Ergänzung erkennbarer Elemente in MISP

  • Freigeben Version: Yokohama
  • Aktualisiert 30. Januar 2025
  • 8 Minuten Lesedauer

    • Durch Anreicherung erkennbarer Elemente mit zusätzlichen Informationen aus verschiedenen MISPQuellen während Untersuchungen zur Reaktion auf Incidents können Sie identifizierte Bedrohungen eindämmen.

    Aktivieren Sie die automatische Anreicherung erkennbarer Elemente in MISP

    Aktivieren Sie die automatische Anreicherung erkennbarer Elemente in Now Platform MISPWenn dem Security Incident neue erkennbare Elemente zugeordnet sind.

    Vorbereitungen

    • Aktivieren Sie Security Incident ResponseSystemeigenschaft für Aktiviert oder deaktiviert die geplante Aufgabe „erkennbare Elemente für Security Incidents suchen“ Option zum Auslösen der Ergänzungsfähigkeit erkennbarer Elemente in SIR.
    • Erforderliche Rolle: sn_si.Analyst

    Prozedur

    1. Navigieren zu Alle > Security Incident > Alle Incidents anzeigenan.
    2. Wählen Sie den Security Incident aus, der die erkennbaren Elemente enthält, in denen Sie die Daten erkennbarer Elemente anreichern möchten MISPFür.
    3. Überprüfen Sie die Arbeitsnotizen, nachdem dem Security Incident neue erkennbare Elemente zugeordnet wurden.

      Das folgende Beispiel zeigt, dass eine Arbeitsnotiz veröffentlicht, wenn Integration von Sicherheitsvorgängen: Flow für erkennbare Elemente anreichern Auslöser.

      Zeigen Sie die Arbeitsnotizen des Anreicherungsstatus erkennbarer Elemente an.

    4. In MISPZugehörige Liste der Ergänzungsergebnisse des Security Incidents. Zeigen Sie die Ergänzungsergebnisse an, nachdem die Flow-Ausführung abgeschlossen ist.
      Zeigen Sie die Arbeitsnotizen des Anreicherungsstatus erkennbarer Elemente an, nachdem die Ausführung abgeschlossen ist.
      Hinweis:
      Sie müssen dies konfigurieren MISPDie zugehörige Liste „Ergänzungsergebnisse“ wird in den zugehörigen Listen für Security Incidents angezeigt. Weitere Informationen finden Sie unter Konfiguration der zugehörigen Liste .
      Das folgende Beispiel zeigt die Ergänzungsergebnisse in MISP.
      Zeigen Sie die Ergänzungsergebnisse auf der Registerkarte „MISP-Anreicherungsergebnisse“ an.
      Die folgende Tabelle zeigt die MISP-Ergänzungsergebnisse.
      Tabelle : 1. MISP-Datenanreicherungs-Ergebnisse
      Feld Beschreibung
      Ereignis ID des Ereignisses. Klicken Sie auf „Öffnen“, um den Datensatz in anzuzeigen Now PlatformInstanz.
      Org Organisation, die das Ereignis ursprünglich erstellt hat.
      Erkennbares Element Erkennbares Element, das dem Ereignis zugeordnet ist.
      Kategorie Kategorie des Attributs.

      Zeigen Sie die Liste der Kategorien in an MISP-Dokumentation .
      Typ Typ des Attributs.

      Zeigen Sie die Liste der Typen in an MISP-Dokumentation .
      MISP-Tags Liste der Tags, die mit verknüpft sind MISPAttribut.
      MISP-Galaxien Liste der Galaxien, die mit verknüpft sind MISPAttribut.
      Kommentar Kontextbezogener Kommentar zur weiteren Beschreibung des Attributs. Diese Kommentare werden nicht für Korrelationen verwendet und sind rein informativ.
      IDS Kompromittierungsindikator, der es ermöglicht, in alle berechtigten Exporte aufzunehmen.
      Verteilung Verteilung des Attributs nach der Veröffentlichung. Ein Attribut kann eine andere Verteilungsebene als das Ereignis haben. In beiden Fällen wird die niedrigste Verteilungsebene verwendet.
      Hyperlink zum MISP-Ereignis Link zu MISPEreignis, das auf gespeichert ist MISPServer.
      IntegrationsVendor Integrationslieferant, der die Daten zur Ergänzung bereitstellt.
      Rohdaten Rohdaten, die mit verknüpft sind MISPAttribut.

    Führen Sie eine manuelle Ergänzung erkennbarer Elemente in durch MISP

    Wählen Sie einzelne oder mehrere erkennbare Elemente aus, und führen Sie eine manuelle Ergänzung erkennbarer Elemente durch, damit Sie erkennbare Elemente mit zusätzlichen Informationen aus verschiedenen ergänzen können MISPQuellen.

    Vorbereitungen

    Prozedur

    1. Navigieren zu Alle > Security Incident > Alle Incidents anzeigenan.
    2. Wählen Sie den Security Incident aus, der die erkennbaren Elemente enthält, für die Sie die Ergänzung durchführen möchten.
    3. Klicken Sie Auf Alle Zugehörigen Listen Anzeigen Und Zugeordnete Erkennbare Elemente Registerkarte.
    4. Wählen Sie das erkennbare Element aus, und klicken Sie im Menü „Aktionen“ auf Führen Sie Eine Anreicherung Erkennbarer Elemente Aus .
      Sie können mehrere erkennbare Elemente für eine Sichtungssuche auswählen.
      Das Dialogfeld Anreicherung erkennbarer Elemente ausführen wird angezeigt.
    5. Wählen Sie ein aus MISPQuelle und wählen Sie in der Spalte ausgewählt eine Implementierung aus, um die ausgewählten erkennbaren Elemente anzureichern.
    6. Klicken Sie auf Absenden.
      Eine Arbeitsnotiz zeigt, dass Integration von Sicherheitsvorgängen: Bereichern Sie den Workflow für erkennbare Elemente Wurde ausgelöst. Die zugehörigen Implementierungs-Workflows werden ausgeführt, um die Ergänzung durchzuführen. Sie können die Arbeitsnotizen im Security Incident anzeigen, um den Status anzuzeigen.

      Das folgende Beispiel zeigt, wie die Arbeitsnotizen für eine manuelle Ergänzung erkennbarer Elemente angezeigt werden.

      Abbildung : 1. Arbeitsnotizen für die manuelle Ergänzung erkennbarer Elemente
      Zeigen Sie Arbeitsnotizen für die manuelle Ergänzung erkennbarer Elemente an.
      Die Ergänzungsnachricht listet das erstellte Ereignis auf. Sie können das Ereignis in anzeigen Now PlatformOder in MISPInstanz und zeigen Sie die Details des Datensatzes auf der Registerkarte „MISP-Anreicherungsergebnisse“ an.

    Fügen Sie Tags hinzu, oder entfernen Sie sie MISPAttribute

    Fügen Sie Tags in hinzu, oder entfernen Sie sie MISPZum Klassifizieren von Ereignissen oder Attributen. Sie können Global Tagging verwenden, um Ihre Klassifizierung zu aktivieren, oder Tags lokal verwenden, wenn Sie dies nicht möchten MISPEreignisse, die während Ihrer Klassifizierung geändert werden sollen.

    Vorbereitungen

    • Überprüfung des folgenden Elements: MISP Anwenderrolle und -Berechtigungen Zur Verwendung von MISPbidirektionale Funktionen.
    • Stellen Sie sicher, dass das Attribut, das Sie bearbeiten, zur gleichen Organisation wie gehört MISPAnwender.
    • Beachten Sie, dass die Tags und Galaxien, die Ihnen zur Verfügung stehen, auf basieren MISPQuelle und ihre Verteilungsberechtigungen.
    • Erforderliche Rolle: sn_sec_misp.write

    Prozedur

    1. Navigieren zu Alle > Security Incident > Alle Incidents anzeigenan.
    2. Wählen Sie den Security Incident aus, der die erkennbaren Elemente, Attribute oder Ereignisse enthält, für die Sie die Tags hinzufügen möchten.
    3. Klicken Sie Auf Alle Zugehörigen Listen Anzeigen Und die zugehörige Liste „MISP-Anreicherungsergebnisse“.
    4. Klicken Sie auf das Vorschausymbol Vorschausymbol.Neben einem Datensatz, und klicken Sie dann auf Datensatz Öffnen .
      Das folgende Beispiel zeigt, wie überprüft wird MISP-Anreicherungsergebnisse Und wie geöffnet wird MISPErgänzungsdatensatz.
      Abbildung : 2. MISP-Anreicherungsergebnisdatensatz
    5. Überprüfen Sie den MISP-Anreicherungsergebnisdatensatz.
      Tabelle : 2. MISP-Anreicherungsergebnis
      Feld Beschreibung
      Erkennbares Element
      Ereignis Ereignis-ID, die von zugewiesen wird MISPServer, als das Ereignis zuerst erstellt oder in importiert wurde MISP.

      Zeigen Sie eine Vorschau des Ereignisses an, oder klicken Sie auf den Datensatz, um die Ereignisdaten in anzuzeigen MISPEreignisdatenseite.
      Org Organisation, die erstellt hat MISPAttribut.
      Kategorie Kategorie des Attributs, das Sie dem bestimmten Ereignis in hinzufügen MISP. Sie können eine Option auswählen, z. B. eine interne Referenz, Netzwerkaktivität, Finanzbetrug usw.
      Typ Typ von MISPAttribut.
      IntegrationsVendor Integrationslieferant, der die Daten für die Ergänzung erkennbarer Elemente bereitstellt.
      Erstellungsdatum (in MISP) Datum, an dem das Ereignis zuerst erstellt oder in importiert wurde MISP.
      IDS Status, der angibt, ob ein erkennbares Element in als schädlich markiert ist SIR. Das entsprechende Attribut in MISPIst auch als „wahr“ markiert.
      Verteilung Verteilungsoptionen-Steuerungen, z. B. wer dieses Ereignis nach der Veröffentlichung anzeigen kann. Diese Option steuert auch, ob das Ereignis mit anderen Servern synchronisiert wird. Die Verteilung wird von den Attributen geerbt, und die restriktivste Einstellung gewinnt. Die Verteilungsoptionen lauten wie folgt:
      • Nur Ihre Organisation: Ermöglicht nur Mitgliedern Ihrer Organisation, dieses Ereignis anzuzeigen. Das Ereignis kann von einem Ihrer Organisationsmitglieder in eine andere Instanz abgerufen werden, über die nur Ihre Organisation Zugriff zum Anzeigen hat. Ereignisse mit dieser Einstellung werden nicht synchronisiert.
      • Nur diese Community: Aktiviert Anwender, die Teil von sind MISPcommunity, um das Ereignis anzuzeigen, einschließlich Ihrer eigenen Organisation und Organisationen MISPServer und Organisationen, die ausgeführt werden MISPServer, die mit diesem Server synchronisiert werden. Alle anderen Organisationen, die mit diesen verknüpften Servern verbunden sind, dürfen das Ereignis nicht anzeigen.
      • Verbundene Communities: Ermöglicht Anwender, die Teil von sind MISPcommunity zum Anzeigen des Ereignisses, einschließlich aller Organisationen in diesem MISPServer, alle Organisationen auf MISPServer, die mit diesem Server synchronisiert werden, und die Hosting-Organisationen von Servern, die eine Verbindung zu einem Server herstellen, der zwei Hops entfernt ist). Alle anderen Organisationen, die mit den verknüpften Servern verbunden sind, die zwei Hops entfernt sind, können das Ereignis nicht anzeigen.
      • Alle Communities: Teilt das Ereignis mit allen MISPcommunities, die es ermöglichen, das Ereignis frei verfügbar zu machen.
      Hyperlink zum MISP-Ereignis Link zu MISPEreignis, das auf gespeichert ist MISPServer.
      Rohdaten Rohdetails für den Ergänzungsdatensatz für erkennbare Elemente.
      Kommentar Kommentare, die Sie für die Attribute hinzufügen. Diese Kommentare dienen nur zu Informationszwecken und werden nicht für Korrelationen verwendet.
      Tags (lokal) Tags, die in den der Host-Organisation verfügbar sind MISPInstanz zum Aktivieren von Tagging für Synchronisierung und Exportfilterung. MISPEreignisse werden nicht geändert, wenn Sie lokale Tags verwenden. Diese Tags werden immer entfernt, bevor sie mit anderen synchronisiert werden MISPInstanzen und freigegebene Communities.
      Tags (global) Tags, die global zur Freigabe und Synchronisierung mit anderen verfügbar sind MISPInstanzen und freigegebene Communities. Wenn Sie globale Tags zu hinzufügen MISPInstanzen ändern Sie Ereignisse.
      Galaxien (lokal) Galaxien, die in den der Host-Organisation verfügbar sind MISPInstanz für Synchronisierung und Exportfilterung. MISPEreignisse werden nicht geändert, wenn Sie lokale Galaxien verwenden. Diese Galaxien werden immer entfernt, bevor sie mit anderen synchronisiert werden MISPInstanzen und freigegebene Communities.
      Galaxien (global) Galaxien, die global verfügbar sind, um mit anderen geteilt und synchronisiert zu werden MISPInstanzen und freigegebene Communities. Wenn Sie globale Galaxien hinzufügen, MISPEreignisse werden geändert.
    6. Klicken Sie auf das Bearbeitungssymbol, um entweder ein lokales oder ein globales Tag zu bearbeiten Symbol „Bearbeiten“.In einer der folgenden Optionen:
    • Tags (lokal)
    • Tags (global)
    1. Geben Sie im Dialogfeld „MISP-Attribut-Tags“ den Namen des Tags ein, nach dem gesucht und hinzugefügt werden soll.
    2. Klicken Sie Auf Aktualisieren Sie Tags auf MISP-Attribut .

      Das folgende Beispiel zeigt, dass Sie durch Klicken auf das Bearbeitungssymbol für die lokalen Tags die Tags C3, Adware, C2 und Botnet 3101 suchen und hinzufügen und den MISP-Server mit den Tags aktualisieren können. Die Bestätigungsnachricht zeigt an, dass alle Tags in aktualisiert wurden MISP.

      Die Tags wurden erfolgreich in aktualisiert MISPServer.
    3. Klicken Sie auf, um die Änderungen im Datensatz anzuzeigen Formular Neu Laden In der Erfolgsmeldung.

    Fügen Sie Galaxien zu hinzu, oder entfernen Sie sie MISPEreignis oder Attribut

    Fügen Sie Galaxien in hinzu, oder entfernen Sie sie MISPDamit Sie diese Objekte in als Cluster klassifizieren können MISPUnd hängen Sie sie an an MISPEreignisse oder Attribute.

    Vorbereitungen

    • Überprüfung des folgenden Elements: MISP Anwenderrolle und -Berechtigungen Zur Verwendung von MISPbidirektionale Funktionen.
    • Zum Hinzufügen lokaler Galaxien muss der Anwender, der die Integration konfiguriert hat, zur Host-Organisation des entsprechenden gehören MISPServer.
    • Beachten Sie, dass die Tags und Galaxien, die Ihnen zur Verfügung stehen, auf basieren MISPQuelle und ihre Verteilungsberechtigungen.
    • Erforderliche Rolle: sn_sec_misp.write

    Prozedur

    1. Klicken Sie auf das Bearbeitungssymbol Symbol „Bearbeiten“.In einer der folgenden Optionen.
    • Galaxien (lokal)
    • Galaxien (global)
    1. Geben Sie im Dialogfeld MISP-Ereignisgalaxien die Details ein.
      Tabelle : 3. Dialogfeld „MISP-Ereignisgalaxien“
      Feld Beschreibung
      Ereignis-ID Ereignis-ID, die von zugewiesen wird MISPServer, als das Ereignis zuerst erstellt oder in importiert wurde MISP.
      Namespace Namespace, in dem die Galaxie gespeichert ist. Sie können Namespaces verwenden, um ähnliche Galaxien zu gruppieren.
      Galaxien Galaxie, in der Sie die Clusterinformationen speichern.
      Cluster Informationen zu den Clustern in der Galaxie.
    2. Klicken Sie Auf Aktualisieren Sie Galaxien auf MISP-Attribut .
      Das folgende Beispiel zeigt, dass Sie durch Klicken auf das Bearbeitungssymbol für die lokalen Galaxien den veralteten Namespace auswählen, die Galaxie Enterprise Attack – Angriffsmuster auswählen und die Clusterinformationen hinzufügen können. Nachdem die Galaxieinformationen aktualisiert wurden, können Sie die Erfolgsmeldung anzeigen.

    3. Klicken Sie auf, um die Änderungen im Datensatz anzuzeigen Formular Neu Laden In der Erfolgsmeldung.

    Ergebnisse

    Die Galaxieinformationen wurden erfolgreich in aktualisiert MISPServer.

    Fügen Sie Kommentare zu hinzu MISPAttribut

    Fügen Sie Kommentare für hinzu MISPAttribute. Die von Ihnen hinzugefügten Kommentare dienen nur zu Informationszwecken und werden nicht für die Korrelation von verwendet MISPDaten.

    Vorbereitungen

    Prozedur

    1. Klicken Sie auf das Bearbeitungssymbol Symbol „Bearbeiten“.Im Feld Kommentar.
    2. Geben Sie Ihren Kommentar in das Feld Attributkommentar ein.
    3. Klicken Sie Auf Aktualisieren Sie den Kommentar auf das MISP-Attribut .
      Das folgende Beispiel zeigt, dass Sie durch Klicken auf das Bearbeitungssymbol neben dem Kommentarfeld einen Kommentar hinzufügen und dann aktualisieren können MISPAttribut. Nachdem der Kommentar aktualisiert wurde, können Sie die Erfolgsmeldung anzeigen.

    4. Klicken Sie auf, um die Änderungen im Datensatz anzuzeigen Formular Neu Laden In der Erfolgsmeldung.

    Ergebnisse

    Der Kommentar wurde erfolgreich in aktualisiert MISPServer.