Konfigurieren Sie MISP Sichtungssuchen

  • Freigeben Version: Xanadu
  • Aktualisiert 1. August 2024
  • 1 Minute Lesedauer

    • Konfigurieren Sie Now Platform, um Sichtungssuchen nach erkennbaren Elementen in der Instanz MISP durchzuführen. Mit diesen Informationen können Sie bestimmen, wie häufig Bedrohungen auftreten.

    Vorbereitungen

    Warum und wann dieser Vorgang ausgeführt wird

    Der Workflow „Security Operations Integration - Sichtungssuche“ führt die Sichtungssuchen aus. Dieser Workflow akzeptiert eine Liste von erkennbaren Elementen, sucht nach implementierenden Fähigkeiten, erstellt die Abfragen, die auf den Sichtungssuchkonfigurationen basieren, und führt die Suchen aus, die auf dem konfigurierten Workflow basieren.

    MISP integration for Security Operations stellt ein Sichtungssuchprofil für das Basissystem bereit, mit dem Sie automatische Sichtungssuchen konfigurieren können. Mit diesem Profil können Sie auf die zugehörigen Sichtungsinformationen für erkennbare Elemente einer Organisation zugreifen und auch die externen Sichtungen anderer Organisationen anzeigen.

    Prozedur

    1. Navigieren zu Alle > MISP-Integration > Sichtungssuche: Konfigurationan.
    2. Klicken Sie auf Neu.
    3. Füllen Sie die Felder des Formulars aus.
      Tabelle : 1. Formular „Konfigurationen für Sichtungssuche“.
      Feld Beschreibung
      Name Name des Fähigkeitsprofils.
      Ist gespeicherte Suche Suchkonfiguration, die gespeichert wird, wenn Sie diese Option auswählen. Die gespeicherten Suchkonfigurationsabfragen sind Beispielabfragen. Sie können sie durch die Parameter für Ihre Umgebung ersetzen und bei Bedarf zusätzliche gespeicherte Suchkonfigurationen erstellen.
      Sichtungssuchquelle Quelle für die Sichtungssuche. Wählen Sie den Protokollspeicher MISP als Quelle aus.
      Aktiv Mit dieser Option wird die gespeicherte Suchkonfiguration aktiviert. Nur aktive Suchkonfigurationen können eine Sichtungssuche durchführen.
      Erkennbarer Typ Typ erkennbarer Elemente wie IP-Adresse, Hash-Wert, URL und Domänenname.
      Maximales erkennbares Element pro Suche Maximale Anzahl erkennbarer Elemente, die Sie in einer Suchabfrage anzeigen können.
      Suchen Standardsuchzeichenfolge, die $(observable)ist. Sie definieren jedoch Ihre eigene Suchabfrage, indem Sie die vom Protokollspeicher MISP unterstützten Parameter angeben.
    4. Klicken Sie auf Absenden.

    Ergebnisse

    Sie haben ein Konfigurationsprofil für die Sichtungssuche MISP erstellt.