Configurar MISP pesquisas de vista

  • Versão de lançamento: Washingtondc
  • Atualizado 1 de fev. de 2024
  • 1 min. de leitura

    • Configure o Now Platform para fazer pesquisas de vista para observáveis na instância MISP. Com essas informações, você pode determinar com que frequência as ameaças ocorrem.

    Antes de Iniciar

    Por Que e Quando Desempenhar Esta Tarefa

    O fluxo de trabalho Security Operations Integration - Sightings Search executa as pesquisas de detecções. Este fluxo de trabalho aceita uma lista de observáveis, encontra todos os recursos de implementação, cria as consultas baseadas nas configurações de pesquisa de vista e executa as pesquisas baseadas no fluxo de trabalho configurado.

    O MISP integration for Security Operations fornece um perfil de pesquisa de vista do sistema de base que permite configurar pesquisas de vista automáticas. Com este perfil, você pode acessar as informações de vista observável relacionadas de uma organização e também ver as vistas externas de outras organizações.

    Procedimento

    1. Navegar até Todos > Integração MISP > Configuração de pesquisa de detecções.
    2. Clique em Nova.
    3. No formulário, preencha os campos.
      Tabela 1. Formulário de Configuração de pesquisa de vistas
      Campo Descrição
      Nome Nome do perfil de recurso.
      Pesquisa salva Configuração de pesquisa que é salva quando você seleciona esta opção. As consultas de configuração de pesquisa salvas são consultas de exemplo. Você pode substituí-los pelos parâmetros do seu ambiente e criar configurações adicionais de pesquisa salva, conforme necessário.
      Origem de pesquisa de vistas Origem da pesquisa de vistas. Selecione o armazenamento de log MISP como a origem.
      Ativo Opção que habilita a configuração de pesquisa salva. Somente configurações de pesquisa ativas podem executar uma pesquisa de vistas.
      Tipo de observável Tipo de observável, como endereço IP, valor de hash, URL e nome de domínio.
      Máximo observável por pesquisa Número máximo de observáveis que você pode exibir em uma consulta de pesquisa.
      Pesquisar Cadeia de caracteres de pesquisa padrão que é $(observable). No entanto, você define sua própria consulta de pesquisa especificando os parâmetros compatíveis com o armazenamento de logs MISP.
    4. Clique em Enviar.

    Resultado

    Você criou um perfil de configuração de pesquisa de detecções MISP.