Aprimoramento do observável em MISP

  • Versão de lançamento: Yokohama
  • Atualizado 30 de jan. de 2025
  • 9 min. de leitura

    • Enriquecendo observáveis com informações adicionais de vários MISPdurante as investigações de resposta a incidentes, você pode conter ameaças identificadas.

    Habilite o aprimoramento automático do observável em MISP

    Habilite o aprimoramento automático de observável no Now Platform MISPquando novos observáveis são associados ao incidente de segurança.

    Antes de Iniciar

    • Habilite o. Resposta a incidentes de segurançapropriedade do sistema para Ativa ou desativa o trabalho agendado, Pesquisar observáveis de incidentes de segurança opção para acionar a capacidade de aprimoramento do observável em SIR.
    • Função necessária: sn_si.analista

    Procedimento

    1. Navegar até Tudo > Incidente de segurança > Mostrar todos os incidentes.
    2. Selecione o incidente de segurança que contém os observáveis nos quais você deseja enriquecer os dados do observável MISPpara.
    3. Revise as anotações de trabalho depois que novos observáveis forem associados ao incidente de segurança.

      O exemplo a seguir mostra que uma anotação de trabalho publica quando Integração de operações de segurança - Enriquecer o fluxo observável gatilhos.

      Exiba as anotações de trabalho do status de aprimoramento do observável.

    4. Em MISPLista relacionada de resultados de aprimoramento do incidente de segurança, exiba os resultados de aprimoramento após a conclusão da execução do fluxo.
      Exiba as anotações de trabalho do status de aprimoramento do observável após a conclusão da execução.
      Nota:
      Você deve configurar esse MISPA lista relacionada de resultados de aprimoramento aparece nas listas relacionadas a incidentes de segurança. Para obter mais informações, consulte configuração da lista relacionada .
      O exemplo a seguir mostra os resultados de aprimoramento no MISP.
      Exiba os resultados de aprimoramento na guia Resultados de aprimoramento do MISP.
      A tabela a seguir mostra os resultados de aprimoramento do MISP.
      Tabela 1. Resultados de enriquecimento de MISP
      Campo Descrição
      Evento ID do evento. Clique em Abrir para exibir o registro no Now Platforminstância.
      Organização Organização que criou originalmente o evento.
      Observável Observável associado ao evento.
      Categoria Categoria do atributo.

      Exiba a lista de categorias no Documentação do MISP .
      Tipo Tipo do atributo.

      Exiba a lista de tipos no Documentação do MISP .
      Marcadores MISP Lista de marcadores associados ao MISPatributo.
      Galáxias MISP Lista de galáxias associadas a MISPatributo.
      Comentar Comentário contextual para descrever melhor o atributo. Esses comentários não são usados para correlação e são puramente informativos.
      IDS Indicador de compromisso, que permite que seja incluído em todas as exportações elegíveis.
      Distribuição Distribuição do atributo depois que ele é publicado. Um atributo pode ter um nível de distribuição diferente do evento. Em ambos os casos, o nível de distribuição mais baixo é usado.
      Hiperlink para o evento MISP Link para MISPevento, que é armazenado no MISPservidor.
      Fornecedor de integração Fornecedor de integração que fornece os dados para aprimoramento.
      Dados brutos Dados brutos associados ao MISPatributo.

    Execute um aprimoramento de observável manual em MISP

    Selecione observáveis individuais ou múltiplos e execute um aprimoramento manual do observável para que você possa enriquecer observáveis com informações adicionais de vários MISPfontes.

    Antes de Iniciar

    Procedimento

    1. Navegar até Tudo > Incidente de segurança > Mostrar todos os incidentes.
    2. Selecione o incidente de segurança que contém os observáveis para os quais você deseja executar o aprimoramento.
    3. Clique em Mostrar todas as listas relacionadas e o. Observáveis associados .
    4. Selecione o observável e, no menu Ações, clique em Execute o aprimoramento do observável .
      Você pode selecionar vários observáveis para uma pesquisa de detecções.
      A caixa de diálogo Executar aprimoramento do observável é exibida.
    5. Selecione um MISPE na coluna Selecionado, selecione uma implementação para enriquecer os observáveis selecionados.
    6. Clique em Enviar.
      Uma anotação de trabalho mostra que o. Integração de operações de segurança - Enriquecer o fluxo de trabalho do observável foi acionado. Os fluxos de trabalho de implementação associados são executados para executar o aprimoramento. Você pode exibir as anotações de trabalho no incidente de segurança para exibir o status.

      O exemplo a seguir mostra como exibir as anotações de trabalho para um aprimoramento de observável manual.

      Figura 1. Anotações de trabalho para aprimoramento do observável manual
      Exibir anotações de trabalho para aprimoramento manual do observável.
      A mensagem de aprimoramento lista o evento criado. Você pode exibir o evento no Now Platformou no MISPE exiba os detalhes do registro na guia Resultados de aprimoramento do MISP.

    Adicione ou remova marcadores a MISPatributos

    Adicione ou remova marcadores em MISPpara classificar eventos ou atributos. Você pode usar a marcação globalmente para habilitar sua classificação ou usar marcadores localmente quando não quiser MISPeventos a serem modificados durante sua classificação.

    Antes de Iniciar

    • Revise MISP permissões e função do usuário para usar o. MISPrecursos bidirecionais.
    • Verifique se o atributo que você está editando pertence à mesma organização que MISPusuário.
    • Observe que os marcadores e galáxias que estão disponíveis para você são baseados em MISPorigem e suas permissões de distribuição.
    • Função necessária: sn_sec_misp.write

    Procedimento

    1. Navegar até Tudo > Incidente de segurança > Mostrar todos os incidentes.
    2. Selecione o incidente de segurança que contém os observáveis, atributos ou eventos aos quais você deseja adicionar os marcadores.
    3. Clique em Mostrar todas as listas relacionadas E a lista relacionada de resultados de aprimoramento do MISP.
    4. Clique no ícone de visualização Ícone de visualização.ao lado de um registro e clique em Abrir registro .
      O exemplo a seguir mostra como revisar o. Resultados de aprimoramento do MISP e como abrir um MISPregistro de aprimoramento.
      Figura 2. Registro do resultado de aprimoramento do MISP
    5. Revise o registro do resultado de aprimoramento do MISP.
      Tabela 2. Resultado do aprimoramento de MISP
      Campo Descrição
      Observável
      Evento ID do evento atribuído pelo MISPservidor quando o evento foi criado ou importado pela primeira vez para MISP.

      Visualize o evento ou clique no registro para exibir os dados do evento no MISPPágina Dados do evento.
      Organização Organização que criou o. MISPatributo.
      Categoria Categoria do atributo que você adiciona ao evento específico em MISP. Você pode selecionar uma opção como uma referência interna, atividade de rede, fraude financeira e assim por diante.
      Tipo Tipo de MISPatributo.
      Fornecedor de integração Fornecedor de integração que fornece os dados para o aprimoramento do observável.
      Data de criação (no MISP) Data em que o evento foi criado ou importado pela primeira vez MISP.
      IDS Se um observável está marcado como mal-intencionado em SIR. O atributo correspondente em MISPtambém está marcado como verdadeiro.
      Distribuição Controles de opção de distribuição, como quem pode exibir este evento depois que ele é publicado. Esta opção também controla se o evento é sincronizado com outros servidores. A distribuição é herdada pelos atributos, e a configuração mais restritiva vence. As opções de distribuição são as seguintes:
      • Somente sua organização: Permite que somente membros de sua organização exibam este evento. O evento pode ser extraído para outra instância por um dos membros da sua organização, em que somente sua organização tem acesso para exibi-lo. Os eventos com esta configuração não são sincronizados.
      • Somente esta comunidade: Habilita usuários que fazem parte do seu MISPpara exibir o evento, incluindo sua própria organização, organizações neste MISPe organizações que são executadas MISPservidores que sincronizam com este servidor. Todas as outras organizações conectadas a esses servidores vinculados estão impedidas de exibir o evento.
      • Comunidades conectadas: Habilita os usuários que fazem parte do seu MISPcomunidade para exibir o evento, incluindo todas as organizações neste MISPservidor, todas as organizações em MISPservidores que sincronizam com este servidor e as organizações de hospedagem de servidores que se conetam a qualquer servidor que esteja a dois saltos de distância). Todas as outras organizações conectadas aos servidores vinculados que estão a dois saltos de distância estão impedidas de exibir o evento.
      • Todas as comunidades: Compartilha o evento com todos MISP, o que permite que o evento esteja disponível gratuitamente.
      Hiperlink para o evento MISP Link para MISPevento armazenado no MISPservidor.
      Dados brutos Detalhes brutos do registro de dados de aprimoramento do observável.
      Comentar Comentários que você adiciona aos atributos. Esses comentários são apenas para fins informativos e não são usados para correlação.
      Marcadores (local) Marcadores que estão disponíveis na organização host MISPinstância para habilitar a marcação para sincronização e filtragem de exportação. MISPos eventos não são modificados quando você usa marcadores locais. Esses marcadores são sempre removidos antes de serem sincronizados com outros MISPe comunidades de compartilhamento.
      Marcadores (global) Marcadores que estão disponíveis globalmente para serem compartilhados e sincronizados com outros MISPe comunidades de compartilhamento. Quando você adiciona marcadores globais a. MISP, você modifica eventos.
      Galáxias (local) Galáxias que estão disponíveis na organização host MISPinstância para filtragem de sincronização e exportação. MISPos eventos não são modificados quando você usa galáxias locais. Estas galáxias são sempre despojadas antes de serem sincronizadas com outras MISPe comunidades de compartilhamento.
      Galáxias (global) Galáxias que estão disponíveis globalmente para serem compartilhadas e sincronizadas com outras MISPe comunidades de compartilhamento. Quando você adiciona galáxias globais, MISPos eventos foram modificados.
    6. Para editar um marcador local ou global, clique no ícone de edição Ícone Editar.em uma das seguintes opções:
    • Marcadores (local)
    • Marcadores (global)
    1. Na caixa de diálogo Marcadores de atributo MISP, insira o nome do marcador a ser pesquisado e adicionado.
    2. Clique em Atualize marcadores para atributo MISP .

      O exemplo a seguir mostra que, ao clicar no ícone de edição dos marcadores locais, você pode pesquisar e adicionar os marcadores C3, Adware, C2 e Botnet 3101 e atualizar o servidor MISP com os marcadores. A mensagem de confirmação mostra que todos os marcadores foram atualizados em MISP.

      Os marcadores são atualizados com sucesso no MISPservidor.
    3. Para exibir as mudanças no registro, clique em Recarregue o formulário na mensagem de sucesso.

    Adicione ou remova galáxias a MISPevento ou atributo

    Adicione ou remova galáxias em MISPpara que você possa classificar esses objetos como um cluster em MISPe anexe-os a. MISPeventos ou atributos.

    Antes de Iniciar

    • Revise MISP permissões e função do usuário para usar o. MISPrecursos bidirecionais.
    • Para adicionar galáxias locais, o usuário que configurou a integração deve pertencer à organização host do correspondente MISPservidor.
    • Observe que os marcadores e galáxias que estão disponíveis para você são baseados em MISPorigem e suas permissões de distribuição.
    • Função necessária: sn_sec_misp.write

    Procedimento

    1. Clique no ícone de edição Ícone Editar.em uma das seguintes opções.
    • Galáxias (local)
    • Galáxias (global)
    1. Na caixa de diálogo Galáxias de evento MISP, preencha os detalhes.
      Tabela 3. Galáxias de evento MISP
      Campo Descrição
      ID do evento ID do evento atribuído pelo MISPservidor quando o evento foi criado ou importado pela primeira vez para MISP.
      Namespace Namespace onde a galáxia está armazenada. Você pode usar namespaces para agrupar galáxias semelhantes.
      Galáxias Galaxy onde você armazena as informações do cluster.
      Clusters Informação sobre os enxames na galáxia.
    2. Clique em Atualize galáxias para atributo MISP .
      O exemplo a seguir mostra que, ao clicar no ícone de edição das galáxias locais, você pode selecionar o namespace obsoleto, selecionar o ataque empresarial - galáxia de padrão de ataque e adicionar as informações do cluster. Depois que as informações da galáxia forem atualizadas, você poderá exibir a mensagem de sucesso.

    3. Para exibir as mudanças no registro, clique em Recarregue o formulário na mensagem de sucesso.

    Resultado

    As informações da galáxia foram atualizadas com sucesso no MISPservidor.

    Adicione comentários a. MISPatributo

    Adicione comentários para MISPatributos. Os comentários que você adiciona são apenas para fins informativos e não são usados para correlação de MISPdados.

    Antes de Iniciar

    Procedimento

    1. Clique no ícone de edição Ícone Editar.No campo Comentário.
    2. Insira seu comentário no campo Comentário do atributo.
    3. Clique em Atualizar comentário para atributo MISP .
      O exemplo a seguir mostra que, ao clicar no ícone de edição ao lado do campo de comentário, você pode adicionar um comentário e atualizar o. MISPatributo. Depois que o comentário for atualizado, você poderá exibir a mensagem de sucesso.

    4. Para exibir as mudanças no registro, clique em Recarregue o formulário na mensagem de sucesso.

    Resultado

    O comentário foi atualizado com sucesso em MISPservidor.