Revisar as configurações de integração MISP
Revise as configurações de MISP integration for Security Operations e modifique as propriedades do sistema padrão para adequá-las ao seu ambiente.
Antes de Iniciar
Função necessária: sn_si.admin, sn_ti.admin
Procedimento
- Navegar até Tudo > Integração MISP > Configurações de integração.
-
Modifique as seguintes configurações conforme necessário.
Tabela 1. Configurações de integração de MISP Nome da propriedade Descrição Aprimoramento de Observável Tempo (em horas) antes de buscar novos dados Tempo em horas antes que você possa buscar novos dados. Tipo: inteiro
Valor padrão: 24
Pesquisa de Vistas Executar pesquisa de detecções automaticamente quando novos observáveis forem associados ao incidente de segurança Pesquisa de detecções que é executada sempre que um novo observável está associado a um incidente de segurança. Valor padrão: sim
Intervalo de pesquisa (em dias) para pesquisa de detecções no MISP Número de dias em que os dados de pesquisa de detecções são pesquisados em MISP. Use esta opção somente para o recurso de pesquisa de detecções automática. Valor padrão: 90
Sincronização de dados Período de intervalo (em minutos) para que os marcadores sejam obtidos e sincronizados com o MISP MISP marcadores que são buscados no momento da configuração da integração. Depois que os dados estão no Now Platform, esta propriedade define a frequência na qual os dados com o servidor MISP são sincronizados. O valor é definido em minutos. Valor padrão: 1440 (minutos ou 24 horas)
Período de intervalo (em minutos) para atualizar galáxias MISP de origens configuradas MISP galáxias que são buscadas no momento da configuração da integração. Depois que os dados estão no Now Platform, esta propriedade define a frequência na qual os dados com o servidor MISP são sincronizados. O valor é definido em minutos. Valor padrão: 1440 (minutos ou 24 horas)
Período de intervalo (em minutos) para que as organizações sejam obtidas e sincronizadas com o MISP MISP organizações que são buscadas no momento da configuração da integração. Depois que os dados estão no Now Platform, esta propriedade define a frequência na qual os dados com o servidor MISP são sincronizados. O valor é definido em minutos. Valor padrão: 1440 (minutos ou 24 horas)
MITRE™ Extração de técnica Acumular MITRE-ATT&CK técnicas automaticamente dos Resultados de enriquecimento observável do MISP (Tags) para o incidente de segurança Acúmulo de MITRE-ATT&CK informações de MISP resultados de aprimoramento observáveis (marcadores) para o incidente de segurança. Valor padrão: sim
Acumular MITRE-ATT&CK técnicas automaticamente dos Resultados de enriquecimento observável do MISP (Galaxies) para o incidente de segurança Acúmulo de MITRE-ATT&CK informações dos MISP resultados de aprimoramento observáveis (galáxias) para o incidente de segurança. Valor padrão: sim
Nota:- Para usar os recursos de extração da técnica MITRE™ em MISP, você deve habilitar o MITRE-ATT&CK recurso no Inteligência contra ameaças módulo.
- O MISP integration for Security Operations apresenta duas regras de extração da técnica do sistema base MITRE-ATT&CK para galáxias MISP - MISP e marcadores MISP. Para obter mais informações sobre regras de extração automática em MITRE-ATT&CK, consulte regras de técnica de extração automática para importar informações do MITRE-ATT&CK.
- Clique em Salvar.