Pesquisas de detecções em MISP
Você pode realizar pesquisas de detecções em observáveis no MISPPara determinar com que frequência determinados tipos de ataques, como ataques de phishing ou comunicações com um IP ou URL malicioso, ocorrem em sua rede. Cada ocorrência é considerada um avistamento.
Vistas em MISP
Alguns atributos são considerados como falsos positivos, o que significa que não são detecções válidas. Outros atributos são válidos por apenas uma determinada duração, como uma campanha de phishing executada por apenas uma semana. Você pode atribuir uma data de expiração aos atributos que são válidos por uma determinada duração, mas cada organização pode atribuir apenas uma data de expiração válida a um atributo.
Detecções criadas em MISPPor usuários de organizações marcadas como locais no servidor MISP correspondente são conhecidas como detecções internas. Detecções criadas em MISPpor usuários de organizações marcadas como remotas no correspondente MISPo servidor é conhecido como detecções externas.
Pesquisas de detecções em SIR
. Integração de operações de segurança - Fluxo de trabalho de pesquisa de detecções executa a pesquisa de detecções. Isso o flow aceita uma lista de observáveis, encontra todos os recursos de implementação, cria as consultas baseadas nas configurações de pesquisa de detecções e executa as pesquisas baseadas no configurado fluxo.
As pesquisas de detecções ajudam os analistas a determinar a prevalência de uma ameaça ao longo do tempo. Você pode selecionar observáveis individuais ou vários observáveis e o intervalo de datas para sua pesquisa a partir de um incidente de segurança. Os resultados são incluídos no Incidente de segurança Detecções , Resultados da pesquisa de detecções e. Detalhes da pesquisa de detecções listas relacionadas.
Ao começar a analisar um incidente, você pode configurar seu Now Platformpara execute automaticamente uma pesquisa de detecções ou execute manualmente uma pesquisa de detecções observáveis para identificar outros usuários em sua organização que são afetados pelo mesmo ataque de phishing.
Habilite pesquisas de detecções automáticas em MISP
Habilite a pesquisa de detecções em MISPPara executar automaticamente para que o fluxo de trabalho Integração de operações de segurança - Pesquisa de detecções seja acionado sempre que novos observáveis forem associados a um incidente de segurança.
Antes de Iniciar
Verifique se Perfil de configuração de pesquisa de detecções para MISP está ativo.
Função necessária: sn_si.analista
Por Que e Quando Desempenhar Esta Tarefa
Procedimento
Execute uma pesquisa de detecção manual em MISP
Selecione observáveis individuais ou vários observáveis e execute uma pesquisa de detecção manual no Now Platform MISP integration for Security Operationsaplicação para determinar a prevalência de uma ameaça ao longo do tempo.
Antes de Iniciar
- Revise MISP permissões e função do usuário para usar o. MISPrecursos bidirecionais.
- Função necessária: sn_si.analista
Procedimento
Resultado
Relate detecções para MISP
Relate detecções de dados de ameaças para que você possa reagir a falsos positivos em seus dados e aumentar sua conscientização quando ocorrer uma ameaça positiva verdadeira. Você também pode adicionar uma data de expiração para um observável ou atributo específico.
Antes de Iniciar
- Revise MISP permissões e função do usuário para usar o. MISPrecursos bidirecionais.
- Função necessária: sn_si.analista
Por Que e Quando Desempenhar Esta Tarefa
Para relatar um avistamento para MISP, o observável ou o atributo deve estar disponível no MISPinstância.