檢視次數:

TrendAI Vision One™ 允許直接與 MISP 安全威脅共享平台傳輸可疑物件資料並檢索安全威脅資訊資料。

重要
重要
  • MISP API 在版本 2.4.717 或更高版本中不會返回未發布的事件。請在 MISP 伺服器上發布事件,以確保安全威脅資訊資料能夠發送到 TrendAI Vision One™
  • 要將 MISP 屬性作為可疑物件發送至 TrendAI Vision One™,請添加入侵偵測系統標誌。這將決定屬性是否可以自動化。
  • 如需有關 MISP 實例大小的詳細資訊,請參閱 調整您的 MISP 實例大小

步驟

  1. TrendAI Vision One™ 主控台上,移至「Workflow and Automation」「Third-Party Integration」
  2. 找到並按一下「MISP」卡片。
  3. 「Direct Connection」標籤上,請點選「Add Connection」
  4. 開啟切換以啟用 MISP 連接。
  5. 選擇Send data to MISP
  6. 配置設定以允許TrendAI Vision One™將可疑物件資料發送到MISP。
  7. 選擇Retrieve data from MISP
  8. 配置設定以允許TrendAI Vision One™從MISP檢索安全威脅資訊資料。
    • 您只能將未撤銷且沒有異常活動、匿名化、良性、受損或未知標籤的指標類型 STIX 物件添加到可疑物件清單中。
    • 自動掃描僅支援報告類型 STIX 物件。
    • 模式欄位僅支援單一條件模式。不支援使用ANDOR運算子結合多個條件的複合模式。例如,[ipv4-addr:value = '1.2.3.4']是支援的,但[domain-name:value = 'example.com' AND domain-name:resolves_to_refs[*].value = '1.2.3.4']則不支援。
    TrendAI Vision One™ 從擷取的 MISP 指標的模式欄位中提取以下可觀察類型。任何其他類型將被忽略。

    支援的模式類型

    支援的類型 已提取為
    file:hashes.SHA-1 / file:hashes.SHA1 / file:hashes.sha1 sha1
    file:hashes.SHA-256 / file:hashes.SHA256 / file:hashes.sha256 sha256
    url:value url
    ipv4-addr:value ipv4
    ipv6-addr:value ipv6
    domain-name:value 網域
    email-message:from_ref.value / email-message:sender_ref.value email_sender
  9. 點選儲存