Gestion des événements dans MISP

  • Rversion finale: Washingtondc
  • Mis à jour 1 févr. 2024
  • 11 minutes de lecture

    • Vous pouvez créer des événements dans MISP automatiquement ou manuellement à Now Platformpartir du fichier . Vous pouvez également modifier les données d’événement dans MISP à Now Platformpartir du .

    Vérification des événements créés automatiquement dans MISP

    Vous pouvez vérifier les événements créés automatiquement après avoir configuré le profil de création d’événement dans votre Now Platform instance.

    Profil de création automatique d’événements

    La configuration du profil de création automatique d’événements est effectuée par les rôles d’utilisateur sn_si.admin ou sn_ti.admin dans le Intégration de MISP > Profils de création automatique d'événements Module.

    Afficher les données de l’événement MISP

    Vous pouvez afficher les événements créés des manières suivantes :

    • Affichez les notes de travail pour les événements créés. Vous pouvez afficher les détails de l’événement dans l’instance Now Platform ainsi que tels qu’ils apparaissent sur le MISP serveur, comme illustré dans l’exemple suivant.
      Figure 1. Notes de travail pour les événements créés
      Affichez les notes de travail pour les événements créés.
    • Cliquez sur la liste connexe Événements MISP associés . Ici, vous pouvez afficher l’événement par rapport à l’incident de sécurité et aux MISP ressources, comme illustré dans l’exemple suivant.
      Figure 2. Liste des événements associés
      Afficher la liste des événements associés
    • Affichez les données d’événement MISP dans la vue de formulaire pour examiner les informations détaillées sur les MISP événements, comme illustré dans l’exemple suivant.
      Figure 3. Données d’événement dans la vue de formulaire
      Affichez les données d’événement dans la vue de formulaire pour afficher les informations détaillées sur l’événement MISP.

    Créer manuellement un événement dans MISP

    Créez manuellement des événements à MISP partir de pour Now Platform capturer des informations contextuelles représentées sous forme d’attributs et d’objets.

    Avant de commencer

    Procédure

    1. Accédez à la Tous > Incident de sécurité > Afficher tous les incidents.
    2. Sélectionnez l’incident de sécurité qui contient les observables pour lesquels vous souhaitez créer un événement.
    3. Cliquez sur Créer un nouvel événement dans MISP.
    4. Renseignez les détails de la boîte de dialogue Créer un événement dans MISP.
      Tableau 1. Créer un événement dans la boîte de dialogue MISP
      Champ Description
      Date Date de création de l’événement en MISP.
      Informations sur l'événement Informations sur l’événement qui sont automatiquement créées à partir du Now Platform Réponse aux incidents de sécuritéfichier .
      Niveau de menace Niveau de risque de l’événement. Vous pouvez classer les incidents en trois catégories de menaces différentes (faible, moyenne, élevée). Ce champ peut également être laissé comme non défini. Les options sont les suivantes :
      • Faible : programme malveillant de masse général
      • Moyen : Menaces persistantes avancées (APT)
      • Élevé : APT sophistiqués et attaques 0-day
      Source MISP Source pour la création de l’événement.
      Distribution Option qui contrôle qui peut voir cet événement après sa publication. Cette option contrôle également si l’événement est synchronisé avec d’autres serveurs. La distribution est héritée par les attributs. Le réglage le plus restrictif l’emporte. Les options de distribution sont les suivantes :
      • Votre organisation uniquement : permet uniquement aux membres de votre organisation de voir cet événement. L’événement peut être transféré vers une autre instance par l’un des membres de votre organisation, où seule votre organisation peut l’afficher. Les événements avec ce paramètre ne sont pas synchronisés.
      • Cette communauté uniquement : permet aux utilisateurs qui font partie de votre MISP communauté de voir l’événement, y compris votre propre organisation, les organisations sur ce MISP serveur et les organisations qui exécutent des serveurs qui se MISP synchronisent avec ce serveur. Toutes les autres organisations connectées aux serveurs liés ne peuvent pas voir l’événement.
      • Communautés connectées : permet aux utilisateurs qui font partie de votre MISP communauté de voir l’événement, y compris toutes les organisations sur ce MISP serveur, toutes les organisations sur MISP les serveurs qui se synchronisent avec ce serveur et les organisations d’hébergement des serveurs qui se connectent à n’importe quel serveur situé à deux sauts de distance. Toutes les autres organisations connectées aux serveurs liés situés à deux sauts de ce serveur ne peuvent pas afficher l’événement.
      • Toutes les communautés : partage l’événement avec toutes les MISP communautés.
      Analyse Étape actuelle de l’analyse pour l’événement avec les options possibles suivantes :
      • Initial : L’analyse ne fait que commencer
      • En cours : l’analyse est en cours
      • Completed : l’analyse est terminée
      Options avancées Ajouter les observables associés SIR en tant qu'attributs à l'événement MISP Option permettant d’ajouter des observables disponibles dans un incident de sécurité à un MISP événement en tant qu’attributs.

      Cette option active le marqueur Définir l’attribut IDS lorsque le résultat observable est une option malveillante .
      Définir le marqueur IDS d'attribut lorsque le résultat observable est malveillant Observable marqué comme malveillant dans SIR. L’attribut correspondant dans MISP est également marqué comme true.
      Synchroniser les techniques d’incident de sécurité MITRE ATT&CK en tant que galaxies locales à l’événement MISP Option permettant de synchroniser les techniques d’incident Now Platform SIRMITRE-ATT&CK™ de sécurité en tant que galaxies locales dans l’événement MISP .
      Synchroniser les techniques d'incident de sécurité ATT&CK MITRE en tant que galaxies globales à l'événement MISP Option permettant de synchroniser les Now Platform SIR techniques d’incident MITRE-ATT&CK™ de sécurité en tant que galaxies globales dans l’événement MISP .
    5. Cliquez sur Créer un nouvel événement MISP.

      L’exemple suivant montre qu’en créant un événement dans MISP, vous pouvez afficher les résultats de l’incident de sécurité. Vous pouvez également afficher les notes de travail, l’événement dans l’instance Now Platform et l’événement dans le MISP serveur, comme illustré dans l’exemple suivant.

      Figure 4. Créer manuellement un événement dans MISP à partir de la Now Platform
      Créez manuellement un événement dans MISP à partir de la Now Platform.
      Vous pouvez afficher les résultats des manières suivantes :
      • Un message de réussite apparaît en haut de la page de l’incident de sécurité. Vous pouvez afficher les détails de l’événement dans l’instance Now Platform , ainsi que tels qu’ils apparaissent sur le MISP serveur.
      • Dans les notes de travail, vous pouvez afficher le message de réussite avec plus de détails. Vous pouvez également afficher les détails de l’événement dans l’instance Now Platform et tels qu’ils apparaissent sur le MISP serveur.
      • Dans la liste connexe Événements MISP associés , vous pouvez afficher l’événement par rapport à l’incident de sécurité et aux MISP ressources.

    Ajouter des attributs à un MISP événement

    Ajoutez des attributs à un événement, tels que le type, la catégorie et d’autres informations contextuelles sur l’événement.

    Avant de commencer

    • Examinez le MISP Rôle d’utilisateur et autorisations pour utiliser les MISP fonctionnalités bidirectionnelles.
    • Vérifiez que l’événement que vous ajoutez ou mettez à jour l’attribut appartient à la même organisation que l’utilisateur MISP .
    • Rôle requis : sn_sec_misp.write

    Procédure

    1. Accédez à la Tous > MISP > Événements MISP associés.
      Vous pouvez également accéder à la liste connexe Événement MISP associé dans n’importe quel incident de sécurité.
    2. Cliquez sur l’événement MISP pour lequel vous souhaitez ajouter un attribut.
    3. Cliquez sur Ajouter un attribut à l’événement MISP.
    4. Renseignez les détails de la boîte de dialogue Ajouter un attribut à l’événement.
      Tableau 2. Boîte de dialogue Ajouter un attribut à l’événement
      Champ Description
      Valeur Valeur réelle de l’attribut. Entrez des données sur la valeur qui sont basées sur ce qui est valide pour le type d’attribut choisi. Par exemple, pour un attribut de type ip-src (adresse IP source), 11.11.11.11 est une valeur valide.
      Remarque :
      Vous ne pouvez sélectionner que des attributs ou des observables qui partagent le contexte avec l’événement. Les observables ne peuvent pas déjà avoir un attribut dans MISP.
      Catégorie Catégorie de l’attribut. La catégorie décrit l’aspect du programme malveillant pour cet attribut. Un exemple serait les mécanismes de persistance du logiciel malveillant ou de l’activité du réseau.
      Type Type qui explique la catégorie. Par exemple, si un attaquant utilise une adresse IP pour une attaque, une adresse e-mail source ou un fichier envoyé via une pièce jointe peuvent tous décrire la livraison de la charge utile d’un programme malveillant. Ces types d’attributs ont la catégorie de livraison de la charge utile.
      Distribution Utilisateurs qui peuvent afficher cet attribut. La distribution est héritée par des attributs. Le réglage le plus restrictif l’emporte.
      Utiliser l'attribut comme signature IDS Observable marqué comme malveillant dans SIR. L’attribut correspondant dans MISP est également marqué comme true.
      Commentaires Commentaires que vous ajoutez pour les attributs.

      L’exemple suivant montre qu’en naviguant à partir de la liste des événements MISP associés, vous pouvez afficher l’enregistrement d’événement 5627 et ajouter des attributs à l’événement. Les attributs incluent la valeur (testdomain.com), la catégorie en tant qu’analyse externe et le type en tant que domaine. Vous pouvez également activer IDS. Le message de réussite sur l’enregistrement d’événement indique que l’attribut est ajouté à l’événement, comme illustré dans l’exemple suivant.

      Figure 5. Ajouter un attribut à un événement MISP
      Ajout d’un attribut à un événement MISP.
    5. Cliquez sur Ajouter un attribut à l’événement MISP.

    Résultats

    Vous pouvez afficher l’attribut ajouté dans la section Attributs.

    Ajouter des balises à un MISP événement

    Ajoutez des balises pour Now Platform MISP classer les événements ou les attributs. Vous pouvez utiliser le balisage globalement pour activer votre classification ou utiliser des balises localement lorsque vous ne souhaitez pas que MISP les événements soient modifiés pendant votre classification.

    Avant de commencer

    • Examinez le MISP Rôle d’utilisateur et autorisations pour utiliser les MISP fonctionnalités bidirectionnelles.
    • Vérifiez que l’événement que vous modifiez appartient à la même organisation que l’utilisateur MISP .
    • Notez que les balises et les galaxies qui sont à votre disposition sont basées sur la source et ses MISP autorisations de distribution.
    • Rôle requis : sn_sec_misp.write

    Procédure

    1. Accédez à la Tous > Incident de sécurité > Afficher tous les incidents.
    2. Sélectionnez l’incident de sécurité qui contient l’événement pour lequel vous souhaitez ajouter des balises.
    3. Cliquez sur Afficher toutes les listes connexes et sur la liste connexe Résultats de l’enrichissement MISP.
    4. Cliquez sur l’ID d’événement dans la liste des résultats d’enrichissement.
      Vous pouvez également naviguer à partir de MISP > Événements MISP associés Module.
    5. Passez en revue l’enregistrement d’événement MISP.
      Tableau 3. Vue du formulaire d’événement MISP
      Champ Description
      ID d'événement ID d’événement attribué par MISP moment où l’événement a été créé ou importé pour la première fois dans le MISP serveur.
      UUID ID qui identifie de façon unique les événements et les attributs.
      Org. du créateur Organisation qui a créé l’événement sur l’instance MISP .
      Org. du propriétaire Organisation qui possède l’événement sur l’instance MISP . Ce champ n’est visible que par les administrateurs.
      Créateur Utilisateur ayant créé l’événement dans MISP.
      Dernier changement Date de la dernière modification de l’événement.
      Source MISP MISP Source où l’événement est créé.
      Date de création (dans MISP) Date de création de l’événement ou de sa première importation sur le MISP serveur.
      Niveau de menace Niveau de risque de l’événement. Les incidents peuvent être classés en trois catégories de menaces différentes (faible, moyenne, élevée). Vous pouvez laisser ce champ comme non défini. Les options sont les suivantes :
      • Faible : programme malveillant de masse général
      • Moyen : Menaces persistantes avancées (APT)
      • Élevé : APT sophistiqués et attaques 0-day
      Analyse Étape actuelle de l’analyse pour l’événement avec les options possibles suivantes :
      • Initial : L’analyse ne fait que commencer
      • En cours : l’analyse est en cours
      • Completed : l’analyse est terminée
      Distribution Distribution de l’attribut individuel. Un attribut peut avoir un niveau de distribution différent de celui de l’événement.
      Publié État de publication ou non de l’événement. La publication permet d’utiliser les attributs de l’événement pour toutes les exportations éligibles et informe les utilisateurs qui se sont abonnés aux alertes d’événements.
      Lien hypertexte d'événement MISP Lien vers l’événement MISP stocké sur le MISP serveur.
      Info Brève description de l’événement.
      Balises (locales) Balises disponibles sur l’instance de l’organisation hôte permettant d’activer le balisage pour la synchronisation et le filtrage des exportations. MISP Les événements ne sont pas modifiés MISP lorsque vous utilisez des balises locales. Les balises locales sont toujours supprimées avant d’être synchronisées avec d’autres MISP instances et communautés de partage.
      Balises (globales) Balises disponibles globalement pour être partagées et synchronisées avec d’autres instances et communautés de MISP partage. Lorsque vous ajoutez des balises globales aux MISP instances, vous pouvez modifier les événements.
      Galaxies (locales) Galaxies disponibles sur l’instance de l’organisation hôte pour la synchronisation et le filtrage des exportations. MISP Les événements ne sont pas modifiés lorsque vous utilisez des galaxies MISP locales. Ces galaxies locales sont toujours dépouillées avant d’être synchronisées avec d’autres MISP instances et communautés de partage.
      Galaxies (globales) Galaxies disponibles globalement pour être partagées et synchronisées avec d’autres instances et communautés de MISP partage. Lorsque vous ajoutez des galaxies globales, MISP vous pouvez modifier les événements.
    6. Pour modifier une balise locale ou globale, cliquez sur l’icône Modifier l’icône Modifier. dans l’une des options suivantes :
    • Balises (locales)
    • Balises (globales)
    1. Dans la boîte de dialogue Balises d’événements MISP, saisissez le nom de la balise à rechercher et ajoutez les balises.
    2. Cliquez sur Mettre à jour les balises de l’événement MISP.

      L’exemple suivant montre qu’en cliquant sur l’icône de modification des balises locales, vous pouvez rechercher et ajouter les balises C3, Adware, C2 et Botnet 3101, et mettre à jour le serveur MISP avec les balises. Le message de confirmation indique que toutes les balises sont mises à jour dans MISP.

      Figure 6. Mise à jour des balises de l’événement MISP
      Mise à jour des balises vers un événement MISP.
    3. Cliquez sur Recharger le formulaire dans le message de confirmation pour afficher les modifications dans l’enregistrement.

    Résultats

    Les balises sont mises à jour avec succès dans le MISP serveur.

    Mettre à jour des galaxies en fonction d’un événement ou d’un MISP attribut

    Ajoutez ou supprimez des galaxies afin Now Platform MISP de classer ces objets en tant qu’amas dans l’instance MISP et de les joindre à des événements ou à MISP des attributs.

    Avant de commencer

    • Examinez le MISP Rôle d’utilisateur et autorisations Requis pour utiliser les MISP fonctionnalités bidirectionnelles.
    • Pour ajouter des galaxies locales, l’utilisateur qui a configuré l’intégration doit appartenir à l’organisation hôte du serveur correspondant MISP .
    • Les balises et les galaxies mises à votre disposition sont basées sur la source et ses MISP autorisations de distribution.
    • Rôle requis : sn_sec_misp.write

    Procédure

    1. Cliquez sur l’icône Modifier l’icône Modifier. dans l’une des options suivantes.
    • Galaxies (locales)
    • Galaxies (globales)
    1. Dans la boîte de dialogue Galaxies d’événements MISP, tapez et recherchez les balises pour les ajouter.
    2. Cliquez sur Mettre à jour les galaxies vers l’événement MISP.

      L’exemple suivant montre comment cliquer sur l’icône de modification des galaxies locales, sélectionner l’espace de noms déconseillé, sélectionner la galaxie Enterprise Attack - Attack Pattern et ajouter des informations d’amas. Une fois les informations de la galaxie mises à jour, vous pouvez afficher le message de réussite.

      Figure 7. Mettre à jour les informations de la galaxie sur l’événement MISP
      Mise à jour des informations de la galaxie sur l’événement MISP.
      Les galaxies sont mises à jour avec succès dans le MISP serveur.
    3. Cliquez sur Recharger le formulaire dans le message de confirmation pour afficher les modifications dans l’enregistrement.