Recherches de perception dans MISP

  • Rversion finale: Australia
  • Mis à jour 12 mars 2026
  • 8 minutes de lecture

    • Vous pouvez effectuer des recherches de perception sur les observables de l’instance MISP pour déterminer la fréquence à laquelle certains types d’attaques, tels que les attaques par hameçonnage ou les communications avec une adresse IP ou une URL malveillante, se produisent sur votre réseau. Chaque occurrence est considérée comme une observation.

    Perceptions dans MISP

    Les observations indiquent qu’un indicateur, un objet ou un attribut a été vu et que sa validité est confirmée. Sightings in MISP est un système qui vous permet de répondre aux attributs d’un événement. Il est conçu pour fournir une méthode simple à vos utilisateurs pour confirmer qu’ils ont vu un attribut donné, ce qui lui donne plus de crédibilité. Vous pouvez afficher un attribut plusieurs fois.
    Remarque :
    Les observables sont appelés attributs dans MISP.

    Certains attributs sont considérés comme des faux positifs, ce qui signifie qu’il ne s’agit pas d’observations valides. D’autres attributs ne sont valides que pendant une certaine durée, comme une campagne d’hameçonnage qui ne dure qu’une semaine. Vous pouvez affecter une date d’expiration aux attributs qui sont valides pour une certaine durée, mais chaque organisation ne peut affecter qu’une seule date d’expiration valide à un attribut.

    Les perceptions créées MISP par les utilisateurs des organisations marquées comme locales dans le serveur MISP correspondant sont appelées perceptions internes. Les perceptions créées MISP par les utilisateurs des organisations marquées comme distantes dans le serveur correspondant MISP sont appelées perceptions externes.

    Recherches de perception dans SIR

    Le workflow Intégration de Security Operations - Recherche de perceptions exécute la recherche de perceptions. Ce flux accepte une liste d’observables, recherche toutes les fonctionnalités d’implémentation, crée les requêtes basées sur les configurations de recherche de perceptions et exécute les recherches basées sur le flux configuré .

    Les recherches de perception aident les analystes à déterminer la prévalence d’une menace au fil du temps. Vous pouvez sélectionner un ou plusieurs observables et la plage de dates de votre recherche à partir d’un incident de sécurité. Les résultats sont inclus dans les listes connexes Perceptions d’incidents de sécurité, Résultats de la recherche de perception et Détails de la recherche de perception .

    Lorsque vous commencez à analyser un incident, vous pouvez configurer votre ServiceNow AI Platform pour effectuer automatiquement une recherche de perception ou effectuer manuellement une recherche de perception observable pour identifier les autres utilisateurs de votre organisation qui sont affectés par la même attaque de hameçonnage.

    Activer les recherches automatiques de perception dans MISP

    Activez l’exécution automatique de la recherche de perception dans MISP afin que le workflow Intégration des opérations de sécurité : recherche de perceptions soit déclenché chaque fois que de nouveaux observables sont associés à un incident de sécurité.

    Avant de commencer

    Vérifiez que le Profil de configuration de la recherche de perceptions pour MISP est actif.

    Rôle requis : sn_si.analyst

    Pourquoi et quand exécuter cette tâche

    Si vous activez l’option de recherche de perception à exécuter automatiquement dans le MISP Configuration de l’intégration, la recherche de perception se MISP déclenche lorsque de nouveaux observables sont associés à un incident de sécurité. Par défaut, l’option Exécuter automatiquement la recherche de perception lorsque de nouveaux observables sont associés à l’incident de sécurité est activée.

    Procédure

    1. Accédez à la Tous > Incident de sécurité > Afficher les incidents.
    2. Sélectionnez l’incident de sécurité qui contient les observables que vous souhaitez afficher dans les MISP données de recherche de perceptions.
    3. Examinez les notes de travail après que de nouveaux observables ont été associés à l’incident de sécurité.
      Une note de travail est publiée lorsque le workflow Intégration de Security Operations - Recherche de perceptions s’est déclenché.

      L’exemple suivant montre la section des notes de travail.

      Consultez les notes de travail et vérifiez si le workflow Recherche de perception s’est déclenché.
    4. Affichez les informations agrégées des observables qui sont observées dans tous les événements (globaux) et classées par leurs perceptions internes ou externes une fois l’exécution du workflow terminée.
      Affichez les informations dans les listes connexes Observations, Résultats de recherche de perception et Détails de recherche de perception . L’exemple suivant montre l’enregistrement de recherche de perceptions qui a été créé dans la liste connexe Perceptions.
      Affichez l’enregistrement Recherche de perception qui a été créé dans l’onglet Perceptions.
      Tableau 1. Enregistrement de recherche de perception
      Champ Description
      Date de création Date et heure de création de l’enregistrement de recherche d’observations.
      Observable Observable recherché par la requête.
      Nombre de perception Nombre de perceptions internes et externes.
      Source Source de l’observable. Si l’observable provient d’une MISP organisation, l’enregistrement est précédé des mots MISP.
      Est local État indiquant si l’observation a été signalée par un utilisateur interne.
      Lien de recherche sur la perception Lien de recherche sur la perception dans l’instance MISP .
      Résumé Type d’observations associées à l’enregistrement. Les trois types de perceptions sont la perception, le faux positif et l’expiration.

      La colonne Résumé s’affiche uniquement lorsque le MISP integration for Security Operations est installé. Si des sources autres que MISP s’affichent, l’entrée de la colonne Résumé est vide pour cet enregistrement.

    Effectuer une recherche manuelle de perception dans MISP

    Sélectionnez un ou plusieurs observables et effectuez une recherche manuelle de perception dans l’application ServiceNow AI Platform MISP integration for Security Operations pour déterminer la prévalence d’une menace au fil du temps.

    Avant de commencer

    Procédure

    1. Accédez à la Tous > Incident de sécurité > Afficher les incidents.
    2. Sélectionnez l’incident de sécurité qui contient les observables dont vous souhaitez exécuter la MISP recherche de perceptions.
    3. Cliquez sur Afficher toutes les listes connexes et l’onglet Observables associés .
    4. Sélectionnez l’observable, puis dans le menu Actions, cliquez sur Exécuter la recherche de perceptions.
      Vous pouvez sélectionner plusieurs observables pour une recherche d’observations.
      La boîte de dialogue Exécuter la recherche de perception s’ouvre.
    5. Spécifiez la plage de dates pour rechercher les données de recherche de perceptions.
      Tableau 2. Boîte de dialogue Exécuter la recherche de perception
      Champ Description
      Dernier Nombre d’heures ou de jours avant la création de l’incident à rechercher.

      La valeur par défaut est de 7 jours. La limite est de 99 heures ou jours.
      entre Plage de dates à rechercher. Les dates par défaut sont les suivantes :
      • Date et heure de création de l’incident.
      • Date et heure qui précèdent de sept jours l’ouverture de l’incident.
    6. Cliquez sur Rechercher.
      L’exemple suivant montre les résultats de la recherche manuelle de perception dans les notes de travail.
      Résultats de la recherche manuelle de perception dans les notes de travail.

    Résultats

    Un enregistrement Recherche de perception est créé. Une fois l’exécution du workflow terminée, vous pouvez afficher les informations agrégées des observables qui sont observées dans tous les événements (globaux) et classées par leurs perceptions internes ou externes. L’agrégat et les données de perception associées sont affichés dans l’incident de sécurité sous les listes connexes Perceptions, Résultats de recherche de perception et Détails de recherche de perception .

    Signaler des observations à MISP

    Signalez les perceptions de données sur les menaces afin de pouvoir réagir aux faux positifs dans vos données et accroître votre sensibilisation lorsqu’une menace réelle positive se produit. Vous pouvez également ajouter une date d’expiration pour un observable ou un attribut particulier.

    Avant de commencer

    Pourquoi et quand exécuter cette tâche

    Vous MISP integration for Security Operations permet de rapporter des observations globalement MISP pour tous les événements. Pour rapporter une observation à un événement spécifique, vous devez utiliser l’instance MISP et signaler l’observation localement.

    Pour rapporter une observation à MISP, l’observable ou l’attribut doit être disponible dans l’instance MISP .

    Procédure

    1. Accédez à la Tous > Incident de sécurité > Afficher les incidents.
    2. Sélectionnez l’incident de sécurité qui contient les observables pour MISP lesquels vous souhaitez signaler les observations.
    3. Cliquez sur Afficher toutes les listes connexes et la liste connexe Observations.
    4. Sélectionnez l’observable et, dans le menu Actions, sélectionnez l’une des options suivantes.
      OptionDescription
      MISP : signaler une observation d’observable Signaler l’observable comme perçu à MISP. Si l’observable est associé à plusieurs événements, il est mis à jour dans tous les événements.
      MISP : signaler un observable comme faux positif Signalez l’observable comme faux positif à MISP.
      MISP : signaler un observable comme expiré Signaler l’observable comme expiré à MISP.
      Si vous sélectionnez des observables qui ne sont pas spécifiques à une MISP source, le menu Actions affiche le nombre de sources pertinentes MISP . L’exemple suivant montre quatre des huit observables comme étant pertinents pour MISP. L’exemple suivant montre le menu Actions et les observables pertinents pour la soumission.
      Figure 1. Menu d’actions qui affiche les observables pertinents pour la soumission
      Le menu Actions affiche les observables pertinents pour MISP.
    5. Facultatif : Si vous avez sélectionné l’option MISP : signaler la perception observable , vous devez remplir les champs de la boîte de dialogue Signaler la perception observable sur MISP.
      Tableau 3. Boîte de dialogue Signaler une observation observable sur MISP
      Champ Description
      Source Champ Source qui correspond à la MISP source de l’observation.
      Date Champ de date correspondant à la date à laquelle l’observable est observé. Si la date est vide, la date et l’heure actuelles sont renseignées dans MISP.

      L’exemple suivant montre comment accéder à la liste connexe Perceptions dans l’incident de sécurité. Dans cette liste, vous pouvez sélectionner un observable et signaler l’observation observable à MISP. Le message de réussite indique que l’observation a été soumise avec succès à MISP.

      Figure 2. Signale la perception observable à MISP
      Signale la perception observable à MISP
      1. Cliquez sur Signaler une observation.
    6. Facultatif : Si vous avez sélectionné l’option MISP : signaler un observable comme faux positif , vous devez remplir les champs de la boîte de dialogue Signaler l’observable comme faux positif à MISP .
      Tableau 4. Boîte de dialogue Signaler l’observable comme faux positif à MISP
      Champ Description
      Source (facultatif) Champ source correspondant à la MISP source. Utilisez ce champ pour déclarer l’observable comme faux positif.
      Date Champ de date qui correspond à la date à laquelle il a été déterminé que l’observable est un faux positif. Si la date est vide, la date et l’heure actuelles sont renseignées dans MISP.
      1. Cliquez sur Signaler un faux positif.
    7. Facultatif : Si vous avez sélectionné l’option MISP : signaler l’observable comme expiré , vous devez remplir les champs de la boîte de dialogue Signaler l’expiration de l’observable à MISP .
      Tableau 5. Boîte de dialogue Signaler l’expiration de l’observable à MISP
      Champ Description
      Source Champ source correspondant à la MISP source. Utilisez ce champ pour définir un observable comme expiré.
      Date Champ de date qui correspond à la date à laquelle l’observable a expiré. Si la date est vide, la date et l’heure actuelles sont renseignées dans MISP.
      1. Cliquez sur Expiration du rapport.

    Résultats

    Les perceptions sont mises à jour avec succès sur le MISP serveur.