Verwalten von Ereignissen in MISP

  • Freigeben Version: Zurich
  • Aktualisiert 31. Juli 2025
  • 11 Minuten Lesedauer

    • Sie können Ereignisse in erstellen MISP Automatisch oder manuell aus dem ServiceNow AI Platform. Sie können die Ereignisdaten auch in bearbeiten MISP Von ServiceNow AI Platform.

    Automatisch erstellte Ereignisse in werden überprüft MISP

    Sie können die automatisch erstellten Ereignisse überprüfen, nachdem Sie das Ereigniserstellungsprofil in konfiguriert haben ServiceNow AI Platform Instanz.

    Profil für automatische Ereigniserstellung

    Konfigurieren des Profils für die automatische Ereigniserstellung Wird von den Anwenderrollen sn_si.admin oder sn_ti.admin in ausgeführt MISP-Integration > Profile für die automatische Erstellung von Ereignissen Modul.

    Anzeigen von MISP Ereignisdaten

    Sie können die erstellten Ereignisse auf folgende Weise anzeigen:

    • Zeigen Sie die Arbeitsnotizen für die erstellten Ereignisse an. Sie können die Ereignisdetails in anzeigen ServiceNow AI Platform Instanz und auch wie in angezeigt MISP Server, wie im folgenden Beispiel gezeigt.
      Abbildung : 1. Arbeitsnotizen für erstellte Ereignisse
      Zeigen Sie die Arbeitsnotizen für erstellte Ereignisse an.
    • Klicken Sie auf Zugeordnete MISP-Ereignisse Zugehörige Liste. Hier können Sie das Ereignis in Bezug auf den Security Incident und anzeigen MISP Ressourcen, wie im folgenden Beispiel gezeigt.
      Abbildung : 2. Liste der zugeordneten Ereignisse
      Zeigen Sie die Liste der zugehörigen Ereignisse an
    • Zeigen Sie an MISP Ereignisdaten in der Formularansicht, um die detaillierten Informationen zu zu überprüfen MISP Ereignisse, wie im folgenden Beispiel gezeigt.
      Abbildung : 3. Ereignisdaten in der Formularansicht
      Zeigen Sie die Ereignisdaten in der Formularansicht an, um die detaillierten MISP-Ereignisinformationen anzuzeigen.

    Erstellen Sie manuell ein Ereignis in MISP

    Erstellen Sie Ereignisse in manuell MISP Von ServiceNow AI Platform Dient zum Erfassen kontextbezogener Informationen, die als Attribute und Objekte dargestellt werden.

    Vorbereitungen

    Prozedur

    1. Navigieren zu Alle > Security Incident > Alle Incidents anzeigenan.
    2. Wählen Sie den Security Incident aus, der die erkennbaren Elemente enthält, für die Sie ein Ereignis erstellen möchten.
    3. Klicken Sie Auf Erstellen Sie ein neues Ereignis in MISP .
    4. Geben Sie im Dialogfeld Neues Ereignis in MISP erstellen die Details ein.
      Tabelle : 1. Erstellen Sie ein Ereignis im MISP-Dialogfeld
      Feld Beschreibung
      Datum Erstellungsdatum des Ereignisses in MISP.
      Information zum Ereignis Ereignisinformationen, die automatisch aus erstellt werden ServiceNow AI Platform Security Incident Response.
      Bedrohungsstufe Risikostufe des Ereignisses. Sie können die Incidents in drei verschiedene Bedrohungskategorien (niedrig, Mittel, hoch) kategorisieren. Dieses Feld kann auch als nicht definiert belassen werden. Die folgenden Optionen sind verfügbar:
      • Niedrig: Allgemeine Massen-Malware
      • Mittel: Advanced Persistent Threats (APT)
      • Hoch: Ausgeklügelte APTs und 0-Tage-Angriffe
      Quelle MISP Quelle für die Ereigniserstellung.
      Verteilung Option, die steuert, wer dieses Ereignis nach der Veröffentlichung des Ereignisses anzeigen kann. Diese Option steuert auch, ob das Ereignis mit anderen Servern synchronisiert wird. Die Verteilung wird von den Attributen übernommen. Die restriktivste Einstellung gewinnt. Die Verteilungsoptionen lauten wie folgt:
      • Nur Ihre Organisation: Ermöglicht nur Mitgliedern Ihrer Organisation, dieses Ereignis anzuzeigen. Das Ereignis kann von einem Ihrer Organisationsmitglieder in eine andere Instanz abgerufen werden, über die nur Ihre Organisation Zugriff zum Anzeigen hat. Ereignisse mit dieser Einstellung werden nicht synchronisiert.
      • Nur diese Community: Aktiviert Anwender, die Teil Ihres sind MISP community zum Anzeigen des Ereignisses, einschließlich Ihrer eigenen Organisation, Organisationen zu diesem MISP Server und Organisationen, die ausgeführt werden MISP Server, die mit diesem Server synchronisiert werden. Alle anderen Organisationen, die mit verknüpften Servern verbunden sind, dürfen das Ereignis nicht anzeigen.
      • Verbundene Communities: Ermöglicht Anwendern, die Teil Ihres sind MISP community zum Anzeigen des Ereignisses, einschließlich aller Organisationen in diesem MISP Server, alle Organisationen auf MISP Server, die mit diesem Server synchronisiert werden, und die Hosting-Organisationen von Servern, die eine Verbindung zu einem Server herstellen, der zwei Hops entfernt ist. Alle anderen Organisationen, die mit den verknüpften Servern verbunden sind, die zwei Hops von diesem Server entfernt sind, können das Ereignis nicht anzeigen.
      • Alle Communities: Teilt das Ereignis mit allen MISP communities.
      Analyse Aktuelle Phase der Analyse für das Ereignis mit den folgenden möglichen Optionen:
      • Anfänglich: Die Analyse beginnt gerade erst
      • Laufend: Die Analyse wird ausgeführt
      • Abgeschlossen: Die Analyse ist abgeschlossen
      Erweiterte Optionen Alle SIR-zugeordneten erkennbaren Elemente als Attribute zum MISP-Ereignis hinzufügen Option zum Hinzufügen verfügbarer erkennbarer Elemente in einem Security Incident zu einem MISP Ereignis als Attribute.

      Mit dieser Option wird aktiviert Legen Sie die Attribut-IDS-Kennzeichnung fest, wenn das Ergebnis erkennbarer Elemente schädlich ist Option.
      Legen Sie die Attribut-IDS-Kennzeichnung fest, wenn die Erkennung von erkennbaren Elementen schädlich ist. Erkennbares Element, das in als schädlich markiert ist SIR. Das entsprechende Attribut in MISP Ist auch als „wahr“ markiert.
      Erkennbare Elemente anhand von Sicherheits-Tags filtern Option zum Filtern der erkennbaren Elemente basierend auf den ausgewählten Sicherheits-Tags. Diese Option bietet die Möglichkeit, MISP-Ereignisse in Threat Intelligence zu unterscheiden und zu verwalten.

      Sicherheits-Tags : Fügen Sie Tags hinzu, um die erkennbaren Elemente zu filtern. Wenn Sie beispielsweise ein Tag mit der Bezeichnung „von Freigabe blockieren“ oder „TLP: Weiß“ hinzufügen, werden diese erkennbaren Elemente während der Erstellung des MISP-Ereignisses nicht als Attribut zum MISP-Ereignis hinzugefügt, wenn einem der erkennbaren Elemente eines dieser Tags zugeordnet ist.
      Synchronisieren Sie MITRE ATT&CK-Techniken für Security Incident als lokale Galaxien mit dem MISP-Ereignis Option zum Synchronisieren von ServiceNow AI Platform SIR Security Incident MITRE-ATT&CK™ Techniken als lokale Galaxien in MISP Ereignis.
      MITRE ATT&CK-Techniken des Security Incident als globale Galaxien im MISP-Ereignis synchronisieren Option zum Synchronisieren von ServiceNow AI Platform SIR Security Incident MITRE-ATT&CK™ Techniken als globale Galaxien in MISP Ereignis.
      MISP-Ereignis Tags hinzufügen Option, mit der Sie den in ServiceNow erstellten Ereignissen MISP-Tags hinzufügen können. Diese Option zeigt die folgenden Optionen an:
      • Lokal (Tags): Die ausgewählten Tags werden dem MISP-Ereignis als lokale Tags hinzugefügt.
      • Global (Tags): Die ausgewählten Tags werden dem MISP-Ereignis als globale Tags hinzugefügt.
    5. Klicken Sie Auf Erstellen Sie ein neues MISP-Ereignis .

      Das folgende Beispiel zeigt das durch Erstellen eines Ereignisses in MISP, Sie können die Ergebnisse im Security Incident anzeigen. Sie können auch die Arbeitsnotizen und das Ereignis in anzeigen ServiceNow AI Platform Instanz und das Ereignis in der MISP Server, wie im folgenden Beispiel gezeigt.

      Abbildung : 4. Erstellen Sie manuell ein Ereignis in MISP aus der ServiceNow AI Platform
      Erstellen Sie manuell ein Ereignis in MISP aus der ServiceNow AI Platform.
      Sie können die Ergebnisse auf folgende Weise anzeigen:
      • Oben auf der Security Incident-Seite wird eine Erfolgsmeldung angezeigt. Sie können die Ereignisdetails in anzeigen ServiceNow AI Platform Instanz und auch wie in angezeigt MISP Server.
      • In den Arbeitsnotizen können Sie die Erfolgsmeldung mit weiteren Details anzeigen. Sie können die Ereignisdetails auch in anzeigen ServiceNow AI Platform Instanz und auch wie in angezeigt MISP Server.
      • In Zugeordnete MISP-Ereignisse Zugehörige Liste können Sie das Ereignis in Bezug auf den Security Incident und anzeigen MISP Ressourcen.

    Fügen Sie einem Attribute hinzu MISP Ereignis

    Fügen Sie einem Ereignis Attribute hinzu, z. B. Typ, Kategorie und andere kontextbezogene Informationen zum Ereignis.

    Vorbereitungen

    Prozedur

    1. Navigieren zu Alle > MISP > Zugeordnete MISP-Ereignissean.
      Sie können auch in jedem Security Incident zur zugehörigen Liste zugehöriges MISP-Ereignis navigieren.
    2. Klicken Sie auf das MISP-Ereignis, für das Sie ein Attribut hinzufügen möchten.
    3. Klicken Sie Auf Fügen Sie dem MISP-Ereignis ein Attribut hinzu .
    4. Geben Sie im Dialogfeld Attribut zu Ereignis hinzufügen die Details ein.
      Tabelle : 2. Dialogfeld „Attribut zu Ereignis hinzufügen“
      Feld Beschreibung
      Wert Ist-Wert des Attributs. Geben Sie Daten zum Wert ein, die darauf basieren, was für den ausgewählten Attributtyp gültig ist. Beispiel: Für ein Attribut vom Typ ip-src (Quell-IP-Adresse) ist 11.11.11.11 ein gültiger Wert.
      Hinweis:
      Sie können nur Attribute oder erkennbare Elemente auswählen, die den Kontext mit dem Ereignis teilen. Die erkennbaren Elemente können in nicht bereits ein Attribut haben MISP.
      Kategorie Kategorie des Attributs. Die Kategorie beschreibt den Aspekt der Malware für dieses Attribut. Ein Beispiel wären die Persistenzmechanismen der Malware oder Netzwerkaktivität.
      Typ Typ, der die Kategorie erklärt. Wenn ein Angreifer beispielsweise eine IP-Adresse für einen Angriff verwendet, kann eine Quell-E-Mail-Adresse oder eine über einen Anhang gesendete Datei die Nutzlastbereitstellung einer Malware beschreiben. Diese Arten von Attributen haben die Kategorie „Nutzlastlieferung“.
      Verteilung Anwender, die dieses Attribut anzeigen können. Die Verteilung wird von Attributen geerbt. Die restriktivste Einstellung gewinnt.
      Attribut als IDS-Signatur verwenden Erkennbares Element, das in als schädlich markiert ist SIR. Das entsprechende Attribut in MISP Ist auch als „wahr“ markiert.
      Kommentare Kommentare, die Sie für die Attribute hinzufügen.

      Das folgende Beispiel zeigt, dass Sie durch Navigieren aus der Liste der zugehörigen MISP-Ereignisse den Ereignisdatensatz 5627 anzeigen und dem Ereignis Attribute hinzufügen können. Die Attribute umfassen den Wert (testdomain.com), die Kategorie als externe Analyse und den Typ „Domäne“. Sie können auch IDS aktivieren. Die Erfolgsmeldung im Ereignisdatensatz zeigt an, dass das Attribut dem Ereignis hinzugefügt wird, wie im folgenden Beispiel gezeigt.

      Abbildung : 5. Fügen Sie einem MISP-Ereignis ein Attribut hinzu
      Hinzufügen eines Attributs zu einem MISP-Ereignis.
    5. Klicken Sie Auf Fügen Sie dem MISP-Ereignis ein Attribut hinzu .

    Ergebnisse

    Sie können das hinzugefügte Attribut im Abschnitt Attribute anzeigen.

    Fügen Sie Tags zu hinzu MISP Ereignis

    Fügen Sie Tags in hinzu ServiceNow AI Platform MISP Zum Klassifizieren von Ereignissen oder Attributen. Sie können das globale Tagging verwenden, um Ihre Klassifizierung zu aktivieren, oder Tags lokal verwenden, wenn Sie es nicht möchten MISP Ereignisse, die während Ihrer Klassifizierung geändert werden sollen.

    Vorbereitungen

    • Überprüfung des folgenden Elements: MISP Anwenderrolle und Berechtigungen Zur Verwendung von MISP bidirektionale Funktionen.
    • Stellen Sie sicher, dass das Ereignis, das Sie bearbeiten, zur selben Organisation gehört wie der MISP Anwender.
    • Beachten Sie, dass die Tags und Galaxien, die Ihnen zur Verfügung stehen, auf basieren MISP Quelle und ihre Verteilungsberechtigungen.
    • Erforderliche Rolle: sn_sec_misp.write

    Prozedur

    1. Navigieren zu Alle > Security Incident > Alle Incidents anzeigenan.
    2. Wählen Sie den Security Incident aus, der das Ereignis enthält, für das Sie Tags hinzufügen möchten.
    3. Klicken Sie Auf Alle Zugehörigen Listen Anzeigen Und die zugehörige Liste MISP-Anreicherungsergebnisse.
    4. Klicken Sie in der Liste der Ergänzungsergebnisse auf die Ereignis-ID.
      Sie können auch von navigieren MISP > Zugeordnete MISP-Ereignisse Modul.
    5. Überprüfen Sie den MISP-Ereignisdatensatz.
      Tabelle : 3. Formularansicht „MISP-Ereignis“
      Feld Beschreibung
      Ereignis-ID Ereignis-ID, die von zugewiesen wird MISP Wann das Ereignis zum ersten Mal erstellt oder in importiert wurde MISP Server.
      UUID ID, die Ereignisse und Attribute eindeutig identifiziert.
      Organisation des Erstellers Organisation, die das Ereignis in erstellt hat MISP Instanz.
      Besitzerorganisation Organisation, die das Ereignis auf der besitzt MISP Instanz. Dieses Feld ist nur für Administratoren sichtbar.
      Erstelleranwender Anwender, der das Ereignis in erstellt hat MISP.
      Letzter Change Datum, an dem das Ereignis zuletzt geändert wurde.
      MISP-Quelle MISP Quelle, in der das Ereignis erstellt wird.
      Erstellungsdatum (in MISP) Datum, an dem das Ereignis erstellt oder erstmals in importiert wurde MISP Server.
      Bedrohungsstufe Risikostufe des Ereignisses. Incidents können in drei verschiedene Bedrohungskategorien (niedrig, Mittel, hoch) kategorisiert werden. Dieses Feld kann als nicht definiert belassen werden. Die folgenden Optionen sind verfügbar:
      • Niedrig: Allgemeine Massen-Malware
      • Mittel: Advanced Persistent Threats (APT)
      • Hoch: Ausgeklügelte APTs und 0-Tage-Angriffe
      Analyse Aktuelle Phase der Analyse für das Ereignis mit den folgenden möglichen Optionen:
      • Anfänglich: Die Analyse beginnt gerade erst
      • Laufend: Die Analyse wird ausgeführt
      • Abgeschlossen: Die Analyse ist abgeschlossen
      Verteilung Verteilung des einzelnen Attributs. Ein Attribut kann eine andere Verteilungsebene haben als das Ereignis.
      Veröffentlicht Status, der angibt, ob das Ereignis veröffentlicht wurde oder nicht. Durch die Veröffentlichung können die Attribute des Ereignisses für alle berechtigten Exporte verwendet werden, und Anwender, die die Ereigniswarnungen abonniert haben, werden benachrichtigt.
      MISP-Ereignis-Hyperlink Link zu MISP Ereignis, das auf gespeichert ist MISP Server.
      Info Kurzbeschreibung des Ereignisses.
      Tags (lokal) Tags, die in der Host-Organisation verfügbar sind MISP Instanz zum Aktivieren von Tagging für Synchronisierung und Exportfilterung. MISP Ereignisse werden nicht geändert, wenn Sie lokale Tags verwenden. Lokale Tags werden immer entfernt, bevor sie mit anderen synchronisiert werden MISP Instanzen und freigegebene Communities.
      Tags (global) Tags, die global verfügbar sind, um sie mit anderen freizugeben und zu synchronisieren MISP Instanzen und freigegebene Communities. Wenn Sie globale Tags zu hinzufügen MISP Instanzen können Sie Ereignisse ändern.
      Galaxien (lokal) Galaxien, die in der Host-Organisation verfügbar sind MISP Instanz für Synchronisierung und Exportfilterung. MISP Ereignisse werden nicht geändert, wenn Sie lokale Galaxien verwenden. Diese lokalen Galaxien werden immer entfernt, bevor sie mit anderen synchronisiert werden MISP Instanzen und freigegebene Communities.
      Galaxien (global) Galaxien, die global verfügbar sind, um mit anderen geteilt und synchronisiert zu werden MISP Instanzen und freigegebene Communities. Wenn Sie globale Galaxien hinzufügen, MISP Sie können Ereignisse ändern.
    6. Klicken Sie auf das Bearbeitungssymbol, um entweder ein lokales oder ein globales Tag zu bearbeiten Symbol „Bearbeiten“.In einer der folgenden Optionen:
    • Tags (lokal)
    • Tags (global)
    1. Geben Sie im Dialogfeld „MISP-Ereignis-Tags“ den Tag-Namen ein, nach dem die Tags gesucht und hinzugefügt werden sollen.
    2. Klicken Sie Auf Aktualisieren Sie Tags auf MISP-Ereignis .

      Das folgende Beispiel zeigt, dass Sie durch Klicken auf das Bearbeitungssymbol für die lokalen Tags die Tags C3, Adware, C2 und Botnet 3101 suchen, hinzufügen und den MISP-Server mit den Tags aktualisieren können. Die Bestätigungsnachricht zeigt an, dass alle Tags in aktualisiert wurden MISP.

      Abbildung : 6. Tags werden auf MISP-Ereignis aktualisiert
      Tags werden auf ein MISP-Ereignis aktualisiert.
    3. Klicken Sie Auf Formular Neu Laden In der Erfolgsmeldung, um die Änderungen im Datensatz anzuzeigen.

    Ergebnisse

    Die Tags wurden erfolgreich in aktualisiert MISP Server.

    Aktualisieren Sie Galaxien auf ein MISP Ereignis oder Attribut

    Fügen Sie Galaxien in hinzu, oder entfernen Sie sie ServiceNow AI Platform MISP Damit Sie diese Objekte in als Cluster klassifizieren können MISP Instanz und Anhängen Sie sie an MISP Ereignisse oder Attribute.

    Vorbereitungen

    • Überprüfung des folgenden Elements: MISP Anwenderrolle und Berechtigungen Erforderlich für die Verwendung von MISP bidirektionale Funktionen.
    • Um lokale Galaxien hinzuzufügen, muss der Anwender, der die Integration konfiguriert hat, der Host-Organisation des entsprechenden angehören MISP Server.
    • Die Ihnen zur Verfügung stehenden Tags und Galaxien basieren auf MISP Quelle und ihre Verteilungsberechtigungen.
    • Erforderliche Rolle: sn_sec_misp.write

    Prozedur

    1. Klicken Sie auf das Bearbeitungssymbol Symbol „Bearbeiten“.In einer der folgenden Optionen.
    • Galaxien (lokal)
    • Galaxien (global)
    1. Geben Sie im Dialogfeld „MISP-Ereignisgalaxien“ die Tags ein, und suchen Sie sie, um sie hinzuzufügen.
    2. Klicken Sie Auf Aktualisieren Sie Galaxien auf MISP-Ereignis .

      Das folgende Beispiel zeigt, wie Sie auf das Bearbeitungssymbol für die lokalen Galaxien klicken, den veralteten Namespace auswählen, die Galaxie Enterprise Attack – Attack Pattern auswählen und Clusterinformationen hinzufügen. Nachdem die Galaxie-Informationen aktualisiert wurden, können Sie die Erfolgsmeldung anzeigen.

      Abbildung : 7. Aktualisieren Sie Galaxie-Informationen auf das MISP-Ereignis
      Galaxie-Informationen werden auf MISP-Ereignis aktualisiert.
      Die Galaxien wurden erfolgreich in aktualisiert MISP Server.
    3. Klicken Sie Auf Formular Neu Laden In der Erfolgsmeldung, um die Änderungen im Datensatz anzuzeigen.