Aprimoramento de observável em MISP

  • Versão de lançamento: Zurich
  • Atualizado 31 de jul. de 2025
  • 9 min. de leitura

    • Enriquecendo observáveis com informações adicionais de vários MISP durante as investigações de resposta a incidentes, você pode conter ameaças identificadas.

    Habilitar aprimoramento automático de observável em MISP

    Habilitar aprimoramento automático de observável no ServiceNow AI Platform MISP quando novos observáveis são associados ao incidente de segurança.

    Antes de Iniciar

    • Habilite o. Resposta a incidentes de segurança propriedade do sistema para Habilita ou desabilita o trabalho agendado, Pesquisar observáveis de incidentes de segurança opção para acionar a capacidade de aprimoramento de observável em SIR.
    • Função necessária: sn_si.analyst

    Procedimento

    1. Navegar até Tudo > Incidente de segurança > Mostrar todos os incidentes.
    2. Selecione o incidente de segurança que contém os observáveis nos quais você deseja enriquecer os dados observáveis MISP para.
    3. Revise as anotações de trabalho depois que novos observáveis forem associados ao incidente de segurança.

      O exemplo a seguir mostra que uma anotação de trabalho é publicada quando Integração de operações de segurança - Enrich o fluxo observável gatilhos.

      Exiba as anotações de trabalho do status de aprimoramento do observável.

    4. Em MISP Lista relacionada aos resultados de aprimoramento do incidente de segurança, exiba os resultados de aprimoramento após a conclusão da execução do fluxo.
      Exiba as anotações de trabalho do status de aprimoramento do observável após a conclusão da execução.
      Nota:
      Você deve configurar esse MISP A lista relacionada Resultados de aprimoramento aparece nas listas relacionadas a incidentes de segurança. Para obter mais informações, consulte configuração da lista relacionada .
      O exemplo a seguir mostra os resultados de aprimoramento no MISP.
      Exiba os resultados de aprimoramento na guia Resultados de aprimoramento do MISP.
      A tabela a seguir mostra os resultados de aprimoramento do MISP.
      Tabela 1. Resultados de enriquecimento de MISP
      Campo Descrição
      Evento ID do evento. Clique em Abrir para exibir o registro no ServiceNow AI Platform instância.
      Organização Organização que criou originalmente o evento.
      Observável Observável associado ao evento.
      Categoria Categoria do atributo.

      Exiba a lista de categorias no Documentação do MISP .
      Tipo Tipo do atributo.

      Exiba a lista de tipos no Documentação do MISP .
      Marcadores MISP Lista de marcadores associados ao MISP atributo.
      Galáxias MISP Lista de galáxias associadas ao MISP atributo.
      Comentário Comentário contextual para descrever melhor o atributo. Esses comentários não são usados para correlação e são puramente informativos.
      IDS Indicador de compromisso, que permite que seja incluído em todas as exportações elegíveis.
      Distribuição Distribuição do atributo depois que ele é publicado. Um atributo pode ter um nível de distribuição diferente do evento. Em ambos os casos, o nível de distribuição mais baixo é usado.
      Hiperlink para o evento MISP Link para MISP, que é armazenado no MISP servidor.
      Fornecedor de integração Fornecedor de integração que fornece os dados para aprimoramento.
      Dados brutos Dados brutos associados ao MISP atributo.

    Execute um aprimoramento de observável manual em MISP

    Selecione observáveis individuais ou múltiplos e execute um aprimoramento de observável manual para que você possa enriquecer observáveis com informações adicionais de vários MISP origens.

    Antes de Iniciar

    Procedimento

    1. Navegar até Tudo > Incidente de segurança > Mostrar todos os incidentes.
    2. Selecione o incidente de segurança que contém os observáveis para os quais você deseja executar o aprimoramento.
    3. Clique em Mostrar todas as listas relacionadas e o. Observáveis associados guia.
    4. Selecione o observável e, no menu Ações, clique em Executar aprimoramento de observável .
      Você pode selecionar vários observáveis para uma pesquisa de detecções.
      A caixa de diálogo Executar aprimoramento do observável é exibida.
    5. Selecione um MISP Origem e, na coluna Selecionado, selecione uma implementação para enriquecer os observáveis selecionados.
    6. Clique em Enviar.
      Uma anotação de trabalho mostra que Integração de operações de segurança - Enrich o fluxo de trabalho do observável acionado. Os fluxos de trabalho de implementação associados são executados para executar o aprimoramento. Você pode exibir as anotações de trabalho no incidente de segurança para exibir o status.

      O exemplo a seguir mostra como exibir as anotações de trabalho para um aprimoramento de observável manual.

      Figura 1. Anotações de trabalho para aprimoramento de observável manual
      Exibir anotações de trabalho para aprimoramento de observável manual.
      A mensagem de aprimoramento lista o evento criado. Você pode exibir o evento em ServiceNow AI Platform ou em MISP E exiba os detalhes do registro na guia Resultados de aprimoramento do MISP.

    Adicionar ou remover marcadores a MISP atributos

    Adicione ou remova marcadores em MISP para classificar eventos ou atributos. Você pode usar a marcação globalmente para habilitar sua classificação ou usar marcadores localmente quando não quiser MISP eventos a serem modificados durante sua classificação.

    Antes de Iniciar

    • Revise MISP função e permissões do usuário para usar o. MISP recursos bidirecionais.
    • Verifique se o atributo que você está editando pertence à mesma organização que MISP usuário.
    • Observe que os marcadores e galáxias que estão disponíveis para você são baseados em MISP origem e suas permissões de distribuição.
    • Função necessária: sn_sec_misp.write

    Procedimento

    1. Navegar até Tudo > Incidente de segurança > Mostrar todos os incidentes.
    2. Selecione o incidente de segurança que contém os observáveis, atributos ou eventos para os quais você deseja adicionar os marcadores.
    3. Clique em Mostrar todas as listas relacionadas E a lista relacionada Resultados de aprimoramento do MISP.
    4. Clique no ícone de visualização Ícone de visualização.ao lado de um registro e clique em Registro em aberto .
      O exemplo a seguir mostra como revisar o. Resultados de aprimoramento do MISP e como abrir um MISP registro de aprimoramento.
      Figura 2. Registro do resultado de aprimoramento do MISP
    5. Revise o registro de resultado de aprimoramento do MISP.
      Tabela 2. Resultado do aprimoramento de MISP
      Campo Descrição
      Observável
      Evento ID do evento atribuído pelo MISP servidor quando o evento foi criado ou importado pela primeira vez MISP.

      Visualize o evento ou clique no registro para exibir os dados do evento no MISP Página Dados do evento.
      Organização Organização que criou o. MISP atributo.
      Categoria Categoria do atributo que você adiciona ao evento específico em MISP. Você pode selecionar uma opção como uma referência interna, atividade de rede, fraude financeira e assim por diante.
      Tipo Tipo de MISP atributo.
      Fornecedor de integração Fornecedor de integração que fornece os dados para o aprimoramento do observável.
      Data de criação (no MISP) Data em que o evento foi criado ou importado pela primeira vez MISP.
      IDS Se um observável está marcado como mal-intencionado em SIR. O atributo correspondente em MISP também está marcado como verdadeiro.
      Distribuição Controles de opção de distribuição, como quem pode exibir este evento depois que ele é publicado. Esta opção também controla se o evento é sincronizado com outros servidores. A distribuição é herdada pelos atributos e a configuração mais restritiva vence. As opções de distribuição são as seguintes:
      • Somente sua organização: Permite que somente membros da sua organização exibam este evento. O evento pode ser extraído para outra instância por um dos membros da sua organização, em que somente sua organização tem acesso para exibi-lo. Os eventos com esta configuração não são sincronizados.
      • Somente esta comunidade: Habilita usuários que fazem parte do seu MISP para exibir o evento, incluindo sua própria organização, organizações neste MISP e organizações que executam MISP servidores que sincronizam com este servidor. Todas as outras organizações conectadas a esses servidores vinculados estão impedidas de exibir o evento.
      • Comunidades conectadas: Habilita os usuários que fazem parte do seu MISP para exibir o evento, incluindo todas as organizações neste MISP servidor, todas as organizações em MISP servidores que sincronizam com este servidor e as organizações de hospedagem de servidores que se conectam a qualquer servidor que esteja a dois saltos de distância). Todas as outras organizações conectadas aos servidores vinculados que estão a dois saltos de distância estão impedidas de exibir o evento.
      • Todas as comunidades: Compartilha o evento com todos MISP, o que permite que o evento esteja disponível gratuitamente.
      Hiperlink para o evento MISP Link para MISP evento armazenado no MISP servidor.
      Dados brutos Detalhes brutos do registro de dados de aprimoramento do observável.
      Comentário Comentários que você adiciona aos atributos. Esses comentários são apenas para fins informativos e não são usados para correlação.
      Marcadores (local) Marcadores que estão disponíveis na organização host MISP instância para habilitar marcação para sincronização e filtragem de exportação. MISP os eventos não são modificados quando você usa marcadores locais. Esses marcadores são sempre removidos antes de serem sincronizados com outros MISP e comunidades de compartilhamento.
      Marcadores (global) Marcadores que estão disponíveis globalmente para serem compartilhados e sincronizados com outros MISP e comunidades de compartilhamento. Quando você adiciona marcadores globais a. MISP, você modifica eventos.
      Galáxias (local) Galáxias que estão disponíveis na organização host MISP instância para filtragem de sincronização e exportação. MISP os eventos não são modificados quando você usa galáxias locais. Estas galáxias são sempre despojadas antes de serem sincronizadas com outras MISP e comunidades de compartilhamento.
      Galáxias (global) Galáxias que estão disponíveis globalmente para serem compartilhadas e sincronizadas com outras MISP e comunidades de compartilhamento. Quando você adiciona galáxias globais, MISP os eventos são modificados.
    6. Para editar um marcador local ou global, clique no ícone de edição Ícone Editar.em uma das seguintes opções:
    • Marcadores (local)
    • Marcadores (global)
    1. Na caixa de diálogo Marcadores de atributo MISP, insira o nome do marcador a ser pesquisado e adicionado.
    2. Clique em Atualizar marcadores para atributo MISP .

      O exemplo a seguir mostra que, ao clicar no ícone de edição dos marcadores locais, você pode pesquisar e adicionar os marcadores C3, Adware, C2 e Botnet 3101 e atualizar o servidor MISP com os marcadores. A mensagem de confirmação mostra que todos os marcadores foram atualizados em MISP.

      Os marcadores são atualizados com sucesso no MISP servidor.
    3. Para exibir as mudanças no registro, clique em Recarregar formulário na mensagem de sucesso.

    Adicione ou remova galáxias a um MISP evento ou atributo

    Adicione ou remova galáxias em MISP para que você possa classificar esses objetos como um cluster em MISP e anexe-os a. MISP eventos ou atributos.

    Antes de Iniciar

    • Revise MISP função e permissões do usuário para usar o. MISP recursos bidirecionais.
    • Para adicionar galáxias locais, o usuário que configurou a integração deve pertencer à organização host do correspondente MISP servidor.
    • Observe que os marcadores e galáxias que estão disponíveis para você são baseados em MISP origem e suas permissões de distribuição.
    • Função necessária: sn_sec_misp.write

    Procedimento

    1. Clique no ícone de edição Ícone Editar.em uma das seguintes opções.
    • Galáxias (local)
    • Galáxias (global)
    1. Na caixa de diálogo Galaxies de evento MISP, preencha os detalhes.
      Tabela 3. Caixa de diálogo Galáias de evento MISP
      Campo Descrição
      ID do evento ID do evento atribuído pelo MISP servidor quando o evento foi criado ou importado pela primeira vez MISP.
      Namespace Namespace onde a galáxia está armazenada. Você pode usar namespaces para agrupar galáxias semelhantes.
      Galáxias Galaxy onde você armazena as informações do cluster.
      Clusters Informação sobre os enxames na galáxia.
    2. Clique em Atualize galáxias para atributo MISP .
      O exemplo a seguir mostra que, ao clicar no ícone de edição das galáxias locais, você pode selecionar o namespace descontinuado, selecionar a galáxia Ataque empresarial - padrão de ataque e adicionar as informações do cluster. Depois que as informações da galáxia forem atualizadas, você poderá exibir a mensagem de sucesso.

    3. Para exibir as mudanças no registro, clique em Recarregar formulário na mensagem de sucesso.

    Resultado

    As informações da galáxia foram atualizadas com sucesso no MISP servidor.

    Adicionar comentários a. MISP atributo

    Adicione comentários para MISP atributos. Os comentários adicionados são apenas para fins informativos e não são usados para correlação de MISP dados.

    Antes de Iniciar

    • Revise MISP função e permissões do usuário para usar o. MISP recursos bidirecionais.
    • Verifique se o atributo que você está editando pertence à mesma organização que MISP usuário.
    • Função necessária: sn_sec_misp.write

    Procedimento

    1. Clique no ícone de edição Ícone Editar.No campo Comentário.
    2. Insira seu comentário no campo Comentário do atributo.
    3. Clique em Atualizar comentário para atributo MISP .
      O exemplo a seguir mostra que, ao clicar no ícone de edição ao lado do campo de comentário, você pode adicionar um comentário e atualizar o. MISP atributo. Depois que o comentário for atualizado, você poderá exibir a mensagem de sucesso.

    4. Para exibir as mudanças no registro, clique em Recarregar formulário na mensagem de sucesso.

    Resultado

    O comentário foi atualizado com sucesso em MISP servidor.