Konfigurieren Sie, wie ein automatisches Ereignis erstellt wird

  • Freigeben Version: Zurich
  • Aktualisiert 31. Juli 2025
  • 8 Minuten Lesedauer

    • Konfigurieren Sie ServiceNow AI Platform Dient zum automatischen Erstellen von Ereignissen in MISP.

    Vorbereitungen

    Prozedur

    1. Navigieren zu Alle > MISP-Integration > Profile für die automatische Erstellung von Ereignissenan.
    2. Klicken Sie auf Neu.
    3. Füllen Sie im Formular die Felder aus.
      Tabelle : 1. Namensformular
      Feld Beschreibung
      Name Name des Profils für die automatische Ereigniserstellung.
      Beschreibung Kurze Beschreibung des Profils. Eine detailliertere Beschreibung wird über die Attribute in der nächsten Phase der Erstellung des Ereignisses freigegeben.
      Reihenfolge Reihenfolge des Profils, wenn Auslösebedingungen erfüllt sind. Der Standardwert ist 100. Belassen Sie diese Einstellung auf den Standardwert.

      Wenn Sie mehrere Profile erstellen, bietet dieser Wert eine Laufzeitausführungspriorität, wenn zwei oder mehr Profile Auslösebedingungen gemeinsam haben. Das Profil mit der niedrigsten Zahl hat die höchste Priorität.
      Quelle MISP Quelle für die Ereigniserstellung.
      Aktiv Option, die angibt, ob das Profil aktiv oder inaktiv ist. Die Option ist standardmäßig deaktiviert, um anzuzeigen, dass das Profil deaktiviert ist.

      Dieses Profil ist erst aktiv, wenn Sie alle Konfigurationsschritte des Profils abgeschlossen und auf klicken Beenden .
    4. Klicken Sie auf Fortsetzen.

    Konfigurieren Sie Ereignisauslöserbedingungen

    Konfigurieren Sie die Ereignisauslöserbedingungen in ServiceNow AI Platform Damit Sie ein Ereignis in automatisch auslösen können MISP Wenn die Bedingungen erfüllt sind.

    Vorbereitungen

    Erforderliche Rolle: sn_sec_misp.write

    Prozedur

    1. Geben Sie im Formular „Auslöserbedingungen“ die Details ein, die ein Ereignis auslösen können.
      Sie können eine zusammengesetzte Logik erstellen, indem Sie die Auslöserbedingungen bereitstellen, die auf Security Incident-Feldern oder Feldern erkennbarer Elemente basieren. Sie können Ereignisse auch in erstellen MISP Wenn erkennbare Elemente kein entsprechendes Ereignis in haben MISP. Sie können eine zusammengesetzte Logik erstellen, indem Sie eine Kombination der drei Auslöserbedingungen verwenden: Auslöser basierend auf Security Incident-Feldern, Auslöser basierend auf erkennbaren Feldern und MISP-Ereignis erstellen, wenn ein erkennbares Element keine entsprechenden Ereignisse in MISP hat. Wenn Sie mehrere Auslöser auswählen, können Sie sie mit der Bedingung UND verbinden. Erwägen Sie, ein Profil mit neuen Bedingungen zu erstellen, wenn Sie die ODER-Bedingung verwenden müssen.
      Tabelle : 2. Formular „Ereignisauslöserbedingungen“
      Feld Beschreibung
      Auslöser basierend auf Security Incident-Feldern MISP Ereignis, das Sie erstellen können, wenn alle Auslöserbedingungen für Security Incidents erfüllt sind.
      Auslösebedingungen für Security Incident Filter in der ersten Zeile, die Sie mithilfe der Listen und Felder des Bedingungsgenerators festlegen können. Um weitere Bedingungen hinzuzufügen, klicken Sie auf UND oder oder . Wenn UND ausgewählt ist, müssen alle Bedingungen erfüllt werden. Wenn ODER ausgewählt ist, kann eine der Bedingungen erfüllt werden.

      Um eine zweite Filterbedingung festzulegen, klicken Sie auf Neue Kriterien .
      Auslöser basierend auf erkennbaren Feldern MISP Ereignis, das Sie erstellen können, wenn alle Auslöserbedingungen für erkennbare Elemente erfüllt sind.
      Auslösebedingungen für erkennbare Elemente Filter in der ersten Zeile, die Sie mithilfe der Listen und Felder des Bedingungsgenerators festlegen können. Um weitere Bedingungen hinzuzufügen, klicken Sie auf UND oder oder . Wenn UND ausgewählt ist, müssen alle Bedingungen erfüllt werden. Wenn ODER ausgewählt ist, kann eine der Bedingungen erfüllt werden.

      Um eine zweite Filterbedingung festzulegen, klicken Sie auf Neue Kriterien .
      Erstellen Sie ein MISP-Ereignis, wenn das erkennbare Element keine entsprechenden Ereignisse in MISP enthält. MISP Ereignis, das Sie erstellen können, wenn ein erkennbares Element keine entsprechenden Ereignisse in hat MISP.
      Abbildung : 1. Ereignisauslöserbedingungen

      Das folgende Beispiel zeigt die Ereignisauslöserbedingungen beim Einrichten von MISP Ereigniserstellungsprofil.

      Konfigurieren Sie Bedingungen, die auf einem Ereignis basieren, das in MISP erstellt wird.
    2. Klicken Sie auf Fortsetzen.

    Ordnen Sie zu MISP Ereignisfelder

    Ordnen Sie zu MISP Ereignisfelder in ServiceNow AI Platform Damit Security Incident-Informationen wann verfügbar sind MISP Ereignisse werden erstellt.

    Vorbereitungen

    Erforderliche Rolle: sn_sec_misp.write

    Prozedur

    1. Füllen Sie im Formular die Felder aus.
      Tabelle : 3. Standardmäßiges MISP-Ereignisfeldzuordnungsformular
      Feld Beschreibung
      Information zum Ereignis Ereignisinformationen, die automatisch aus erstellt werden ServiceNow AI Platform Security Incident Response.

      Die Ereignisinformationen Das Feld unterstützt Ersetzungsvariablen durch Verwendung von $⁠{SIR FIELD LABEL}$. Während der Ereigniserstellung werden diese Variablen durch die tatsächlichen Feldwerte für Security Incidents ersetzt. Die Ersetzungsvariable ${URL}$ wird durch die URL des Security Incident ersetzt.
      Verteilung Option, die steuert, wer dieses Ereignis nach der Veröffentlichung des Ereignisses anzeigen kann. Diese Option steuert auch, ob das Ereignis mit anderen Servern synchronisiert wird. Die Verteilung wird von den Attributen übernommen, und die restriktivste Einstellung gewinnt. Die Verteilungsoptionen lauten wie folgt:
      • Nur Ihre Organisation: Ermöglicht nur Mitgliedern Ihrer Organisation, dieses Ereignis anzuzeigen. Das Ereignis kann von einem Ihrer Organisationsmitglieder in eine andere Instanz abgerufen werden, wo nur Ihre Organisation Zugriff zum Anzeigen hat. Ereignisse mit dieser Einstellung werden nicht synchronisiert.
      • Nur diese Community: Aktiviert Anwender, die Teil Ihres sind MISP community zum Anzeigen des Ereignisses, einschließlich Ihrer eigenen Organisation, Organisationen zu diesem MISP Server und Organisationen, die ausgeführt werden MISP Server, die mit diesem Server synchronisiert werden. Alle anderen Organisationen, die eine Verbindung zu Ihren verknüpften Servern herstellen, dürfen das Ereignis nicht anzeigen.
      • Verbundene Communities: Ermöglicht Anwendern, die Teil Ihres sind MISP community, um das Ereignis einschließlich aller Organisationen anzuzeigen MISP Server, alle Organisationen auf dem MISP Server, die mit diesem Server synchronisiert werden, und die Hosting-Organisationen von Servern, die eine Verbindung zu einem Server herstellen, der zwei Hops entfernt ist. Alle anderen Organisationen, die mit den verknüpften Servern verbunden sind, die zwei Hops entfernt sind, können das Ereignis nicht anzeigen.
      • Alle Communities: Teilt das Ereignis mit allen MISP communities.
      Bedrohungsstufe Feld, das das Risikostufe des Ereignisses angibt. Sie können Incidents in drei verschiedene Bedrohungskategorien (niedrig, Mittel, hoch) kategorisieren. Dieses Feld kann auch als nicht definiert belassen werden. Die folgenden Optionen sind verfügbar:
      • Niedrig: Allgemeine Massen-Malware
      • Mittel: Advanced Persistent Threats (APT)
      • Hoch: Ausgeklügelte APTs und 0-Tage-Angriffe
      Analysestatus Aktuelle Phase der Analyse für das Ereignis mit den folgenden möglichen Optionen:
      • Anfänglich: Die Analyse beginnt gerade erst
      • Laufend: Die Analyse wird ausgeführt
      • Abgeschlossen: Die Analyse ist abgeschlossen
      Das folgende Beispiel zeigt das Formular, mit dem Sie ein Ereignis in MISP erstellen können.
      Abbildung : 2. Standardmäßige MISP-Ereignisfeldzuordnung
      Konfigurieren Sie das Formular, um ein neues Ereignis in MISP zu erstellen.
    2. Klicken Sie auf Fortsetzen.

    Zuordnen oder zuordnen SIR Erkennbare Elemente als Attribute für MISP Ereignisse

    Ordnen Sie zu Security Incident Response Typen erkennbarer Elemente für MISP Attributtypen aufgrund von MISP Attributtypen und SIR Erkennbare Elemente können unterschiedlich sein.

    Vorbereitungen

    Erforderliche Rolle: sn_sec_misp.write

    Warum und wann dieser Vorgang ausgeführt wird

    Die MISP integration for Security Operations Stellt eine Basissystemzuordnung bereit, die Sie beim Hinzufügen verwenden SIR Erkennbare Elemente als Attribute für einen MISP Ereignis.

    Sie können die Basissystemzuordnung an Ihre Umgebung anpassen. Sie können beispielsweise mehrere zuordnen SIR Erkennbare Elemente für nur eines MISP Attributtyp. Wenn erkennbare Typen nicht zugeordnet sind, wird Sonstiges MISP Der Attributtyp ist standardmäßig ausgewählt.

    Prozedur

    1. Ordnen Sie im Formular „zusätzliche Optionen“ zu SIR Erkennbares Element und MISP Attributtypen.
    2. Ordnen Sie zu Security Incident Response Typen erkennbarer Elemente für MISP Attributtypen wie in der folgenden Tabelle beschrieben.
      Tabelle : 4. Zuordnung von erkennbarem SIR- und MISP-Attributtyp
      Feld Beschreibung
      Alle zugehörigen erkennbaren Elemente als Attribute hinzufügen Option, die Sie aktivieren, um verfügbare erkennbare Elemente in einem Security Incident zu einem hinzuzufügen MISP Ereignis als Attribute.

      Diese Option aktiviert die Zuordnung im Abschnitt „Zuordnung erkennbarer Elemente vom Typ zu Attributtyp“.
      Zuordnung Von Typ Des Erkennbaren Elements Zu Attributtyp Option zum Zuordnen von SIR Typen erkennbarer Elemente für MISP Attributtypen. Sie können beispielsweise die CVE-Nummer in zuordnen SIR Zum Schwachstellenattribut in MISP.

      Sie können hinzufügen SIR Erkennbarer Typ auf nur einen MISP Attributtyp.

      Das -Basissystem stellt eine Zuordnung von bereit SIR Typen erkennbarer Elemente für MISP Attributtypen.

      Falls vorhanden SIR Typen erkennbarer Elemente sind keinem zugeordnet MISP Attributtyp, dann wird das erkennbare Element dem zugeordnet Sonstiges Attributtyp in MISP.

      Um eine neue Zuordnung hinzuzufügen, klicken Sie auf Fügen Sie Den Typ Des Erkennbaren Elements Hinzu , Suchen Sie nach SIR Typ des erkennbaren Elements und ordnen Sie dann dem entsprechenden zu MISP Attributtyp.

      Klicken Sie auf das Symbol Zuordnung entfernen Entfernen Sie die Zuordnung.Um zu entfernen SIR Und MISP Attributzuordnungszuordnung.

      Hinweis:
      Weitere Informationen zu finden MISP Attributtypen, siehe MISP-Dokumentation .
      Erkennbare Elemente anhand von Sicherheits-Tags filtern Option zum Filtern der erkennbaren Elemente basierend auf den ausgewählten Sicherheits-Tags.

      Sicherheits-Tags : Fügen Sie Tags hinzu, um die erkennbaren Elemente zu filtern. Wenn Sie beispielsweise ein Tag mit der Bezeichnung „von Freigabe blockieren“ oder „TLP: Weiß“ hinzufügen, werden diese erkennbaren Elemente während der Erstellung des MISP-Ereignisses nicht als Attribut zum MISP-Ereignis hinzugefügt, wenn einem der erkennbaren Elemente eines dieser Tags zugeordnet ist.
      Legen Sie die Attribut-IDS-Kennzeichnung fest, wenn die Erkennung von erkennbaren Elementen schädlich ist. Option, mit der Sie wissen, ob ein erkennbares Element in als schädlich markiert ist SIR, Dann das entsprechende Attribut in MISP Hat die IDS-Kennzeichnung aktiviert. Wenn die IDS-Kennzeichnung nicht festgelegt ist, wird das Attribut als kontextbezogene Informationen betrachtet und nicht für die automatische Erkennung von Angriffen verwendet.

      Das folgende Beispiel zeigt, wie Sie zur Seite „zusätzliche Optionen“ navigieren. Auf dieser Seite können Sie die Zuordnung der SIR-erkennbaren Elemente und MISP-Attributtypen aktivieren und neu hinzufügen SIR Typen erkennbarer Elemente, z. B. IPV6-Netzwerk und IPV4-Netzwerk, und ordnen Sie es dem zu MISP Attributtyp-IP-Adresse der Domäne.

      Abbildung : 3. Zuordnung SIR Erkennbare Elemente und MISP Attributtypen
      Ordnen Sie das erkennbare SIR-Element und den MISP-Attributtyp zu.

    Synchronisieren MITRE-ATT&CK Informationen zu MISP Ereignisse

    Synchronisieren Sie MITRE-ATT&CK Informationen mit MISP Attribute für eine bessere Security Incident- und Bedrohungsanalyse.

    Vorbereitungen

    Erforderliche Rolle: sn_sec_misp.write

    Prozedur

    Überprüfen Sie im Formular „zusätzliche Optionen“ die Optionen zum Synchronisieren von MITRE-ATT&CK Informationen mit MISP Attribute.
    Tabelle : 5. Formular „Erweiterte Optionen“
    Feld Beschreibung
    Security Incident Synchronisieren MITRE-ATT&CK™ Techniken als lokale Galaxien bis MISP Ereignis Option zum Synchronisieren von ServiceNow AI Platform SIR Security Incident MITRE-ATT&CK™ Techniken als lokale Galaxien in MISP Ereignis.
    Hinweis:
    Um lokale Galaxien hinzuzufügen, muss der Anwender, der die Integration konfiguriert hat, der Host-Organisation des entsprechenden angehören MISP Server.
    Security Incident Synchronisieren MITRE-ATT&CK™ Techniken als globale Galaxien bis MISP Ereignis Option zum Synchronisieren von ServiceNow AI Platform SIR Security Incident MITRE-ATT&CK™ Techniken als globale Galaxien in MISP Ereignis.

    Ergebnisse

    Sie haben ein Profil erstellt, mit dem Sie Ereignisse in automatisch erstellen können MISP Von ServiceNow AI Platform. Sie können die Ereignisse jetzt in der zugehörigen Liste zugeordnete MISP-Ereignisse anzeigen.

    Fügen Sie MISP-Tags zu Ereignissen hinzu

    Fügen Sie den erstellten MISP-Ereignissen MISP-Tags hinzu.

    Vorbereitungen

    Erforderliche Rolle: sn_sec_misp.write

    Prozedur

    1. Navigieren Sie im Formular „zusätzliche Optionen“ zu Wählen Sie MISP-Tags aus, die dem Ereignis hinzugefügt werden sollen Abschnitt in der Formularansicht.
    2. Überprüfen Sie die Optionen zum Hinzufügen von Tags zu den erstellten Ereignissen.
      Tabelle : 6. Formular „Erweiterte Optionen“
      Feld Beschreibung
      Erstelltem MISP-Ereignis Tags hinzufügen Option, mit der Sie automatisch MISP-Tags zu Ereignissen hinzufügen können, die in ServiceNow erstellt werden.
      Tags (lokal) Die ausgewählten Tags werden dem MISP-Ereignis als lokale Tags hinzugefügt.
      Tags (global) Die ausgewählten Tags werden dem MISP-Ereignis als globale Tags hinzugefügt.
    3. Klicken Sie auf Speichern.

    Ergebnisse

    Das Hinzufügen von MISP-Tags hilft bei der Klassifizierung des Ereignisses.