Enrichissement des observables dans MISP

  • Rversion finale: Yokohama
  • Mis à jour 30 janv. 2025
  • 10 minutes de lecture

    • En enrichissant les observables avec des informations supplémentaires provenant de diverses MISP sources au cours des enquêtes de réponse aux incidents, vous pouvez contenir les menaces identifiées.

    Activer l’enrichissement automatique des observables dans MISP

    Activez l’enrichissement automatique des observables lorsque Now Platform MISP de nouveaux observables sont associés à l’incident de sécurité.

    Avant de commencer

    • Activez la Réponse aux incidents de sécurité propriété système pour l’option Active ou désactive la tâche planifiée, Rechercher les observables d’incident de sécurité pour déclencher l’aptitude d’enrichissement des observables dans SIR.
    • Rôle requis : sn_si.analyst

    Procédure

    1. Accédez à la Tout > Incident de sécurité > Afficher les incidents.
    2. Sélectionnez l’incident de sécurité qui contient les observables pour MISP lesquels vous souhaitez enrichir les données observables.
    3. Examinez les notes de travail après que de nouveaux observables ont été associés à l’incident de sécurité.

      L’exemple suivant montre qu’une note de travail est publiée lorsque le flux Security Operations Integration - Enrich Observable se déclenche .

      Afficher les notes de travail de l’état d’enrichissement de l’observable.

    4. Dans la liste connexe Résultats de l’enrichissement MISP de l’incident de sécurité, affichez les résultats de l’enrichissement une fois l’exécution du flux terminée.
      Affichez les notes de travail de l’état d’enrichissement de l’observable une fois l’exécution terminée.
      Remarque :
      Vous devez configurer la liste connexe des résultats de l’enrichissement MISP dans les listes connexes des incidents de sécurité. Pour plus d’informations, consultez la configuration de la liste connexe.
      L’exemple suivant montre les résultats de l’enrichissement dans le MISPfichier .
      Affichez les résultats de l’enrichissement dans l’onglet Résultats de l’enrichissement MISP.
      La table suivante présente les résultats de l’enrichissement MISP.
      Tableau 1. Résultats de l'enrichissement MISP
      Champ Description
      Événement ID de l’événement. Cliquez sur Ouvrir pour afficher l’enregistrement dans l’instance Now Platform .
      Org Organisation qui a initialement créé l’événement.
      Observable Observable associé à l’événement.
      Catégorie Catégorie de l’attribut.

      Affichez la liste des catégories dans la documentation MISP.
      Type Type de l’attribut.

      Affichez la liste des types dans la documentation du MISP.
      Balises MISP Liste des balises associées à l’attribut MISP .
      Galaxies MISP Liste des galaxies associées à l’attribut MISP .
      Commentaire Commentaire contextuel permettant de décrire plus précisément l’attribut. Ces commentaires ne sont pas utilisés à des fins de corrélation et sont purement informatifs.
      IDS Indicateur de compromis, qui permet de l’inclure dans toutes les exportations éligibles.
      Distribution Distribution de l’attribut après sa publication. Un attribut peut avoir un niveau de distribution différent de celui de l’événement. Dans les deux cas, le niveau de distribution le plus bas est utilisé.
      Lien hypertexte vers l'événement MISP Lien vers l’événement MISP , qui est stocké sur le MISP serveur.
      Fournisseur de l'intégration Fournisseur d’intégration qui fournit les données pour l’enrichissement.
      Données brutes Données brutes associées à l’attribut MISP .

    Effectuer un enrichissement manuel de l’observable dans MISP

    Sélectionnez un ou plusieurs observables et procédez à un enrichissement manuel des observables afin de pouvoir enrichir les observables avec des informations supplémentaires provenant de diverses MISP sources.

    Avant de commencer

    Procédure

    1. Accédez à la Tout > Incident de sécurité > Afficher les incidents.
    2. Sélectionnez l’incident de sécurité qui contient les observables pour lesquels vous souhaitez effectuer l’enrichissement.
    3. Cliquez sur Afficher toutes les listes connexes et l’onglet Observables associés .
    4. Sélectionnez l’observable et, dans le menu Actions, cliquez sur Exécuter l’enrichissement de l’observable.
      Vous pouvez sélectionner plusieurs observables pour une recherche d’observations.
      La boîte de dialogue Exécuter l’enrichissement de l’observable s’affiche.
    5. Sélectionnez une MISP source et, dans la colonne Sélectionné, sélectionnez une implémentation pour enrichir les observables sélectionnés.
    6. Cliquez sur Envoyer.
      Une note de travail indique que le workflow Intégration de Security Operations - Enrichir les observables a été déclenché. Les workflows d’implémentation associés s’exécutent pour effectuer l’enrichissement. Vous pouvez consulter les notes de travail dans l’incident de sécurité pour afficher l’état.

      L’exemple suivant montre comment afficher les notes de travail pour un enrichissement manuel des observables.

      Figure 1. Notes de travail pour l’enrichissement manuel des observables
      Afficher les notes de travail pour l’enrichissement manuel des observables.
      Le message d’enrichissement répertorie l’événement créé. Vous pouvez afficher l’événement dans le Now Platform ou dans l’instance MISP et afficher les détails de l’enregistrement dans l’onglet Résultats de l’enrichissement MISP.

    Ajouter ou supprimer des balises aux MISP attributs

    Ajoutez ou supprimez des balises MISP pour classer des événements ou des attributs. Vous pouvez utiliser le balisage globalement pour activer votre classification ou utiliser des balises localement lorsque vous ne souhaitez MISP pas que les événements soient modifiés pendant votre classification.

    Avant de commencer

    • Examiner le MISP Rôle d’utilisateur et autorisations pour l’utilisation des fonctionnalités bidirectionnelles MISP .
    • Vérifiez que l’attribut que vous modifiez appartient à la même organisation que l’utilisateur MISP .
    • Notez que les balises et les galaxies disponibles sont basées sur la MISP source et ses autorisations de distribution.
    • Rôle requis : sn_sec_misp.write

    Procédure

    1. Accédez à la Tout > Incident de sécurité > Afficher les incidents.
    2. Sélectionnez l’incident de sécurité qui contient les observables, les attributs ou les événements pour lesquels vous souhaitez ajouter les balises.
    3. Cliquez sur Afficher toutes les listes connexes et la liste connexe Résultats de l’enrichissement MISP.
    4. Cliquez sur l’icône Aperçu icône Aperçu en regard d’un enregistrement, puis cliquez sur Ouvrir l’enregistrement.
      L’exemple suivant montre comment examiner les résultats d’enrichissement MISP et comment ouvrir un MISP enregistrement d’enrichissement.
      Figure 2. Enregistrement du résultat de l’enrichissement MISP
    5. Examiner l’enregistrement du résultat de l’enrichissement MISP.
      Tableau 2. Résultat de l'enrichissement MISP
      Champ Description
      Observable
      Événement ID d’événement affecté par le serveur lors de la MISP première création ou importation de l’événement dans MISP.

      Prévisualisez l’événement ou cliquez sur l’enregistrement pour afficher les données d’événement dans la page Données d’événement MISP .
      Org Organisation qui a créé l’attribut MISP .
      Catégorie Catégorie de l’attribut que vous ajoutez à l’événement spécifique dans MISP. Vous pouvez sélectionner une option telle qu’une référence interne, une activité réseau, une fraude financière, etc.
      Type Type d’attribut MISP .
      Fournisseur de l'intégration Fournisseur d’intégration qui fournit les données d’enrichissement de l’observable.
      Date de création (dans MISP) Date à laquelle l’événement a été créé ou importé pour la première fois MISP.
      IDS État indiquant si un observable est marqué comme malveillant dans SIR. L’attribut correspondant dans MISP est également marqué comme vrai.
      Distribution Contrôles d’option de distribution, par exemple qui peut afficher cet événement après sa publication. Cette option contrôle également si l’événement est synchronisé avec d’autres serveurs. La distribution est héritée par les attributs, et le paramètre le plus restrictif l’emporte. Les options de distribution sont les suivantes :
      • Votre organisation uniquement : autorise uniquement les membres de votre organisation à afficher cet événement. L’événement peut être transféré vers une autre instance par l’un des membres de votre organisation, où seule votre organisation a accès pour l’afficher. Les événements avec ce paramètre ne sont pas synchronisés.
      • Cette communauté uniquement : permet aux utilisateurs qui font partie de votre MISP communauté d’afficher l’événement, y compris votre propre organisation, les organisations sur ce MISP serveur et les organisations qui exécutent MISP des serveurs qui se synchronisent avec ce serveur. Toute autre organisation connectée à ces serveurs liés ne peut pas voir l’événement.
      • Communautés connectées : permet aux utilisateurs qui font partie de votre MISP communauté d’afficher l’événement, y compris toutes les organisations sur ce serveur, toutes les organisations sur MISP les MISP serveurs qui se synchronisent avec ce serveur et les organisations d’hébergement des serveurs qui se connectent à n’importe quel serveur situé à deux sauts de distance. Toutes les autres organisations connectées aux serveurs liés qui se trouvent à deux sauts de distance ne peuvent pas voir l’événement.
      • Toutes les communautés : partage l’événement avec toutes les MISP communautés, ce qui permet à l’événement d’être disponible gratuitement.
      Lien hypertexte vers l'événement MISP Lien vers l’événement MISP qui est stocké sur le MISP serveur.
      Données brutes Détails bruts pour l’enregistrement des données d’enrichissement des observables.
      Commentaire Commentaires que vous ajoutez pour les attributs. Ces commentaires sont fournis à titre informatif uniquement et ne sont pas utilisés à des fins de corrélation.
      Balises (locales) Balises disponibles sur l’instance de l’organisation hôte pour activer le balisage à des fins de MISP synchronisation et de filtrage des exportations. MISP Les événements ne sont pas modifiés lorsque vous utilisez des balises locales. Ces balises sont toujours supprimées avant d’être synchronisées avec d’autres instances et communautés de MISP partage.
      Balises (globales) Balises disponibles globalement pour être partagées et synchronisées avec d’autres instances et communautés de MISP partage. Lorsque vous ajoutez des balises globales à MISP des instances, vous modifiez les événements.
      Galaxies (locales) Galaxies disponibles sur l’instance de l’organisation hôte pour le filtrage de synchronisation et d’exportation. MISP Les événements ne sont pas modifiés lorsque vous utilisez des galaxies MISP locales. Ces galaxies sont toujours dépouillées avant d’être synchronisées avec d’autres instances et communautés de MISP partage.
      Galaxies (globales) Galaxies disponibles dans le monde entier pour être partagées et synchronisées avec d’autres instances et communautés de MISP partage. Lorsque vous ajoutez des galaxies globales, MISP les événements sont modifiés.
    6. Pour modifier une balise locale ou globale, cliquez sur l’icône Modifier icône Modifier dans l’une des options suivantes :
    • Balises (locales)
    • Balises (globales)
    1. Dans la boîte de dialogue Balises d’attribut MISP, entrez le nom de la balise à rechercher et pour l’ajouter.
    2. Cliquez sur Mettre à jour les balises sur l’attribut MISP.

      L’exemple suivant montre qu’en cliquant sur l’icône de modification des balises locales, vous pouvez rechercher et ajouter les balises C3, Adware, C2 et Botnet 3101, et mettre à jour le serveur MISP avec les balises. Le message de confirmation indique que toutes les balises ont été mises à jour dans MISP.

      Les balises sont mises à jour avec succès dans le MISP serveur.
    3. Pour afficher les changements dans l’enregistrement, cliquez sur Recharger le formulaire dans le message de réussite.

    Ajouter ou supprimer des galaxies à un événement ou à un MISP attribut

    Ajoutez ou supprimez des galaxies MISP afin de pouvoir classer ces objets en tant que cluster MISP et les attacher à des événements ou à MISP des attributs.

    Avant de commencer

    • Examiner le MISP Rôle d’utilisateur et autorisations pour l’utilisation des fonctionnalités bidirectionnelles MISP .
    • Pour ajouter des galaxies locales, l’utilisateur qui a configuré l’intégration doit appartenir à l’organisation hôte du serveur correspondant MISP .
    • Notez que les balises et les galaxies disponibles sont basées sur la MISP source et ses autorisations de distribution.
    • Rôle requis : sn_sec_misp.write

    Procédure

    1. Cliquez sur l’icône Modifier dans l’une des options suivantes.
    • Galaxies (locales)
    • Galaxies (globales)
    1. Dans la boîte de dialogue Galaxies d’événements MISP, renseignez les détails.
      Tableau 3. Boîte de dialogue Galaxies d’événements MISP
      Champ Description
      ID d'événement ID d’événement affecté par le serveur lors de la MISP première création ou importation de l’événement dans MISP.
      Espace de noms Espace de noms où la galaxie est stockée. Vous pouvez utiliser des espaces de noms pour regrouper des galaxies similaires.
      Galaxies Galaxie dans laquelle vous stockez les informations du cluster.
      Grappes Informations sur les amas de la galaxie.
    2. Cliquez sur Mettre à jour les galaxies vers l’attribut MISP.
      L’exemple suivant montre qu’en cliquant sur l’icône d’édition des galaxies locales, vous pouvez sélectionner l’espace de noms obsolète, sélectionner la galaxie Enterprise Attack - Attack Pattern et ajouter les informations de cluster. Une fois les informations sur la galaxie mises à jour, vous pouvez afficher le message de réussite.

    3. Pour afficher les changements dans l’enregistrement, cliquez sur Recharger le formulaire dans le message de réussite.

    Résultats

    Les informations sur les galaxies sont mises à jour avec succès dans le MISP serveur.

    Ajouter des commentaires à l’attribut MISP

    Ajoutez des commentaires pour les MISP attributs. Les commentaires que vous ajoutez le sont à des fins d’information uniquement et ne sont pas utilisés à des fins de corrélation de MISP données.

    Avant de commencer

    Procédure

    1. Cliquez sur l’icône Modifier dans le champ Commentaire.
    2. Saisissez votre commentaire dans le champ Commentaire d’attribut.
    3. Cliquez sur Mettre à jour un commentaire sur l’attribut MISP.
      L’exemple suivant montre qu’en cliquant sur l’icône de modification en regard du champ de commentaire, vous pouvez ajouter un commentaire, puis mettre à jour l’attribut MISP . Une fois le commentaire mis à jour, vous pouvez afficher le message de réussite.

    4. Pour afficher les changements dans l’enregistrement, cliquez sur Recharger le formulaire dans le message de réussite.

    Résultats

    Le commentaire est mis à jour avec succès dans le MISP serveur.