Konfigurieren Sie anwenderdefiniert MISP API-Feed

  • Freigeben Version: Australia
  • Aktualisiert 12. März 2026
  • 2 Minuten Lesedauer

    • Die Malware Information Sharing Platform( MISP) Mit dem API-Feed können Sie Ereignisse aus importieren MISP Server zusammen mit den zugehörigen Attributen und Objekten in in TISC Bibliothek.

    Vorbereitungen

    Erforderliche Rolle: sn_sec_tisc.admin

    Prozedur

    1. Navigieren zu Arbeitsbereiche > Threat Intelligence-Sicherheitszentrum > Integrationenan.
    2. Wählen Sie Aus Anwenderdefiniert .
      Hinweis:
      Standardmäßig ist MISP Feed ist inaktiv. Sie müssen bearbeiten Konfiguration Zum Aktivieren des Feeds.
      Integrationsschnittstelle, die Threat Intelligence-Feeds mit anzeigt MISP Feed aktiviert und CrowdStrike-Feed inaktiv.
    3. Wählen Sie aus Bearbeiten Schaltfläche auf MISP-Feed Karte.
    4. Navigieren Sie zu Konfigurationsdetails Abschnitt.
    5. Aktualisieren Sie REST-Endpunkt-URL Feld.
    6. Fügen Sie die erforderlichen Authentifizierungsdetails für hinzu MISP Server (falls vorhanden).
    7. Navigieren Sie zu Zusätzliche Einstellungen Zum Konfigurieren der Filter zum Abrufen der Daten aus MISP.

      MISP Feed: Zusätzliche Einstellungen

      Die Zusätzliche Einstellungen Die Registerkarte wird verwendet, um Filter einzurichten, die bestimmen, welche MISP Ereignisse werden erfasst.

    8. Wählen Sie Aus Bearbeiten Sie Einstellungen .

      Dialogfeld „zusätzliche Einstellungen bearbeiten“ mit Filtern für MISP Ereignisse, einschließlich Erstellerorganisation, Tag-Name, Bedrohungsstufe und Verteilungsebene.

    9. Wählen Sie die erforderlichen Filter aus.
      Hinweis:
      Alle konfigurierten Filter werden beim Erfassen der Ereignisse in Verbindung angewendet.
      Im folgenden Abschnitt wird jede verfügbare Option erläutert. Überprüfen Sie jede Option in der folgenden Tabelle, um zu verstehen, wie Filter welche optimieren MISP Ereignisse werden in erfasst TISC Bibliothek.
    10. Wählen Sie die erforderlichen Werte aus den folgenden verfügbaren Filtern aus.
      Tabelle : 1. Zusätzliche Einstellungen bearbeiten
      Feld Beschreibung
      Filtert nach Ereignissen
      Schließen Sie nicht veröffentlichte Ereignisse ein Aktivieren Sie dieses Kontrollkästchen, wenn Sie nicht veröffentlichte Ereignisse einschließen möchten.
      Name oder ID der Erstellerorganisation Geben Sie eine kommagetrennte Liste von Organisationsnamen und/oder IDs ein, die dem Ereignis zugeordnet sind.
      Hinweis:
      Wenn der Organisationsname führende oder nachfolgende Leerzeichen enthält, schließen Sie den Namen in doppelte Anführungszeichen ein, um die ordnungsgemäße Verarbeitung zu bestätigen.
      Tag-Name oder ID Geben Sie eine kommagetrennte Liste von Tag-Namen und/oder Tag-IDs ein, die dem Ereignis zugeordnet sind.
      Bedrohungsstufe Wählen Sie eine Bedrohungsstufe aus, um eingehende Ereignisse zu filtern. Wenn Sie dieses Feld leer lassen, werden Ereignisse aller Bedrohungsstufen eingeschlossen.
      Verteilungsebene Wählen Sie eine Verteilungsebene aus, um Ereignisse zu begrenzen. Wenn Sie dieses Feld leer lassen, werden Ereignisse aller Verteilungsebenen eingeschlossen.
      Hinweis:

      Nachdem Sie definiert haben Zusätzliche Einstellungen Befolgen Sie die Anweisungen zuvor, um den Feed beim Erstellen eines anderen zu duplizieren. Weitere Informationen finden Sie in Schritt 13.

    11. Wählen Sie Aus Aktualisieren Auf Zusätzliche Einstellungen Dialogfeld zum Speichern der geänderten zusätzlichen Einstellungen.
    12. Wählen Sie Aus Aktivieren Zum Aktivieren von MISP Feed zum Einbeziehen von MISP Ereignisse.

      Die TISC Die Anwendung verwendet das in konfigurierte Datum Daten von abrufen Feld als Baseline zum Abrufen von Ereignissen und zugehörigen Attributen.

      Die Daten von abrufen Das Datum bestimmt, welche Ereignisse und zugehörigen Attribute abgerufen werden. TISC Vergleicht dieses Datum mit bestimmten Zeitstempeln basierend auf dem Ereignisstatus:

      • Veröffentlichte Ereignisse : Im Vergleich zu Veröffentlichter Zeitstempel .
      • Nicht veröffentlichte Ereignisse : Im Vergleich zu Zeitstempel der letzten Aktualisierung .

      Ein Ereignis wird nur abgerufen, wenn sein relevanter Zeitstempel nach dem konfigurierten liegt Daten von abrufen Datum.

      Die Verwendung des entsprechenden Zeitstempels für jeden Ereignisstatus hilft, den genauen Abruf sowohl neu veröffentlichter Ereignisse als auch kürzlich aktualisierter unveröffentlichter Ereignisse zu verifizieren.

    13. Wahlweise: Wählen Sie Aus Duplikat Zum Duplizieren des Feeds.
      Weitere Informationen finden Sie unter Doppelte Threat Intelligence-Feeds.
      Hinweis:
      • Jeweils MISP Ereignis in importiert TISC Bibliothek, ob als Bedrohungsbericht Oder Bedrohungsereignis , Enthält eine zugeordnete Externe Referenz Datensatz.
      • Dieser Datensatz ist über zugänglich Zugehörige Datensätze Registerkarte und stellt einen direkten URL-Link zum entsprechenden bereit MISP Ereignis auf MISP Server. Dies ermöglicht auch einen schnellen Zugriff auf die ursprünglichen Ereignisdaten.
      • Für Details zur Vorgehensweise MISP Ereignisse werden zusammen mit ihren zugehörigen Attributen und Objekten zugeordnet TISC Entitäten, siehe KB2197697 .
      • Entitätstypen, die nicht in der im KB-artikel beschriebenen Zuordnung enthalten sind, werden nicht in erfasst TISC Bibliothek.