MISP integration for Security Operations
Mit MISP integration for Security Operationskönnen Sie Security Incidents mit Sichtungssuchen und der Ergänzung erkennbarer Elemente untersuchen und Ereignisse in MISPerstellen oder aktualisieren. Mit MISPkönnen Sie gezielte Angriffe schneller untersuchen, das Erkennungsverhältnis verbessern und die Anzahl der Falschmeldungen in Ihrer Umgebung reduzieren.
Apps im Store anfordern
Besuchen Sie die ServiceNow Store-Website, um alle verfügbaren Apps anzuzeigen und Informationen zum Senden von Anforderungen an den Store zu erhalten. Kumulative Informationen zum Release für alle veröffentlichten Apps finden Sie in den Release-Hinweisen zum ServiceNow Store-Versionsverlauf.
MISP Übersicht
MISP, das für Malware Information Sharing Platformsteht, ermöglicht Ihnen den Austausch von Bedrohungsdaten und Kompromittierungsindikatoren (IoCs) zu gezielter Malware und Angriffen innerhalb Ihrer Community vertrauenswürdiger Mitglieder. Sie können Informationen MISP auch für private oder offene Communities freigeben. Durch den Austausch von MISP -Informationen können Sie gezielte Angriffe schneller untersuchen, das Erkennungsverhältnis verbessern und die Anzahl der Falschmeldungen in Ihrer Umgebung reduzieren.
MISP und Security Operations
Im folgenden Beispiel erfahren Sie, wie die Informationen MISP mit Security Operations-Anwendungen fließen.
Schlüsselfunktionen
- Stellen Sie eine Verbindung mit privat und öffentlich her MISP instances.
- Unterstützt die manuelle und automatische Sichtungssuche von erkennbaren Elementen.
- Führen Sie eine Sichtungssuche über die Fallverwaltung aus.
- Sichtungen für ein Attribut melden oder aktualisieren:
- Erkennbares Element als Sichtung melden (global)
- Erkennbares Element als falsch positiv melden (global)
- Melden Sie ein erkennbares Element als abgelaufen
- Unterstützt die manuelle und automatische Anreicherung erkennbarer Elemente. Ergebnisse enthalten das Attribut MISP und Ereignisinformationen, die den erkennbaren Elementen zugeordnet sind.
- Attributanreicherung in MISP, die das Hinzufügen oder Aktualisieren von Tags, Galaxienoder Kommentarenumfasst.
- Ereigniserstellung in MISP von SIR: Unterstützt die manuelle und die automatische Erstellung von Ereignissen in MISP aus SIR.
- Aktualisiert ein MISP -Ereignis aus SIR, das das Hinzufügen oder Aktualisieren von Tags, Galaxienoder Attributenumfasst.
- Fügen Sie einem Security Incident zugeordnete erkennbare Elemente als Attribute hinzu MISP event.
- Automatisch extrahieren MITRE-ATT&CK™ Informationen aus MISP attributes und ordnen Sie die Informationen den Security Incidents SIR zu.
- Automatisch hinzufügen SIR MITRE-ATT&CK™ Informationen als Galaxien zu MISP event.
Schlüsselkonzepte
Diese Integration enthält die folgenden Schlüsselkonzepte, die Sie kennen müssen:- MISP ist eine Threat Intelligence-Plattform (TIP). Sie verwenden TIPs, um Sicherheitsbedrohungsdaten in Echtzeit zu sammeln, zu korrelieren, zu kategorisieren, freizugeben und zu integrieren, um die Priorisierung von Aktionen zu unterstützen und die Verhinderung, Erkennung und Reaktion von Angriffen zu unterstützen.
- MISP ist ein Threat Intelligence Management (TIM). Sie verwenden TIMs, um Bedrohungsdaten durch Kontext in Threat Intelligence umzuwandeln und Bedrohungen automatisch anhand von anwenderdefinierter Bewertung und Relevanz zu priorisieren.
- MISP Datenschicht
- Ereignisse sind Kapseln für kontextbezogene verknüpfte Informationen.
- Attribute sind einzelne Datenpunkte, die Indikatoren oder Unterstützungsdaten sein können.
- Objekte sind anwenderdefinierte Vorlagenattribut-Kompositionen.
- Objektreferenzen sind die Beziehungen zwischen den anderen Bausteinen.
- Sichtungen sind zeitspezifische Vorkommen eines erkannten Datenpunkts.
- MISP Kontextebene
- Tags sind Bezeichnungen, die Ereignissen oder Attributen angehängt sind und aus Taxonomien stammen können.
- Galaxien-Cluster sind Knowledge Base-Elemente, mit denen Sie Ereignisse oder Attribute kennzeichnen können, die von Galaxien stammen.
- Clusterbeziehungen bezeichnen vordefinierte Beziehungen zwischen Clustern.
- Indikatoren enthalten ein Muster, mit dem Sie verdächtige oder böswillige Cyberaktivitäten erkennen können.
- Attribute in MISP können Netzwerkindikatoren (IP-Adresse), Systemindikatoren (eine Zeichenfolge im Speicher) oder sogar Bankkontodetails sein. Die Attribute in MISP werden in anderen SIEMs oder Formaten wie STIXals erkennbare Elemente bezeichnet.
- Ein Typ beschreibt das Attribut. Zum Beispiel MD5 oder eine URL.
- Die Attributkategorie beschreibt ein Attribut. Zum Beispiel eine Payload-Lieferung.
- Ein IDS-Tag bestimmt, ob ein Attribut automatisch für die Erkennung verwendet werden kann.
Wie Ihr Unternehmen von profitieren kann MISP integration for Security Operations
Sicherheitsanalysten müssen ein situatives Bewusstsein für die Bedrohungslandschaft entwickeln und aufrechterhalten. Das bedeutet, dass sie eine überwältigende Menge von Bedrohungsdaten manuell konsolidieren und integrieren müssen. Das Sammeln, Konsolidieren und Integrieren dieser Daten nimmt wertvolle Zeit in Anspruch, was die Erkennung und Analyse von Bedrohungen verlangsamt. MISP integration for Security Operations ermöglicht es Analysten, mehr Bedrohungen zu erkennen und schneller zu reagieren, indem sie die MISP Security Intelligence in eine vorhandene Now Platform -Instanz integrieren.
Mit MISP integration for Security Operationskann Ihre Organisation die folgenden Aktionen ausführen:
- Ermöglichen Sie Ihren Sicherheitsanalysten, schnell und im richtigen Kontext zu reagieren.
- Verbessern Sie die Effizienz Ihres Sicherheitsteams, indem Sie die Incident-Flows zum Erkennen und Eindämmen von Bedrohungen automatisieren.
- Reduzieren Sie die Zeit für manuelle Recherchen, und ermöglichen Sie Sicherheitsanalysten, -Indikatoren von Now Platformaus zu operationalisieren und zu kuratieren.
Weitere Informationen zu dieser Integration
| Dokumentbezeichner | Dokumententitel |
|---|---|
| MISP Dokumentationswebsite | MISP-Dokumentationswebsite |
| ServiceNow Website mit Produktdokumentation | Website mit Produktdokumentation von ServiceNow |