Gestion des événements dans MISP

  • Rversion finale: Zurich
  • Mis à jour 31 juil. 2025
  • 12 minutes de lecture

    • Vous pouvez créer des événements automatiquement ou manuellement à MISP partir de .ServiceNow AI Platform Vous pouvez également modifier les données d’événement dans MISP le ServiceNow AI Platform fichier .

    Vérification des événements créés automatiquement dans MISP

    Vous pouvez vérifier les événements créés automatiquement après avoir configuré le profil de création d’événements dans votre ServiceNow AI Platform instance.

    Profil de création automatique d’événements

    La configuration du profil de création automatique d’événements est effectuée par les rôles d’utilisateur sn_si.admin ou sn_ti.admin dans le Intégration de MISP > Profils de création automatique d'événements module.

    Afficher les données de l’événement MISP

    Vous pouvez afficher les événements créés des manières suivantes :

    • Affichez les notes de travail pour les événements créés. Vous pouvez afficher les détails de l’événement dans l’instance ServiceNow AI Platform ainsi que tels qu’ils apparaissent sur le MISP serveur, comme indiqué dans l’exemple suivant.
      Figure 1. Notes de travail pour les événements créés
      Affichez les notes de travail pour les événements créés.
    • Cliquez sur la liste connexe Événements MISP associés . Ici, vous pouvez afficher l’événement par rapport à l’incident de sécurité et aux MISP ressources, comme illustré dans l’exemple suivant.
      Figure 2. Liste des événements associés
      Afficher la liste des événements associés
    • Affichez les données d’événement MISP dans la vue de formulaire pour examiner les informations détaillées sur les MISP événements, comme indiqué dans l’exemple suivant.
      Figure 3. Données d’événement dans la vue de formulaire
      Affichez les données d’événement dans la vue de formulaire pour afficher les informations détaillées sur l’événement MISP.

    Créer manuellement un événement dans MISP

    Créez manuellement des événements à MISP partir de pour capturer des informations contextuelles représentées sous forme d’attributs et d’objets ServiceNow AI Platform .

    Avant de commencer

    Procédure

    1. Accédez à la Tous > Incident de sécurité > Afficher les incidents.
    2. Sélectionnez l’incident de sécurité qui contient les observables pour lesquels vous souhaitez créer un événement.
    3. Cliquez sur Créer un nouvel événement dans MISP.
    4. Dans la boîte de dialogue Créer un nouvel événement dans MISP, renseignez les détails.
      Tableau 1. Créer un événement dans la boîte de dialogue MISP
      Champ Description
      Date Date de création de l’événement dans MISP.
      Informations sur l'événement Informations sur l’événement qui sont automatiquement créées à partir du ServiceNow AI Platform Réponse aux incidents de sécurité.
      Niveau de menace Niveau de risque de l’événement. Vous pouvez classer les incidents en trois catégories de menaces différentes (faible, moyenne, élevée). Ce champ peut également être laissé non défini. Les options sont les suivantes :
      • Faible : logiciel malveillant de masse général
      • Moyen : menaces persistantes avancées (APT)
      • Élevée : APT sophistiquées et attaques sur 0 jour
      Source MISP Source pour la création de l’événement.
      Distribution Option qui contrôle qui peut afficher cet événement après la publication de l’événement. Cette option contrôle également si l’événement est synchronisé avec d’autres serveurs. La distribution est héritée par les attributs. Le cadre le plus restrictif gagne. Les options de distribution sont les suivantes :
      • Votre organisation uniquement : permet uniquement aux membres de votre organisation de voir cet événement. L’événement peut être transféré vers une autre instance par l’un des membres de votre organisation, où seule votre organisation a accès pour l’afficher. Les événements avec ce paramètre ne sont pas synchronisés.
      • Cette communauté uniquement : permet aux utilisateurs qui font partie de votre MISP communauté d’afficher l’événement, y compris votre propre organisation, les organisations sur ce MISP serveur et les organisations qui exécutent MISP des serveurs qui se synchronisent avec ce serveur. Toutes les autres organisations connectées à des serveurs liés ne peuvent pas voir l’événement.
      • Communautés connectées : permet aux utilisateurs qui font partie de votre MISP communauté d’afficher l’événement, y compris toutes les organisations sur ce serveur, toutes les organisations sur MISP les MISP serveurs qui se synchronisent avec ce serveur et les organisations d’hébergement des serveurs qui se connectent à n’importe quel serveur situé à deux sauts de distance. Toute autre organisation connectée aux serveurs liés situés à deux sauts de ce serveur ne peut pas voir l’événement.
      • Toutes les communautés : partage l’événement avec toutes les MISP communautés.
      Analyse Étape actuelle de l’analyse de l’événement avec les options possibles suivantes :
      • Initial : l’analyse ne fait que commencer
      • En cours : l’analyse est en cours
      • Terminé : l’analyse est terminée
      Options avancées Ajouter les observables associés SIR en tant qu'attributs à l'événement MISP Option permettant d’ajouter des observables disponibles dans un incident de sécurité à un MISP événement en tant qu’attributs.

      Cette option active l’option Définir le marqueur IDS d’attribut lorsque le résultat observable est malveillant .
      Définir le marqueur IDS d'attribut lorsque le résultat observable est malveillant Observable marqué comme malveillant dans SIR. L’attribut correspondant dans MISP est également marqué comme vrai.
      Filtrer les éléments observables en fonction des balises de sécurité Option permettant de filtrer les observables en fonction des balises de sécurité sélectionnées. Cette option permet de distinguer et de gérer les événements MISP dans Threat Intelligence.

      Balises de sécurité : ajoutez des balises pour filtrer les observables. Par exemple, si vous ajoutez une balise appelée « Block from sharing » ou « TLP : White », si l’un des observables a l’une de ces balises associée, ces observables ne seront pas ajoutés en tant qu’attribut à l’événement MISP lors de la création de l’événement MISP.
      Synchroniser les techniques d’incident de sécurité MITRE ATT&CK en tant que galaxies locales à l’événement MISP Option permettant de synchroniser les techniques d’incident ServiceNow AI Platform SIRMITRE-ATT&CK™ de sécurité en tant que galaxies locales dans l’événement MISP .
      Synchroniser les techniques d'incident de sécurité ATT&CK MITRE en tant que galaxies globales à l'événement MISP Option permettant de synchroniser les techniques d’incident ServiceNow AI Platform SIRMITRE-ATT&CK™ de sécurité en tant que galaxies globales dans l’événement MISP .
      Ajouter des balises à l'événement MISP Option qui vous permet d’ajouter des balises MISP aux événements créés à partir de ServiceNow. Cette option affiche les options suivantes :
      • Local (balises) :Les balises sélectionnées seront ajoutées en tant que balises locales à l’événement MISP.
      • Global (balises) :Les balises sélectionnées seront ajoutées en tant que balises globales à l’événement MISP.
    5. Cliquez sur Créer un nouvel événement MISP.

      L’exemple suivant montre qu’en créant un événement dans MISP, vous pouvez afficher les résultats de l’incident de sécurité. Vous pouvez également afficher les notes de travail, l’événement dans l’instance ServiceNow AI Platform et l’événement sur le MISP serveur, comme illustré dans l’exemple suivant.

      Figure 4. Créer manuellement un événement dans MISP à partir de ServiceNow AI Platform
      Créez manuellement un événement dans MISP à partir du ServiceNow AI Platform fichier .
      Vous pouvez afficher les résultats de la manière suivante :
      • Un message de réussite apparaît en haut de la page de l’incident de sécurité. Vous pouvez afficher les détails de l’événement dans l’instance ServiceNow AI Platform ainsi que tels qu’ils apparaissent sur le MISP serveur.
      • Dans les notes de travail, vous pouvez afficher le message de réussite avec plus de détails. Vous pouvez également afficher les détails de l’événement dans l’instance ServiceNow AI Platform ainsi que tels qu’ils apparaissent sur le MISP serveur.
      • Dans la liste connexe des événements MISP associés , vous pouvez afficher l’événement par rapport à l’incident de sécurité et aux MISP ressources.

    Ajouter des attributs à un MISP événement

    Ajoutez des attributs à un événement, tels que le type, la catégorie et d’autres informations contextuelles sur l’événement.

    Avant de commencer

    • Examiner le MISP Rôle d’utilisateur et autorisations pour l’utilisation des fonctionnalités bidirectionnelles MISP .
    • Vérifiez que l’événement pour lequel vous ajoutez ou mettez à jour l’attribut appartient à la même organisation que l’utilisateur MISP .
    • Rôle requis : sn_sec_misp.write

    Procédure

    1. Accédez à la Tous > MISP > Événements MISP associés.
      Vous pouvez également accéder à la liste connexe Événement MISP associé dans n’importe quel incident de sécurité.
    2. Cliquez sur l’événement MISP pour lequel vous souhaitez ajouter un attribut.
    3. Cliquez sur Ajouter un attribut à l’événement MISP.
    4. Dans la boîte de dialogue Ajouter un attribut à l’événement, renseignez les détails.
      Tableau 2. Boîte de dialogue Ajouter un attribut à l’événement
      Champ Description
      Valeur Valeur réelle de l’attribut. Entrez des données sur la valeur en fonction de ce qui est valide pour le type d’attribut choisi. Par exemple, pour un attribut de type ip-src (adresse IP source), 11.11.11.11 est une valeur valide.
      Remarque :
      Vous ne pouvez sélectionner que des attributs ou des observables qui partagent un contexte avec l’événement. Les observables ne peuvent pas déjà avoir un attribut dans MISP.
      Catégorie Catégorie de l’attribut. La catégorie décrit l’aspect du programme malveillant pour cet attribut. Un exemple serait les mécanismes de persistance du logiciel malveillant ou l’activité du réseau.
      Type Type qui explique la catégorie. Par exemple, si un attaquant utilise une adresse IP pour une attaque, une adresse e-mail source ou un fichier envoyé via une pièce jointe peuvent tous décrire la livraison de la charge utile d’un logiciel malveillant. Ces types d’attributs ont la catégorie de livraison de charge utile.
      Distribution Utilisateurs qui peuvent afficher cet attribut. La distribution est héritée par attributs. Le cadre le plus restrictif gagne.
      Utiliser l'attribut comme signature IDS Observable marqué comme malveillant dans SIR. L’attribut correspondant dans MISP est également marqué comme vrai.
      Commentaires Commentaires que vous ajoutez pour les attributs.

      L’exemple suivant montre qu’en naviguant à partir de la liste Événements MISP associés, vous pouvez afficher l’enregistrement d’événement 5627 et ajouter des attributs à l’événement. Les attributs incluent la valeur (testdomain.com), la catégorie en tant qu’analyse externe, le type en tant que domaine. Vous pouvez également activer IDS. Le message de réussite sur l’enregistrement d’événement montre que l’attribut est ajouté à l’événement, comme illustré dans l’exemple suivant.

      Figure 5. Ajouter un attribut à un événement MISP
      Ajout d’un attribut à un événement MISP.
    5. Cliquez sur Ajouter un attribut à l’événement MISP.

    Résultats

    Vous pouvez afficher l’attribut ajouté dans la section Attributs.

    Ajouter des balises à un MISP événement

    Ajoutez des balises ServiceNow AI Platform MISP pour classer des événements ou des attributs. Vous pouvez utiliser le balisage globalement pour activer votre classification ou utiliser des balises localement lorsque vous ne souhaitez MISP pas que les événements soient modifiés pendant votre classification.

    Avant de commencer

    • Examiner le MISP Rôle d’utilisateur et autorisations pour l’utilisation des fonctionnalités bidirectionnelles MISP .
    • Vérifiez que l’événement que vous modifiez appartient à la même organisation que l’utilisateur MISP .
    • Notez que les balises et les galaxies disponibles sont basées sur la MISP source et ses autorisations de distribution.
    • Rôle requis : sn_sec_misp.write

    Procédure

    1. Accédez à la Tous > Incident de sécurité > Afficher les incidents.
    2. Sélectionnez l’incident de sécurité qui contient l’événement pour lequel vous souhaitez ajouter des balises.
    3. Cliquez sur Afficher toutes les listes connexes et la liste connexe Résultats de l’enrichissement MISP.
    4. Cliquez sur l’ID d’événement dans la liste des résultats d’enrichissement.
      Vous pouvez également naviguer à partir de MISP > Événements MISP associés module.
    5. Passez en revue l’enregistrement de l’événement MISP.
      Tableau 3. Vue de formulaire d’événement MISP
      Champ Description
      ID d'événement ID d’événement attribué lors de MISP la première création ou importation de l’événement dans le MISP serveur.
      UUID ID qui identifie de manière unique les événements et les attributs.
      Org. du créateur Organisation qui a créé l’événement sur l’instance MISP .
      Org. du propriétaire Organisation propriétaire de l’événement sur l’instance MISP . Ce champ n’est visible que par les administrateurs.
      Créateur Utilisateur qui a créé l’événement dans MISP.
      Dernier changement Date de la dernière modification de l’événement.
      Source MISP MISP Source où l’événement est créé.
      Date de création (dans MISP) Date de création ou de première importation de l’événement sur le MISP serveur.
      Niveau de menace Niveau de risque de l’événement. Les incidents peuvent être classés en trois catégories de menaces différentes (faible, moyenne, élevée). Ce champ peut être laissé comme non défini. Les options sont les suivantes :
      • Faible : logiciel malveillant de masse général
      • Moyen : menaces persistantes avancées (APT)
      • Élevée : APT sophistiquées et attaques sur 0 jour
      Analyse Étape actuelle de l’analyse de l’événement avec les options possibles suivantes :
      • Initial : l’analyse ne fait que commencer
      • En cours : l’analyse est en cours
      • Terminé : l’analyse est terminée
      Distribution Distribution de l’attribut individuel. Un attribut peut avoir un niveau de distribution différent de celui de l’événement.
      Publié État indiquant si l’événement a été publié ou non. La publication permet d’utiliser les attributs de l’événement pour toutes les exportations éligibles et notifie les utilisateurs qui se sont abonnés aux alertes d’événement.
      Lien hypertexte d'événement MISP Lien vers l’événement MISP qui est stocké sur le MISP serveur.
      Info Brève description de l’événement.
      Balises (locales) Balises disponibles sur l’instance de l’organisation hôte pour activer le balisage à des fins de MISP synchronisation et de filtrage des exportations. MISP Les événements ne sont pas modifiés lorsque vous utilisez des balises locales. Les balises locales sont toujours supprimées avant d’être synchronisées avec d’autres MISP instances et de partager des communautés.
      Balises (globales) Balises disponibles globalement pour être partagées et synchronisées avec d’autres instances et communautés de MISP partage. Lorsque vous ajoutez des balises globales à MISP des instances, vous pouvez modifier les événements.
      Galaxies (locales) Galaxies disponibles sur l’instance de l’organisation hôte pour le filtrage de synchronisation et d’exportation. MISP Les événements ne sont pas modifiés lorsque vous utilisez des galaxies MISP locales. Ces galaxies locales sont toujours dépouillées avant d’être synchronisées avec d’autres MISP instances et communautés de partage.
      Galaxies (globales) Galaxies disponibles dans le monde entier pour être partagées et synchronisées avec d’autres instances et communautés de MISP partage. Lorsque vous ajoutez des galaxies globales, MISP vous pouvez modifier les événements.
    6. Pour modifier une balise locale ou globale, cliquez sur l’icône Modifier icône Modifier dans l’une des options suivantes :
    • Balises (locales)
    • Balises (globales)
    1. Dans la boîte de dialogue Balises d’événements MISP, entrez le nom de la balise pour rechercher et ajouter les balises.
    2. Cliquez sur Mettre à jour les balises sur l’événement MISP.

      L’exemple suivant montre qu’en cliquant sur l’icône de modification des balises locales, vous pouvez rechercher et ajouter les balises C3, Adware, C2 et Botnet 3101, et mettre à jour le serveur MISP avec les balises. Le message de confirmation indique que toutes les balises sont mises à jour dans MISP.

      Figure 6. Mise à jour des balises sur l’événement MISP
      Mise à jour des balises en fonction d’un événement MISP.
    3. Cliquez sur Recharger le formulaire dans le message de réussite pour afficher les changements dans l’enregistrement.

    Résultats

    Les balises sont mises à jour avec succès dans le MISP serveur.

    Mettre à jour les galaxies en fonction d’un événement ou d’un MISP attribut

    Ajoutez ou supprimez des galaxies ServiceNow AI Platform MISP afin de pouvoir classer ces objets en tant que cluster dans l’instance MISP et les attacher à des événements ou à MISP des attributs.

    Avant de commencer

    • Examiner le MISP Rôle d’utilisateur et autorisations requis pour utiliser les fonctionnalités bidirectionnelles MISP .
    • Pour ajouter des galaxies locales, l’utilisateur qui a configuré l’intégration doit appartenir à l’organisation hôte du serveur correspondant MISP .
    • Les balises et les galaxies disponibles sont basées sur la MISP source et ses autorisations de distribution.
    • Rôle requis : sn_sec_misp.write

    Procédure

    1. Cliquez sur l’icône Modifier dans l’une des options suivantes.
    • Galaxies (locales)
    • Galaxies (globales)
    1. Dans la boîte de dialogue Galaxies d’événements MISP, tapez et recherchez pour ajouter les balises.
    2. Cliquez sur Mettre à jour les galaxies sur l’événement MISP.

      L’exemple suivant montre comment cliquer sur l’icône de modification des galaxies locales, sélectionner l’espace de noms obsolète, sélectionner la galaxie Enterprise Attack - Attack Pattern et ajouter des informations de cluster. Une fois les informations sur la galaxie mises à jour, vous pouvez afficher le message de réussite.

      Figure 7. Mettre à jour les informations sur les galaxies vers l’événement MISP
      Mise à jour des informations sur les galaxies vers l’événement MISP.
      Les galaxies sont mises à jour avec succès dans le MISP serveur.
    3. Cliquez sur Recharger le formulaire dans le message de réussite pour afficher les changements dans l’enregistrement.