Sichtungssuchen in MISP

  • Freigeben Version: Zurich
  • Aktualisiert 31. Juli 2025
  • 7 Minuten Lesedauer

    • Sie können Sichtungssuchen für erkennbare Elemente in durchführen MISP Instanz, um zu bestimmen, wie oft bestimmte Arten von Angriffen, z. B. Phishing-Angriffe oder Kommunikation mit einer schädlichen IP oder URL, in Ihrem Netzwerk auftreten. Jedes Vorkommen wird als Sichtung betrachtet.

    Sichtungen in MISP

    Sichtungen geben an, dass ein Indikator, Objekt oder Attribut gesehen wurde und seine Gültigkeit bestätigt wurde. Sichtungen in MISP Ist ein System, mit dem Sie auf Attribute für ein Ereignis reagieren können. Es wurde entwickelt, um Anwendern eine einfache Methode zu bieten, um zu bestätigen, dass sie ein bestimmtes Attribut gesehen haben, was ihnen mehr Glaubwürdigkeit verleiht. Sie können ein Attribut mehrmals anzeigen.
    Hinweis:
    Erkennbare Elemente werden in MISP als Attribute bezeichnet.

    Einige Attribute werden als falsch positive Werte betrachtet, was bedeutet, dass sie keine gültigen Sichtungen sind. Andere Attribute sind nur für eine bestimmte Dauer gültig, z. B. eine Phishing-Kampagne, die nur eine Woche lang ausgeführt wird. Sie können den Attributen, die für eine bestimmte Dauer gültig sind, ein Ablaufdatum zuweisen, aber jede Organisation kann einem Attribut nur ein gültiges Ablaufdatum zuweisen.

    Sichtungen, die in erstellt werden MISP Anwender von Organisationen, die auf dem entsprechenden MISP-Server als lokal markiert sind, werden als interne Sichtungen bezeichnet. Sichtungen, die in erstellt werden MISP Von Anwendern von Organisationen, die in der entsprechenden als Remote markiert sind MISP Server werden als externe Sichtungen bezeichnet.

    Sichtungssuchen in SIR

    Die Integration von Security Operations – Sichtungssuche-Workflow Führt die Sichtungssuche aus. Dies Der Flow akzeptiert eine Liste erkennbarer Elemente, sucht nach Implementierungsfähigkeiten, erstellt die Abfragen, die auf den Sichtungssuchkonfigurationen basieren, und führt die Suchen aus, die auf der konfigurierten basieren Flow.

    Sichtungssuchen helfen Analysten, die Verbreitung einer Bedrohung im Zeitverlauf zu bestimmen. Sie können einzelne oder mehrere erkennbare Elemente und den Datumsbereich für Ihre Suche aus einem Security Incident auswählen. Ergebnisse sind im Security Incident enthalten Sichtungen , Sichtungssuchergebnisse , Und Sichtungssuchdetails Zugehörige Listen.

    Wenn Sie mit der Analyse eines Incident beginnen, können Sie einrichten ServiceNow AI Platform Bis Führt automatisch eine Sichtungssuche durch Oder Führen Sie manuell eine Sichtungssuche für erkennbare Elemente durch Um andere Anwender in Ihrer Organisation zu identifizieren, die von demselben Phishing-Angriff betroffen sind.

    Automatische Sichtungssuchen in aktivieren MISP

    Aktivieren Sie die Sichtungssuche in MISP Wird automatisch ausgeführt, damit der Workflow „Security Operations Integration – Sichtungssuche“ ausgelöst wird, wenn neue erkennbare Elemente einem Security Incident zugeordnet werden.

    Vorbereitungen

    Überprüfen Sie, ob Sichtungssuchkonfigurationsprofil für MISP Ist aktiv.

    Erforderliche Rolle: sn_si.Analyst

    Warum und wann dieser Vorgang ausgeführt wird

    Wenn Sie aktivieren Die Sichtungssuchfunktion, die automatisch in ausgeführt werden soll MISP Integrationskonfiguration, Die Sichtungssuche in MISP Wird ausgelöst, wenn neue erkennbare Elemente einem Security Incident zugeordnet werden. Standardmäßig ist Sichtungssuche automatisch ausführen, wenn dem Security Incident neue erkennbare Elemente zugeordnet sind Option ist aktiviert.

    Prozedur

    1. Navigieren zu Alle > Security Incident > Alle Incidents anzeigenan.
    2. Wählen Sie den Security Incident aus, der die erkennbaren Elemente enthält, die Sie in anzeigen möchten MISP Sichtungssuchdaten.
    3. Überprüfen Sie die Arbeitsnotizen, nachdem dem Security Incident neue erkennbare Elemente zugeordnet wurden.
      Eine Arbeitsnotiz wird veröffentlicht, wenn Integration von Security Operations – Sichtungssuche-Workflow Wurde ausgelöst.

      Das folgende Beispiel zeigt den Abschnitt „Arbeitsnotizen“.

      Zeigen Sie die Arbeitsnotizen an, und überprüfen Sie, ob der Sichtungssuche-Workflow ausgelöst wurde.
    4. Zeigen Sie die zusammengefassten Informationen von erkennbaren Elementen an, die in allen Ereignissen (global) angezeigt und nach ihren internen oder externen Sichtungen kategorisiert werden, nachdem die Workflow-Ausführung abgeschlossen wurde.
      Zeigen Sie die Informationen in an Sichtungen , Sichtungssuchergebnisse Und Sichtungssuchdetails Zugehörige Listen.das folgende Beispiel zeigt den Sichtungssuchdatensatz, der in der zugehörigen Liste Sichtungen erstellt wurde.
      Zeigen Sie den Sichtungssuchdatensatz an, der auf der Registerkarte Sichtungen erstellt wurde.
      Tabelle : 1. Sichtungssuchdatensatz
      Feld Beschreibung
      Erstellt Datum und Uhrzeit der Erstellung des Sichtungssuchdatensatzes.
      Erkennbares Element Erkennbares Element, das von der Abfrage gesucht wird.
      Sichtungsanzahl Anzahl der internen und externen Sichtungen.
      Quelle Quelle des erkennbaren Elements. Wenn das erkennbare Element aus einem stammt MISP Organisation, dem Datensatz sind die Wörter vorangestellt MISP .
      Ist lokal Status, der angibt, ob die Sichtung von einem internen Anwender gemeldet wurde.
      Sichtungssuchlink Sichtungssuchlink in MISP Instanz.
      Zusammenfassung Typ der Sichtungen, die dem Datensatz zugeordnet sind. Die drei Arten von Sichtungen sind Sichtungen, falsch-positiv und Ablauf.

      Die Spalte Zusammenfassung wird nur angezeigt, wenn MISP integration for Security Operations Ist installiert. Wenn-Quellen andere als MISP Wird angezeigt, ist der Spalteneintrag „Zusammenfassung“ für diesen Datensatz leer.

    Führen Sie eine manuelle Sichtungssuche in durch MISP

    Wählen Sie einzelne oder mehrere erkennbare Elemente aus, und führen Sie eine manuelle Sichtungssuche in durch ServiceNow AI Platform MISP integration for Security Operations Anwendung zur Bestimmung der Verbreitung einer Bedrohung im Zeitverlauf.

    Vorbereitungen

    Prozedur

    1. Navigieren zu Alle > Security Incident > Alle Incidents anzeigenan.
    2. Wählen Sie den Security Incident aus, der die erkennbaren Elemente enthält, die Sie ausführen möchten MISP Sichtungen suchen nach.
    3. Klicken Sie Auf Alle Zugehörigen Listen Anzeigen Und Zugeordnete Erkennbare Elemente Registerkarte.
    4. Wählen Sie das erkennbare Element aus, und klicken Sie dann im Menü Aktionen auf Sichtungssuche Ausführen .
      Sie können mehrere erkennbare Elemente für eine Sichtungssuche auswählen.
      Das Dialogfeld Sichtungssuche ausführen wird geöffnet.
    5. Geben Sie den Datumsbereich für die Suche nach Sichtungssuchdaten an.
      Tabelle : 2. Dialogfeld „Sichtungssuche ausführen“
      Feld Beschreibung
      Letzte Anzahl der Stunden oder Tage vor der Erstellung des zu suchenden Incident.

      Der Standardwert ist 7 Tage. Der Grenzwert beträgt 99 Stunden oder Tage.
      zwischen Bereich der zu suchenden Daten. Standarddaten sind wie folgt:
      • Datum und Uhrzeit der Erstellung des Incident.
      • Datum und Uhrzeit, die sieben Tage vor der Eröffnung des Incident liegt.
    6. Klicken Sie auf Suche.
      Das folgende Beispiel zeigt die Ergebnisse der manuellen Sichtungssuche in den Arbeitsnotizen.
      Ergebnisse der manuellen Sichtungssuche in den Arbeitsnotizen.

    Ergebnisse

    Ein Sichtungssuchdatensatz wird erstellt. Nachdem die Workflow-Ausführung abgeschlossen ist, können Sie die zusammengefassten Informationen von erkennbaren Elementen anzeigen, die in allen Ereignissen (global) angezeigt und nach internen oder externen Sichtungen kategorisiert werden. Aggregat- und zugehörige Sichtungsdaten werden im Security Incident unter angezeigt Sichtungen , Sichtungssuchergebnisse , Und Sichtungssuchdetails Zugehörige Listen.

    Sichtungen melden an MISP

    Melden Sie Sichtungen von Bedrohungsdaten, damit Sie auf falsch positive Ergebnisse in Ihren Daten reagieren und Ihr Bewusstsein erhöhen können, wenn eine wirklich positive Bedrohung auftritt. Sie können auch ein Ablaufdatum für ein bestimmtes erkennbares Element oder Attribut hinzufügen.

    Vorbereitungen

    Warum und wann dieser Vorgang ausgeführt wird

    Die MISP integration for Security Operations Ermöglicht Ihnen, Sichtungen an zu melden MISP Global über alle Ereignisse hinweg. Um eine Sichtung für ein bestimmtes Ereignis zu melden, müssen Sie verwenden MISP Instanz und lokale Meldung der Sichtung.

    Um eine Sichtung an zu melden MISP, Das erkennbare Element oder das Attribut muss in verfügbar sein MISP Instanz.

    Prozedur

    1. Navigieren zu Alle > Security Incident > Alle Incidents anzeigenan.
    2. Wählen Sie den Security Incident aus, der die erkennbaren Elemente enthält, denen Sie die Sichtungen melden möchten MISP Für.
    3. Klicken Sie Auf Alle Zugehörigen Listen Anzeigen Und die zugehörige Liste Sichtungen.
    4. Wählen Sie das erkennbare Element aus, und wählen Sie im Menü Aktionen eine der folgenden Optionen aus.
      OptionBeschreibung
      MISP: Sichtungen erkennbarer Elemente melden Melden Sie das erkennbare Element als gesehen an MISP. Wenn das erkennbare Element mehreren Ereignissen zugeordnet ist, wird es in allen Ereignissen aktualisiert.
      MISP: Erkennbares Element als falsch positiv melden Melden Sie das erkennbare Element als falsch positiv an MISP.
      MISP: Erkennbares Element als abgelaufen melden Melden Sie das erkennbare Element als abgelaufen bis MISP.
      Wenn Sie erkennbare Elemente auswählen, die nicht spezifisch für sind MISP Quelle: Im Menü Aktionen wird die Anzahl der relevanten angezeigt MISP Quellen. Das folgende Beispiel zeigt vier von acht erkennbaren Elementen als relevant für MISP.Das folgende Beispiel zeigt das Aktionsmenü und die relevanten erkennbaren Elemente für die Übermittlung.
      Abbildung : 1. Aktionsmenü, das die relevanten erkennbaren Elemente für die Übermittlung anzeigt
      Das Aktionsmenü zeigt die relevanten erkennbaren Elemente für MISP an.
    5. Wahlweise: Wenn Sie ausgewählt haben MISP: Sichtungen erkennbarer Elemente melden Option sollten Sie die Felder des Dialogfelds Sichtungen erkennbarer Elemente an MISP melden ausfüllen.
      Tabelle : 3. Sichtungen erkennbarer Elemente melden an MISP Dialogfeld
      Feld Beschreibung
      Quelle Quellfeld, das dem entspricht MISP Quelle der Sichtung.
      Datum Datumsfeld, das dem Datum entspricht, an dem das erkennbare Element gesehen wird. Wenn das Datum leer ist, werden das aktuelle Datum und die aktuelle Uhrzeit in eingetragen MISP.

      Das folgende Beispiel zeigt, wie Sie im Security Incident zur zugehörigen Liste „Sichtungen“ navigieren. In dieser Liste können Sie ein erkennbares Element auswählen und die Sichtung erkennbarer Elemente an melden MISP. Die Erfolgsmeldung zeigt an, dass die Sichtung erfolgreich an übermittelt wurde MISP.

      Abbildung : 2. Meldet Sichtungen erkennbarer Elemente an MISP
      Meldet Sichtungen erkennbarer Elemente an MISP
      1. Klicken Sie Auf Melden Sie Die Sichtung .
    6. Wahlweise: Wenn Sie ausgewählt haben MISP: Erkennbares Element als falsch positiv melden Option sollten Sie die Felder des erkennbaren Elements als falsch positiv für melden ausfüllen MISP Dialogfeld.
      Tabelle : 4. Erkennbares Element als falsch positiv für melden MISP Dialogfeld
      Feld Beschreibung
      Quelle (optional) Quellfeld, das dem entspricht MISP Quelle. Verwenden Sie dieses Feld, um das erkennbare Element als falsch positiv zu deklarieren.
      Datum Datumsfeld, das dem Datum entspricht, an dem das erkennbare Element als falsch positiv erkannt wurde. Wenn das Datum leer ist, werden das aktuelle Datum und die aktuelle Uhrzeit in eingetragen MISP.
      1. Klicken Sie Auf Falsch Positiv Melden .
    7. Wahlweise: Wenn Sie ausgewählt haben MISP: Erkennbares Element als abgelaufen melden Option müssen Sie die Felder des Berichts „Ablauf erkennbarer Elemente melden an“ ausfüllen MISP Dialogfeld.
      Tabelle : 5. Dialogfeld „Ablauf erkennbarer Elemente an MISP melden“
      Feld Beschreibung
      Quelle Quellfeld, das dem entspricht MISP Quelle. Verwenden Sie dieses Feld, um ein erkennbares Element als abgelaufen festzulegen.
      Datum Datumsfeld, das dem Datum entspricht, an dem das erkennbare Element abgelaufen ist. Wenn das Datum leer ist, werden das aktuelle Datum und die aktuelle Uhrzeit in eingetragen MISP.
      1. Klicken Sie Auf Ablauf Melden .

    Ergebnisse

    Die Sichtungen wurden erfolgreich auf aktualisiert MISP Server.