia, a data e hora atuais serão preenchidas em MISP.

      O exemplo a seguir mostra como navegar até a lista relacionada detecções no incidente de segurança. A partir dessa lista, você pode selecionar um observável e relatar o avistamento do observável para MISP. A mensagem de sucesso mostra que a detecção foi enviada com sucesso para MISP.

      Figura 2. Relata a detecção observável ao MISP
      Relata a detecção observável ao MISP
      1. Clique em Detectar relatório .
    6. Opcional: Se você selecionou MISP: Relatar observável como falso positivo , você deve preencher os campos do Relatório observável como falso positivo para MISP caixa de diálogo.
      Tabela 4. Relatar observável como falso positivo para MISP caixa de diálogo
      Campo Descrição
      Origem (opcional) Campo de origem que corresponde a. MISP origem. Use este campo para declarar o observável como falso positivo.
      Data Campo de data que corresponde à data em que o observável foi considerado um falso positivo. Se a data estiver vazia, a data e hora atuais serão preenchidas em MISP.
      1. Clique em Relatar falso-positivo .
    7. Opcional: Se você selecionou MISP: Relatar observável como expirado , você deve preencher os campos de Relatório de expiração do observável para MISP caixa de diálogo.
      Tabela 5. Caixa de diálogo Relatar expiração do observável para MISP
      Campo Descrição
      Origem Campo de origem que corresponde a. MISP origem. Use este campo para definir um observável como expirado.
      Data Campo de data que corresponde à data em que o observável expirou. Se a data estiver vazia, a data e hora atuais serão preenchidas em MISP.
      1. Clique em Expiração do relatório .

    Resultado

    As detecções são atualizadas com sucesso para MISP servidor.