Configure como um evento automático é criado

  • Versão de lançamento: Zurich
  • Atualizado 31 de jul. de 2025
  • 9 min. de leitura

    • Configure o. ServiceNow AI Platform para criar eventos automaticamente em MISP.

    Antes de Iniciar

    Procedimento

    1. Navegar até Tudo > Integração MISP > Perfis automáticos de criação de evento.
    2. Clique em Nova.
    3. No formulário, preencha os campos.
      Tabela 1. Formulário Nome
      Campo Descrição
      Nome Nome do perfil de criação de evento automático.
      Descrição Breve descrição sobre o perfil. Uma descrição mais detalhada é compartilhada por meio dos atributos na próxima fase da criação do evento.
      Ordem Ordem do perfil quando as condições de acionamento são atendidas. O padrão é 100. Deixe esta configuração como padrão.

      Se você criar vários perfis, este valor fornecerá uma prioridade de execução em tempo de execução quando dois ou mais perfis compartilharem condições de acionamento. O perfil com o número mais baixo tem a prioridade mais alta.
      Origem MISP origem da criação do evento.
      Ativo Opção que indica se o perfil está ativo ou inativo. Por padrão, a opção é desmarcada para indicar que o perfil está desativado.

      Este perfil não estará ativo até que você conclua todas as etapas de configuração do perfil e clique em Concluir .
    4. Clique em “Continuar”.

    Configurar condições do gatilho de evento

    Configure as condições do gatilho de evento no ServiceNow AI Platform para que você possa acionar automaticamente um evento em MISP quando as condições são atendidas.

    Antes de Iniciar

    Função necessária: sn_sec_misp.write

    Procedimento

    1. No formulário Condições do gatilho, preencha os detalhes que podem acionar um evento.
      Você pode criar uma lógica composta fornecendo as condições do gatilho baseadas em campos de incidente de segurança ou campos observáveis. Você também pode criar eventos em MISP se os observáveis não tiverem um evento correspondente em MISP. Você pode optar por criar uma lógica composta usando uma combinação das três condições do gatilho - Acionar com base em campos de incidente de segurança, Acionar com base em campos observáveis e Criar evento MISP, se um observável não tiver eventos correspondentes no MISP. Se você selecionar vários gatilhos, poderá ingressar neles usando a condição E. Considere criar um perfil com novas condições se você precisar usar a condição OU.
      Tabela 2. Formulário Condições do gatilho de evento
      Campo Descrição
      Acionar com base nos campos de incidente de segurança MISP evento que você pode criar se todas as condições do gatilho de incidente de segurança forem atendidas.
      Condições do gatilho de incidente de segurança Filtros na primeira linha que você pode definir usando as listas e os campos do construtor de condições. Para adicionar mais condições, clique em E ou OU. Se E for selecionado, todas as condições deverão ser correspondidas. Se OU for selecionado, qualquer condição poderá ser correspondida.

      Para definir uma segunda condição de filtro, clique em Novos critérios .
      Acionar com base em campos observáveis MISP evento que você pode criar se todas as condições do gatilho do observável forem atendidas.
      Condições do gatilho observáveis Filtros na primeira linha que você pode definir usando as listas e os campos do construtor de condições. Para adicionar mais condições, clique em E ou OU. Se E for selecionado, todas as condições deverão ser correspondidas. Se OU for selecionado, qualquer condição poderá ser correspondida.

      Para definir uma segunda condição de filtro, clique em Novos critérios .
      Criar evento MISP se o observável não tiver eventos correspondentes no MISP MISP evento que você pode criar se um observável não tiver eventos correspondentes em MISP.
      Figura 1. Condições do gatilho de evento

      O exemplo a seguir mostra as condições do gatilho de evento conforme você configura o. MISP perfil de criação de evento.

      Configure condições baseadas em um evento criado no MISP.
    2. Clique em “Continuar”.

    Mapeie o. MISP campos de evento

    Mapeie o. MISP campos de evento no ServiceNow AI Platform para que as informações do incidente de segurança estejam disponíveis quando MISP eventos são criados.

    Antes de Iniciar

    Função necessária: sn_sec_misp.write

    Procedimento

    1. No formulário, preencha os campos.
      Tabela 3. Formulário de mapeamento de campo de evento MISP padrão
      Campo Descrição
      Informações do evento Informações do evento que são criadas automaticamente a partir do ServiceNow AI Platform Resposta a incidentes de segurança.

      . Informações do evento O campo oferece suporte a variáveis de substituição usando ⁠ Durante a criação de um evento, essas variáveis são substituídas pelos valores de campo de incidente de segurança real. A variável de substituição "URL" é substituída pela URL do incidente de segurança.
      Distribuição Opção que controla quem pode exibir este evento após a publicação do evento. Esta opção também controla se o evento é sincronizado com outros servidores. A distribuição é herdada pelos atributos e a configuração mais restritiva vence. As opções de distribuição são as seguintes:
      • Somente sua organização: Permite que somente membros da sua organização exibam este evento. O evento pode ser extraído para outra instância por um dos membros da sua organização, em que somente sua organização pode ter acesso para exibi-lo. Os eventos com esta configuração não são sincronizados.
      • Somente esta comunidade: Habilita usuários que fazem parte do seu MISP para exibir o evento, incluindo sua própria organização, organizações neste MISP e organizações que executam MISP servidores que sincronizam com este servidor. Todas as outras organizações que se conectam aos seus servidores vinculados estão impedidas de exibir o evento.
      • Comunidades conectadas: Habilita os usuários que fazem parte do seu MISP para exibir o evento, incluindo todas as organizações neste MISP servidor, todas as organizações no MISP servidores que sincronizam com este servidor e as organizações de hospedagem de servidores que se conectam a qualquer servidor que esteja a dois saltos de distância. Todas as outras organizações conectadas aos servidores vinculados que estão a dois saltos de distância estão impedidas de exibir o evento.
      • Todas as comunidades: Compartilha o evento com todos MISP comunidades.
      Nível de ameaça Campo que indica o nível de risco do evento. Você pode categorizar incidentes em três categorias de ameaça diferentes (baixa, média, alta). Este campo também pode ser deixado como indefinido. A seguir estão as opções:
      • Baixo: Malware geral em massa
      • Médio: Ameaças persistentes avançadas (APT)
      • Alto: APTs sofisticados e ataques de 0 dias
      Status da análise Fase atual da análise do evento, com as seguintes opções possíveis:
      • Inicial: A análise está apenas começando
      • Em andamento: A análise está em andamento
      • Concluído: A análise está concluída
      O exemplo a seguir mostra o formulário que você pode usar para criar um evento no MISP.
      Figura 2. Mapeamento de campo de evento MISP padrão
      Configure o formulário para criar um novo evento no MISP.
    2. Clique em “Continuar”.

    Mapear ou associar SIR observáveis como atributos para MISP eventos

    Mapeie o. Resposta a incidentes de segurança tipos de observáveis para MISP tipos de atributo porque MISP tipos de atributo e SIR observáveis podem ser diferentes.

    Antes de Iniciar

    Função necessária: sn_sec_misp.write

    Por Que e Quando Desempenhar Esta Tarefa

    . MISP integration for Security Operations fornece um mapeamento do sistema de base que você usa ao adicionar SIR observáveis como atributos para um MISP evento.

    Você pode optar por modificar o mapeamento do sistema de base para se adequar ao seu ambiente. Por exemplo, você pode mapear vários SIR observáveis para apenas um MISP tipo de atributo. Se algum tipo de observável não estiver mapeado, o outro MISP o tipo de atributo é selecionado por padrão.

    Procedimento

    1. No formulário Opções adicionais, mapeie o. SIR observável e. MISP tipos de atributo.
    2. Mapeie o. Resposta a incidentes de segurança tipos de observáveis para MISP tipos de atributo conforme descrito na tabela a seguir.
      Tabela 4. Mapeamento do observável de SIR e tipo de atributo do MISP
      Campo Descrição
      Adicionar todos os observáveis associados como atributos Opção que você habilita para adicionar observáveis disponíveis em um incidente de segurança a um MISP evento como atributos.

      Esta opção habilita o mapeamento na seção Tipo de observável para Mapeamento de tipo de atributo.
      Mapeamento de tipo de observável para tipo de atributo Opção para mapear SIR tipos de observáveis para MISP tipos de atributo. Por exemplo, você pode mapear o número CVE em SIR para o atributo de vulnerabilidade em MISP.

      Você pode adicionar um SIR tipo de observável para apenas um MISP tipo de atributo.

      O sistema de base fornece um mapeamento do SIR tipos de observáveis para MISP tipos de atributo.

      Se houver SIR os tipos de observáveis não são mapeados para um MISP e, em seguida, o observável é mapeado para outro tipo de atributo em MISP.

      Para adicionar um novo mapeamento, clique em Adicionar tipo de observável , pesquise SIR tipo de observável e, em seguida, mapeie para o correspondente MISP tipo de atributo.

      Clique no ícone Remover mapeamento Remover mapeamento.para remover o. SIR e. MISP associação de mapeamento de atributos.

      Nota:
      Para obter mais informações sobre MISP tipos de atributo, consulte Documentação do MISP .
      Filtrar observáveis com base em marcadores de segurança Opção para filtrar os observáveis com base nos marcadores de segurança selecionados.

      Marcadores de segurança : Adicione marcadores para filtrar os observáveis. Por exemplo, se você estiver adicionando um marcador chamado "Bloquear compartilhamento" ou "TLP: Branco", se um dos observáveis tiver algum desses marcadores associados, esses observáveis não serão adicionados como um atributo ao evento MISP durante a criação do evento MISP.
      Definir sinalizador de IDS de atributo quando a descoberta observável for mal-intencionada Opção que permite que você saiba se um observável está marcado como mal-intencionado em SIR, em seguida, o atributo correspondente em MISP Tem o sinalizador IDS habilitado. Se o sinalizador IDS não estiver definido, o atributo será considerado como informações contextuais e não será usado para detecção automática de invasão.

      O exemplo a seguir mostra como navegar até a página de opções adicionais. Nesta página, você pode habilitar o mapeamento de observáveis SIR e tipos de atributo MISP, adicionar novo SIR Tipos observáveis, como a rede IPV6 e a rede IPV4, e mapeiam para MISP Endereço IP do domínio do tipo de atributo.

      Figura 3. Mapeamento SIR observáveis e. MISP tipos de atributo
      Mapear observável SIR e tipo de atributo MISP.

    Sincronizar MITRE-ATT&CK informações para MISP eventos

    Sincronize o. MITRE-ATT&CK informações com MISP atributos para melhor análise de incidentes de segurança e ameaças.

    Antes de Iniciar

    Função necessária: sn_sec_misp.write

    Procedimento

    No formulário Opções adicionais, revise as opções para sincronizar o. MITRE-ATT&CK informações com MISP atributos.
    Tabela 5. Formulário Opções avançadas
    Campo Descrição
    Incidente de segurança de sincronização MITRE-ATT&CK™ galáxias locais até MISP evento Opção para sincronizar o. ServiceNow AI Platform SIR incidente de segurança MITRE-ATT&CK™ galáxias locais no MISP evento.
    Nota:
    Para adicionar galáxias locais, o usuário que configurou a integração deve pertencer à organização host do correspondente MISP servidor.
    Incidente de segurança de sincronização MITRE-ATT&CK™ galáxias globais até MISP evento Opção para sincronizar o. ServiceNow AI Platform SIR incidente de segurança MITRE-ATT&CK™ galáxias globais em MISP evento.

    Resultado

    Você criou um perfil que permite criar eventos automaticamente em MISP em ServiceNow AI Platform. Agora você pode exibir os eventos na lista relacionada Eventos MISP associados.

    Adicione marcadores MISP aos eventos

    Adicione marcadores MISP aos eventos MISP criados.

    Antes de Iniciar

    Função necessária: sn_sec_misp.write

    Procedimento

    1. No formulário Opções adicionais, navegue até Selecione marcadores MISP para adicionar ao evento exibição do formulário.
    2. Revise as opções para adicionar marcadores aos eventos criados.
      Tabela 6. Formulário Opções avançadas
      Campo Descrição
      Adicionar marcadores ao evento MISP criado Opção que permite adicionar automaticamente marcadores MISP aos eventos criados a partir da ServiceNow.
      Marcadores (local) Os marcadores selecionados serão adicionados como marcadores locais ao evento MISP.
      Marcadores (global) Os marcadores selecionados serão adicionados como marcadores globais ao evento MISP.
    3. Clique em Salvar.

    Resultado

    Adicionar marcadores MISP ajuda na classificação do evento.