Verwalten von Ereignissen in MISP

  • Freigeben Version: Yokohama
  • Aktualisiert 30. Januar 2025
  • 10 Minuten Lesedauer

    • Sie können Ereignisse in erstellen MISPAutomatisch oder manuell von Now Platform. Sie können die Ereignisdaten auch in bearbeiten MISPVon Now Platform.

    Automatisch erstellte Ereignisse in werden überprüft MISP

    Sie können die automatisch erstellten Ereignisse überprüfen, nachdem Sie das Ereigniserstellungsprofil in konfiguriert haben Now PlatformInstanz.

    Profil für automatische Ereigniserstellung

    Konfigurieren des Profils für die automatische Ereigniserstellung Wird von den Anwenderrollen sn_si.admin oder sn_ti.admin in durchgeführt MISP-Integration > Profile für die automatische Erstellung von Ereignissen Modul.

    Wird angezeigt MISPEreignisdaten

    Sie können die erstellten Ereignisse auf folgende Weise anzeigen:

    • Zeigen Sie die Arbeitsnotizen für die erstellten Ereignisse an. Sie können die Ereignisdetails in anzeigen Now PlatformInstanz und auch so, wie sie in angezeigt wird MISPServer, wie im folgenden Beispiel gezeigt.
      Abbildung : 1. Arbeitsnotizen für erstellte Ereignisse
      Zeigen Sie die Arbeitsnotizen für erstellte Ereignisse an.
    • Klicken Sie auf Zugeordnete MISP-Ereignisse Zugehörige Liste. Hier können Sie das Ereignis in Bezug auf den Security Incident und anzeigen MISPRessourcen, wie im folgenden Beispiel gezeigt.
      Abbildung : 2. Liste der zugeordneten Ereignisse
      Zeigen Sie die Liste der zugehörigen Ereignisse an
    • Zeigen Sie an MISPEreignisdaten in der Formularansicht, um die detaillierten Informationen zu zu zu überprüfen MISPEreignisse, wie im folgenden Beispiel gezeigt.
      Abbildung : 3. Ereignisdaten in der Formularansicht
      Zeigen Sie die Ereignisdaten in der Formularansicht an, um die detaillierten MISP-Ereignisinformationen anzuzeigen.

    Erstellen Sie manuell ein Ereignis in MISP

    Erstellen Sie Ereignisse manuell in MISPVon Now PlatformDient zum Erfassen kontextbezogener Informationen, die als Attribute und Objekte dargestellt werden.

    Vorbereitungen

    Prozedur

    1. Navigieren zu Alle > Security Incident > Alle Incidents anzeigenan.
    2. Wählen Sie den Security Incident aus, der die erkennbaren Elemente enthält, für die Sie ein Ereignis erstellen möchten.
    3. Klicken Sie Auf Erstellen Sie ein neues Ereignis in MISP .
    4. Geben Sie im Dialogfeld Neues Ereignis in MISP erstellen die Details ein.
      Tabelle : 1. Erstellen Sie ein Ereignis im MISP-Dialogfeld
      Feld Beschreibung
      Datum Erstellungsdatum des Ereignisses in MISP.
      Information zum Ereignis Ereignisinformationen, die automatisch aus erstellt werden Now Platform Security Incident Response.
      Bedrohungsstufe Risikostufe des Ereignisses. Sie können die Incidents in drei verschiedene Bedrohungskategorien kategorisieren (niedrig, Mittel, hoch). Dieses Feld kann auch als nicht definiert belassen werden. Die folgenden Optionen sind verfügbar:
      • Niedrig: Allgemeine Massen-Malware
      • Mittel: Erweiterte persistente Bedrohungen (APT)
      • Hoch: Ausgeklügelte APTs und 0-Tage-Angriffe
      Quelle MISP Quelle für die Ereigniserstellung.
      Verteilung Option, die steuert, wer dieses Ereignis nach der Veröffentlichung des Ereignisses anzeigen kann. Diese Option steuert auch, ob das Ereignis mit anderen Servern synchronisiert wird. Die Verteilung wird von den Attributen geerbt. Die restriktivste Einstellung gewinnt. Die Verteilungsoptionen lauten wie folgt:
      • Nur Ihre Organisation: Ermöglicht nur den Mitgliedern Ihrer Organisation, dieses Ereignis anzuzeigen. Das Ereignis kann von einem Ihrer Organisationsmitglieder in eine andere Instanz abgerufen werden, über die nur Ihre Organisation Zugriff zum Anzeigen hat. Ereignisse mit dieser Einstellung werden nicht synchronisiert.
      • Nur diese Community: Aktiviert Anwender, die Teil von sind MISPcommunity, um das Ereignis anzuzeigen, einschließlich Ihrer eigenen Organisation und Organisationen MISPServer und Organisationen, die ausgeführt werden MISPServer, die mit diesem Server synchronisiert werden. Alle anderen Organisationen, die mit verknüpften Servern verbunden sind, dürfen das Ereignis nicht anzeigen.
      • Verbundene Communities: Ermöglicht Anwender, die Teil von sind MISPcommunity zum Anzeigen des Ereignisses, einschließlich aller Organisationen in diesem MISPServer, alle Organisationen auf MISPServer, die mit diesem Server synchronisiert werden, und die Hosting-Organisationen von Servern, die eine Verbindung zu einem Server herstellen, der zwei Hops entfernt ist. Alle anderen Organisationen, die mit den verknüpften Servern verbunden sind, die zwei Hops von diesem Server entfernt sind, können das Ereignis nicht anzeigen.
      • Alle Communities: Teilt das Ereignis mit allen MISPcommunities.
      Analyse Aktuelle Phase der Analyse für das Ereignis mit den folgenden möglichen Optionen:
      • Anfänglich: Die Analyse beginnt gerade erst
      • Laufend: Die Analyse wird ausgeführt
      • Abgeschlossen: Die Analyse ist abgeschlossen
      Erweiterte Optionen Alle SIR-zugeordneten erkennbaren Elemente als Attribute zum MISP-Ereignis hinzufügen Option zum Hinzufügen verfügbarer erkennbarer Elemente in einem Security Incident zu MISPEreignis als Attribute.

      Diese Option aktiviert Legen Sie die Attribut-IDS-Kennzeichnung fest, wenn das Ergebnis erkennbarer Elemente schädlich ist Option.
      Legen Sie die Attribut-IDS-Kennzeichnung fest, wenn die Erkennung von erkennbaren Elementen schädlich ist. Erkennbares Element, das in als schädlich markiert ist SIR. Das entsprechende Attribut in MISPIst auch als „wahr“ markiert.
      Erkennbare Elemente anhand von Sicherheits-Tags filtern Option zum Filtern der erkennbaren Elemente basierend auf den ausgewählten Sicherheits-Tags. Diese Option bietet die Möglichkeit, die MISP-Ereignisse in Threat Intelligence zu unterscheiden und zu verwalten.

      Sicherheits-Tags : Fügen Sie Tags hinzu, um die erkennbaren Elemente zu filtern. Wenn Sie beispielsweise ein Tag mit der Bezeichnung „von Freigabe blockieren“ oder „TLP: Weiß“ hinzufügen, werden diese erkennbaren Elemente während der Erstellung des MISP-Ereignisses nicht als Attribut hinzugefügt, wenn einem der erkennbaren Elemente eines dieser Tags zugeordnet ist.
      Synchronisieren Sie MITRE ATT&CK-Techniken für Security Incidents als lokale Galaxien mit dem MISP-Ereignis Option zum Synchronisieren von Now Platform SIRSecurity Incident MITRE-ATT&CK™Techniken als lokale Galaxien in MISPEreignis.
      MITRE ATT&CK-Techniken des Security Incident als globale Galaxien im MISP-Ereignis synchronisieren Option zum Synchronisieren von Now Platform SIRSecurity Incident MITRE-ATT&CK™Techniken als globale Galaxien in MISPEreignis.
      MISP-Ereignis Tags hinzufügen Option, mit der Sie MISP-Tags zu den Ereignissen hinzufügen können, die in ServiceNow erstellt werden. Diese Option zeigt die folgenden Optionen an:
      • Lokal (Tags): Die ausgewählten Tags werden dem MISP-Ereignis als lokale Tags hinzugefügt.
      • Global (Tags): Die ausgewählten Tags werden dem MISP-Ereignis als globale Tags hinzugefügt.
    5. Klicken Sie Auf Erstellen Sie ein neues MISP-Ereignis .

      Das folgende Beispiel zeigt dies, indem ein Ereignis in erstellt wird MISP, Sie können die Ergebnisse im Security Incident anzeigen. Sie können auch die Arbeitsnotizen und das Ereignis in anzeigen Now PlatformInstanz und das Ereignis in MISPServer, wie im folgenden Beispiel gezeigt.

      Abbildung : 4. Erstellen Sie manuell ein Ereignis in MISP über die Now Platform
      Erstellen Sie manuell ein Ereignis in MISP über die Now Platform.
      Sie können die Ergebnisse auf folgende Arten anzeigen:
      • Oben auf der Security Incident-Seite wird eine Erfolgsmeldung angezeigt. Sie können die Ereignisdetails in anzeigen Now PlatformInstanz und auch so, wie sie in angezeigt wird MISPServer.
      • In den Arbeitsnotizen können Sie die Erfolgsmeldung mit weiteren Details anzeigen. Sie können die Ereignisdetails auch in anzeigen Now PlatformInstanz und auch so, wie sie in angezeigt wird MISPServer.
      • In Zugeordnete MISP-Ereignisse Zugehörige Liste, können Sie das Ereignis in Bezug auf den Security Incident und anzeigen MISPRessourcen.

    Fügen Sie Attribute zu hinzu MISPEreignis

    Fügen Sie einem Ereignis Attribute hinzu, z. B. Typ, Kategorie und andere kontextbezogene Informationen zum Ereignis.

    Vorbereitungen

    Prozedur

    1. Navigieren zu Alle > MISP > Zugeordnete MISP-Ereignissean.
      Sie können auch in jedem Security Incident zur zugehörigen Liste „MISP-Ereignis“ navigieren.
    2. Klicken Sie auf das MISP-Ereignis, für das Sie ein Attribut hinzufügen möchten.
    3. Klicken Sie Auf Fügen Sie dem MISP-Ereignis ein Attribut hinzu .
    4. Geben Sie im Dialogfeld Attribut zu Ereignis hinzufügen die Details ein.
      Tabelle : 2. Dialogfeld „Attribut zu Ereignis hinzufügen“
      Feld Beschreibung
      Wert Ist-Wert des Attributs. Geben Sie Daten zum Wert ein, die darauf basieren, was für den ausgewählten Attributtyp gültig ist. Beispiel: Für ein Attribut vom Typ ip-src (Quell-IP-Adresse) ist 11.11.11.11 ein gültiger Wert.
      Hinweis:
      Sie können nur Attribute oder erkennbare Elemente auswählen, die den Kontext mit dem Ereignis teilen. Die erkennbaren Elemente können nicht bereits ein Attribut in haben MISP.
      Kategorie Kategorie des Attributs. Die Kategorie beschreibt den Aspekt der Malware für dieses Attribut. Ein Beispiel wären die Persistenzmechanismen der Malware oder Netzwerkaktivität.
      Typ Typ, der die Kategorie erklärt. Wenn ein Angreifer beispielsweise eine IP-Adresse für einen Angriff verwendet, kann eine Quell-E-Mail-Adresse oder eine Datei, die über einen Anhang gesendet wird, alle die Nutzlastbereitstellung einer Malware beschreiben. Diese Attributtypen haben die Kategorie „Nutzlastlieferung“.
      Verteilung Anwender, die dieses Attribut anzeigen können. Die Verteilung wird von Attributen geerbt. Die restriktivste Einstellung gewinnt.
      Attribut als IDS-Signatur verwenden Erkennbares Element, das in als schädlich markiert ist SIR. Das entsprechende Attribut in MISPIst auch als „wahr“ markiert.
      Kommentare Kommentare, die Sie für die Attribute hinzufügen.

      Das folgende Beispiel zeigt, dass Sie durch Navigieren aus der Liste der zugehörigen MISP-Ereignisse den Ereignisdatensatz 5627 anzeigen und dem Ereignis Attribute hinzufügen können. Die Attribute umfassen den Wert (testdomain.com), die Kategorie als externe Analyse und den Typ als Domäne. Sie können IDS auch aktivieren. Die Erfolgsmeldung im Ereignisdatensatz zeigt an, dass das Attribut dem Ereignis hinzugefügt wird, wie im folgenden Beispiel gezeigt.

      Abbildung : 5. Fügen Sie einem MISP-Ereignis ein Attribut hinzu
      Attribut wird einem MISP-Ereignis hinzugefügt.
    5. Klicken Sie Auf Fügen Sie dem MISP-Ereignis ein Attribut hinzu .

    Ergebnisse

    Sie können das hinzugefügte Attribut im Abschnitt „Attribute“ anzeigen.

    Fügen Sie Tags zu hinzu MISPEreignis

    Fügen Sie Tags in hinzu Now Platform MISPZum Klassifizieren von Ereignissen oder Attributen. Sie können Global Tagging verwenden, um Ihre Klassifizierung zu aktivieren, oder Tags lokal verwenden, wenn Sie dies nicht möchten MISPEreignisse, die während Ihrer Klassifizierung geändert werden sollen.

    Vorbereitungen

    • Überprüfung des folgenden Elements: MISP Anwenderrolle und -Berechtigungen Zur Verwendung von MISPbidirektionale Funktionen.
    • Stellen Sie sicher, dass das Ereignis, das Sie bearbeiten, zur selben Organisation gehört wie der MISPAnwender.
    • Beachten Sie, dass die Tags und Galaxien, die Ihnen zur Verfügung stehen, auf basieren MISPQuelle und ihre Verteilungsberechtigungen.
    • Erforderliche Rolle: sn_sec_misp.write

    Prozedur

    1. Navigieren zu Alle > Security Incident > Alle Incidents anzeigenan.
    2. Wählen Sie den Security Incident aus, der das Ereignis enthält, für das Sie Tags hinzufügen möchten.
    3. Klicken Sie Auf Alle Zugehörigen Listen Anzeigen Und die zugehörige Liste „MISP-Anreicherungsergebnisse“.
    4. Klicken Sie in der Liste der Ergänzungsergebnisse auf die Ereignis-ID.
      Sie können auch von navigieren MISP > Zugeordnete MISP-Ereignisse Modul.
    5. Überprüfen Sie den MISP-Ereignisdatensatz.
      Tabelle : 3. Formularansicht „MISP-Ereignis“
      Feld Beschreibung
      Ereignis-ID Ereignis-ID, die von zugewiesen wird MISPWann das Ereignis zum ersten Mal erstellt oder in importiert wurde MISPServer.
      UUID ID, die Ereignisse und Attribute eindeutig identifiziert.
      Organisation des Erstellers Organisation, die das Ereignis auf erstellt hat MISPInstanz.
      Besitzerorganisation Organisation, die das Ereignis auf besitzt MISPInstanz. Dieses Feld ist nur für Administratoren sichtbar.
      Erstelleranwender Anwender, der das Ereignis in erstellt hat MISP.
      Letzter Change Datum, an dem das Ereignis zuletzt geändert wurde.
      MISP-Quelle MISP Quelle, in der das Ereignis erstellt wird.
      Erstellungsdatum (in MISP) Datum, an dem das Ereignis erstellt oder zuerst in importiert wurde MISPServer.
      Bedrohungsstufe Risikostufe des Ereignisses. Incidents können in drei verschiedene Bedrohungskategorien kategorisiert werden (niedrig, Mittel, hoch). Dieses Feld kann als nicht definiert belassen werden. Die folgenden Optionen sind verfügbar:
      • Niedrig: Allgemeine Massen-Malware
      • Mittel: Erweiterte persistente Bedrohungen (APT)
      • Hoch: Ausgeklügelte APTs und 0-Tage-Angriffe
      Analyse Aktuelle Phase der Analyse für das Ereignis mit den folgenden möglichen Optionen:
      • Anfänglich: Die Analyse beginnt gerade erst
      • Laufend: Die Analyse wird ausgeführt
      • Abgeschlossen: Die Analyse ist abgeschlossen
      Verteilung Verteilung des einzelnen Attributs. Ein Attribut kann eine andere Verteilungsebene als das Ereignis haben.
      Veröffentlicht Status, der angibt, ob das Ereignis veröffentlicht wurde oder nicht. Durch die Veröffentlichung können die Attribute des Ereignisses für alle berechtigten Exporte verwendet werden, und Anwender, die die Ereigniswarnungen abonniert haben, werden benachrichtigt.
      MISP-Ereignis-Hyperlink Link zu MISPEreignis, das auf gespeichert ist MISPServer.
      Info Kurzbeschreibung des Ereignisses.
      Tags (lokal) Tags, die in den der Host-Organisation verfügbar sind MISPInstanz zum Aktivieren von Tagging für Synchronisierung und Exportfilterung. MISPEreignisse werden nicht geändert, wenn Sie lokale Tags verwenden. Lokale Tags werden immer entfernt, bevor sie mit anderen synchronisiert werden MISPInstanzen und freigegebene Communities.
      Tags (global) Tags, die global zur Freigabe und Synchronisierung mit anderen verfügbar sind MISPInstanzen und freigegebene Communities. Wenn Sie globale Tags zu hinzufügen MISPInstanzen können Sie Ereignisse ändern.
      Galaxien (lokal) Galaxien, die in den der Host-Organisation verfügbar sind MISPInstanz für Synchronisierung und Exportfilterung. MISPEreignisse werden nicht geändert, wenn Sie lokale Galaxien verwenden. Diese lokalen Galaxien werden immer entfernt, bevor sie mit anderen synchronisiert werden MISPInstanzen und freigegebene Communities.
      Galaxien (global) Galaxien, die global verfügbar sind, um mit anderen geteilt und synchronisiert zu werden MISPInstanzen und freigegebene Communities. Wenn Sie globale Galaxien hinzufügen, MISPSie können Ereignisse ändern.
    6. Klicken Sie auf das Bearbeitungssymbol, um entweder ein lokales oder ein globales Tag zu bearbeiten Symbol „Bearbeiten“.In einer der folgenden Optionen:
    • Tags (lokal)
    • Tags (global)
    1. Geben Sie im Dialogfeld MISP-Ereignis-Tags den Tag-Namen ein, nach dem die Tags gesucht und hinzugefügt werden sollen.
    2. Klicken Sie Auf Aktualisieren Sie Tags auf MISP-Ereignis .

      Das folgende Beispiel zeigt, dass Sie durch Klicken auf das Bearbeitungssymbol für die lokalen Tags die Tags C3, Adware, C2 und Botnet 3101 suchen und hinzufügen und den MISP-Server mit den Tags aktualisieren können. Die Bestätigungsnachricht zeigt an, dass alle Tags in aktualisiert wurden MISP.

      Abbildung : 6. Tags werden auf MISP-Ereignis aktualisiert
      Tags werden zu einem MISP-Ereignis aktualisiert.
    3. Klicken Sie Auf Formular Neu Laden In der Erfolgsmeldung, um die Änderungen im Datensatz anzuzeigen.

    Ergebnisse

    Die Tags wurden erfolgreich in aktualisiert MISPServer.

    Aktualisieren Sie Galaxien auf ein MISPEreignis oder Attribut

    Fügen Sie Galaxien in hinzu, oder entfernen Sie sie Now Platform MISPDamit Sie diese Objekte als Cluster in klassifizieren können MISPInstanz und Anhängen an MISPEreignisse oder Attribute.

    Vorbereitungen

    • Überprüfung des folgenden Elements: MISP Anwenderrolle und -Berechtigungen Erforderlich für die Verwendung von MISPbidirektionale Funktionen.
    • Um lokale Galaxien hinzuzufügen, muss der Anwender, der die Integration konfiguriert hat, zur Host-Organisation des entsprechenden gehören MISPServer.
    • Die Ihnen zur Verfügung stehenden Tags und Galaxien basieren auf MISPQuelle und ihre Verteilungsberechtigungen.
    • Erforderliche Rolle: sn_sec_misp.write

    Prozedur

    1. Klicken Sie auf das Bearbeitungssymbol Symbol „Bearbeiten“.In einer der folgenden Optionen.
    • Galaxien (lokal)
    • Galaxien (global)
    1. Geben Sie im Dialogfeld „MISP-Ereignisgalaxien“ die Tags ein, und suchen Sie sie, um sie hinzuzufügen.
    2. Klicken Sie Auf Aktualisieren Sie Galaxien auf MISP-Ereignis .

      Das folgende Beispiel zeigt, wie Sie auf das Bearbeitungssymbol für die lokalen Galaxien klicken, den veralteten Namespace auswählen, die Galaxie Enterprise Attack – Angriffsmuster auswählen und Clusterinformationen hinzufügen. Nachdem die Galaxieinformationen aktualisiert wurden, können Sie die Erfolgsmeldung anzeigen.

      Abbildung : 7. Aktualisieren Sie Galaxie-Informationen für das MISP-Ereignis
      Galaxieinformationen werden auf MISP-Ereignis aktualisiert.
      Die Galaxien wurden erfolgreich in aktualisiert MISPServer.
    3. Klicken Sie Auf Formular Neu Laden In der Erfolgsmeldung, um die Änderungen im Datensatz anzuzeigen.