Konfigurieren MISP Sichtungssuchen

  • Freigeben Version: Zurich
  • Aktualisiert 31. Juli 2025
  • 1 Minute Lesedauer

    • Konfigurieren Sie ServiceNow AI Platform Um Sichtungssuchen nach erkennbaren Elementen in durchzuführen MISP Instanz. Mit diesen Informationen können Sie bestimmen, wie oft Bedrohungen auftreten.

    Vorbereitungen

    Warum und wann dieser Vorgang ausgeführt wird

    Die Integration von Security Operations – Sichtungssuche-Workflow Führt die Sichtungssuchen aus. Dieser Workflow akzeptiert eine Liste erkennbarer Elemente, findet alle Implementierungsfähigkeiten, erstellt die Abfragen, die auf den Sichtungssuchkonfigurationen basieren, und führt die Suchen aus, die auf dem konfigurierten Workflow basieren.

    Die MISP integration for Security Operations Stellt ein Basissystem-Sichtungssuchprofil bereit, mit dem Sie automatische Sichtungssuchen konfigurieren können. Mit diesem Profil können Sie auf die zugehörigen Sichtungsinformationen erkennbarer Elemente einer Organisation zugreifen und auch die externen Sichtungen aus anderen Organisationen anzeigen.

    Prozedur

    1. Navigieren zu Alle > MISP-Integration > Sichtungssuche: Konfigurationan.
    2. Klicken Sie auf Neu.
    3. Füllen Sie im Formular die Felder aus.
      Tabelle : 1. Formular „Konfiguration der Sichtungssuche“
      Feld Beschreibung
      Name Name für das Fähigkeitsprofil.
      Ist gespeicherte Suche Suchkonfiguration, die gespeichert wird, wenn Sie diese Option auswählen. Die gespeicherten Suchkonfigurationsabfragen sind Beispielabfragen. Sie können sie durch die Parameter für Ihre Umgebung ersetzen und nach Bedarf zusätzliche gespeicherte Suchkonfigurationen erstellen.
      Sichtungssuchquelle Quelle für die Sichtungssuche. Wählen Sie aus MISP Protokollspeicher als Quelle.
      Aktiv Option, die die gespeicherte Suchkonfiguration aktiviert. Nur aktive Suchkonfigurationen können eine Sichtungssuche durchführen.
      Typ des erkennbaren Elements Typ des erkennbaren Elements, z. B. IP-Adresse, Hash-Wert, URL und Domänenname.
      Maximale Anzahl erkennbarer Elemente pro Suche Maximale Anzahl erkennbarer Elemente, die Sie in einer Suchabfrage anzeigen können.
      Suchen Standardsuchzeichenfolge, d. h. $(erkennbares Element) . Sie definieren jedoch Ihre eigene Suchabfrage, indem Sie angeben MISP Unterstützte Parameter des Protokollspeichers.
    4. Klicken Sie auf Absenden.

    Ergebnisse

    Sie haben einen erstellt MISP Sichtungssuchkonfigurationsprofil.