Sichtungssuchen in MISP

  • Freigeben Version: Yokohama
  • Aktualisiert 30. Januar 2025
  • 7 Minuten Lesedauer

    • Sie können Sichtungssuchen für erkennbare Elemente in durchführen MISPInstanz, um zu bestimmen, wie oft bestimmte Arten von Angriffen, z. B. Phishing-Angriffe oder Kommunikation mit einer schädlichen IP oder URL, in Ihrem Netzwerk auftreten. Jedes Vorkommen wird als Sichtung betrachtet.

    Sichtungen in MISP

    Sichtungen geben an, dass ein Indikator, Objekt oder Attribut gesehen wurde und seine Gültigkeit bestätigt wurde. Sichtungen in MISPIst ein System, mit dem Sie auf Attribute eines Ereignisses reagieren können. Es wurde entwickelt, um Anwendern eine einfache Methode zu bieten, um zu bestätigen, dass sie ein bestimmtes Attribut gesehen haben, und ihnen dadurch mehr Glaubwürdigkeit zu verleihen. Sie können ein Attribut mehrmals anzeigen.
    Hinweis:
    Erkennbare Elemente werden in MISP als Attribute bezeichnet.

    Einige Attribute werden als falsch positive Werte betrachtet, was bedeutet, dass sie keine gültigen Sichtungen sind. Andere Attribute sind nur für eine bestimmte Dauer gültig, z. B. eine Phishing-Kampagne, die nur eine Woche lang ausgeführt wird. Sie können den Attributen, die für eine bestimmte Dauer gültig sind, ein Ablaufdatum zuweisen, aber jede Organisation kann einem Attribut nur ein gültiges Ablaufdatum zuweisen.

    Sichtungen, die in erstellt werden MISPAnwender von Organisationen, die auf dem entsprechenden MISP-Server als lokal markiert sind, werden als interne Sichtungen bezeichnet. Sichtungen, die in erstellt werden MISPVon Anwendern von Organisationen, die in der entsprechenden als Remote markiert sind MISPServer werden als externe Sichtungen bezeichnet.

    Sichtungssuchen in SIR

    Die Integration von Sicherheitsvorgängen – Workflow für Sichtungssuche Führt die Sichtungssuche aus. Dies Flow akzeptiert eine Liste erkennbarer Elemente, findet alle Implementierungsfähigkeiten, erstellt die Abfragen, die auf den Sichtungssuchkonfigurationen basieren, und führt die Suchen aus, die auf der konfigurierten basieren Flow.

    Sichtungssuchen helfen Analysten, die Verbreitung einer Bedrohung im Zeitverlauf zu bestimmen. Sie können einzelne oder mehrere erkennbare Elemente und den Datumsbereich für Ihre Suche aus einem Security Incident auswählen. Ergebnisse sind im Security Incident enthalten Sichtungen , Sichtungssuchergebnisse , Und Sichtungssuchdetails Zugehörige Listen.

    Wenn Sie mit der Analyse eines Incidents beginnen, können Sie einrichten Now PlatformBis Automatische Sichtungssuche durchführen Oder Führen Sie manuell eine Sichtungssuche erkennbarer Elemente durch Um andere Anwender in Ihrer Organisation zu identifizieren, die von demselben Phishing-Angriff betroffen sind.

    Aktivieren Sie automatische Sichtungssuchen in MISP

    Sichtungssuche in aktivieren MISPWird automatisch ausgeführt, damit der Workflow „Integration von Sicherheitsvorgängen – Sichtungssuche“ ausgelöst wird, wenn neue erkennbare Elemente einem Security Incident zugeordnet werden.

    Vorbereitungen

    Überprüfen Sie, ob Sichtungssuchkonfigurationsprofil für MISP Ist aktiv.

    Erforderliche Rolle: sn_si.Analyst

    Warum und wann dieser Vorgang ausgeführt wird

    Wenn Sie aktivieren Die Sichtungssuchfunktion, die automatisch in ausgeführt werden soll MISP Integrationskonfiguration, Die Sichtungssuche in MISPWird ausgelöst, wenn neue erkennbare Elemente einem Security Incident zugeordnet werden. Standardmäßig ist Sichtungssuche automatisch ausführen, wenn dem Security Incident neue erkennbare Elemente zugeordnet sind Option ist aktiviert.

    Prozedur

    1. Navigieren zu Alle > Security Incident > Alle Incidents anzeigenan.
    2. Wählen Sie den Security Incident aus, der die erkennbaren Elemente enthält, die Sie in anzeigen möchten MISPSichtungssuchdaten.
    3. Überprüfen Sie die Arbeitsnotizen, nachdem dem Security Incident neue erkennbare Elemente zugeordnet wurden.
      Eine Arbeitsnotiz wird veröffentlicht, wenn Integration von Sicherheitsvorgängen – Workflow für Sichtungssuche Wurde ausgelöst.

      Das folgende Beispiel zeigt den Abschnitt „Arbeitsnotizen“.

      Zeigen Sie die Arbeitsnotizen an, und überprüfen Sie, ob der Workflow für die Sichtungssuche ausgelöst wurde.
    4. Zeigen Sie die aggregierten Informationen von erkennbaren Elementen an, die in allen Ereignissen (global) angezeigt und nach ihren internen oder externen Sichtungen kategorisiert werden, nachdem die Workflow-Ausführung abgeschlossen wurde.
      Zeigen Sie die Informationen in an Sichtungen , Sichtungssuchergebnisse Und Sichtungssuchdetails Zugehörige Listen.das folgende Beispiel zeigt den Sichtungssuchdatensatz, der in der zugehörigen Liste „Sichtungen“ erstellt wurde.
      Zeigen Sie den Sichtungssuchdatensatz an, der auf der Registerkarte „Sichtungen“ erstellt wurde.
      Tabelle : 1. Sichtungssuchdatensatz
      Feld Beschreibung
      Erstellt Datum und Uhrzeit der Erstellung des Sichtungssuchdatensatzes.
      Erkennbares Element Erkennbares Element, das von der Abfrage gesucht wird.
      Sichtungsanzahl Anzahl der internen und externen Sichtungen.
      Quelle Quelle des erkennbaren Elements. Wenn das erkennbare Element aus einem stammt MISPOrganisation, dem Datensatz sind die Wörter vorangestellt MISP .
      Ist lokal Status, der angibt, ob die Sichtung von einem internen Anwender gemeldet wurde.
      Sichtungssuchlink Sichtungssuchlink in MISPInstanz.
      Zusammenfassung Typ der Sichtungen, die dem Datensatz zugeordnet sind. Die drei Arten von Sichtungen sind Sichtungen, falsch-positiv und Ablauf.

      Die Spalte „Zusammenfassung“ wird nur angezeigt, wenn MISP integration for Security OperationsIst installiert. Wenn-Quellen andere als MISPWird angezeigt, ist der Spalteneintrag „Zusammenfassung“ für diesen Datensatz leer.

    Führen Sie eine manuelle Sichtungssuche in durch MISP

    Wählen Sie einzelne oder mehrere erkennbare Elemente aus, und führen Sie eine manuelle Sichtungssuche in durch Now Platform MISP integration for Security OperationsAnwendung zur Bestimmung der Verbreitung einer Bedrohung im Zeitverlauf.

    Vorbereitungen

    Prozedur

    1. Navigieren zu Alle > Security Incident > Alle Incidents anzeigenan.
    2. Wählen Sie den Security Incident aus, der die erkennbaren Elemente enthält, die Sie ausführen möchten MISPSichtungen suchen nach.
    3. Klicken Sie Auf Alle Zugehörigen Listen Anzeigen Und Zugeordnete Erkennbare Elemente Registerkarte.
    4. Wählen Sie das erkennbare Element aus, und klicken Sie dann im Menü „Aktionen“ auf Sichtungssuche Ausführen .
      Sie können mehrere erkennbare Elemente für eine Sichtungssuche auswählen.
      Das Dialogfeld Sichtungssuche ausführen wird geöffnet.
    5. Geben Sie den Datumsbereich an, in dem nach den Sichtungssuchdaten gesucht werden soll.
      Tabelle : 2. Dialogfeld „Sichtungssuche ausführen“
      Feld Beschreibung
      Letzter Anzahl der Stunden oder Tage vor der Erstellung des zu suchenden Incidents.

      Der Standardwert ist 7 Tage. Der Grenzwert beträgt 99 Stunden oder Tage.
      zwischen Datumsbereich, nach dem gesucht werden soll. Standarddaten sind wie folgt:
      • Datum und Uhrzeit der Erstellung des Incidents.
      • Datum und Uhrzeit, die sieben Tage vor der Eröffnung des Incidents liegt.
    6. Klicken Sie auf Suche.
      Das folgende Beispiel zeigt die Ergebnisse der manuellen Sichtungssuche in den Arbeitsnotizen.
      Manuelle Sichtungssuchergebnisse in den Arbeitsnotizen.

    Ergebnisse

    Ein Sichtungssuchdatensatz wird erstellt. Nachdem die Workflow-Ausführung abgeschlossen ist, können Sie die aggregierten Informationen von erkennbaren Elementen anzeigen, die in allen Ereignissen (global) angezeigt und nach ihren internen oder externen Sichtungen kategorisiert werden. Aggregierte und zugehörige Sichtungsdaten werden im Security Incident unter angezeigt Sichtungen , Sichtungssuchergebnisse , Und Sichtungssuchdetails Zugehörige Listen.

    Sichtungen melden an MISP

    Melden Sie Sichtungen von Bedrohungsdaten, damit Sie auf falsch positive Ergebnisse in Ihren Daten reagieren und Ihr Bewusstsein erhöhen können, wenn eine wirklich positive Bedrohung auftritt. Sie können auch ein Ablaufdatum für ein bestimmtes erkennbares Element oder Attribut hinzufügen.

    Vorbereitungen

    Warum und wann dieser Vorgang ausgeführt wird

    Die MISP integration for Security OperationsErmöglicht Ihnen, Sichtungen an zu melden MISPGlobal über alle Ereignisse hinweg. Um eine Sichtung für ein bestimmtes Ereignis zu melden, müssen Sie verwenden MISPInstanz und lokale Meldung der Sichtung.

    Um eine Sichtung an zu melden MISP, Das erkennbare Element oder das Attribut muss in verfügbar sein MISPInstanz.

    Prozedur

    1. Navigieren zu Alle > Security Incident > Alle Incidents anzeigenan.
    2. Wählen Sie den Security Incident aus, der die erkennbaren Elemente enthält, denen Sie die Sichtungen melden möchten MISPFür.
    3. Klicken Sie Auf Alle Zugehörigen Listen Anzeigen Und die zugehörige Liste der Sichtungen.
    4. Wählen Sie das erkennbare Element aus, und wählen Sie im Menü Aktionen eine der folgenden Optionen aus.
      OptionBeschreibung
      MISP: Sichtung erkennbarer Elemente melden Melden Sie das erkennbare Element als gesichtet an MISP. Wenn das erkennbare Element mehreren Ereignissen zugeordnet ist, wird es in allen Ereignissen aktualisiert.
      MISP: Erkennbares Element als falsch positiv melden Melden Sie das erkennbare Element als falsch positiv an MISP.
      MISP: Erkennbares Element als abgelaufen melden Melden Sie das erkennbare Element als abgelaufen bis MISP.
      Wenn Sie erkennbare Elemente auswählen, die nicht spezifisch für sind MISPQuelle: Im Menü „Aktionen“ wird die Anzahl der relevanten angezeigt MISPQuellen. Das folgende Beispiel zeigt vier von acht erkennbaren Elementen als relevant für MISP.Das folgende Beispiel zeigt das Aktionsmenü und die relevanten erkennbaren Elemente für die Übermittlung.
      Abbildung : 1. Aktionsmenü, das die relevanten erkennbaren Elemente für die Übermittlung anzeigt
      Das Aktionsmenü zeigt die relevanten erkennbaren Elemente für MISP an.
    5. Wahlweise: Wenn Sie ausgewählt haben MISP: Sichtung erkennbarer Elemente melden Option sollten Sie die Felder des Dialogfelds Sichtungen erkennbarer Elemente an MISP melden ausfüllen.
      Tabelle : 3. Sichtungen erkennbarer Elemente melden an MISPDialogfeld
      Feld Beschreibung
      Quelle Quellfeld, das entspricht MISPQuelle der Sichtung.
      Datum Datumsfeld, das dem Datum entspricht, an dem das erkennbare Element gesichtet wird. Wenn das Datum leer ist, werden das aktuelle Datum und die aktuelle Uhrzeit ausgefüllt MISP.

      Das folgende Beispiel zeigt, wie Sie zur zugehörigen Liste „Sichtungen“ im Security Incident navigieren. Aus dieser Liste können Sie ein erkennbares Element auswählen und die Sichtung erkennbarer Elemente an melden MISP. Die Erfolgsmeldung zeigt an, dass die Sichtung erfolgreich an übermittelt wurde MISP.

      Abbildung : 2. Meldet Sichtungen erkennbarer Elemente an MISP
      Meldet Sichtungen erkennbarer Elemente an MISP
      1. Klicken Sie Auf Sichtung Melden .
    6. Wahlweise: Wenn Sie ausgewählt haben MISP: Erkennbares Element als falsch positiv melden Option sollten Sie die Felder des erkennbaren Elements als falsch positiv für ausfüllen MISPDialogfeld.
      Tabelle : 4. Erkennbares Element als falsch positiv melden MISPDialogfeld
      Feld Beschreibung
      Quelle (optional) Quellfeld, das entspricht MISPQuelle. Verwenden Sie dieses Feld, um das erkennbare Element als falsch positiv zu deklarieren.
      Datum Datumsfeld, das dem Datum entspricht, an dem das erkennbare Element als falsch positiv erkannt wurde. Wenn das Datum leer ist, werden das aktuelle Datum und die aktuelle Uhrzeit ausgefüllt MISP.
      1. Klicken Sie Auf Falsch Positiv Melden .
    7. Wahlweise: Wenn Sie ausgewählt haben MISP: Erkennbares Element als abgelaufen melden Option sollten Sie die Felder des Berichts „Ablauf erkennbarer Elemente melden an“ ausfüllen MISPDialogfeld.
      Tabelle : 5. Dialogfeld „Ablauf erkennbarer Elemente an MISP melden“
      Feld Beschreibung
      Quelle Quellfeld, das entspricht MISPQuelle. Verwenden Sie dieses Feld, um ein erkennbares Element als abgelaufen festzulegen.
      Datum Datumsfeld, das dem Datum entspricht, an dem das erkennbare Element abgelaufen ist. Wenn das Datum leer ist, werden das aktuelle Datum und die aktuelle Uhrzeit ausgefüllt MISP.
      1. Klicken Sie Auf Ablauf Melden .

    Ergebnisse

    Die Sichtungen wurden erfolgreich auf aktualisiert MISPServer.