Erste Schritte mit MISP integration for Security Operations

  • Freigeben Version: Washingtondc
  • Aktualisiert 1. Februar 2024
  • 1 Minute Lesedauer

    • Überprüfen Sie die folgenden Informationen, bevor Sie MISP integration for Security Operationseinrichten.

    Tabelle : 1. Prüfliste
    Setupaufgabe Beschreibung
    Vergewissern Sie sich, dass Sie die erforderlichen Rollen Now Platform, Threat Intelligenceund Security Incident Response zugewiesen haben. Die folgenden Rollen werden für alle MISP -Funktionen in Now Platformverwendet:
    • Der Administrator (admin) installiert die Anwendungen aus dem ServiceNow Store und weist die Rollen Security Incident-Administrator (sn_si.admin) und Threat Intelligence-Administrator (sn_ti.admin) zu.
    • sn_si.admin und sn_ti.admin können die Integration konfigurieren und die automatischen MISP Event-Erstellungsprofile einrichten.
    • sn_sec_misp.write – Die Analystrolle MISP verfügt über Lese- und Schreibberechtigungen für Daten von MISP, einschließlich Event- und Attributdaten.

    Weitere Informationen finden Sie unter Threat Intelligence einrichten.
    Weisen Sie die erforderlichen MISP Benutzerrollen zu. Überprüfen Sie die MISP Benutzerrollen und Berechtigungen, die für die Verwendung der erforderlich sind MISP integration for Security Operations.
    Hinweis:
    Weitere Informationen zu den Benutzerrollen in MISPfinden Sie im Abschnitt „Rollen“ auf der MISP-Dokumentationswebsite.
    Vergewissern Sie sich, dass Sie MISP Version 2.4.137 oder höher verwenden. MISP integration for Security Operations wird mit einem Minimum getestet MISP Version 2.4.137.
    Vergewissern Sie sich, dass die Kernanwendungen ServiceNow, die zur Unterstützung des Moduls MISP erforderlich sind, installiert und aktiviert sind.
    Vergewissern Sie sich, dass die folgenden Security Operations -Anwendungen über ServiceNow Store] installiert und aktiviert wurden. Wenn nicht installiert ist, installieren und aktivieren Sie jeweils eine Anwendung in der folgenden Reihenfolge, um eine reibungslose Installation zu gewährleisten.
    • Security Incident Response
    • ServiceNow IntegrationHub Runtime (com.glide.hub.integration.runtime)
    • ServiceNow IntegrationHub Action Step - REST (com.glide.hub.action_step.rest)

    Weitere Informationen zum Einrichten Ihrer Now Platform -Instanz für die Integration finden Sie unter Berechtigungen für Security Operations-Produkte oder -Anwendungen anfordern und ServiceNow Store-Anwendungen aktivieren.
    Domänentrennung Überprüfen Sie den Abschnitt zur Domänentrennung, wenn Sie Daten, Prozesse und Verwaltungsaufgaben trennen möchten.