Configurer MISP les recherches de perception

  • Rversion finale: Xanadu
  • Mis à jour 1 août 2024
  • 1 minute de lecture

    • Configurez les Now Platform recherches de perception des observables dans l’instance MISP . Grâce à ces informations, vous pouvez déterminer la fréquence à laquelle les menaces se produisent.

    Avant de commencer

    Pourquoi et quand exécuter cette tâche

    Le workflow Security Operations Integration - Recherche de perceptions exécute les recherches de perception. Ce workflow accepte une liste d’observables, trouve toutes les options d’implémentation, crée les requêtes basées sur les configurations de recherche de perception et exécute les recherches basées sur le workflow configuré.

    Le Intégration de MISP pour Opérations de sécurité fournit un profil de recherche de perception du système de base qui vous permet de configurer des recherches de perception automatiques. Avec ce profil, vous pouvez accéder aux informations de perception observables connexes d’une organisation et également voir les perceptions externes d’autres organisations.

    Procédure

    1. Accédez à la Tout > Intégration de MISP > Configuration de la recherche de détections.
    2. Cliquez sur Nouveau.
    3. Renseignez les champs du formulaire.
      Tableau 1. Formulaire de configuration de la recherche de perceptions
      Champ Description
      Nom Nom du profil d’aptitude.
      Est une recherche enregistrée Configuration de recherche enregistrée lorsque vous sélectionnez cette option. Les requêtes de configuration de recherche enregistrées sont des exemples de requêtes. Vous pouvez les remplacer par les paramètres de votre environnement et créer des configurations de recherche enregistrées supplémentaires si nécessaire.
      Source de recherche de perceptions Source pour la recherche de perceptions. Sélectionnez le magasin de MISP journaux comme source.
      Actif Option qui permet d’enregistrer la configuration de la recherche. Seules les configurations de recherche actives peuvent effectuer une recherche d’observations.
      Type d'observable Type d’observable tel que l’adresse IP, la valeur de hachage, l’URL et le nom de domaine.
      Nombre maximum d’observables par recherche Nombre maximal d’observables que vous pouvez afficher à partir d’une requête de recherche.
      Rechercher Chaîne de recherche par défaut qui est $(observable). Toutefois, vous pouvez définir votre propre requête de recherche en spécifiant les paramètres pris en charge par la banque de MISP journaux.
    4. Cliquez sur Envoyer.

    Résultats

    Vous avez créé un profil de MISP configuration de recherche de perceptions.