Konfigurieren MISPSichtungssuchen

Freigeben Version: Yokohama

Aktualisiert 30. Januar 2025

1 Minute Lesedauer

Konfigurieren Sie Now PlatformDient zum Durchführen von Sichtungssuchen nach erkennbaren Elementen in MISPInstanz. Mit diesen Informationen können Sie bestimmen, wie oft Bedrohungen auftreten.

Vorbereitungen

Überprüfung des folgenden Elements: MISP Anwenderrolle und -Berechtigungen Die für die Verwendung von erforderlich sind MISPbidirektionale Funktionen.
Erforderliche Rolle: sn_si.admin, sn_ti.admin

Warum und wann dieser Vorgang ausgeführt wird

Die Integration von Sicherheitsvorgängen – Workflow für Sichtungssuche Führt die Sichtungssuchen aus. Dieser Workflow akzeptiert eine Liste von erkennbaren Elementen, findet alle Implementierungsfähigkeiten, erstellt die Abfragen, die auf den Konfigurationen der Sichtungssuche basieren, und führt die Suchen aus, die auf dem konfigurierten Workflow basieren.

Die MISP integration for Security OperationsStellt ein Basissystem-Sichtungssuchprofil bereit, mit dem Sie automatische Sichtungssuchen konfigurieren können. Mit diesem Profil können Sie auf die zugehörigen Sichtungsinformationen erkennbarer Elemente einer Organisation zugreifen und auch die externen Sichtungen aus anderen Organisationen anzeigen.

Prozedur

Navigieren zu Alle > MISP-Integration > Sichtungssuche: Konfigurationan.
Klicken Sie auf Neu.

Füllen Sie im Formular die Felder aus.

Tabelle : 1. Konfigurationsformular für Sichtungssuche
Feld	Beschreibung
Name	Name für das Fähigkeitsprofil.
Ist gespeicherte Suche	Suchkonfiguration, die gespeichert wird, wenn Sie diese Option auswählen. Die gespeicherten Suchkonfigurationsabfragen sind Beispielabfragen. Sie können sie durch die Parameter für Ihre Umgebung ersetzen und nach Bedarf zusätzliche gespeicherte Suchkonfigurationen erstellen.
Sichtungssuchquelle	Quelle für die Sichtungssuche. Wählen Sie aus MISPProtokollspeicher als Quelle.
Aktiv	Option, die die gespeicherte Suchkonfiguration aktiviert. Nur aktive Suchkonfigurationen können eine Sichtungssuche durchführen.
Erkennbarer Typ	Typ des erkennbaren Elements, z. B. IP-Adresse, Hash-Wert, URL und Domänenname.
Maximale Anzahl erkennbarer Elemente pro Suche	Maximale Anzahl erkennbarer Elemente, die Sie in einer Suchabfrage anzeigen können.
Suchen	Standardsuchzeichenfolge, d. h. `$(erkennbares Element)` . Sie definieren jedoch Ihre eigene Suchabfrage, indem Sie angeben MISPUnterstützte Parameter des Protokollspeichers.

Klicken Sie auf Absenden.

Ergebnisse

Sie haben erstellt MISPKonfigurationsprofil der Sichtungssuche.