Pesquisas de vistas em MISP

  • Versão de lançamento: Zurich
  • Atualizado 31 de jul. de 2025
  • 8 min. de leitura

    • Você pode executar pesquisas de vistas em observáveis no MISP Instância para determinar com que frequência determinados tipos de ataques, como ataques de phishing ou comunicações com um IP ou URL mal-intencionado, ocorrem em sua rede. Cada ocorrência é considerada um avistamento.

    Vistas em MISP

    As vistas indicam que um indicador, objeto ou atributo foi visto e sua validade foi confirmada. Vistas em MISPé um sistema que permite responder a atributos em um evento. Ele foi projetado para fornecer um método fácil para que seus usuários confirmem que viram um determinado atributo, dando mais credibilidade. Você pode ver um atributo várias vezes.
    Nota:
    Observáveis são conhecidos como atributos no MISP.

    Alguns atributos são considerados falsos positivos, o que significa que não são avistamentos válidos. Outros atributos são válidos por apenas uma determinada duração, como uma campanha de phishing executada por apenas uma semana. Você pode atribuir uma data de expiração aos atributos que são válidos por uma determinada duração, mas cada organização pode atribuir apenas uma data de expiração válida a um atributo.

    Vistas criadas em MISP Por usuários de organizações marcadas como locais no servidor MISP correspondente são conhecidas como vistas internas. Vistas criadas em MISP por usuários de organizações marcadas como remotas no correspondente MISP os servidores são conhecidos como vistas externas.

    Pesquisas de vistas em SIR

    . Integração de operações de segurança - Fluxo de trabalho de pesquisa de vistas executa a pesquisa de vistas. Isso o flow aceita uma lista de observáveis, encontra todos os recursos de implementação, cria as consultas baseadas nas configurações de pesquisa de vistas e executa as pesquisas baseadas no configurado fluxo.

    As pesquisas de detecções ajudam os analistas a determinar a prevalência de uma ameaça ao longo do tempo. Você pode selecionar observáveis individuais ou vários observáveis e o intervalo de datas para sua pesquisa a partir de um incidente de segurança. Os resultados são incluídos no Incidente de segurança Vistas , Resultados da pesquisa de vistas e Detalhes da pesquisa de vistas listas relacionadas.

    Ao começar a analisar um incidente, você pode configurar seu ServiceNow AI Platform. executar automaticamente uma pesquisa de vistas ou execute manualmente uma pesquisa de vistas observáveis identificar outros usuários em sua organização que são afetados pelo mesmo ataque de phishing.

    Habilite pesquisas automáticas de vistas em MISP

    Habilite a pesquisa de vistas em MISP Para ser executado automaticamente para que o fluxo de trabalho Integração de operações de segurança - Pesquisa de vistas seja acionado sempre que novos observáveis forem associados a um incidente de segurança.

    Antes de Iniciar

    Verifique se o Perfil de configuração de pesquisa de vistas para MISP ativo.

    Função necessária: sn_si.analyst

    Por Que e Quando Desempenhar Esta Tarefa

    Se você habilitar o recurso de pesquisa de vistas a ser executado automaticamente no MISP configuração de integração, a pesquisa de vistas em MISP acionado quando novos observáveis são associados a um incidente de segurança. Por padrão, o Execute a Pesquisa de vistas automaticamente quando novos observáveis forem associados ao incidente de segurança a opção está habilitada.

    Procedimento

    1. Navegar até Tudo > Incidente de segurança > Mostrar todos os incidentes.
    2. Selecione o incidente de segurança que contém os observáveis que você deseja exibir no MISP dados de pesquisa de vistas.
    3. Revise as anotações de trabalho depois que novos observáveis forem associados ao incidente de segurança.
      Uma anotação de trabalho é publicada quando Integração de operações de segurança - Fluxo de trabalho de pesquisa de vistas acionado.

      O exemplo a seguir mostra a seção Anotações de trabalho.

      Exiba as anotações de trabalho e verifique se o fluxo de trabalho de Pesquisa de vistas foi acionado.
    4. Exiba as informações agregadas de observáveis que são vistos em todos os eventos (globais) e categorizados por suas vistas internas ou externas após a conclusão da execução do fluxo de trabalho.
      Exiba as informações no Vistas , Resultados da pesquisa de vistas e. Detalhes da pesquisa de vistas Listas relacionadas.O exemplo a seguir mostra o registro de pesquisa de vistas que foi criado na lista relacionada Vistas.
      Exiba o registro de Pesquisa de vistas que foi criado na guia Observações.
      Tabela 1. Registro de pesquisa de vistas
      Campo Descrição
      Criação em Data e hora em que o registro de pesquisa de vistas foi criado.
      Observável Observável pesquisado pela consulta.
      Contagem de detecções Contagem de avistamentos internos e externos.
      Origem Origem do observável. Se o observável for de um MISP organização, o registro é precedido pelas palavras MISP .
      É local Status que indica se a detecção foi relatada por um usuário interno.
      Link de pesquisa de detecção Link de pesquisa de vistas em MISP instância.
      Resumo Tipos de vistas associadas ao registro. Os três tipos de avistamentos são avistamento, falso-positivo e expiração.

      A coluna Resumo aparece somente quando MISP integration for Security Operations instalado. Se houver origens diferentes de MISP For exibida, a entrada da coluna Resumo está vazia para esse registro.

    Execute uma pesquisa de detecção manual em MISP

    Selecione observáveis individuais ou múltiplos e execute uma pesquisa de vista manual no ServiceNow AI Platform MISP integration for Security Operations aplicação para determinar a prevalência de uma ameaça ao longo do tempo.

    Antes de Iniciar

    Procedimento

    1. Navegar até Tudo > Incidente de segurança > Mostrar todos os incidentes.
    2. Selecione o incidente de segurança que contém os observáveis que você deseja executar MISP pesquisa de vistas.
    3. Clique em Mostrar todas as listas relacionadas e o. Observáveis associados guia.
    4. Selecione o observável e, no menu Ações, clique em Executar Pesquisa de vistas .
      Você pode selecionar vários observáveis para uma pesquisa de detecções.
      A caixa de diálogo Executar pesquisa de vistas é aberta.
    5. Especifique o intervalo de datas para pesquisar os dados de pesquisa de vistas.
      Tabela 2. Caixa de diálogo Executar pesquisa de vistas
      Campo Descrição
      Último Número de horas ou dias antes da criação do incidente a ser pesquisado.

      O padrão é 7 dias. O limite é de 99 horas ou dias.
      entre Intervalo de datas para pesquisar. As datas padrão são as seguintes:
      • A data e a hora em que o incidente foi criado.
      • A data e a hora que são sete dias antes da abertura do incidente.
    6. Clique em Pesquisar.
      O exemplo a seguir mostra os resultados da pesquisa de vistas manuais nas anotações de trabalho.
      Resultados da pesquisa de vistas manuais nas anotações de trabalho.

    Resultado

    Um registro de Pesquisa de vistas é criado. Após a conclusão da execução do fluxo de trabalho, você pode exibir as informações agregadas de observáveis que são vistos em todos os eventos (globais) e categorizados por suas vistas internas ou externas. Os dados agregados e de vistas associados são exibidos no incidente de segurança em Vistas , Resultados da pesquisa de vistas e Detalhes da pesquisa de vistas listas relacionadas.

    Relatar avistamentos para MISP

    Relate detecções de dados de ameaças para que você possa reagir a falsos positivos em seus dados e aumentar sua conscientização quando ocorrer uma ameaça positiva verdadeira. Você também pode adicionar uma data de expiração para um observável ou atributo específico.

    Antes de Iniciar

    Por Que e Quando Desempenhar Esta Tarefa

    . MISP integration for Security Operations permite relatar avistamentos para MISP globalmente em todos os eventos. Para relatar uma vista para um evento específico, você deve usar MISP e relate a vista localmente.

    Para relatar uma observação MISP, o observável ou o atributo deve estar disponível em MISP instância.

    Procedimento

    1. Navegar até Tudo > Incidente de segurança > Mostrar todos os incidentes.
    2. Selecione o incidente de segurança que contém os observáveis para os quais você deseja relatar as vistas MISP para.
    3. Clique em Mostrar todas as listas relacionadas E a lista relacionada Observações.
    4. Selecione o observável e, no menu Ações, selecione uma das seguintes opções.
      OpçãoDescrição
      MISP: Relatar avistamento observável Relate o observável como avistado para MISP. Se o observável estiver associado a vários eventos, ele será atualizado em todos os eventos.
      MISP: Relatar observável como falso positivo Relate o observável como falso positivo para MISP.
      MISP: Relatar observável como expirado Relate o observável como expirado para MISP.
      Se você selecionar observáveis que não são específicos de um MISP Origem, o menu Ações mostra a contagem de relevantes MISP origens. O exemplo a seguir mostra quatro de oito observáveis como relevantes para MISP.O exemplo a seguir mostra o menu Ações e os observáveis relevantes para envio.
      Figura 1. Menu Ações que mostra os observáveis relevantes para envio
      O menu Ações mostra os observáveis relevantes para o MISP.
    5. Opcional: Se você selecionou MISP: Relatar avistamento observável , você deve preencher os campos da caixa de diálogo Relatar vista observável para MISP.
      Tabela 3. Relatar avistamento observável para MISP caixa de diálogo
      Campo Descrição
      Origem Campo de origem que corresponde a. MISP origem do avistamento.
      Data Campo de data que corresponde à data em que o observável foi avistado. Se a data estiver vazia, a data e a hora atuais serão preenchidas em MISP.

      O exemplo a seguir mostra como navegar até a lista relacionada Observações no incidente de segurança. Nessa lista, você pode selecionar um observável e relatar a vista do observável para MISP. A mensagem de sucesso mostra que a detecção foi enviada com sucesso para MISP.

      Figura 2. Relata vistas observáveis para o MISP
      Relata vistas observáveis para o MISP
      1. Clique em Relatar detecções .
    6. Opcional: Se você selecionou MISP: Relatar observável como falso positivo , você deve preencher os campos do Relatório observável como falso positivo para MISP caixa de diálogo.
      Tabela 4. Relatar observável como falso positivo para MISP caixa de diálogo
      Campo Descrição
      Origem (opcional) Campo de origem que corresponde a. MISP origem. Use este campo para declarar o observável como falso positivo.
      Data Campo de data que corresponde à data em que o observável foi considerado um falso positivo. Se a data estiver vazia, a data e a hora atuais serão preenchidas em MISP.
      1. Clique em Relatar falso-positivo .
    7. Opcional: Se você selecionou MISP: Relatar observável como expirado , você deve preencher os campos do Relatório de expiração do observável para MISP caixa de diálogo.
      Tabela 5. Caixa de diálogo Relatar expiração do observável para MISP
      Campo Descrição
      Origem Campo de origem que corresponde a. MISP origem. Use este campo para definir um observável como expirado.
      Data Campo de data que corresponde à data em que o observável expirou. Se a data estiver vazia, a data e a hora atuais serão preenchidas em MISP.
      1. Clique em Expiração do relatório .

    Resultado

    As vistas são atualizadas com sucesso para MISP servidor.