Konfigurieren Sie, wie ein automatisches Ereignis erstellt wird

  • Freigeben Version: Yokohama
  • Aktualisiert 30. Januar 2025
  • 7 Minuten Lesedauer

    • Konfigurieren Sie Now PlatformDient zum automatischen Erstellen von Ereignissen in MISP.

    Vorbereitungen

    Prozedur

    1. Navigieren zu Alle > MISP-Integration > Profile für die automatische Erstellung von Ereignissenan.
    2. Klicken Sie auf Neu.
    3. Füllen Sie im Formular die Felder aus.
      Tabelle : 1. Namensformular
      Feld Beschreibung
      Name Name des Profils für die automatische Ereigniserstellung.
      Beschreibung Kurze Beschreibung des Profils. Eine detailliertere Beschreibung wird über die Attribute in der nächsten Phase der Erstellung des Ereignisses freigegeben.
      Bestellung Reihenfolge des Profils, wenn Auslösebedingungen erfüllt sind. Der Standardwert ist 100. Belassen Sie diese Einstellung auf den Standardwert.

      Wenn Sie mehrere Profile erstellen, bietet dieser Wert eine Laufzeitausführungspriorität, wenn mindestens zwei Profile Auslösebedingungen teilen. Das Profil mit der niedrigsten Zahl hat die höchste Priorität.
      Quelle MISP Quelle für die Ereigniserstellung.
      Aktiv Option, die angibt, ob das Profil aktiv oder inaktiv ist. Die Option ist standardmäßig deaktiviert, um anzugeben, dass das Profil deaktiviert ist.

      Dieses Profil ist erst aktiv, wenn Sie alle Schritte zur Profilkonfiguration abgeschlossen und auf klicken Beenden .
    4. Klicken Sie auf Fortsetzen.

    Konfigurieren Sie Ereignisauslöserbedingungen

    Konfigurieren Sie die Ereignisauslöserbedingungen in Now PlatformDamit Sie ein Ereignis in automatisch auslösen können MISPWenn die Bedingungen erfüllt sind.

    Vorbereitungen

    Erforderliche Rolle: sn_sec_misp.write

    Prozedur

    1. Geben Sie im Formular „Auslöserbedingungen“ die Details ein, die ein Ereignis auslösen können.
      Sie können eine zusammengesetzte Logik erstellen, indem Sie die Auslöserbedingungen angeben, die auf Security Incident-Feldern oder Feldern erkennbarer Elemente basieren. Sie können auch Ereignisse in erstellen MISPWenn erkennbare Elemente kein entsprechendes Ereignis in haben MISP. Sie können eine zusammengesetzte Logik erstellen, indem Sie eine Kombination der drei Auslöserbedingungen verwenden: Auslöser basierend auf Security Incident-Feldern, Auslöser basierend auf Feldern erkennbarer Elemente und MISP-Ereignis erstellen, wenn ein erkennbares Element keine entsprechenden Ereignisse in MISP hat. Wenn Sie mehrere Auslöser auswählen, können Sie sie mit der Bedingung UND verbinden. Erwägen Sie, ein Profil mit neuen Bedingungen zu erstellen, wenn Sie die ODER-Bedingung verwenden müssen.
      Tabelle : 2. Formular „Ereignisauslöserbedingungen“
      Feld Beschreibung
      Auslöser basierend auf Security Incident-Feldern MISP Ereignis, das Sie erstellen können, wenn alle Auslöserbedingungen für Security Incidents erfüllt sind.
      Auslösebedingungen für Security Incident Filter in der ersten Zeile, die Sie mithilfe der Listen und Felder des Bedingungsgenerators festlegen können. Klicken Sie auf UND oder oder ODER, um weitere Bedingungen hinzuzufügen. Wenn UND ausgewählt ist, müssen alle Bedingungen erfüllt werden. Wenn ODER ausgewählt ist, kann eine der Bedingungen abgeglichen werden.

      Klicken Sie auf, um eine zweite Filterbedingung festzulegen Neue Kriterien .
      Auslöser basierend auf erkennbaren Feldern MISP Ereignis, das Sie erstellen können, wenn alle Auslöserbedingungen für erkennbare Elemente erfüllt sind.
      Auslösebedingungen für erkennbare Elemente Filter in der ersten Zeile, die Sie mithilfe der Listen und Felder des Bedingungsgenerators festlegen können. Klicken Sie auf UND oder oder ODER, um weitere Bedingungen hinzuzufügen. Wenn UND ausgewählt ist, müssen alle Bedingungen erfüllt werden. Wenn ODER ausgewählt ist, kann eine der Bedingungen abgeglichen werden.

      Klicken Sie auf, um eine zweite Filterbedingung festzulegen Neue Kriterien .
      Erstellen Sie ein MISP-Ereignis, wenn das erkennbare Element keine entsprechenden Ereignisse in MISP enthält. MISPEreignis, das Sie erstellen können, wenn ein erkennbares Element keine entsprechenden Ereignisse in hat MISP.
      Abbildung : 1. Ereignisauslöserbedingungen

      Das folgende Beispiel zeigt die Ereignisauslöserbedingungen beim Einrichten von MISPEreignis-Erstellungsprofil.

      Konfigurieren Sie Bedingungen, die auf einem Ereignis basieren, das in MISP erstellt wird.
    2. Klicken Sie auf Fortsetzen.

    Ordnen Sie zu MISPEreignisfelder

    Ordnen Sie zu MISPEreignisfelder in Now PlatformDamit Security Incident-Informationen wann verfügbar sind MISPEreignisse werden erstellt.

    Vorbereitungen

    Erforderliche Rolle: sn_sec_misp.write

    Prozedur

    1. Füllen Sie im Formular die Felder aus.
      Tabelle : 3. Standardmäßiges MISP-Ereignisfeldzuordnungsformular
      Feld Beschreibung
      Information zum Ereignis Ereignisinformationen, die automatisch aus erstellt werden Now Platform Security Incident Response.

      Die Ereignisinformationen Feld unterstützt Ersetzungsvariablen durch Verwendung von $⁠{SIR-FELDBEZEICHNUNG}$. Während der Ereigniserstellung werden diese Variablen durch die tatsächlichen Security Incident-Feldwerte ersetzt. Die Ersetzungsvariable ${URL}$ wird durch die URL des Security Incidents ersetzt.
      Verteilung Option, die steuert, wer dieses Ereignis nach der Veröffentlichung des Ereignisses anzeigen kann. Diese Option steuert auch, ob das Ereignis mit anderen Servern synchronisiert wird. Die Verteilung wird von den Attributen geerbt, und die restriktivste Einstellung gewinnt. Die Verteilungsoptionen lauten wie folgt:
      • Nur Ihre Organisation: Ermöglicht nur Mitgliedern Ihrer Organisation, dieses Ereignis anzuzeigen. Das Ereignis kann von einem Ihrer Organisationsmitglieder in eine andere Instanz abgerufen werden, wo nur Ihre Organisation Zugriff zum Anzeigen hat. Ereignisse mit dieser Einstellung werden nicht synchronisiert.
      • Nur diese Community: Aktiviert Anwender, die Teil von sind MISPcommunity, um das Ereignis anzuzeigen, einschließlich Ihrer eigenen Organisation und Organisationen MISPServer und Organisationen, die ausgeführt werden MISPServer, die mit diesem Server synchronisiert werden. Alle anderen Organisationen, die eine Verbindung zu Ihren verknüpften Servern herstellen, dürfen das Ereignis nicht anzeigen.
      • Verbundene Communities: Ermöglicht Anwender, die Teil von sind MISPcommunity, um das Ereignis einschließlich aller Organisationen anzuzeigen MISPServer, alle Organisationen auf dem MISPServer, die mit diesem Server synchronisiert werden, und die Hosting-Organisationen von Servern, die eine Verbindung zu einem Server herstellen, der zwei Hops entfernt ist. Alle anderen Organisationen, die mit den verknüpften Servern verbunden sind, die zwei Hops entfernt sind, können das Ereignis nicht anzeigen.
      • Alle Communities: Teilt das Ereignis mit allen MISPcommunities.
      Bedrohungsstufe Feld, das die Risikostufe des Ereignisses angibt. Sie können Incidents in drei verschiedene Bedrohungskategorien kategorisieren (niedrig, Mittel, hoch). Dieses Feld kann auch als nicht definiert belassen werden. Die folgenden Optionen sind verfügbar:
      • Niedrig: Allgemeine Massen-Malware
      • Mittel: Erweiterte persistente Bedrohungen (APT)
      • Hoch: Ausgeklügelte APTs und 0-Tage-Angriffe
      Analysestatus Aktuelle Phase der Analyse für das Ereignis mit den folgenden möglichen Optionen:
      • Anfänglich: Die Analyse beginnt gerade erst
      • Laufend: Die Analyse wird ausgeführt
      • Abgeschlossen: Die Analyse ist abgeschlossen
      Das folgende Beispiel zeigt das Formular, mit dem Sie ein Ereignis in MISP erstellen können.
      Abbildung : 2. Standardmäßige MISP-Ereignisfeldzuordnung
      Konfigurieren Sie das Formular, um ein neues Ereignis in MISP zu erstellen.
    2. Klicken Sie auf Fortsetzen.

    Zuordnen oder zuordnen SIRErkennbare Elemente als Attribute für MISPEreignisse

    Ordnen Sie zu Security Incident ResponseTypen erkennbarer Elemente für MISPAttributtypen aufgrund von MISPAttributtypen und SIRErkennbare Elemente können unterschiedlich sein.

    Vorbereitungen

    Erforderliche Rolle: sn_sec_misp.write

    Warum und wann dieser Vorgang ausgeführt wird

    Die MISP integration for Security OperationsStellt eine Basissystemzuordnung bereit, die Sie beim Hinzufügen verwenden SIRErkennbare Elemente als Attribute für einen MISPEreignis.

    Sie können die Basissystemzuordnung an Ihre Umgebung anpassen. Sie können beispielsweise mehrere zuordnen SIRErkennbare Elemente für nur eines MISPAttributtyp. Wenn erkennbare Elementtypen nicht zugeordnet sind, wird Sonstiges MISPDer Attributtyp ist standardmäßig ausgewählt.

    Prozedur

    1. Ordnen Sie im Formular „zusätzliche Optionen“ zu SIRErkennbares Element und MISPAttributtypen.
    2. Ordnen Sie zu Security Incident ResponseTypen erkennbarer Elemente für MISPAttributtypen wie in der folgenden Tabelle beschrieben.
      Tabelle : 4. Zuordnung von erkennbarem SIR- und MISP-Attributtyp
      Feld Beschreibung
      Alle zugehörigen erkennbaren Elemente als Attribute hinzufügen Option, die Sie aktivieren, um verfügbare erkennbare Elemente in einem Security Incident zu hinzuzufügen MISPEreignis als Attribute.

      Diese Option aktiviert die Zuordnung im Abschnitt „Zuordnung erkennbarer Elemente vom Typ zu Attributtyp“.
      Zuordnung Von Typ Des Erkennbaren Elements Zu Attributtyp Option zum Zuordnen von SIRTypen erkennbarer Elemente für MISPAttributtypen. Sie können beispielsweise die CVE-Nummer in zuordnen SIRZum Schwachstellenattribut in MISP.

      Sie können hinzufügen SIRTyp des erkennbaren Elements auf nur einen MISPAttributtyp.

      Das Basissystem stellt eine Zuordnung von bereit SIRTypen erkennbarer Elemente für MISPAttributtypen.

      Falls vorhanden SIRTypen erkennbarer Elemente sind keinem zugeordnet MISPAttributtyp, dann wird das erkennbare Element dem zugeordnet Sonstiges Attributtyp in MISP.

      Klicken Sie auf, um eine neue Zuordnung hinzuzufügen Fügen Sie Den Typ Des Erkennbaren Elements Hinzu , Suchen Sie nach SIRTyp des erkennbaren Elements und ordnen Sie dann dem entsprechenden zu MISPAttributtyp.

      Klicken Sie auf das Symbol Zuordnung entfernen Entfernen Sie die Zuordnung.Um zu entfernen SIRUnd MISPAttributzuordnungszuordnung.

      Hinweis:
      Weitere Informationen zu finden MISPAttributtypen, siehe MISP-Dokumentation .
      Erkennbare Elemente anhand von Sicherheits-Tags filtern Option zum Filtern der erkennbaren Elemente basierend auf den ausgewählten Sicherheits-Tags.

      Sicherheits-Tags : Fügen Sie Tags hinzu, um die erkennbaren Elemente zu filtern. Wenn Sie beispielsweise ein Tag mit der Bezeichnung „von Freigabe blockieren“ oder „TLP: Weiß“ hinzufügen, werden diese erkennbaren Elemente während der Erstellung des MISP-Ereignisses nicht als Attribut hinzugefügt, wenn einem der erkennbaren Elemente eines dieser Tags zugeordnet ist.
      Legen Sie die Attribut-IDS-Kennzeichnung fest, wenn die Erkennung von erkennbaren Elementen schädlich ist. Option, mit der Sie wissen, ob ein erkennbares Element in als schädlich markiert wird SIR, Dann das entsprechende Attribut in MISPHat die IDS-Kennzeichnung aktiviert. Wenn die IDS-Kennzeichnung nicht festgelegt ist, wird das Attribut als kontextbezogene Informationen betrachtet und nicht für die automatische Erkennung von Angriffen verwendet.

      Das folgende Beispiel zeigt, wie Sie zur Seite „zusätzliche Optionen“ navigieren. Auf dieser Seite können Sie die Zuordnung von SIR-erkennbaren Elementen und MISP-Attributtypen aktivieren und neu hinzufügen SIRTypen erkennbarer Elemente, z. B. IPV6-Netzwerk und IPV4-Netzwerk, und ordnen Sie es zu MISPAttributtyp-Domänen-IP-Adresse.

      Abbildung : 3. Zuordnung SIRErkennbare Elemente und MISPAttributtypen
      Ordnen Sie das erkennbare SIR-Element und den MISP-Attributtyp zu.

    Synchronisieren MITRE-ATT&CKInformationen an MISPEreignisse

    Synchronisieren Sie MITRE-ATT&CKInformationen mit MISPAttribute für eine bessere Security Incident- und Bedrohungsanalyse.

    Vorbereitungen

    Erforderliche Rolle: sn_sec_misp.write

    Prozedur

    Überprüfen Sie im Formular „zusätzliche Optionen“ die Optionen zum Synchronisieren von MITRE-ATT&CKInformationen mit MISPAttribute.
    Tabelle : 5. Formular „Erweiterte Optionen“
    Feld Beschreibung
    Security Incident Synchronisieren MITRE-ATT&CK™Techniken als lokale Galaxien bis MISPEreignis Option zum Synchronisieren von Now Platform SIRSecurity Incident MITRE-ATT&CK™Techniken als lokale Galaxien in MISPEreignis.
    Hinweis:
    Zum Hinzufügen lokaler Galaxien muss der Anwender, der die Integration konfiguriert hat, zur Host-Organisation des entsprechenden gehören MISPServer.
    Security Incident Synchronisieren MITRE-ATT&CK™Techniken als globale Galaxien bis MISPEreignis Option zum Synchronisieren von Now Platform SIRSecurity Incident MITRE-ATT&CK™Techniken als globale Galaxien in MISPEreignis.

    Ergebnisse

    Sie haben ein Profil erstellt, mit dem Sie Ereignisse in automatisch erstellen können MISPVon Now Platform. Sie können die Ereignisse jetzt in der zugehörigen Liste „MISP-Ereignisse“ anzeigen.

    Fügen Sie MISP-Tags zu Ereignissen hinzu

    Fügen Sie den erstellten MISP-Ereignissen MISP-Tags hinzu.

    Vorbereitungen

    Erforderliche Rolle: sn_sec_misp.write

    Prozedur

    1. Navigieren Sie im Formular „zusätzliche Optionen“ zu Wählen Sie MISP-Tags aus, die dem Ereignis hinzugefügt werden sollen Abschnitt in der Formularansicht.
    2. Überprüfen Sie die Optionen zum Hinzufügen von Tags zu den erstellten Ereignissen.
      Tabelle : 6. Formular „Erweiterte Optionen“
      Feld Beschreibung
      Erstelltem MISP-Ereignis Tags hinzufügen Option, mit der Sie automatisch MISP-Tags zu Ereignissen hinzufügen können, die in ServiceNow erstellt werden.
      Tags (lokal) Die ausgewählten Tags werden dem MISP-Ereignis als lokale Tags hinzugefügt.
      Tags (global) Die ausgewählten Tags werden dem MISP-Ereignis als globale Tags hinzugefügt.
    3. Klicken Sie auf Speichern.

    Ergebnisse

    Das Hinzufügen von MISP-Tags hilft bei der Klassifizierung des Ereignisses.