MISP integration for Security Operations

  • Rversion finale: Yokohama
  • Mis à jour 30 janv. 2025
  • 4 minutes de lecture

    • Avec MISP integration for Security Operations, vous pouvez enquêter sur les incidents de sécurité avec la recherche de perception, l’enrichissement des observables et créer ou mettre à jour des événements dans MISP. Grâce MISPà , vous pouvez enquêter plus rapidement sur les attaques ciblées, améliorer le taux de détection et réduire le nombre de faux positifs dans votre environnement.

    Demander des applications dans l'App Store

    Visitez le site Web ServiceNow Store pour découvrir toutes les applications disponibles et pour obtenir des informations sur la procédure à suivre pour soumettre des demandes à la boutique. Pour obtenir des informations sur les notes de publication cumulatives pour toutes les applications publiées, consultez les ServiceNow Storenotes de publication relatives à l'historique des versions.

    MISP Vue d'ensemble

    MISP, qui signifie Malware Information Sharing Platform, vous permet d’échanger et de partager des renseignements sur les menaces et les indicateurs de compromission (IoC) sur les logiciels malveillants et les attaques ciblés au sein de votre communauté de membres de confiance. Vous pouvez également partager MISP des informations avec des communautés privées ou ouvertes. En échangeant des MISP informations, vous pouvez enquêter plus rapidement sur les attaques ciblées, améliorer le taux de détection et réduire le nombre de faux positifs dans votre environnement.

    MISP et Opérations de sécurité

    Consultez l’exemple suivant pour découvrir comment les informations circulent avec les MISP applications Security Operations.

    Figure 1. Vue d’ensemble de MISP et Security Operations
    Comment MISP s’intègre aux applications Security Operations.

    Fonctionnalités principales

    Cette intégration comprend les actions que vous pouvez effectuer avec les MISP fonctionnalités principales :

    Concepts clés

    Cette intégration comprend les concepts clés suivants que vous devez connaître :
    • MISP est une plateforme de renseignements sur les menaces (TIP). Vous utilisez les TIP pour collecter, corréler, catégoriser, partager et intégrer des données sur les menaces de sécurité en temps réel afin de prendre en charge la hiérarchisation des actions et de contribuer à la prévention, à la détection et à la réponse aux attaques.
    • MISP est une gestion des renseignements sur les menaces (TIM). Vous utilisez les TIM pour transformer les données sur les menaces en renseignements sur les menaces via le contexte et pour hiérarchiser automatiquement les menaces en fonction du score et de la pertinence définis par l’utilisateur.
    • MISP Couche de données
      • Les événements sont des encapsulations d’informations liées contextuellement.
      • Les attributs sont des points de données individuels, qui peuvent être des indicateurs ou des données de support.
      • Les objets sont des compositions d’attributs de modèle personnalisées.
      • Les références d’objet sont les relations entre les autres blocs de construction.
      • Les observations sont des occurrences spécifiques dans le temps d’un point de données détecté.
    • MISP Couche de contexte
      • Les balises sont des étiquettes attachées à des événements ou à des attributs et peuvent provenir de taxonomies.
      • Les amas de galaxies sont des éléments de la base de connaissances que vous pouvez utiliser pour étiqueter les événements ou les attributs provenant des galaxies.
      • Les relations de grappe désignent des relations prédéfinies entre les grappes.
    • Les indicateurs contiennent un modèle que vous pouvez utiliser pour détecter les cyber-activités suspectes ou malveillantes.
    • Les attributs peuvent être des MISP indicateurs réseau (adresse IP), des indicateurs système (une chaîne en mémoire) ou même des détails bancaires. Les attributs dans MISP sont appelés observables dans d’autres SIEM ou formats tels que STIX.
      • Un type décrit l’attribut. Par exemple, MD5 ou une URL.
      • La catégorie d’attribut décrit un attribut. Par exemple, une livraison de charge utile.
      • Une balise IDS détermine si un attribut peut être automatiquement utilisé pour la détection.
    Remarque :
    Pour plus d’informations sur MISP les concepts, consultez le site web de la documentation MISP

    Comment votre organisation peut bénéficier de MISP integration for Security Operations

    Les analystes de sécurité doivent acquérir et maintenir une connaissance situationnelle du paysage des menaces, ce qui signifie qu’ils doivent consolider et intégrer manuellement une quantité écrasante de données sur les menaces. La collecte, la consolidation et l’intégration de ces données prennent un temps précieux, ce qui ralentit la détection et l’analyse des menaces. MISP integration for Security Operations permet aux analystes de détecter davantage de menaces et de réagir plus rapidement en intégrant les renseignements de MISP sécurité dans une instance existante Now Platform .

    À l’aide de , MISP integration for Security Operationsvotre organisation peut effectuer les actions suivantes :

    • Permettez à vos analystes de sécurité de réagir rapidement et avec le bon contexte.
    • Améliorez l’efficacité de votre équipe de sécurité en automatisant les flux d’incidents pour détecter et contenir les menaces.
    • Réduisez le temps de recherche manuelle et permettez aux analystes de sécurité d’opérationnaliser et de gérer les indicateurs à partir du Now Platform.

    En savoir plus sur cette intégration

    Identificateur de document Titre de document
    MISP Site web de la documentation Site web de la documentation MISP
    ServiceNow Site web de la documentation produit Site web de la documentation produit ServiceNow