Konfigurieren Sie, wie ein automatisches Ereignis erstellt wird
Konfigurieren Sie Now PlatformDient zum automatischen Erstellen von Ereignissen in MISP.
Vorbereitungen
- Überprüfung des folgenden Elements: MISP Anwenderrolle und -Berechtigungen Die für die Verwendung von erforderlich sind MISPbidirektionale Funktionen.
- Erforderliche Rolle: sn_si.admin, sn_ti.admin
Prozedur
Konfigurieren Sie Ereignisauslöserbedingungen
Konfigurieren Sie die Ereignisauslöserbedingungen in Now PlatformDamit Sie ein Ereignis in automatisch auslösen können MISPWenn die Bedingungen erfüllt sind.
Vorbereitungen
Erforderliche Rolle: sn_sec_misp.write
Prozedur
Ordnen Sie zu MISPEreignisfelder
Ordnen Sie zu MISPEreignisfelder in Now PlatformDamit Security Incident-Informationen wann verfügbar sind MISPEreignisse werden erstellt.
Vorbereitungen
Erforderliche Rolle: sn_sec_misp.write
Prozedur
Zuordnen oder zuordnen SIRErkennbare Elemente als Attribute für MISPEreignisse
Ordnen Sie zu Security Incident ResponseTypen erkennbarer Elemente für MISPAttributtypen aufgrund von MISPAttributtypen und SIRErkennbare Elemente können unterschiedlich sein.
Vorbereitungen
Erforderliche Rolle: sn_sec_misp.write
Warum und wann dieser Vorgang ausgeführt wird
Die MISP integration for Security OperationsStellt eine Basissystemzuordnung bereit, die Sie beim Hinzufügen verwenden SIRErkennbare Elemente als Attribute für einen MISPEreignis.
Sie können die Basissystemzuordnung an Ihre Umgebung anpassen. Sie können beispielsweise mehrere zuordnen SIRErkennbare Elemente für nur eines MISPAttributtyp. Wenn erkennbare Elementtypen nicht zugeordnet sind, wird Sonstiges MISPDer Attributtyp ist standardmäßig ausgewählt.
Prozedur
Synchronisieren MITRE-ATT&CKInformationen an MISPEreignisse
Synchronisieren Sie MITRE-ATT&CKInformationen mit MISPAttribute für eine bessere Security Incident- und Bedrohungsanalyse.
Vorbereitungen
Erforderliche Rolle: sn_sec_misp.write
Prozedur
| Feld | Beschreibung |
|---|---|
| Security Incident Synchronisieren MITRE-ATT&CK™Techniken als lokale Galaxien bis MISPEreignis | Option zum Synchronisieren von Now Platform SIRSecurity Incident MITRE-ATT&CK™Techniken als lokale Galaxien in MISPEreignis. Hinweis: Zum Hinzufügen lokaler Galaxien muss der Anwender, der die Integration konfiguriert hat, zur Host-Organisation des entsprechenden gehören MISPServer. |
| Security Incident Synchronisieren MITRE-ATT&CK™Techniken als globale Galaxien bis MISPEreignis | Option zum Synchronisieren von Now Platform SIRSecurity Incident MITRE-ATT&CK™Techniken als globale Galaxien in MISPEreignis. |
Ergebnisse
Fügen Sie MISP-Tags zu Ereignissen hinzu
Fügen Sie den erstellten MISP-Ereignissen MISP-Tags hinzu.
Vorbereitungen
Erforderliche Rolle: sn_sec_misp.write