Konfigurieren Sie, wie ein automatisches Event erstellt wird

Freigeben Version: Washingtondc

Aktualisiert 1. Februar 2024

7 Minuten Lesedauer

Konfigurieren Sie Now Platform, um automatisch Events in MISP] zu erstellen.

Vorbereitungen

Überprüfen Sie die MISP Benutzerrolle und Berechtigungen , die für die Verwendung der bidirektionalen Funktionen von MISP erforderlich sind.
Erforderliche Rolle: sn_si.admin, sn_ti.admin

Prozedur

Navigieren zu Alle > MISP-Integration > Profile für die automatische Erstellung von Ereignissen.
Klicken Sie auf Neu.

Füllen Sie die Felder des Formulars aus.

Tabelle : 1. Namensformular
Feld	Beschreibung
Name	Name des Profils für die automatische Event-Erstellung.
Beschreibung	Kurze Beschreibung des Profils. Eine detailliertere Beschreibung wird über die Attribute in der nächsten Phase der Event-Erstellung geteilt.
Bestellung	Reihenfolge des Profils, wenn die Auslöserbedingungen erfüllt sind. Der Standardwert ist 100. Belassen Sie diese Einstellung auf der Standardeinstellung. Wenn Sie mehrere Profile erstellen, stellt dieser Wert eine Ausführungszeitpriorität bereit, wenn zwei oder mehr Profile Auslösebedingungen gemeinsam nutzen. Das Profil mit der niedrigsten Nummer hat die höchste Priorität.
Quelle	MISP Quelle für die Event-Erstellung.
Aktiv	Option, die angibt, ob das Profil aktiv oder inaktiv ist. Die Option ist standardmäßig deaktiviert, um anzuzeigen, dass das Profil deaktiviert ist. Dieses Profil ist erst aktiv, wenn Sie alle Profilkonfigurationsschritte abgeschlossen und auf Fertigstellen geklickthaben.

Klicken Sie auf Fortsetzen.

Konfigurieren Sie Bedingungen für Event-Auslöser

Konfigurieren Sie die Event-Auslöserbedingungen in Now Platform, damit Sie automatisch ein Event in MISP auslösen können, wenn die Bedingungen erfüllt sind.

Vorbereitungen

Erforderliche Rolle: sn_sec_misp.write

Prozedur

Füllen Sie im Formular „Auslöserbedingungen“ die Details aus, die ein Event auslösen können.

Sie können eine zusammengesetzte Logik erstellen, indem Sie die Auslösebedingungen angeben, die auf Security Incident-Feldern oder erkennbaren Feldern basieren. Sie können Events auch in MISP erstellen, wenn für erkennbare Elemente kein entsprechendes Event in MISPvorhanden ist. Sie können eine zusammengesetzte Logik erstellen, indem Sie eine Kombination der drei Auslösebedingungen verwenden: Auslöser basierend auf Security Incident-Feldern, Auslöser basierend auf erkennbaren Feldern und MISP-Ereignis erstellen, wenn ein erkennbares Element keine entsprechenden Ereignisse in MISP aufweist. Wenn Sie mehrere Auslöser auswählen, können Sie sie mithilfe der UND-Bedingung verbinden. Erwägen Sie die Erstellung eines Profils mit neuen Bedingungen, wenn Sie die ODER-Bedingung verwenden müssen.

Tabelle : 2. Formular „Event-Auslöserbedingungen“
Feld	Beschreibung
Auslöser basierend auf Security Incident-Feldern	MISP Event, das Sie erstellen können, wenn alle Auslösebedingungen für Security Incidents erfüllt sind.
Auslösebedingungen für Security Incident	Filter in der ersten Zeile, die Sie mithilfe der Listen und Felder des Bedingungsgenerators festlegen können. Um weitere Bedingungen hinzuzufügen, klicken Sie auf UND oder ODER. Wenn UND ausgewählt ist, müssen alle Bedingungen erfüllt sein. Wenn OR ausgewählt ist, kann eine der beiden Bedingungen erfüllt sein. Um eine zweite Filterbedingung festzulegen, klicken Sie auf Neue Kriterien.
Auslöser basierend auf erkennbaren Feldern	MISP Ereignis, das Sie erstellen können, wenn alle Auslöserbedingungen für erkennbare Elemente erfüllt sind.
Auslösebedingungen für erkennbare Elemente	Filter in der ersten Zeile, die Sie mithilfe der Listen und Felder des Bedingungsgenerators festlegen können. Um weitere Bedingungen hinzuzufügen, klicken Sie auf UND oder ODER. Wenn UND ausgewählt ist, müssen alle Bedingungen erfüllt sein. Wenn OR ausgewählt ist, kann eine der beiden Bedingungen erfüllt sein. Um eine zweite Filterbedingung festzulegen, klicken Sie auf Neue Kriterien.
Erstellen Sie ein MISP-Ereignis, wenn das erkennbare Element keine entsprechenden Ereignisse in MISP enthält.	MISP Event, das Sie erstellen können, wenn ein erkennbares Element keine entsprechenden Events in MISPhat.

Konfigurieren Sie Bedingungen, die auf einem in MISP erstellten Event basieren. — Abbildung : 1. Bedingungen für Event-Auslöser

Klicken Sie auf Fortsetzen.

Ordnen Sie die Event-Felder MISP zu

Ordnen Sie die MISP -Ereignisfelder in Now Platform zu, damit Security Incident-Informationen verfügbar sind, wenn MISP -Ereignisse erstellt werden.

Vorbereitungen

Erforderliche Rolle: sn_sec_misp.write

Prozedur

Füllen Sie die Felder des Formulars aus.

Tabelle : 3. Formular „Standardmäßige MISP-Event-Feldzuordnung“.
Feld	Beschreibung
Information zum Ereignis	Ereignisinformationen, die automatisch aus Now Platform Security Incident Responseerstellt werden. Das Feld Event -Informationen unterstützt Substitutionsvariablen durch Verwendung von $⁠{SIR FIELD LABEL}$. Während der Event-Erstellung werden diese Variablen durch die tatsächlichen Security Incident-Feldwerte ersetzt. Die Substitutionsvariable ${URL}$ wird durch die URL des Security Incident ersetzt.
Verteilung	Option, die steuert, wer dieses Event anzeigen kann, nachdem das Event veröffentlicht wurde. Diese Option steuert auch, ob das Event mit anderen Servern synchronisiert wird. Die Verteilung wird von den Attributen geerbt, und die restriktivste Einstellung hat Vorrang. Die Verteilungsoptionen lauten wie folgt: Nur Ihre Organisation: Ermöglicht nur Mitgliedern Ihrer Organisation, dieses Event anzuzeigen. Das Event kann von einem Ihrer Organisationsmitglieder in eine andere Instanz abgerufen werden, wo nur Ihre Organisation Zugriff hat, um es anzuzeigen. Events mit dieser Einstellung werden nicht synchronisiert. Nur diese Community: Ermöglicht Benutzern, die Teil Ihrer MISP Community sind, das Event anzuzeigen, einschließlich Ihrer eigenen Organisation, Organisationen auf diesem MISP Server und Organisationen, die MISP Server ausführen, die mit diesem Server synchronisieren. Alle anderen Organisationen, die eine Verbindung zu Ihren verknüpften Servern herstellen, können das Event nicht anzeigen. Verbundene Communitys: Ermöglicht Benutzern, die Teil Ihrer MISP -Community sind, das Event anzuzeigen, einschließlich aller Organisationen auf diesem MISP -Server, aller Organisationen auf den MISP -Servern, die mit diesem Server synchronisiert werden, und der Hosting-Organisationen von Servern, die eine Verbindung zu einem beliebigen Server herstellen , der zwei Hops entfernt ist. Alle anderen Organisationen, die mit den verknüpften Servern verbunden sind, die zwei Hops entfernt sind, können das Event nicht anzeigen. Alle Communitys: Gibt das Event für alle MISP Communities frei.
Bedrohungsstufe	Feld, das die Risikostufe des Ereignisse angibt. Sie können Incidents in drei verschiedene Bedrohungskategorien (niedrig, mittel, hoch) kategorisieren. Dieses Feld kann auch als undefiniert belassen werden. Im Folgenden sind die Optionen aufgeführt: Niedrig: Allgemeine Massen-Malware Mittel: Advanced Persistent Threats (APT) Hoch: Ausgereifte APTs und 0-Tage-Angriffe
Analysestatus	Aktuelle Phase der Analyse für das Event mit den folgenden möglichen Optionen: Anfänglich: Die Analyse beginnt gerade Laufend: Die Analyse wird ausgeführt Abgeschlossen: Die Analyse ist abgeschlossen

Das folgende Beispiel zeigt das Formular, das Sie zum Erstellen eines Events in MISP verwenden können.

Abbildung : 2. Standardmäßige MISP-Ereignisfeldzuordnung

Konfigurieren Sie das Formular, um ein neues Event in MISP zu erstellen.

Klicken Sie auf Fortsetzen.

Ordnen Sie SIR erkennbare Elemente als Attribute zu Ereignissen von MISP zu, oder ordnen Sie sie zu

Ordnen Sie die erkennbaren Typen Security Incident ResponseMISP den Attributtypen [] zu, da die Attributtypen MISP und die erkennbaren Elemente SIR unterschiedlich sein können.

Vorbereitungen

Erforderliche Rolle: sn_sec_misp.write

Warum und wann dieser Vorgang ausgeführt wird

MISP integration for Security Operations stellt eine Basissystemzuordnung bereit, die Sie verwenden, wenn Sie SIR erkennbare Elemente als Attribute zu einem MISP -Event hinzufügen.

Sie können die Basissystemzuordnung an Ihre Umgebung anpassen. Sie können beispielsweise mehrere SIR erkennbare Elemente nur einem Attributtyp MISP zuordnen. Wenn erkennbare Typen nicht zugeordnet sind, wird standardmäßig der andere MISP Attributtyp ausgewählt.

Prozedur

Ordnen Sie im Formular „Zusätzliche Optionen“ das erkennbare Element SIR und die Attributtypen MISP zu.

Ordnen Sie die erkennbaren Typen Security Incident ResponseMISP den Attributtypen [] zu, wie in der folgenden Tabelle beschrieben.

Tabelle : 4. Zuordnung von erkennbarem SIR- und MISP-Attributtyp
Feld	Beschreibung
Alle zugehörigen erkennbaren Elemente als Attribute hinzufügen	Option, die Sie aktivieren, um einem MISP -Event verfügbare erkennbare Elemente in einem Security Incident als Attribute hinzuzufügen. Diese Option aktiviert die Zuordnung im Abschnitt „Zuordnung erkennbarer Typ zu Attributtyp“.
Zuordnung erkennbarer Typ zu Attributtyp	Option zum Zuordnen der erkennbaren Typen [ SIR zu den Attributtypen MISP. Sie können beispielsweise die CVE-Nummer in SIR dem Schwachstellenattribut in MISPzuordnen . Sie können einen erkennbaren Typ [] nur einem Attributtyp MISPSIR hinzufügen. Das Basissystem bietet eine Zuordnung der erkennbaren Typen [ SIR zu den Attributtypen MISP. Wenn SIR erkennbare Typen keinem Attributtyp MISP zugeordnet sind, wird das erkennbare Element dem anderen Attributtyp in MISPzugeordnet. Um eine neue Zuordnung hinzuzufügen, klicken Sie auf Erkennbaren Typhinzufügen, suchen Sie nach dem erkennbaren Typ SIR ] und ordnen Sie ihn dann dem entsprechenden Attributtyp MISP zu. Klicken Sie auf das Symbol , um die Attributzuordnungszuordnung SIR und MISP zu entfernen. Hinweis: Weitere Informationen zu MISP -Attributtypen finden Sie in der MISP-Dokumentation.
Legen Sie die Attribut-IDS-Kennzeichnung fest, wenn die Erkennung von erkennbaren Elementen schädlich ist.	Option, die Sie darüber informiert, dass, wenn ein erkennbares Element in SIRals schädlich markiert ist, für das entsprechende Attribut in MISP die IDS-Kennzeichnung aktiviert ist. Wenn die IDS-Kennzeichnung nicht festgelegt ist, wird das Attribut als kontextbezogene Information betrachtet und nicht für die automatische Angriffserkennung verwendet.

Das folgende Beispiel zeigt, wie Sie zur Seite mit zusätzlichen Optionen navigieren. Auf dieser Seite können Sie die Zuordnung von erkennbaren SIR-Elementen und MISP-Attributtypen aktivieren, neue erkennbare Typen von SIR hinzufügen, z. B. das IPv6-Netzwerk und das IPv4-Netzwerk, und sie der Domänen-IP-Adresse des Attributtyps MISP zuordnen.

Abbildung : 3. Zuordnung von SIR erkennbaren Elementen und MISP Attributtypen

Ordnen Sie das erkennbare SIR-Element und den MISP-Attributtyp zu.

Synchronisieren Sie MITRE-ATT&CK Informationen mit MISP Events

Synchronisieren Sie die MITRE-ATT&CK -Informationen mit den MISP -Attributen, um die Analyse von Security Incidents und Bedrohungen zu verbessern.

Vorbereitungen

Erforderliche Rolle: sn_sec_misp.write

Prozedur

Überprüfen Sie im Formular „Zusätzliche Optionen“ die Optionen zum Synchronisieren der MITRE-ATT&CK -Informationen mit den MISP -Attributen.

Tabelle : 5. Formular „Erweiterte Optionen“
Feld	Beschreibung
Synchronisieren Sie die Techniken des Security Incident MITRE-ATT&CK™ als lokale Galaxien mit dem Event MISP .	Option zum Synchronisieren der Security Incident-Techniken von Now Platform SIRMITRE-ATT&CK™ als lokale Galaxien im Event MISP. Hinweis: Um lokale Galaxien hinzuzufügen, muss der Benutzer, der die Integration konfiguriert hat, zur Hostorganisation des entsprechenden MISP -Servers gehören.
Synchronisieren Sie die Techniken des Security Incident MITRE-ATT&CK™ als globale Galaxien mit dem Ereignis MISP .	Option zum Synchronisieren der Now Platform SIR Security Incident-Techniken MITRE-ATT&CK™ als globale Galaxien im Ereignis MISP.

Ergebnisse

Sie haben ein Profil erstellt, mit dem Sie Events in MISP automatisch aus Now Platformerstellen können. Sie können die Events jetzt in der zugehörigen Liste Zugeordnete MISP-Events anzeigen.