05. Definição de objetos a serem compartilhados / taxonomias e atributos
- Renan Amorim Costa
5.1 Taxonomia
A taxonomia permite expressar o mesmo vocabulário entre um conjunto distribuído de usuários e organizações.
As TAGS no MISP são um conjunto de bibliotecas taxonômicas comuns para marcar, classificar e organizar informações. Ao publicar um evento no MISP é muito importante que se utilize de TAGs abaixo indicadas.
TLP (Obrigatória) - Será utilizado Traffic Lights Protocol (TLP) para definição do nível de privacidade dos eventos compartilhados, conforme padrão definido pelo Forum of Incident Response Security Teams (FIRST). As definições do padrão estão disponíveis em https://www.first.org/tlp/docs/tlp-v1-pt-br.pdf
ECSIRT (Complementar) – Será utilizado o padrão de classificação de incidentes definido pela ECSIRT.NET (http://www.ecsirt.net ) e enriquecido com Intel-MQ.
RSIT (Complementar) - Será utilizada o padrão estabelecido pela Reference Security Incident Taxonomy Working Group como elemento indicativos para a classificação de incidentes cibernéticos
https://github.com/enisaeu/Reference-Security-Incident-Taxonomy-Task-ForceTaxonomia própria Open Finance (Complementar) – Os incidentes e eventos não contemplados nas taxonomias RSIT e ECSIRT poderão ser inclusos futuramente, se necessário.
5.2 Sharing Groups
O padrão Sharing Group compartilha o evento apenas com os membros definidos no grupo. Grupos de compartilhamento no MISP são uma maneira mais granular de criar listas de distribuição reutilizáveis para eventos/atributos que permitem que os usuários incluam organizações de sua própria instância (organizações locais), bem como organizações de instâncias diretas ou indiretamente conectadas (organizações externas).
Sharing Group será a distribuição oficial e obrigatória a ser utilizada entre as instituições cadastradas para o compartilhamento de eventos do Open Finance Brasil.
O sharing group oficial do Open Finance Brasil terá como nome, “Open Finance Brasil” e seu UUID será disponibilizado em tempo de configuração para cada instituição participante.
O cadastramento e gestão do sharing group está descrito na sessão Meios para solicitação de utilização da instância compartilhada.
5.3 Definição de itens mínimos para publicação de 1 evento MISP
A publicação de um evento é algo relativamente simples no MISP e esse documento visa definir alguns padrões de preenchimento e utilização do mesmo.
Date: | Data de ocorrência do evento |
Distribuition: | Sharing Group - Open Finance Brasil |
Threat level: | Seguir classificação do campo conforme entendimento de risco da instituição |
Analysis: | Estágio atual em que se encontra o evento |
Event Info: | <Tipo de incidente>: [Instituição/Alvo] - <referência> Exemplos:
|
TAGS | Vide definições de Taxonomia acima |
Attribute | Vide exemplos abaixo |
Seguem alguns exemplos de atributos que podem ser usados na publicação de um evento.
Attribute | Categoria: Targeting data, |
Attribute | Categoria: Network activity, |
Attribute | Categoria: Network activity, |