MISP integration for Security Operations
Mit MISP integration for Security Operationskönnen Sie Security Incidents mit Sichtungssuchen, Ergänzung erkennbarer Elemente untersuchen und Events in MISPerstellen oder aktualisieren. Mit MISPkönnen Sie gezielte Angriffe schneller untersuchen, das Erkennungsverhältnis verbessern und die Anzahl der Falschmeldungen in Ihrer Umgebung reduzieren.
Apps im Store anfordern
Besuchen Sie die ServiceNow Store-Website, um alle verfügbaren Apps anzuzeigen und Informationen zum Senden von Anforderungen an den Store zu erhalten. Kumulative Informationen zum Release für alle veröffentlichten Apps finden Sie in den Release-Hinweisen zum ServiceNow Store-Versionsverlauf.
MISP-Übersicht
MISP, was für Malware Information Sharing Platformsteht, ermöglicht Ihnen den Austausch und die gemeinsame Nutzung von Bedrohungsdaten und Gefährdungsindikatoren (Indicators of Compromise, IoCs) über die anvisierte Malware und Angriffe innerhalb Ihrer Community vertrauenswürdiger Mitglieder. Sie können MISP Informationen auch für private oder offene Communities freigeben. Durch den Austausch von MISP Informationen können Sie gezielte Angriffe schneller untersuchen, das Erkennungsverhältnis verbessern und die Anzahl der Falschmeldungen in Ihrer Umgebung reduzieren.
MISP und Security Operations
Im folgenden Beispiel erfahren Sie, wie die Informationen MISP mit Security Operations-Anwendungen fließen.
Schlüsselfunktionen
- Stellen Sie eine Verbindung zu privat und öffentlich her MISP instances.
- Unterstützt die manuelle und automatische Sichtungssuche von erkennbaren Elementen.
- Führen Sie eine Sichtungssuche über die Fallverwaltung aus.
- Sichtungen für ein Attribut melden oder aktualisieren:
- Erkennbares Element als Sichtung melden (global)
- Erkennbares Element als falsch positiv melden (global)
- Melden Sie ein erkennbares Element als abgelaufen
- Unterstützt die manuelle und automatische Ergänzung erkennbarer Elemente. Die Ergebnisse umfassen das Attribut MISP und Event-Informationen, die den erkennbaren Elementen zugeordnet sind.
- Attributanreicherung in MISP, einschließlich Hinzufügen oder Aktualisieren von Tags, Galaxienoder Kommentaren.
- Event-Erstellung in MISP von SIR: Unterstützt die manuelle und die automatische Erstellung von Events in MISP aus SIR.
- Aktualisieren Sie ein MISP -Ereignis aus SIR, einschließlich Hinzufügen oder Aktualisieren von Tags, Galaxienoder Attributen.
- Fügen Sie einem Security Incident zugeordnete erkennbare Elemente als Attribute hinzu MISP event.
- Automatisch extrahieren MITRE-ATT&CK™ Informationen aus MISP attributes und ordnen die Informationen SIR Security Incidents zu.
- Automatisch hinzufügen SIR MITRE-ATT&CK™ Informationen als Galaxien zu einem MISP event.
Schlüsselkonzepte
Diese Integration umfasst die folgenden Schlüsselkonzepte, die Sie kennen müssen:- MISP ist eine Threat Intelligence-Plattform (TIP). Sie verwenden TIPs, um Sicherheitsbedrohungsdaten in Echtzeit zu sammeln, zu korrelieren, zu kategorisieren, freizugeben und zu integrieren, um die Priorisierung von Aktionen und die Verhinderung, Erkennung und Reaktion von Angriffen zu unterstützen.
- MISP ist ein Threat Intelligence Management (TIM). Sie verwenden TIMs, um Bedrohungsdaten durch Kontext in Threat Intelligence umzuwandeln und Bedrohungen automatisch nach benutzerdefinierter Bewertung und Relevanz zu priorisieren.
- MISP Datenebene
- Events sind Einkapselungen für kontextbezogene Informationen.
- Attribute sind einzelne Datenpunkte, die Indikatoren oder Unterstützungsdaten sein können.
- Objekte sind benutzerdefinierte Vorlagenattributkompositionen.
- Objektreferenzen sind die Beziehungen zwischen den anderen Bausteinen.
- Sichtungen sind zeitspezifische Vorkommen eines erkannten Datenpunkts.
- MISP Kontextebene
- Tags sind Bezeichnungen, die an Events oder Attribute angehängt werden und aus Taxonomien stammen können.
- Galaxiencluster sind Knowledge Base-Elemente, mit denen Sie Events oder Attribute kennzeichnen können, die aus Galaxien stammen.
- Clusterbeziehungen bezeichnen vordefinierte Beziehungen zwischen Clustern.
- Indikatoren enthalten ein Muster, mit dem Sie verdächtige oder böswillige Cyberaktivitäten erkennen können.
- Attribute in MISP können Netzwerkindikatoren (IP-Adresse), Systemindikatoren (eine Zeichenfolge im Speicher) oder sogar Bankkontodetails sein. Die Attribute in MISP werden in anderen SIEMs oder Formaten wie STIXals erkennbare Elemente bezeichnet.
- Ein Typ beschreibt das Attribut. Zum Beispiel MD5 oder eine URL.
- Die Attributkategorie beschreibt ein Attribut. Zum Beispiel eine Nutzlastbereitstellung.
- Ein IDS-Tag bestimmt, ob ein Attribut automatisch für die Erkennung verwendet werden kann.
Wie Ihre Organisation von profitieren kann MISP integration for Security Operations
Sicherheitsanalysten müssen ein Situationsbewusstsein für die Bedrohungslandschaft entwickeln und aufrechterhalten, was bedeutet, dass sie eine überwältigende Menge an Bedrohungsdaten manuell konsolidieren und integrieren müssen. Das Sammeln, Konsolidieren und Integrieren dieser Daten nimmt wertvolle Zeit in Anspruch, was die Erkennung und Analyse von Bedrohungen verlangsamt. MISP integration for Security Operations ermöglicht es Analysten, mehr Bedrohungen zu erkennen und schneller zu reagieren, indem MISP Security Intelligence in eine vorhandene Now Platform -Instanz integriert wird.
Mit MISP integration for Security Operationskann Ihre Organisation die folgenden Aktionen ausführen:
- Ermöglichen Sie Ihren Sicherheitsanalysten, schnell und mit dem richtigen Kontext zu reagieren.
- Verbessern Sie die Effizienz Ihres Sicherheitsteams, indem Sie die Incident-Workflows zur Erkennung und Eindämmung von Bedrohungen automatisieren.
- Reduzieren Sie die Zeit für manuelle Untersuchungen, und ermöglichen Sie Sicherheitsanalysten, Indikatoren innerhalb von Now Platformzu operationalisieren und zu kuratieren.
Weitere Informationen zu dieser Integration
| Dokumentbezeichner | Dokumententitel |
|---|---|
| MISP -Dokumentationswebsite | MISP-Dokumentationswebsite |
| ServiceNow Produktdokumentations-Website | ServiceNow-Website mit Produktdokumentation |