Konfigurieren Sie MISP Sichtungssuchen

Washington DC Security Management

Release

washingtondc

ft:locale

de-DE

ft:publication_title

Washington DC Security Management

ft:clusterId

security

bundleId

security

workflow

Technology

Konfigurieren Sie MISP Sichtungssuchen

Freigeben Version: Washingtondc

Aktualisiert 1. Februar 2024

1 Minute Lesedauer

Konfigurieren Sie Now Platform, um Sichtungssuchen nach erkennbaren Elementen in der Instanz MISP durchzuführen. Mit diesen Informationen können Sie bestimmen, wie oft Bedrohungen auftreten.

Vorbereitungen

Überprüfen Sie die MISP Benutzerrolle und Berechtigungen , die für die Verwendung der bidirektionalen Funktionen von MISP erforderlich sind.
Erforderliche Rolle: sn_si.admin, sn_ti.admin

Warum und wann dieser Vorgang ausgeführt wird

Der Workflow „Security Operations Integration - Sichtungssuche“ führt die Sichtungssuchen aus. Dieser Workflow akzeptiert eine Liste von erkennbaren Elementen, sucht nach Implementierungsfähigkeiten, erstellt die Abfragen, die auf den Sichtungssuchkonfigurationen basieren, und führt die Suchvorgänge aus, die auf dem konfigurierten Workflow basieren.

MISP integration for Security Operations bietet ein Basissystem-Sichtungssuchprofil, mit dem Sie automatische Sichtungssuchen konfigurieren können. Mit diesem Profil können Sie auf die zugehörigen Sichtungsinformationen für erkennbare Elemente einer Organisation zugreifen und auch die externen Sichtungen anderer Organisationen anzeigen.

Prozedur

Navigieren zu Alle > MISP-Integration > Sichtungssuche: Konfiguration.
Klicken Sie auf Neu.

Füllen Sie die Felder des Formulars aus.

Tabelle : 1. Formular „Sichtungssuchkonfiguration“
Feld	Beschreibung
Name	Name für das Fähigkeitsprofil.
Ist gespeicherte Suche	Suchkonfiguration, die gespeichert wird, wenn Sie diese Option auswählen. Die gespeicherten Suchkonfigurationsabfragen sind Beispielabfragen. Sie können sie durch die Parameter für Ihre Umgebung ersetzen und nach Bedarf zusätzliche gespeicherte Suchkonfigurationen erstellen.
Sichtungssuchquelle	Quelle für die Sichtungssuche. Wählen Sie den Protokollspeicher MISP als Quelle aus.
Aktiv	Option, die die gespeicherte Suchkonfiguration aktiviert. Nur aktive Suchkonfigurationen können eine Sichtungssuche durchführen.
Erkennbarer Typ	Typ des erkennbaren Elements, z. B. IP-Adresse, Hash-Wert, URL und Domänenname.
Maximales erkennbares Element pro Suche	Maximale Anzahl von erkennbaren Elementen, die Sie in einer Suchabfrage anzeigen können.
Suchen	Standardsuchzeichenfolge, die `$(observable)`ist. Sie definieren jedoch Ihre eigene Suchabfrage, indem Sie die unterstützten Parameter des Protokollspeichers MISP angeben.

Klicken Sie auf Absenden.

Ergebnisse

Sie haben ein MISP Sichtungssuchkonfigurationsprofil erstellt.