Pesquisas de detecções em MISP
Você pode realizar pesquisas de detecções em observáveis no MISP Para determinar com que frequência determinados tipos de ataques, como ataques de phishing ou comunicações com um IP ou URL malicioso, ocorrem em sua rede. Cada ocorrência é considerada um avistamento.
Vistas em MISP
Alguns atributos são considerados como falsos positivos, o que significa que não são avistamentos válidos. Outros atributos são válidos por apenas uma determinada duração, como uma campanha de phishing executada por apenas uma semana. Você pode atribuir uma data de expiração aos atributos que são válidos por uma determinada duração, mas cada organização pode atribuir apenas uma data de expiração válida a um atributo.
Vistas criadas em MISP Por usuários de organizações marcadas como locais no servidor MISP correspondente são conhecidas como detecções internas. Vistas criadas em MISP por usuários de organizações marcadas como remotas no correspondente MISP o servidor é conhecido como detecções externas.
Pesquisas de detecções em SIR
. Integração de operações de segurança - Fluxo de trabalho de pesquisa de detecções executa a pesquisa de detecções. Isso o flow aceita uma lista de observáveis, encontra todos os recursos de implementação, cria as consultas baseadas nas configurações de pesquisa de detecções e executa as pesquisas baseadas no configurado fluxo.
As pesquisas de detecções ajudam os analistas a determinar a prevalência de uma ameaça ao longo do tempo. Você pode selecionar observáveis individuais ou vários observáveis e o intervalo de datas para sua pesquisa de um incidente de segurança. Os resultados são incluídos no Incidente de segurança Vistas , Resultados da pesquisa de detecções e. Detalhes da pesquisa de detecções listas relacionadas.
Ao começar a analisar um incidente, você pode configurar seu ServiceNow AI Platform para execute automaticamente uma pesquisa de detecções ou execute manualmente uma pesquisa de detecções de observáveis para identificar outros usuários em sua organização que são afetados pelo mesmo ataque de phishing.
Habilite pesquisas de detecções automáticas em MISP
Habilite a pesquisa de detecções em MISP Para executar automaticamente para que o fluxo de trabalho Integração de operações de segurança - Pesquisa de detecções seja acionado sempre que novos observáveis forem associados a um incidente de segurança.
Antes de Iniciar
Verifique se Perfil de configuração de pesquisa de detecções para MISP está ativo.
Função necessária: sn_si.analyst
Por Que e Quando Desempenhar Esta Tarefa
Procedimento
Execute uma pesquisa de detecção manual em MISP
Selecione observáveis individuais ou vários observáveis e execute uma pesquisa de detecção manual no ServiceNow AI Platform Integração de MISP para Operações de segurança aplicação para determinar a prevalência de uma ameaça ao longo do tempo.
Antes de Iniciar
- Revise MISP permissões e função do usuário para usar o. MISP recursos bidirecionais.
- Função necessária: sn_si.analyst
Procedimento
Resultado
Relate avistamentos para MISP
Relate detecções de dados de ameaças para que você possa reagir a falsos positivos em seus dados e aumentar sua conscientização quando ocorrer uma ameaça positiva verdadeira. Você também pode adicionar uma data de expiração para um observável ou atributo específico.
Antes de Iniciar
- Revise MISP permissões e função do usuário para usar o. MISP recursos bidirecionais.
- Função necessária: sn_si.analyst
Por Que e Quando Desempenhar Esta Tarefa
Para relatar um avistamento para MISP, o observável ou o atributo deve estar disponível no MISP instância.