ESTE É UM CONTEÚDO EM DESENVOLVIMENTO E NÃO DEVE SER CONSIDERADO COMO VERSÃO FINAL!
Clique aqui para maiores informações

...05. Definição de objetos a serem compartilhados / taxonomias e atributos

5.1  Taxonomia

A taxonomia permite expressar o mesmo vocabulário entre um conjunto distribuído de usuários e organizações.

As TAGS no MISP são um conjunto de bibliotecas taxonômicas comuns para marcar, classificar e organizar informações. Ao publicar um evento no MISP é muito importante que se utilize de TAGs abaixo indicadas.

5.2  Sharing Groups

O padrão Sharing Group compartilha o evento apenas com os membros definidos no grupo. Grupos de compartilhamento no MISP são uma maneira mais granular de criar listas de distribuição reutilizáveis para eventos/atributos que permitem que os usuários incluam organizações de sua própria instância (organizações locais), bem como organizações de instâncias diretas ou indiretamente conectadas (organizações externas).

Sharing Group será a distribuição oficial e obrigatória a ser utilizada entre as instituições cadastradas para o compartilhamento de eventos do Open Finance Brasil.

O sharing group oficial do Open Finance Brasil terá como nome, “Open Finance Brasil” e seu UUID será disponibilizado em tempo de configuração para cada instituição participante.

O cadastramento e gestão do sharing group está descrito na sessão Meios para solicitação de utilização da instância compartilhada.

5.3  Definição de itens mínimos para publicação de 1 evento MISP

A publicação de um evento é algo relativamente simples no MISP e esse documento visa definir alguns padrões de preenchimento e utilização do mesmo.

Date:

Data de ocorrência do evento

Distribuition:

Sharing Group - Open Finance Brasil

Threat level:

Seguir classificação do campo conforme entendimento de risco da instituição

Analysis:

Estágio atual em que se encontra o evento
Initial – Ongoing - Completed

Event Info:

<Tipo de incidente>: [Instituição/Alvo] - <referência>

Exemplos:
PHISHING: [IF NOME A] - http://assineopenbanking.ru/teste
CERTIFICADO: [IF NOME A] - Revogado por comprometimento
RANSOMWARE: [IF NOME A] - ataque interno identificado

 

TAGS

Vide definições de Taxonomia acima

Attribute

Vide exemplos abaixo

Seguem alguns exemplos de atributos que podem ser usados na publicação de um evento.

Attribute

Categoria: Targeting data,
Tipo: target-org: <nome da instituição>

Attribute

Categoria: Network activity,
Tipo: url: <endereço>

Attribute

Categoria: Network activity,
Tipo: others: <Número de série do certificado>

 

ESTE É UM CONTEÚDO EM DESENVOLVIMENTO E NÃO DEVE SER CONSIDERADO COMO VERSÃO FINAL!
Clique aqui para maiores informações