Ergänzung erkennbarer Elemente in MISP

  • Freigeben Version: Zurich
  • Aktualisiert 31. Juli 2025
  • 9 Minuten Lesedauer

    • Durch Anreicherung erkennbarer Elemente mit zusätzlichen Informationen aus verschiedenen MISP Quellen während Untersuchungen zur Reaktion auf Incidents können Sie identifizierte Bedrohungen eindämmen.

    Aktivieren Sie die automatische Ergänzung erkennbarer Elemente in MISP

    Aktivieren Sie die automatische Anreicherung erkennbarer Elemente in ServiceNow AI Platform MISP Wenn dem Security Incident neue erkennbare Elemente zugeordnet sind.

    Vorbereitungen

    • Aktivieren Sie Security Incident Response Systemeigenschaft für Aktiviert oder deaktiviert die geplante Aufgabe „erkennbare Security Incident-Elemente suchen“ Option zum Auslösen der Ergänzungsfähigkeit für erkennbare Elemente in SIR.
    • Erforderliche Rolle: sn_si.Analyst

    Prozedur

    1. Navigieren zu Alle > Security Incident > Alle Incidents anzeigenan.
    2. Wählen Sie den Security Incident aus, der die erkennbaren Elemente enthält, in denen Sie die Daten erkennbarer Elemente anreichern möchten MISP Für.
    3. Überprüfen Sie die Arbeitsnotizen, nachdem dem Security Incident neue erkennbare Elemente zugeordnet wurden.

      Das folgende Beispiel zeigt, dass eine Arbeitsnotiz postet, wenn Integration von Security Operations – Flow für erkennbare Elemente anreichern Auslöser.

      Zeigen Sie die Arbeitsnotizen des Anreicherungsstatus erkennbarer Elemente an.

    4. In MISP Zugehörige Liste „Ergänzungsergebnisse“ des Security Incidents. Zeigen Sie die Ergänzungsergebnisse an, nachdem die Flow-Ausführung abgeschlossen ist.
      Zeigen Sie die Arbeitsnotizen des Anreicherungsstatus erkennbarer Elemente an, nachdem die Ausführung abgeschlossen ist.
      Hinweis:
      Sie müssen dies konfigurieren MISP Die zugehörige Liste „Ergänzungsergebnisse“ wird in den zugehörigen Listen „Security Incident“ angezeigt. Weitere Informationen finden Sie unter Konfiguration der zugehörigen Liste .
      Das folgende Beispiel zeigt die Ergänzungsergebnisse in MISP.
      Zeigen Sie die Ergänzungsergebnisse auf der Registerkarte MISP-Anreicherungsergebnisse an.
      Die folgende Tabelle zeigt die MISP-Ergänzungsergebnisse.
      Tabelle : 1. MISP-Datenanreicherungs-Ergebnisse
      Feld Beschreibung
      Ereignis ID des Ereignisses. Klicken Sie auf Öffnen, um den Datensatz in anzuzeigen ServiceNow AI Platform Instanz.
      Org Organisation, die das Ereignis ursprünglich erstellt hat.
      Erkennbares Element Erkennbares Element, das dem Ereignis zugeordnet ist.
      Kategorie Kategorie des Attributs.

      Zeigen Sie die Liste der Kategorien in an MISP-Dokumentation .
      Typ Typ des Attributs.

      Zeigen Sie die Liste der Typen in an MISP-Dokumentation .
      MISP-Tags Liste der Tags, die dem zugeordnet sind MISP Attribut.
      MISP-Galaxien Liste der Galaxien, die dem zugeordnet sind MISP Attribut.
      Kommentar Kontextbezogener Kommentar zur weiteren Beschreibung des Attributs. Diese Kommentare werden nicht für Korrelationen verwendet und sind rein informativ.
      IDS Indikator der Kompromittierung, der es ermöglicht, in alle berechtigten Exporte aufzunehmen.
      Verteilung Verteilung des Attributs nach der Veröffentlichung. Ein Attribut kann eine andere Verteilungsebene haben als das Ereignis. In beiden Fällen wird die niedrigste Verteilungsebene verwendet.
      Hyperlink zum MISP-Ereignis Link zu MISP Ereignis, das auf gespeichert wird MISP Server.
      IntegrationsVendor Integrationslieferant, der die Daten zur Ergänzung bereitstellt.
      Rohdaten Rohdaten, die dem zugeordnet sind MISP Attribut.

    Führen Sie eine manuelle Ergänzung erkennbarer Elemente in durch MISP

    Wählen Sie einzelne oder mehrere erkennbare Elemente aus, und führen Sie eine manuelle Ergänzung erkennbarer Elemente durch, damit Sie erkennbare Elemente mit zusätzlichen Informationen aus verschiedenen ergänzen können MISP Quellen.

    Vorbereitungen

    Prozedur

    1. Navigieren zu Alle > Security Incident > Alle Incidents anzeigenan.
    2. Wählen Sie den Security Incident aus, der die erkennbaren Elemente enthält, für die Sie die Ergänzung durchführen möchten.
    3. Klicken Sie Auf Alle Zugehörigen Listen Anzeigen Und Zugeordnete Erkennbare Elemente Registerkarte.
    4. Wählen Sie das erkennbare Element aus, und klicken Sie im Menü Aktionen auf Ergänzung Erkennbarer Elemente Ausführen .
      Sie können mehrere erkennbare Elemente für eine Sichtungssuche auswählen.
      Das Dialogfeld Anreicherung erkennbarer Elemente ausführen wird angezeigt.
    5. Wählen Sie ein aus MISP Quelle und wählen Sie in der Spalte ausgewählt eine Implementierung aus, um die ausgewählten erkennbaren Elemente anzureichern.
    6. Klicken Sie auf Absenden.
      Eine Arbeitsnotiz zeigt, dass Integration von Security Operations: Bereichern Sie den Workflow für erkennbare Elemente Wurde ausgelöst. Die zugehörigen Implementierungs-Workflows werden ausgeführt, um die Ergänzung durchzuführen. Sie können die Arbeitsnotizen im Security Incident anzeigen, um den Status anzuzeigen.

      Das folgende Beispiel zeigt, wie die Arbeitsnotizen für eine manuelle Ergänzung erkennbarer Elemente angezeigt werden.

      Abbildung : 1. Arbeitsnotizen für die manuelle Ergänzung erkennbarer Elemente
      Zeigen Sie Arbeitsnotizen für die manuelle Ergänzung erkennbarer Elemente an.
      In der Ergänzungsnachricht wird das erstellte Ereignis aufgelistet. Sie können das Ereignis in anzeigen ServiceNow AI Platform Oder in MISP Instanz und zeigen Sie die Details des Datensatzes auf der Registerkarte MISP-Anreicherungsergebnisse an.

    Fügen Sie Tags hinzu, oder entfernen Sie sie MISP Attribute

    Fügen Sie Tags in hinzu, oder entfernen Sie sie MISP Zum Klassifizieren von Ereignissen oder Attributen. Sie können das globale Tagging verwenden, um Ihre Klassifizierung zu aktivieren, oder Tags lokal verwenden, wenn Sie es nicht möchten MISP Ereignisse, die während Ihrer Klassifizierung geändert werden sollen.

    Vorbereitungen

    • Überprüfung des folgenden Elements: MISP Anwenderrolle und Berechtigungen Zur Verwendung von MISP bidirektionale Funktionen.
    • Stellen Sie sicher, dass das Attribut, das Sie bearbeiten, zur selben Organisation gehört wie der MISP Anwender.
    • Beachten Sie, dass die Tags und Galaxien, die Ihnen zur Verfügung stehen, auf basieren MISP Quelle und ihre Verteilungsberechtigungen.
    • Erforderliche Rolle: sn_sec_misp.write

    Prozedur

    1. Navigieren zu Alle > Security Incident > Alle Incidents anzeigenan.
    2. Wählen Sie den Security Incident aus, der die erkennbaren Elemente, Attribute oder Ereignisse enthält, für die Sie die Tags hinzufügen möchten.
    3. Klicken Sie Auf Alle Zugehörigen Listen Anzeigen Und die zugehörige Liste MISP-Anreicherungsergebnisse.
    4. Klicken Sie auf das Vorschausymbol Vorschausymbol.Neben einem Datensatz, und klicken Sie dann auf Öffnen Sie Den Datensatz .
      Das folgende Beispiel zeigt, wie Sie überprüfen MISP-Anreicherungsergebnisse Und wie man eine öffnet MISP Ergänzungsdatensatz.
      Abbildung : 2. MISP-Ergänzungsergebnisdatensatz
    5. Überprüfen Sie den Ergebnisdatensatz der MISP-Anreicherung.
      Tabelle : 2. MISP-Anreicherungsergebnis
      Feld Beschreibung
      Erkennbares Element
      Ereignis Ereignis-ID, die von zugewiesen wird MISP Server, auf dem das Ereignis zum ersten Mal erstellt oder in importiert wurde MISP.

      Zeigen Sie eine Vorschau des Ereignisses an, oder klicken Sie auf den Datensatz, um die Ereignisdaten in anzuzeigen MISP Seite „Ereignisdaten“.
      Org Organisation, die erstellt hat MISP Attribut.
      Kategorie Kategorie des Attributs, das Sie dem bestimmten Ereignis in hinzufügen MISP. Sie können eine Option auswählen, z. B. eine interne Referenz, Netzwerkaktivität, Finanzbetrug usw.
      Typ Typ von MISP Attribut.
      IntegrationsVendor Integrationslieferant, der die Daten für die Ergänzung erkennbarer Elemente bereitstellt.
      Erstellungsdatum (in MISP) Datum, an dem das Ereignis zuerst erstellt oder in importiert wurde MISP.
      IDS Status, der angibt, ob ein erkennbares Element in als schädlich markiert ist SIR. Das entsprechende Attribut in MISP Ist auch als „wahr“ markiert.
      Verteilung Verteilungsoptionen-Steuerungen, z. B. wer dieses Ereignis nach der Veröffentlichung anzeigen kann. Diese Option steuert auch, ob das Ereignis mit anderen Servern synchronisiert wird. Die Verteilung wird von den Attributen übernommen, und die restriktivste Einstellung gewinnt. Die Verteilungsoptionen lauten wie folgt:
      • Nur Ihre Organisation: Ermöglicht nur Mitgliedern Ihrer Organisation, dieses Ereignis anzuzeigen. Das Ereignis kann von einem Ihrer Organisationsmitglieder in eine andere Instanz abgerufen werden, über die nur Ihre Organisation Zugriff zum Anzeigen hat. Ereignisse mit dieser Einstellung werden nicht synchronisiert.
      • Nur diese Community: Aktiviert Anwender, die Teil Ihres sind MISP community zum Anzeigen des Ereignisses, einschließlich Ihrer eigenen Organisation, Organisationen zu diesem MISP Server und Organisationen, die ausgeführt werden MISP Server, die mit diesem Server synchronisiert werden. Alle anderen Organisationen, die mit diesen verknüpften Servern verbunden sind, dürfen das Ereignis nicht anzeigen.
      • Verbundene Communities: Ermöglicht Anwendern, die Teil Ihres sind MISP community zum Anzeigen des Ereignisses, einschließlich aller Organisationen in diesem MISP Server, alle Organisationen auf MISP Server, die mit diesem Server synchronisiert werden, und die Hosting-Organisationen von Servern, die eine Verbindung zu einem Server herstellen, der zwei Hops entfernt ist). Alle anderen Organisationen, die mit den verknüpften Servern verbunden sind, die zwei Hops entfernt sind, können das Ereignis nicht anzeigen.
      • Alle Communities: Teilt das Ereignis mit allen MISP communities, mit denen das Ereignis frei verfügbar sein kann.
      Hyperlink zum MISP-Ereignis Link zu MISP Ereignis, das auf gespeichert ist MISP Server.
      Rohdaten Rohdetails für den Datensatz mit Ergänzungsdaten für erkennbare Elemente.
      Kommentar Kommentare, die Sie für die Attribute hinzufügen. Diese Kommentare dienen nur zu Informationszwecken und werden nicht für Korrelationen verwendet.
      Tags (lokal) Tags, die in der Host-Organisation verfügbar sind MISP Instanz zum Aktivieren von Tagging für Synchronisierung und Exportfilterung. MISP Ereignisse werden nicht geändert, wenn Sie lokale Tags verwenden. Diese Tags werden immer entfernt, bevor sie mit anderen synchronisiert werden MISP Instanzen und freigegebene Communities.
      Tags (global) Tags, die global verfügbar sind, um sie mit anderen freizugeben und zu synchronisieren MISP Instanzen und freigegebene Communities. Wenn Sie globale Tags zu hinzufügen MISP Instanzen ändern Sie Ereignisse.
      Galaxien (lokal) Galaxien, die in der Host-Organisation verfügbar sind MISP Instanz für Synchronisierung und Exportfilterung. MISP Ereignisse werden nicht geändert, wenn Sie lokale Galaxien verwenden. Diese Galaxien werden immer entfernt, bevor sie mit anderen synchronisiert werden MISP Instanzen und freigegebene Communities.
      Galaxien (global) Galaxien, die global verfügbar sind, um mit anderen geteilt und synchronisiert zu werden MISP Instanzen und freigegebene Communities. Wenn Sie globale Galaxien hinzufügen, MISP Ereignisse werden geändert.
    6. Klicken Sie auf das Bearbeitungssymbol, um entweder ein lokales oder ein globales Tag zu bearbeiten Symbol „Bearbeiten“.In einer der folgenden Optionen:
    • Tags (lokal)
    • Tags (global)
    1. Geben Sie im Dialogfeld „MISP-Attribut-Tags“ den Namen des Tags ein, das gesucht und hinzugefügt werden soll.
    2. Klicken Sie Auf Tags auf MISP-Attribut aktualisieren .

      Das folgende Beispiel zeigt, dass Sie durch Klicken auf das Bearbeitungssymbol für die lokalen Tags die Tags C3, Adware, C2 und Botnet 3101 suchen, hinzufügen und den MISP-Server mit den Tags aktualisieren können. Die Bestätigungsnachricht zeigt an, dass alle Tags in aktualisiert wurden MISP.

      Die Tags wurden erfolgreich in aktualisiert MISP Server.
    3. Um die Änderungen im Datensatz anzuzeigen, klicken Sie auf Formular Neu Laden In der Erfolgsmeldung.

    Fügen Sie Galaxien zu hinzu, oder entfernen Sie sie MISP Ereignis oder Attribut

    Fügen Sie Galaxien in hinzu, oder entfernen Sie sie MISP Damit Sie diese Objekte in als Cluster klassifizieren können MISP Und hängen Sie sie an an an MISP Ereignisse oder Attribute.

    Vorbereitungen

    • Überprüfung des folgenden Elements: MISP Anwenderrolle und Berechtigungen Zur Verwendung von MISP bidirektionale Funktionen.
    • Um lokale Galaxien hinzuzufügen, muss der Anwender, der die Integration konfiguriert hat, der Host-Organisation des entsprechenden angehören MISP Server.
    • Beachten Sie, dass die Tags und Galaxien, die Ihnen zur Verfügung stehen, auf basieren MISP Quelle und ihre Verteilungsberechtigungen.
    • Erforderliche Rolle: sn_sec_misp.write

    Prozedur

    1. Klicken Sie auf das Bearbeitungssymbol Symbol „Bearbeiten“.In einer der folgenden Optionen.
    • Galaxien (lokal)
    • Galaxien (global)
    1. Geben Sie im Dialogfeld MISP-Ereignisgalaxien die Details ein.
      Tabelle : 3. Dialogfeld „MISP-Ereignisgalaxien“
      Feld Beschreibung
      Ereignis-ID Ereignis-ID, die von zugewiesen wird MISP Server, auf dem das Ereignis zum ersten Mal erstellt oder in importiert wurde MISP.
      Namespace Namespace, in dem die Galaxie gespeichert ist. Sie können Namespaces verwenden, um ähnliche Galaxien zu gruppieren.
      Galaxien Galaxie, in der Sie die Clusterinformationen speichern.
      Cluster Informationen zu den Clustern in der Galaxie.
    2. Klicken Sie Auf Aktualisieren Sie Galaxien auf MISP-Attribut .
      Das folgende Beispiel zeigt, dass Sie durch Klicken auf das Bearbeitungssymbol für die lokalen Galaxien den veralteten Namespace auswählen, die Galaxie Enterprise Attack – Angriffsmuster auswählen und die Clusterinformationen hinzufügen können. Nachdem die Galaxie-Informationen aktualisiert wurden, können Sie die Erfolgsmeldung anzeigen.

    3. Um die Änderungen im Datensatz anzuzeigen, klicken Sie auf Formular Neu Laden In der Erfolgsmeldung.

    Ergebnisse

    Die Galaxie-Informationen wurden erfolgreich in aktualisiert MISP Server.

    Fügen Sie Kommentare zu hinzu MISP Attribut

    Fügen Sie Kommentare für hinzu MISP Attribute. Die Kommentare, die Sie hinzufügen, dienen nur zu Informationszwecken und werden nicht für die Korrelation von verwendet MISP Daten.

    Vorbereitungen

    Prozedur

    1. Klicken Sie auf das Bearbeitungssymbol Symbol „Bearbeiten“.Im Feld Kommentar.
    2. Geben Sie Ihren Kommentar in das Feld Attributkommentar ein.
    3. Klicken Sie Auf Aktualisieren Sie den Kommentar auf das MISP-Attribut .
      Das folgende Beispiel zeigt, dass Sie durch Klicken auf das Bearbeitungssymbol neben dem Kommentarfeld einen Kommentar hinzufügen und dann aktualisieren können MISP Attribut. Nachdem der Kommentar aktualisiert wurde, können Sie die Erfolgsmeldung anzeigen.

    4. Um die Änderungen im Datensatz anzuzeigen, klicken Sie auf Formular Neu Laden In der Erfolgsmeldung.

    Ergebnisse

    Der Kommentar wurde erfolgreich in aktualisiert MISP Server.