自動イベントの作成方法を設定する
MISP でイベントを自動作成するように、Now Platform を設定します。
始める前に
- 次のものをレビュー MISP ユーザーロールと権限 これは、 MISP 双方向機能を使用するために必要なものです。
- 必要なロール:sn_si.admin、sn_ti.admin
手順
イベントのトリガー条件を設定する
Now Platform でイベントのトリガー条件を設定して、条件が満たされたときに MISP のイベントを自動的にトリガーできるようにします。
始める前に
必要なロール:sn_sec_misp.write
手順
-
[トリガー条件] フォームで、イベントをトリガーする詳細を入力します。
セキュリティインシデントフィールドまたは観測事象フィールドに基づくトリガー条件を指定することで、複合ロジックをビルドできます。観測事象には MISPに対応するイベントがない場合は、MISP にイベントを作成することもできます。観測事象には MISP に対応するイベントがない場合は、[セキュリティインシデントフィールドに基づいてトリガー]、[観測可能フィールドに基づいてトリガー]、および [MISP イベントを作成] の 3 つのトリガー条件の組み合わせを使用して複合ロジックをビルドすることができます。複数のトリガーを選択した場合は、AND 条件を使用して結合できます。OR 条件を使用する必要がある場合は、新しい条件でプロファイルを作成することを検討してください。
表 : 2. イベントのトリガー条件フォーム フィールド 説明 セキュリティインシデントフィールドに基づいてトリガー すべてのセキュリティインシデントのトリガー条件が満たされた場合に作成できる MISP イベント。 セキュリティインシデントのトリガー条件 条件ビルダーのリストやフィールドを使って設定できる、1 行目のフィルター。条件を追加するには、[AND] または [OR] をクリックします。[AND] を選択した場合は、すべての条件に一致する必要があります。[OR] を選択した場合は、いずれかの条件に一致します。 2 つ目のフィルター条件を設定するには、[新しい基準] をクリックします。
観測可能フィールドに基づいてトリガー すべての観測事象のトリガー条件が満たされた場合に作成できる MISP イベント。 観測事象トリガー条件 条件ビルダーのリストやフィールドを使って設定できる、1 行目のフィルター。条件を追加するには、[AND] または [OR] をクリックします。[AND] を選択した場合は、すべての条件に一致する必要があります。[OR] を選択した場合は、いずれかの条件に一致します。 2 つ目のフィルター条件を設定するには、[新しい基準] をクリックします。
観測事象に対応するイベントが MISP にない場合は、MISP イベントを作成します 観測事象には MISP に対応するイベントがない場合に作成できる MISP イベント。 図 : 1. イベントのトリガー条件 次の例は、MISP イベント作成プロファイルを設定する際のイベントトリガー条件を示しています。
MISP イベントフィールドをマッピングする
Now Platform の MISP イベントフィールドをマッピングして、MISP イベントが作成されたときにセキュリティインシデント情報を利用できるようにします。
始める前に
必要なロール:sn_sec_misp.write
手順
-
フォームのフィールドに入力します。
表 : 3. デフォルトの MISP イベントフィールドマッピングフォーム フィールド 説明 イベント情報 Now Platform セキュリティインシデントレスポンス から自動的に作成されるイベント情報。 [イベント情報] フィールドは、${SIR FIELD LABEL}$ を使用することで代替変数に対応しています。イベントの作成時に、これらの変数は実際のセキュリティインシデントフィールド値に置き換えられます。${URL}$ 代替変数は、セキュリティインシデントの URL に置き換えられます。
配布 イベントが公開された後、このイベントを表示できるユーザーを制御するオプション。このオプションは、イベントを他のサーバーに同期するかどうかも制御します。属性によって配布が受け継がれ、最も制限の多い設定が優先されます。配布オプションは次のとおりです。 - [自分の組織のみ (Your organization only)]:組織のメンバーのみがこのイベントを表示できるようにします。イベントは、組織のメンバーの 1 人が別のインスタンスにプルして、組織だけが閲覧できるようにすることができます。この設定のイベントは同期されません。
- [このコミュニティのみ (This community only)]:自分の組織、この MISP サーバー上の組織、およびこのサーバーと同期する MISP サーバーを実行している組織を含む、MISP コミュニティの一員であるユーザーがイベントを表示できるようにします。リンクサーバーに接続されている他の組織は、イベントの表示が制限されます。
- [接続されたコミュニティ]:この MISP サーバー上のすべての組織、このサーバーと同期する MISP サーバー上のすべての組織、および 2 ホップ離れたサーバーに接続するサーバーのホスト組織など、MISP コミュニティの一員であるユーザーがイベントを表示できるようにします。2 ホップ離れた、リンクサーバーに接続されている他の組織は、イベントの表示が制限されます。
- [すべてのコミュニティ]:すべての MISP コミュニティとイベントを共有します。
脅威レベル イベントのリスクレベルを示すフィールド。インシデントは、3 つの異なる脅威のカテゴリ (低、中、高) に分類できます。このフィールドは未定義のままでも構いません。オプションは次のとおりです。 - 低:一般的な大量マルウェア
- 中:高度で継続的な脅威 (APT)
- 高:高度な APT およびゼロデイ攻撃
分析ステータス 次の使用可能なオプションがある、イベント分析の現在のステージ。 - 初期:分析を開始したばかりです
- 進行中:分析中です
- 完了:分析が完了しました
次の例は、MISP でのイベント作成に使用できるフォームを示しています。図 : 2. デフォルトの MISP イベントフィールドマッピング
SIR 観測事象の MISP イベントへの属性としてのマッピングまたは関連付け
MISP 属性タイプと SIR 観測事象は異なる場合があるため、セキュリティインシデントレスポンス 観測事象タイプを MISP 属性タイプにマッピングします。
始める前に
必要なロール:sn_sec_misp.write
このタスクについて
MISP integration for Security Operations は、SIR 観測事象を属性として MISP イベントに追加するときに使用するベースシステムマッピングを提供します。
ベースシステムマッピングを選択し、環境に合わせて変更できます。たとえば、複数の SIR 観測事象を 1 つの MISP 属性タイプにのみマッピングすることができます。観測事象タイプがマッピングされていない場合は、デフォルトで [その他 (other)] MISP の属性タイプが選択されます。
手順
-
次の表に示すように、セキュリティインシデントレスポンス 観測事象タイプを MISP 属性タイプにマッピングします。
表 : 4. SIR 観測事象と MISP 属性タイプのマッピング フィールド 説明 関連するすべての観測事象を属性として追加 セキュリティインシデントで利用可能な観測事象を、属性として MISP イベントに追加するオプション。 このオプションは、[観測事象タイプから属性タイプへのマッピング (Observable Type to Attribute Type Mapping)] セクションのマッピングを有効にします。
観測事象タイプから属性タイプへのマッピング SIR 観測事象タイプを MISP 属性タイプにマッピングするオプション。たとえば、SIR の CVE 番号を MISP の脆弱性属性にマッピングできます。 SIR 観測事象タイプは、1 つの MISP 属性タイプにのみ追加できます。
ベースシステムでは、SIR 観測事象タイプから MISP 属性タイプへのマッピングが提供されます。
SIR 観測事象タイプが MISP 属性タイプにマッピングされない場合、その観測事象は MISP の [その他 (other)] の属性タイプにマッピングされます。
新しいマッピングを追加するには、[観測事象タイプを追加 (Add Observable Type)] をクリックし、SIR 観測事象タイプを検索して、対応する MISP 属性タイプにマッピングします。
[マッピングを削除] アイコン
をクリックし、SIR および MISP 属性マッピングの関連付けを削除します。注:MISP 属性タイプの詳細については、「MISP documentation (MISP ドキュメント)」を参照してください。セキュリティタグに基づいて観測事象をフィルタリングする 選択したセキュリティタグに基づいて観測事象をフィルタリングするオプション。 セキュリティタグ:観測事象をフィルタリングするタグを追加します。たとえば、「共有をブロック」または「TLP:白」というタグを追加する場合、いずれかの観測事象にこれらのタグのいずれかが関連付けられていると、MISP イベントの作成時にこれらの観測事象は MISP イベントに属性として追加されません。
観測事象の検出結果が悪意のある場合、属性 IDS フラグを設定 SIR で観測事象が悪意があるとしてマークされている場合に、MISP の対応する属性が IDS フラグを有効にしていることを示すオプション。IDS フラグが設定されていない場合、属性はコンテキスト情報と見なされ、自動侵入検出には使用されません。 次の例は、その他のオプションページに移動する方法を示しています。このページでは、SIR 観測事象と MISP 属性タイプのマッピングを有効にし、IPV6 ネットワークや IPV4 ネットワークなどの新しい SIR 観測可能タイプを追加して、MISP 属性タイプドメインの IP アドレスにマッピングできます。
図 : 3. SIR 観測事象と MISP 属性タイプのマッピング
MITRE-ATT&CK 情報を MISP イベントに同期する
MITRE-ATT&CK 情報を MISP 属性と同期させて、セキュリティインシデントと脅威をより適切に分析します。
始める前に
必要なロール:sn_sec_misp.write
手順
| フィールド | 説明 |
|---|---|
| セキュリティインシデントの MITRE-ATT&CK™ テクニックをローカルギャラクシーとして MISP イベントに同期 | Now Platform SIR セキュリティインシデント MITRE-ATT&CK™ テクニックを、MISP イベントのローカルギャラクシーとして同期するオプション。 注: ローカルギャラクシーを追加するには、統合を設定したユーザーが、対応する MISP サーバーのホスト組織に属している必要があります。 |
| セキュリティインシデントの MITRE-ATT&CK™ テクニックをグローバルギャラクシーとして MISP イベントに同期 | Now Platform SIR セキュリティインシデント MITRE-ATT&CK™ テクニックを、MISP イベントのグローバルギャラクシーとして同期するオプション。 |
タスクの結果
イベントに MISP タグを追加する
作成された MISP イベントに MISP タグを追加します。
始める前に
必要なロール:sn_sec_misp.write