Gerenciar eventos no MISP

  • Versão de lançamento: Zurich
  • Atualizado 31 de jul. de 2025
  • 12 min. de leitura

    • Você pode criar eventos em MISP automática ou manualmente a partir do ServiceNow AI Platform. Você também pode editar os dados do evento em MISP em ServiceNow AI Platform.

    Verificando eventos criados automaticamente em MISP

    Você pode verificar os eventos criados automaticamente depois de configurar o perfil de criação de evento em seu ServiceNow AI Platform instância.

    Perfil de criação automática de eventos

    Configurar o perfil de criação automática de eventos é feito pelas funções de usuário sn_si.admin ou sn_ti.admin no Integração MISP > Perfis automáticos de criação de evento módulo.

    Exibindo o. MISP dados do evento

    Você pode exibir os eventos criados das seguintes maneiras:

    • Exiba as anotações de trabalho dos eventos criados. Você pode exibir os detalhes do evento em ServiceNow AI Platform e também como aparece em MISP servidor conforme mostrado no exemplo a seguir.
      Figura 1. Anotações de trabalho para eventos criados
      Exiba as anotações de trabalho dos eventos criados.
    • Clique em Eventos MISP associados lista relacionada. Aqui, você pode exibir o evento em relação ao incidente de segurança e ao MISP recursos conforme mostrado no exemplo a seguir.
      Figura 2. Lista de eventos associados
      Exiba a lista de eventos associados
    • Exiba MISP dados do evento na exibição de formulário para revisar as informações detalhadas sobre MISP eventos conforme mostrado no exemplo a seguir.
      Figura 3. Dados do evento na exibição do formulário
      Exiba os dados do evento na exibição de formulário para ver as informações detalhadas do evento MISP.

    Criar manualmente um evento no MISP

    Criar eventos manualmente em MISP em ServiceNow AI Platform capturar informações contextualmente relacionadas representadas como atributos e objetos.

    Antes de Iniciar

    Procedimento

    1. Navegar até Tudo > Incidente de segurança > Mostrar todos os incidentes.
    2. Selecione o incidente de segurança que contém os observáveis para os quais você deseja criar um evento.
    3. Clique em Crie um novo evento no MISP .
    4. Na caixa de diálogo Criar um novo evento no MISP, preencha os detalhes.
      Tabela 1. Criar um evento na caixa de diálogo MISP
      Campo Descrição
      Data Data de criação do evento em MISP.
      Informações do evento Informações do evento que são criadas automaticamente a partir do ServiceNow AI Platform Resposta a incidentes de segurança.
      Nível de ameaça Nível de risco do evento. Você pode categorizar os incidentes em três categorias de ameaça diferentes (baixa, média, alta). Este campo também pode ser deixado como indefinido. A seguir estão as opções:
      • Baixo: Malware geral em massa
      • Médio: Ameaças persistentes avançadas (APT)
      • Alto: APTs sofisticados e ataques de 0 dias
      Origem MISP origem da criação do evento.
      Distribuição Opção que controla quem pode exibir este evento após a publicação do evento. Esta opção também controla se o evento é sincronizado com outros servidores. A distribuição é herdada pelos atributos. A configuração mais restritiva vence. As opções de distribuição são as seguintes:
      • Somente sua organização: Permite que somente os membros de sua organização exibam este evento. O evento pode ser extraído para outra instância por um dos membros da sua organização, em que somente sua organização tem acesso para exibi-lo. Os eventos com esta configuração não são sincronizados.
      • Somente esta comunidade: Habilita usuários que fazem parte do seu MISP para exibir o evento, incluindo sua própria organização, organizações neste MISP e organizações que executam MISP servidores que sincronizam com este servidor. Todas as outras organizações conectadas a servidores vinculados estão impedidas de exibir o evento.
      • Comunidades conectadas: Habilita os usuários que fazem parte do seu MISP para exibir o evento, incluindo todas as organizações neste MISP servidor, todas as organizações em MISP servidores que sincronizam com este servidor e as organizações de hospedagem de servidores que se conectam a qualquer servidor que esteja a dois saltos de distância. Todas as outras organizações conectadas aos servidores vinculados que estão a dois saltos de distância deste servidor estão impedidas de exibir o evento.
      • Todas as comunidades: Compartilha o evento com todos MISP comunidades.
      Análise Fase atual da análise do evento com as seguintes opções possíveis:
      • Inicial: A análise está apenas começando
      • Em andamento: A análise está em andamento
      • Concluído: A análise está concluída
      Opções avançadas Adicionar observáveis associados do SIR como atributos ao evento MISP Opção para adicionar observáveis disponíveis em um incidente de segurança a um MISP evento como atributos.

      Esta opção habilita Definir sinalizador de IDS de atributo quando a descoberta observável for mal-intencionada opção.
      Definir sinalizador de IDS de atributo quando a descoberta observável for mal-intencionada Observável marcado como mal-intencionado em SIR. O atributo correspondente em MISP também está marcado como verdadeiro.
      Filtrar observáveis com base em marcadores de segurança Opção para filtrar os observáveis com base nos marcadores de segurança selecionados. Esta opção fornece a capacidade de distinguir e gerenciar os eventos MISP na inteligência contra ameaças.

      Marcadores de segurança : Adicione marcadores para filtrar os observáveis. Por exemplo, se você estiver adicionando um marcador chamado "Bloquear compartilhamento" ou "TLP: Branco", se um dos observáveis tiver algum desses marcadores associados, esses observáveis não serão adicionados como um atributo ao evento MISP durante a criação do evento MISP.
      Sincronizar técnicas MITRE ATT&CK de incidentes de segurança como galáxias locais com evento MISP Opção para sincronizar o. ServiceNow AI Platform SIR incidente de segurança MITRE-ATT&CK™ galáxias locais no MISP evento.
      Sincronizar técnicas de incidente de segurança MITRE ATT e CK como galáxias globais para evento MISP Opção para sincronizar o. ServiceNow AI Platform SIR incidente de segurança MITRE-ATT&CK™ galáxias globais em MISP evento.
      Adicionar marcadores ao evento MISP Opção que permite adicionar marcadores MISP aos eventos criados a partir da ServiceNow. Esta opção exibe as seguintes opções:
      • Local (marcadores): Os marcadores selecionados serão adicionados como marcadores locais ao evento MISP.
      • Global (marcadores): Os marcadores selecionados serão adicionados como marcadores globais ao evento MISP.
    5. Clique em Novo evento MISP .

      O exemplo a seguir mostra isso criando um evento em MISP, você pode exibir os resultados no incidente de segurança. Você também pode exibir as anotações de trabalho, o evento em ServiceNow AI Platform e o evento em MISP servidor conforme mostrado no exemplo a seguir.

      Figura 4. Crie manualmente um evento no MISP a partir do ServiceNow AI Platform
      Crie manualmente um evento no MISP a partir do ServiceNow AI Platform.
      Você pode exibir os resultados das seguintes maneiras:
      • Uma mensagem de sucesso aparece na parte superior da página do incidente de segurança. Você pode exibir os detalhes do evento em ServiceNow AI Platform e também como aparece em MISP servidor.
      • Nas anotações de trabalho, você pode exibir a mensagem de sucesso com mais detalhes. Você também pode exibir os detalhes do evento em ServiceNow AI Platform e também como aparece em MISP servidor.
      • Em Eventos MISP associados lista relacionada, você pode exibir o evento em relação ao incidente de segurança e ao MISP recursos.

    Adicione atributos a um MISP evento

    Adicione atributos a um evento, como o tipo, a categoria e outras informações contextuais sobre o evento.

    Antes de Iniciar

    • Revise MISP função e permissões do usuário para usar o. MISP recursos bidirecionais.
    • Verifique se o evento que você está adicionando ou atualizando o atributo pertence à mesma organização que MISP usuário.
    • Função necessária: sn_sec_misp.write

    Procedimento

    1. Navegar até Tudo > MISP > Eventos de MISP associados.
      Você também pode navegar até a lista relacionada ao evento MISP associado em qualquer incidente de segurança.
    2. Clique no evento MISP ao qual você deseja adicionar um atributo.
    3. Clique em Adicionar atributo ao evento MISP .
    4. Na caixa de diálogo Adicionar atributo ao evento, preencha os detalhes.
      Tabela 2. Caixa de diálogo Adicionar atributo à caixa de diálogo do evento
      Campo Descrição
      Valor Valor real do atributo. Insira dados sobre o valor baseado no que é válido para o tipo de atributo escolhido. Por exemplo, para um atributo do tipo ip-src (endereço IP de origem), 11.11.11.11 é um valor válido.
      Nota:
      Você só pode selecionar atributos ou observáveis que compartilham contexto com o evento. Os observáveis ainda não podem ter um atributo em MISP.
      Categoria Categoria do atributo. A categoria descreve o aspecto do malware para este atributo. Um exemplo seriam os mecanismos de persistência do malware ou da atividade de rede.
      Tipo Tipo que explica a categoria. Por exemplo, se um invasor usar um endereço IP para um ataque, um endereço de e-mail de origem ou um arquivo enviado por meio de um anexo poderão descrever a entrega de carga de um malware. Esses tipos de atributos têm a categoria de entrega de carga.
      Distribuição Usuários que podem exibir este atributo. A distribuição é herdada por atributos. A configuração mais restritiva vence.
      Usar atributo como uma assinatura de IDS Observável marcado como mal-intencionado em SIR. O atributo correspondente em MISP também está marcado como verdadeiro.
      Comentários Comentários que você adiciona aos atributos.

      O exemplo a seguir mostra que, navegando na lista Eventos MISP associados, você pode exibir o registro de evento 5627 e adicionar atributos ao evento. Os atributos incluem o valor (testdomain.com), categoria como análise externa, tipo como domínio. Você também pode habilitar o IDS. A mensagem de sucesso no registro do evento mostra que o atributo foi adicionado ao evento conforme mostrado no exemplo a seguir.

      Figura 5. Adicione atributo a um evento MISP
      Adição de atributo a um evento MISP.
    5. Clique em Adicionar atributo ao evento MISP .

    Resultado

    Você pode exibir o atributo adicionado na seção Atributos.

    Adicione marcadores a um MISP evento

    Adicionar marcadores em ServiceNow AI Platform MISP para classificar eventos ou atributos. Você pode usar a marcação globalmente para habilitar sua classificação ou usar marcadores localmente quando não quiser MISP eventos a serem modificados durante sua classificação.

    Antes de Iniciar

    • Revise MISP função e permissões do usuário para usar o. MISP recursos bidirecionais.
    • Verifique se o evento que você está editando pertence à mesma organização que MISP usuário.
    • Observe que os marcadores e galáxias que estão disponíveis para você são baseados em MISP origem e suas permissões de distribuição.
    • Função necessária: sn_sec_misp.write

    Procedimento

    1. Navegar até Tudo > Incidente de segurança > Mostrar todos os incidentes.
    2. Selecione o incidente de segurança que contém o evento ao qual você deseja adicionar marcadores.
    3. Clique em Mostrar todas as listas relacionadas E a lista relacionada Resultados de aprimoramento do MISP.
    4. Clique no ID do evento na lista de resultados de aprimoramento.
      Você também pode navegar do MISP > Eventos de MISP associados módulo.
    5. Revise o registro de evento MISP.
      Tabela 3. Exibição do formulário de evento do MISP
      Campo Descrição
      ID do evento ID do evento atribuído por MISP quando o evento foi criado ou importado pela primeira vez para MISP servidor.
      UUID ID que identifica exclusivamente eventos e atributos.
      Organização do criador Organização que criou o evento no MISP instância.
      Organização do proprietário Organização responsável pelo evento no MISP instância. Este campo está visível somente para administradores.
      Usuário do criador Usuário que criou o evento em MISP.
      Última Mudança Data em que o evento foi modificado pela última vez.
      Origem do MISP MISP origem em que o evento é criado.
      Data de criação (no MISP) Data em que o evento foi criado ou importado pela primeira vez em MISP servidor.
      Nível de ameaça Nível de risco do evento. Os incidentes podem ser categorizados em três categorias de ameaça diferentes (baixa, média, alta). Este campo pode ser deixado como indefinido. A seguir estão as opções:
      • Baixo: Malware geral em massa
      • Médio: Ameaças persistentes avançadas (APT)
      • Alto: APTs sofisticados e ataques de 0 dias
      Análise Fase atual da análise do evento com as seguintes opções possíveis:
      • Inicial: A análise está apenas começando
      • Em andamento: A análise está em andamento
      • Concluído: A análise está concluída
      Distribuição Distribuição do atributo individual. Um atributo pode ter um nível de distribuição diferente do evento.
      Publicado Se o evento foi publicado ou não. A publicação permite que os atributos do evento sejam usados para todas as exportações qualificadas e notifica os usuários que se inscreveram nos alertas de evento.
      Hiperlink de evento MISP Link para MISP evento armazenado no MISP servidor.
      Informação Descrição resumida do evento.
      Marcadores (local) Marcadores que estão disponíveis na organização host MISP instância para habilitar marcação para sincronização e filtragem de exportação. MISP os eventos não são modificados quando você usa marcadores locais. Marcadores locais são sempre removidos antes de serem sincronizados com outros MISP e comunidades de compartilhamento.
      Marcadores (global) Marcadores que estão disponíveis globalmente para serem compartilhados e sincronizados com outros MISP e comunidades de compartilhamento. Quando você adiciona marcadores globais a. MISP, você pode modificar eventos.
      Galáxias (local) Galáxias que estão disponíveis na organização host MISP instância para filtragem de sincronização e exportação. MISP os eventos não são modificados quando você usa galáxias locais. Estas galáxias locais são sempre despojadas antes de serem sincronizadas com outras MISP e comunidades de compartilhamento.
      Galáxias (global) Galáxias que estão disponíveis globalmente para serem compartilhadas e sincronizadas com outras MISP e comunidades de compartilhamento. Quando você adiciona galáxias globais, MISP você pode modificar eventos.
    6. Para editar um marcador local ou global, clique no ícone de edição Ícone Editar.em uma das seguintes opções:
    • Marcadores (local)
    • Marcadores (global)
    1. Na caixa de diálogo Marcadores de evento MISP, insira o nome do marcador para pesquisar e adicionar os marcadores.
    2. Clique em Atualizar marcadores para evento MISP .

      O exemplo a seguir mostra que, ao clicar no ícone de edição dos marcadores locais, você pode pesquisar e adicionar os marcadores C3, Adware, C2 e Botnet 3101 e atualizar o servidor MISP com os marcadores. A mensagem de confirmação mostra que todos os marcadores estão atualizados no MISP.

      Figura 6. Atualizando marcadores para evento MISP
      Atualizando marcadores para um evento MISP.
    3. Clique em Recarregar formulário na mensagem de sucesso para exibir as mudanças no registro.

    Resultado

    Os marcadores foram atualizados com sucesso no MISP servidor.

    Atualize galáxias para A. MISP evento ou atributo

    Adicione ou remova galáxias em ServiceNow AI Platform MISP para que você possa classificar esses objetos como um cluster no MISP e anexe-as a. MISP eventos ou atributos.

    Antes de Iniciar

    • Revise MISP função e permissões do usuário necessário para usar o. MISP recursos bidirecionais.
    • Para adicionar galáxias locais, o usuário que configurou a integração deve pertencer à organização host do correspondente MISP servidor.
    • Os marcadores e galáxias disponíveis para você são baseados em MISP origem e suas permissões de distribuição.
    • Função necessária: sn_sec_misp.write

    Procedimento

    1. Clique no ícone de edição Ícone Editar.em uma das seguintes opções.
    • Galáxias (local)
    • Galáxias (global)
    1. Na caixa de diálogo Galaxies de evento MISP, digite e pesquise para adicionar os marcadores.
    2. Clique em Atualizar galáxias para evento MISP .

      O exemplo a seguir mostra como clicar no ícone de edição das galáxias locais, selecionar o namespace descontinuado, selecionar a galáxia Ataque empresarial - padrão de ataque e adicionar informações de cluster. Depois que as informações da galáxia forem atualizadas, você poderá exibir a mensagem de sucesso.

      Figura 7. Atualize as informações da galáxia para o evento MISP
      Atualizando informações da galáxia para o evento MISP.
      As galáxias foram atualizadas com sucesso em MISP servidor.
    3. Clique em Recarregar formulário na mensagem de sucesso para exibir as mudanças no registro.