Configurar MISPpesquisas de detecções

  • Versão de lançamento: Yokohama
  • Atualizado 30 de jan. de 2025
  • 1 min. de leitura
  • Configure o. Now Platformpara fazer pesquisas de detectores no MISPinstância. Com essas informações, você pode determinar com que frequência as ameaças ocorrem.

    Antes de Iniciar

    Por Que e Quando Desempenhar Esta Tarefa

    . Integração de operações de segurança - Fluxo de trabalho de pesquisa de detecções executa as pesquisas de detecções. Este fluxo de trabalho aceita uma lista de observáveis, encontra todas as capacidades de implementação, cria as consultas baseadas nas configurações de pesquisa de detecções e executa as pesquisas baseadas no fluxo de trabalho configurado.

    . MISP integration for Security Operationsfornece um perfil de pesquisa de detecções do sistema base que permite configurar pesquisas de detecções automáticas. Com este perfil, você pode acessar as informações de detecções de observável relacionadas de uma organização e também ver as detecções externas de outras organizações.

    Procedimento

    1. Navegar até Tudo > Integração MISP > Configuração de pesquisa de detecções.
    2. Clique em Nova.
    3. No formulário, preencha os campos.
      Tabela 1. Formulário de configuração de pesquisa de detecções
      Campo Descrição
      Nome Nome do perfil de capacidade.
      Pesquisa salva Configuração de pesquisa que é salva quando você seleciona esta opção. As consultas de configuração de pesquisa salvas são consultas de exemplo. Você pode substituí-los pelos parâmetros do seu ambiente e criar configurações de pesquisa salvas adicionais conforme necessário.
      Origem da pesquisa de detecções Origem da pesquisa de detecções. Selecione MISParmazenamento de logs como a origem.
      Ativo Opção que habilita a configuração de pesquisa salva. Somente configurações de pesquisa ativas podem executar uma pesquisa de detecções.
      Tipo de observável Tipo de observável, como endereço IP, valor de hash, URL e nome de domínio.
      Observável máximo por pesquisa Número máximo de observáveis que você pode exibir de uma consulta de pesquisa.
      Pesquisar Cadeia de caracteres de pesquisa padrão que é (observável) . No entanto, você define sua própria consulta de pesquisa especificando o. MISPparâmetros compatíveis com armazenamento de log.
    4. Clique em Enviar.

    Resultado

    Você criou um MISPperfil de configuração de pesquisa de detecções.