Gerenciando eventos no MISP

  • Versão de lançamento: Yokohama
  • Atualizado 30 de jan. de 2025
  • 11 min. de leitura

    • Você pode criar eventos em MISPde forma automática ou manual a partir de Now Platform. Você também pode editar os dados do evento em MISPem Now Platform.

    Verificando eventos criados automaticamente em MISP

    Você pode verificar os eventos criados automaticamente depois de configurar o perfil de criação de eventos no Now Platforminstância.

    Perfil de criação automática de eventos

    Configurando o perfil de criação automática de eventos é feito pelas funções de usuário sn_si.admin ou sn_ti.admin no Integração MISP > Perfis automáticos de criação de evento módulo.

    Exibindo o. MISPdados do evento

    Você pode exibir os eventos criados das seguintes maneiras:

    • Exiba as anotações de trabalho dos eventos criados. Você pode exibir os detalhes do evento no Now Platforme também como aparece no MISPservidor conforme mostrado no exemplo a seguir.
      Figura 1. Anotações de trabalho para eventos criados
      Exiba as anotações de trabalho dos eventos criados.
    • Clique em Eventos de MISP associados lista relacionada. Aqui, você pode exibir o evento em relação ao incidente de segurança e o. MISPrecursos conforme mostrado no exemplo a seguir.
      Figura 2. Lista de eventos associados
      Exiba a lista de eventos associados
    • Exibir o. MISPdados do evento na exibição de formulário para revisar as informações detalhadas sobre MISPeventos conforme mostrado no exemplo a seguir.
      Figura 3. Dados do evento na exibição de formulário
      Exiba os dados do evento na exibição de formulário para ver as informações detalhadas do evento do MISP.

    Crie manualmente um evento no MISP

    Crie eventos manualmente em MISPem Now Platformpara capturar informações contextualmente relacionadas representadas como atributos e objetos.

    Antes de Iniciar

    Procedimento

    1. Navegar até Tudo > Incidente de segurança > Mostrar todos os incidentes.
    2. Selecione o incidente de segurança que contém os observáveis para os quais você deseja criar um evento.
    3. Clique em Crie um novo evento no MISP .
    4. Na caixa de diálogo Criar um novo evento no MISP, preencha os detalhes.
      Tabela 1. Crie um evento na caixa de diálogo MISP
      Campo Descrição
      Data Data de criação do evento em MISP.
      Informações do evento Informações do evento que são criadas automaticamente a partir de Now Platform Resposta a incidentes de segurança.
      Nível de ameaça Nível de risco do evento. Você pode categorizar os incidentes em três categorias de ameaça diferentes (baixa, média, alta). Este campo também pode ser deixado como indefinido. A seguir estão as opções:
      • Baixo: Malware em massa geral
      • Médio: Ameaças persistentes avançadas (APT)
      • Alto: APTs sofisticados e ataques de 0 dias
      Origem MISP origem da criação do evento.
      Distribuição Opção que controla quem pode exibir este evento após a publicação do evento. Esta opção também controla se o evento é sincronizado com outros servidores. A distribuição é herdada pelos atributos. A configuração mais restritiva vence. As opções de distribuição são as seguintes:
      • Somente sua organização: Permite que somente os membros de sua organização exibam este evento. O evento pode ser extraído para outra instância por um dos membros da sua organização, em que somente sua organização tem acesso para exibi-lo. Os eventos com esta configuração não são sincronizados.
      • Somente esta comunidade: Habilita usuários que fazem parte do seu MISPpara exibir o evento, incluindo sua própria organização, organizações neste MISPe organizações que são executadas MISPservidores que sincronizam com este servidor. Todas as outras organizações conectadas a servidores vinculados estão impedidas de exibir o evento.
      • Comunidades conectadas: Habilita os usuários que fazem parte do seu MISPcomunidade para exibir o evento, incluindo todas as organizações neste MISPservidor, todas as organizações em MISPservidores que sincronizam com este servidor e as organizações de hospedagem de servidores que se conetam a qualquer servidor que esteja a dois saltos de distância. Todas as outras organizações conectadas aos servidores vinculados que estão a dois saltos de distância deste servidor estão impedidas de exibir o evento.
      • Todas as comunidades: Compartilha o evento com todos MISPcomunidades.
      Análise Fase atual da análise do evento com as seguintes opções possíveis:
      • Inicial: A análise está apenas começando
      • Em andamento: A análise está em andamento
      • Concluído: A análise está concluída
      Opções avançadas Adicionar observáveis associados do SIR como atributos ao evento MISP Opção para adicionar observáveis disponíveis em um incidente de segurança a um MISPevento como atributos.

      Esta opção habilita Definir sinalizador de IDS de atributo quando a descoberta observável for mal-intencionada opção.
      Definir sinalizador de IDS de atributo quando a descoberta observável for mal-intencionada Observável marcado como mal-intencionado em SIR. O atributo correspondente em MISPtambém está marcado como verdadeiro.
      Filtrar observáveis com base em marcadores de segurança Opção para filtrar os observáveis com base nos marcadores de segurança selecionados. Esta opção fornece a capacidade de distinguir e gerenciar os eventos MISP na inteligência contra ameaças.

      Marcadores de segurança : Adicione marcadores para filtrar os observáveis. Por exemplo, se você estiver adicionando um marcador chamado "Bloquear compartilhamento" ou "TLP: Branco", se um dos observáveis tiver algum desses marcadores associados, esses observáveis não serão adicionados como um atributo ao evento MISP durante a criação do evento MISP.
      Sincronize técnicas MITRE ATT&CK de incidentes de segurança como galáxias locais com o evento MISP Opção para sincronizar o. Now Platform SIRincidente de segurança MITRE-ATT&CK™técnicas como galáxias locais no MISPevento.
      Sincronizar técnicas de incidente de segurança MITRE ATT e CK como galáxias globais para evento MISP Opção para sincronizar o. Now Platform SIRincidente de segurança MITRE-ATT&CK™galáxias globais na região MISPevento.
      Adicionar marcadores ao evento MISP Opção que permite adicionar marcadores MISP aos eventos criados a partir da ServiceNow. Esta opção exibe as seguintes opções:
      • Local (marcadores): Os marcadores selecionados serão adicionados como marcadores locais ao evento MISP.
      • Global (marcadores): Os marcadores selecionados serão adicionados como marcadores globais ao evento MISP.
    5. Clique em Criar novo evento MISP .

      O exemplo a seguir mostra isso criando um evento em MISP, você pode exibir os resultados no incidente de segurança. Você também pode exibir as anotações de trabalho, o evento no Now Platforme o evento no MISPservidor conforme mostrado no exemplo a seguir.

      Figura 4. Crie manualmente um evento no MISP na Now Platform
      Crie manualmente um evento no MISP na Now Platform.
      Você pode exibir os resultados das seguintes maneiras:
      • Uma mensagem de sucesso aparece na parte superior da página do incidente de segurança. Você pode exibir os detalhes do evento no Now Platforme também como aparece no MISPservidor.
      • Nas anotações de trabalho, você pode exibir a mensagem de sucesso com mais detalhes. Você também pode exibir os detalhes do evento no Now Platforme também como aparece no MISPservidor.
      • Em Eventos de MISP associados lista relacionada, você pode exibir o evento em relação ao incidente de segurança e o. MISPrecursos.

    Adicione atributos a um MISPevento

    Adicione atributos a um evento, como o tipo, a categoria e outras informações contextuais sobre o evento.

    Antes de Iniciar

    • Revise MISP permissões e função do usuário para usar o. MISPrecursos bidirecionais.
    • Verifique se o evento que você está adicionando ou atualizando o atributo pertence à mesma organização que MISPusuário.
    • Função necessária: sn_sec_misp.write

    Procedimento

    1. Navegar até Tudo > MISP > Eventos de MISP associados.
      Você também pode navegar até a lista relacionada ao evento MISP associado em qualquer incidente de segurança.
    2. Clique no evento MISP ao qual você deseja adicionar um atributo.
    3. Clique em Adicione atributo ao evento MISP .
    4. Na caixa de diálogo Adicionar atributo ao evento, preencha os detalhes.
      Tabela 2. Caixa de diálogo Adicionar atributo ao evento
      Campo Descrição
      Valor Valor real do atributo. Insira dados sobre o valor que é baseado no que é válido para o tipo de atributo escolhido. Por exemplo, para um atributo do tipo ip-src (endereço IP de origem), 11.11.11.11 é um valor válido.
      Nota:
      Você só pode selecionar atributos ou observáveis que compartilham contexto com o evento. Os observáveis ainda não podem ter um atributo em MISP.
      Categoria Categoria do atributo. A categoria descreve o aspecto do malware deste atributo. Um exemplo seria os mecanismos de persistência do malware ou da atividade de rede.
      Tipo Tipo que explica a categoria. Por exemplo, se um invasor usar um endereço IP para um ataque, um endereço de e-mail de origem ou um arquivo enviado por meio de um anexo podem descrever a entrega de carga de um malware. Esses tipos de atributos têm a categoria de entrega de carga.
      Distribuição Usuários que podem exibir este atributo. A distribuição é herdada por atributos. A configuração mais restritiva vence.
      Usar atributo como uma assinatura de IDS Observável marcado como mal-intencionado em SIR. O atributo correspondente em MISPtambém está marcado como verdadeiro.
      Comentários Comentários que você adiciona aos atributos.

      O exemplo a seguir mostra que, navegando na lista Eventos de MISP associados, você pode exibir o registro de evento 5627 e adicionar atributos ao evento. Os atributos incluem o valor (testdomain.com), categoria como análise externa, tipo como domínio. Você também pode habilitar IDS. A mensagem de sucesso no registro do evento mostra que o atributo foi adicionado ao evento, conforme mostrado no exemplo a seguir.

      Figura 5. Adicione atributo a um evento MISP
      Adicionando atributo a um evento MISP.
    5. Clique em Adicione atributo ao evento MISP .

    Resultado

    Você pode exibir o atributo adicionado na seção Atributos.

    Adicione marcadores a um MISPevento

    Adicione marcadores em Now Platform MISPpara classificar eventos ou atributos. Você pode usar a marcação globalmente para habilitar sua classificação ou usar marcadores localmente quando não quiser MISPeventos a serem modificados durante sua classificação.

    Antes de Iniciar

    • Revise MISP permissões e função do usuário para usar o. MISPrecursos bidirecionais.
    • Verifique se o evento que você está editando pertence à mesma organização que MISPusuário.
    • Observe que os marcadores e galáxias que estão disponíveis para você são baseados em MISPorigem e suas permissões de distribuição.
    • Função necessária: sn_sec_misp.write

    Procedimento

    1. Navegar até Tudo > Incidente de segurança > Mostrar todos os incidentes.
    2. Selecione o incidente de segurança que contém o evento ao qual você deseja adicionar marcadores.
    3. Clique em Mostrar todas as listas relacionadas E a lista relacionada de resultados de aprimoramento do MISP.
    4. Clique no ID do evento na lista de resultados de aprimoramento.
      Você também pode navegar a partir de MISP > Eventos de MISP associados módulo.
    5. Revise o registro de evento do MISP.
      Tabela 3. Exibição do formulário de evento do MISP
      Campo Descrição
      ID do evento ID do evento atribuído por MISPquando o evento foi criado ou importado pela primeira vez para o. MISPservidor.
      UUID ID que identifica exclusivamente eventos e atributos.
      Organização do criador Organização que criou o evento no MISPinstância.
      Organização do proprietário Organização proprietária do evento no MISPinstância. Este campo está visível somente para administradores.
      Usuário do criador Usuário que criou o evento em MISP.
      Última Mudança Data em que o evento foi modificado pela última vez.
      Origem do MISP MISP origem em que o evento é criado.
      Data de criação (no MISP) Data em que o evento foi criado ou importado pela primeira vez no MISPservidor.
      Nível de ameaça Nível de risco do evento. Os incidentes podem ser categorizados em três categorias de ameaça diferentes (baixa, média, alta). Este campo pode ser deixado como indefinido. A seguir estão as opções:
      • Baixo: Malware em massa geral
      • Médio: Ameaças persistentes avançadas (APT)
      • Alto: APTs sofisticados e ataques de 0 dias
      Análise Fase atual da análise do evento com as seguintes opções possíveis:
      • Inicial: A análise está apenas começando
      • Em andamento: A análise está em andamento
      • Concluído: A análise está concluída
      Distribuição Distribuição do atributo individual. Um atributo pode ter um nível de distribuição diferente do evento.
      Publicado Se o evento foi publicado ou não. A publicação permite que os atributos do evento sejam usados para todas as exportações qualificadas e notifica os usuários que se inscreveram nos alertas de evento.
      Hiperlink de evento MISP Link para MISPevento armazenado no MISPservidor.
      Informações Descrição resumida do evento.
      Marcadores (local) Marcadores que estão disponíveis na organização host MISPinstância para habilitar a marcação para sincronização e filtragem de exportação. MISPos eventos não são modificados quando você usa marcadores locais. Os marcadores locais são sempre removidos antes de serem sincronizados com outros MISPe comunidades de compartilhamento.
      Marcadores (global) Marcadores que estão disponíveis globalmente para serem compartilhados e sincronizados com outros MISPe comunidades de compartilhamento. Quando você adiciona marcadores globais a. MISP, você pode modificar eventos.
      Galáxias (local) Galáxias que estão disponíveis na organização host MISPinstância para filtragem de sincronização e exportação. MISPos eventos não são modificados quando você usa galáxias locais. Estas galáxias locais são sempre despojadas antes de serem sincronizadas com outras MISPe comunidades de compartilhamento.
      Galáxias (global) Galáxias que estão disponíveis globalmente para serem compartilhadas e sincronizadas com outras MISPe comunidades de compartilhamento. Quando você adiciona galáxias globais, MISPvocê pode modificar eventos.
    6. Para editar um marcador local ou global, clique no ícone de edição Ícone Editar.em uma das seguintes opções:
    • Marcadores (local)
    • Marcadores (global)
    1. Na caixa de diálogo Marcadores de evento do MISP, insira o nome do marcador para pesquisar e adicionar os marcadores.
    2. Clique em Atualizar marcadores para evento MISP .

      O exemplo a seguir mostra que, ao clicar no ícone de edição dos marcadores locais, você pode pesquisar e adicionar os marcadores C3, Adware, C2 e Botnet 3101 e atualizar o servidor MISP com os marcadores. A mensagem de confirmação mostra que todos os marcadores foram atualizados em MISP.

      Figura 6. Atualizando marcadores para evento MISP
      Atualizando marcadores para um evento MISP.
    3. Clique em Recarregue o formulário na mensagem de sucesso para exibir as mudanças no registro.

    Resultado

    Os marcadores foram atualizados com sucesso em MISPservidor.

    Atualize galáxias para A. MISPevento ou atributo

    Adicione ou remova galáxias em Now Platform MISPpara que você possa classificar esses objetos como um cluster no MISPe anexe-as a. MISPeventos ou atributos.

    Antes de Iniciar

    • Revise MISP permissões e função do usuário necessário para usar o. MISPrecursos bidirecionais.
    • Para adicionar galáxias locais, o usuário que configurou a integração deve pertencer à organização host do correspondente MISPservidor.
    • Os marcadores e galáxias disponíveis para você são baseados em MISPorigem e suas permissões de distribuição.
    • Função necessária: sn_sec_misp.write

    Procedimento

    1. Clique no ícone de edição Ícone Editar.em uma das seguintes opções.
    • Galáxias (local)
    • Galáxias (global)
    1. Na caixa de diálogo Galáxias de evento MISP, digite e pesquise para adicionar os marcadores.
    2. Clique em Atualizar galáxias para evento MISP .

      O exemplo a seguir mostra como clicar no ícone de edição das galáxias locais, selecionar o namespace obsoleto, selecionar a galáxia Ataque empresarial - padrão de ataque e adicionar informações de cluster. Depois que as informações da galáxia forem atualizadas, você poderá exibir a mensagem de sucesso.

      Figura 7. Atualize as informações da galáxia para o evento MISP
      Atualizando informações da galáxia para o evento MISP.
      As galáxias foram atualizadas com sucesso no MISPservidor.
    3. Clique em Recarregue o formulário na mensagem de sucesso para exibir as mudanças no registro.