MISP でイベントを管理する

  • リリースバージョン: Yokohama
  • 更新日 2025年01月30日
  • 所要時間:11分

    • MISP のイベントは、Now Platform から自動または手動で作成できます。Now Platform から MISP のイベントデータを編集することもできます。

    MISP で自動作成されたイベントを検証する

    Now Platform インスタンスでイベント作成プロファイルを設定した後、自動作成されたイベントを検証できます。

    イベントの自動作成プロファイル

    イベントの自動作成プロファイルの設定 は、sn_si.admin または sn_ti.admin ユーザーロールによって行われます MISP 統合 > イベントの自動作成プロファイル モジュール。

    MISP イベントデータを表示する

    作成されたイベントは、次の方法で表示できます。

    • 作成されたイベントの作業メモを表示します。イベントの詳細は、Now Platform インスタンスの他、次の例に示すように MISP サーバーに表示されたものを見ることもできます。
      図 : 1. 作成されたイベントの作業メモ
      作成されたイベントの作業メモを表示します。
    • 関連付けられた MISP イベントの関連リストをクリックします。ここでは、次の例に示すように、セキュリティインシデントと MISP リソースに関連するイベントを表示できます。
      図 : 2. 関連イベントのリスト
      関連イベントのリストを表示する
    • 次の例に示すように、フォームビューで MISP イベントデータを表示して、MISP イベントに関する詳細情報を確認します。
      図 : 3. フォームビューのイベントデータ
      フォームビューでイベントデータを表示して、詳細な MISP イベント情報を確認します。

    MISP に手動でイベントを作成する

    Now Platform から MISP に手動でイベントを作成し、属性やオブジェクトとして表されるコンテキスト関連情報をキャプチャします。

    始める前に

    手順

    1. 移動先 すべて > セキュリティインシデント > すべてのインシデントを表示.
    2. イベントを作成する観測事象を含んでいるセキュリティインシデントを選択します。
    3. [MISP で新しいイベントを作成] をクリックします。
    4. [MISP で新しいイベントを作成] ダイアログボックスで、詳細を入力します。
      表 : 1. MISP ダイアログボックスでイベントを作成する
      フィールド 説明
      日付 MISP でのイベントの作成日。
      イベント情報 Now Platform セキュリティインシデントレスポンス から自動的に作成されるイベント情報。
      脅威レベル イベントのリスクレベル。インシデントは、3 つの異なる脅威のカテゴリ (低、中、高) に分類できます。このフィールドは未定義のままでも構いません。オプションは次のとおりです。
      • 低:一般的な大量マルウェア
      • 中:高度で継続的な脅威 (APT)
      • 高:高度な APT およびゼロデイ攻撃
      ソース イベント作成の MISP ソース。
      配布 イベントが公開された後、このイベントを表示できるユーザーを制御するオプション。このオプションは、イベントを他のサーバーに同期するかどうかも制御します。属性によって配布が受け継がれます。最も制限の多い設定が優先されます。配布オプションは次のとおりです。
      • [自分の組織のみ (Your organization only)]:自分の組織のメンバーのみがこのイベントを表示できるようにします。イベントは、組織のメンバーの 1 人が別のインスタンスにプルして、組織だけが閲覧できるようにすることができます。この設定のイベントは同期されません。
      • [このコミュニティのみ (This community only)]:自分の組織、この MISP サーバー上の組織、およびこのサーバーと同期する MISP サーバーを実行している組織を含む、MISP コミュニティの一員であるユーザーがイベントを表示できるようにします。リンクサーバーに接続されている他の組織は、イベントの表示が制限されます。
      • [接続されたコミュニティ]:この MISP サーバー上のすべての組織、このサーバーと同期する MISP サーバー上のすべての組織、および 2 ホップ離れたサーバーに接続するサーバーのホスト組織など、MISP コミュニティの一員であるユーザーがイベントを表示できるようにします。このサーバーから 2 ホップ離れた、リンクサーバーに接続されている他の組織は、イベントの表示が制限されます。
      • [すべてのコミュニティ]:すべての MISP コミュニティとイベントを共有します。
      分析 以下の使用可能なオプションがある、イベント分析の現在のステージ。
      • 初期:分析を開始したばかりです
      • 進行中:分析中です
      • 完了:分析が完了しました
      詳細オプション SIR 関連の観察事項を属性として MISP イベントに追加 セキュリティインシデントで利用可能な観測事象を、属性として MISP イベントに追加するオプション。

      このオプションは、[観測事象の検出結果が悪意のある場合、属性 IDS フラグを設定] オプションを有効にします。
      観察事項の検出結果が悪意のある場合、属性 IDS フラグを設定 SIR で悪意があるとしてマークされた観測事象。MISP の対応する属性も True としてマークされます。
      セキュリティタグに基づいて観測事象をフィルタリングする 選択したセキュリティタグに基づいて観測事象をフィルタリングするオプション。このオプションは、脅威インテリジェンスで MISP イベントを区別して管理する機能を提供します。

      セキュリティタグ:観測事象をフィルタリングするタグを追加します。たとえば、「共有をブロック」または「TLP:白」というタグを追加する場合、いずれかの観測事象にこれらのタグのいずれかが関連付けられていると、MISP イベントの作成時にこれらの観測事象は MISP イベントに属性として追加されません。
      セキュリティインシデントの MITRE ATT&CK 手法をローカルギャラクシーとして MISP イベントに同期 Now Platform SIR セキュリティインシデント MITRE-ATT&CK™ テクニックを、MISP イベントのローカルギャラクシーとして同期するオプション。
      セキュリティインシデントの MITER ATT&CK 手法をグローバル Galaxies として MISP イベントに同期 Now Platform SIR セキュリティインシデント MITRE-ATT&CK™ テクニックを、MISP イベントのグローバルギャラクシーとして同期するオプション。
      MISP イベントにタグを追加 ServiceNow から作成されたイベントに MISP タグを追加できるオプション。このオプションでは、次のオプションが表示されます。
      • ローカル (タグ):選択したタグは、ローカルタグとして MISP イベントに追加されます。
      • グローバル (タグ):選択したタグは、グローバルタグとして MISP イベントに追加されます。
    5. [新規 MISP イベントを作成] をクリックします。

      次の例は、MISP でイベントを作成することで、セキュリティインシデントの結果を表示できることを示しています。次の例に示すように、作業メモ、Now Platform インスタンスのイベント、MISP サーバーのイベントを表示することもできます。

      図 : 4. Now Platformから MISP でイベントを手動で作成する
      Now Platformから MISP でイベントを手動で作成します。
      結果は、次の方法で表示できます。
      • セキュリティインシデントページの上部に成功メッセージが表示されます。イベントの詳細は、Now Platform インスタンスの他、MISP サーバーに表示されたものを見ることもできます。
      • 作業メモには、詳細を含む成功メッセージを表示できます。イベントの詳細は、Now Platform インスタンスの他、MISP サーバーに表示されたものを見ることもできます。
      • [関連付けられた MISP イベント] の関連リストでは、セキュリティインシデントや MISP リソースに関連するイベントを表示できます。

    MISP イベントに属性を追加する

    タイプ、カテゴリ、イベントに関するその他のコンテキスト情報など、イベントに属性を追加します。

    始める前に

    • をレビュー MISP ユーザーロールと権限 MISP双方向機能を使用するためのもの。
    • 属性を追加または更新するイベントが、MISP ユーザーと同じ組織に属していることを確認します。
    • 必要なロール:sn_sec_misp.write

    手順

    1. 移動先 すべて > MISP > 関連付けられた MISP イベント.
      セキュリティインシデントの [関連付けられた MISP イベント] の関連リストに移動することもできます。
    2. 属性を追加する MISP イベントをクリックします。
    3. [MISP イベントに属性を追加] をクリックします。
    4. [イベントに属性を追加] ダイアログボックスで、詳細を入力します。
      表 : 2. [イベントに属性を追加] ダイアログボックス
      フィールド 説明
      属性の実際の値。選択した属性タイプに有効とされるものに基づいて、値に関するデータを入力します。たとえば、ip-src (ソース IP アドレス) のタイプの属性の場合、11.11.11.11 が有効な値です。
      注:
      イベントとコンテキストを共有する属性または観測事象のみを選択できます。観測事象が既に MISP の属性を持っていることはできません。
      カテゴリ 属性のカテゴリ。カテゴリは、この属性に対するマルウェアの様相を示します。たとえば、マルウェアやネットワークアクティビティの永続化メカニズムが挙げられます。
      タイプ カテゴリを説明するタイプ。たとえば、攻撃者が IP アドレスを使用して攻撃する場合、送信元メールアドレスや添付ファイルで送信されたファイルは、すべてマルウェアのペイロード配信を表すことができます。これらのタイプの属性には、ペイロード配信というカテゴリがあります。
      配布 この属性を表示できるユーザー。属性によって配布が受け継がれます。最も制限の多い設定が優先されます。
      属性を IDS 署名として使用 SIR で悪意があるとしてマークされた観測事象。MISP の対応する属性も true としてマークされます。
      コメント 属性に追加するコメント。

      次の例は、[関連付けられた MISP イベント] の関連リストから移動することによって、イベントレコード 5627 を表示し、イベントに属性を追加できることを示しています。属性には、値 (testdomain.com)、外部分析としてのカテゴリ、ドメインタイプが含まれます。IDS を有効にすることもできます。イベントレコードの成功メッセージは、次の例に示すように、 属性がイベントに追加されたことを示します。

      図 : 5. MISP イベントに属性を追加する
      MISP イベントに属性を追加する
    5. [MISP イベントに属性を追加] をクリックします。

    タスクの結果

    追加された属性は [属性] セクションで表示できます。

    MISP イベントにタグを追加する

    Now Platform MISP にタグを追加して、イベントや属性を分類します。タグ付けをグローバルに使用して分類を有効にするか、分類中に MISP イベントを変更しない場合はローカルにタグを使用することができます。

    始める前に

    • をレビュー MISP ユーザーロールと権限 MISP双方向機能を使用するためのもの。
    • 編集するイベントが、MISP ユーザーと同じ組織に属していることを確認します。
    • 利用可能なタグとギャラクシーは、MISP ソースとその配布権限に基づくものです。
    • 必要なロール:sn_sec_misp.write

    手順

    1. 移動先 すべて > セキュリティインシデント > すべてのインシデントを表示.
    2. タグを追加するイベントを含んでいるセキュリティインシデントを選択します。
    3. [すべての関連リストを表示] および [MISP 拡張結果] 関連リストをクリックします。
    4. エンリッチメント結果のリストからイベント ID をクリックします。
      次から移動することもできます MISP > 関連付けられた MISP イベント モジュール。
    5. MISP イベントレコードを確認します。
    6. ローカルタグまたはグローバルタグのいずれかを編集するには、次のオプションのいずれかで、[編集] アイコン編集アイコンをクリックします。
    • タグ (ローカル)
    • タグ (グローバル)
    1. [MISP イベントタグ (MISP Event Tags)] ダイアログボックスで、検索して追加するタグの名前を入力します。
    2. [タグを MISP イベントに更新 (Update Tags to MISP Event)] をクリックします。

      次の例は、ローカルタグの [編集] アイコンをクリックすることで、C3、アドウェア、C2、およびボットネット 3101 のタグを検索して追加し、MISP サーバーのタグを更新できることを示しています。確認メッセージは、MISP のすべてのタグが更新されたことを示しています。

      図 : 6. MISP イベントに対するタグの更新
      MISP イベントに対するタグの更新
    3. 成功メッセージで [フォームのリロード] をクリックして、レコードの変更を表示します。

    タスクの結果

    MISP サーバーでタグが正常に更新されました。

    MISP イベントまたは属性に対するギャラクシーの更新

    Now Platform MISP のギャラクシーを追加または削除して、これらのオブジェクトを MISP インスタンスのクラスターとして分類し、MISP イベントまたは属性に添付できるようにします。

    始める前に

    • をレビュー MISP ユーザーロールと権限 MISP双方向機能を使用するために必要です。
    • ローカルギャラクシーを追加するには、統合を設定したユーザーが、対応する MISP サーバーのホスト組織に属している必要があります。
    • 利用可能なタグとギャラクシーは、MISP ソースとその配布権限に基づくものです。
    • 必要なロール:sn_sec_misp.write

    手順

    1. 次のいずれかのオプションで、[編集] アイコン編集アイコンをクリックします。
    • ギャラクシー (ローカル)
    • ギャラクシー (グローバル)
    1. [MISP イベントギャラクシー (MISP Event Galaxies)] ダイアログで、タグを入力、検索して追加します。
    2. [ギャラクシーを MISP イベントに更新 (Update Galaxies to MISP Event)] をクリックします。

      次の例は、ローカルギャラクシーの [編集] アイコンをクリックし、廃止された名前空間を選択し、[エンタープライズ攻撃 - 攻撃パターン] ギャラクシーを選択して、クラスター情報を追加する方法を示しています。ギャラクシー情報が更新されると、成功メッセージが確認できます。

      図 : 7. MISP イベントに対するギャラクシー情報の更新
      MISP イベントに対するギャラクシー情報の更新
      MISP サーバーでギャラクシーが正常に更新されました。
    3. 成功メッセージで [フォームのリロード] をクリックして、レコードの変更を表示します。