Quando modellare un concetto tramite oggetto vs tassonomia vs galassia in MISP?

Naviga le tue risposte
1

Le tassonomie in MISP sono un triplo di (namespace, predicate, value) riferito a "machinetags".

Le galassie sembrano essere simili. I documenti della galassia MISP affermano che

MISP galaxy is a simple method to express a large object called cluster that can be attached to MISP events or attributes.

Gli oggetti in MISP consentono combinazioni di attributi e le definizioni di formato forniscono un insieme comune di formati per la modellazione di oggetti complessi. Gli oggetti possono anche modellare le relazioni con altri oggetti.

Tassonomie, galassie e oggetti sono tutti definiti tramite una serie di definizioni JSON aperte.

Ciò che non è chiaro è quando dovrei usare un tag da una tassonomia, un ammasso di galassie o un oggetto per modellare qualche attributo su un evento. La sovrapposizione tra i tag macchina in una tassonomia e cluster in una galassia è particolarmente poco chiara per me

Informazioni aggiuntive

Le definizioni JSON degli eventi per tutti questi tipi possono essere trovate qui:

Secondo i documenti, "galaxy" è uno spazio dei nomi riservato all'interno della tassonomia di MISP.

I documenti per tutti e 3 invitano i contributi di elementi aggiuntivi

Le RFC per il formato principale, la tassonomia, la galassia e gli oggetti possono essere trovate qui:

Questo argomento (quando utilizzare la tassonomia vs galassia vs oggetto) non è affrontato nei materiali di formazione recenti: link

Idee

Oggetti contro attributi

Entrambi diversi dai tag poiché consentono all'utente di impostare valori. Quindi per l'attributo Artifacts dropped: md5 l'utente può impostare il valore dell'hash md5 . I tag sono solo binari.

Gli oggetti sono diversi dagli attributi poiché possono modellare un fascio di tag che possono descrivere un singolo concetto, come un utente o un conto bancario, e possono quindi modellare le relazioni tra questi gruppi di tag.

Forse la differenza tra tassonomia e galassia è legata alla complessità delle definizioni?

Ogni tag macchina in una tassonomia di solito appena havalue% e expanded definito: link

Ogni tag macchina in una galassia ha value , description , uuid e meta (che è un oggetto nidificato che contiene più dettagli: link

La galassia campione dal formato core RFC aggiunge molti più dettagli di un tag: link

    
posta turtlemonvh 03.04.2018 - 23:18
fonte

1 risposta

0

Il seguente processo decisionale può essere utilizzato per selezionare come modellare un attributo di un evento tramite MISP.

  1. Se puoi modellare una proprietà del tuo evento utilizzando un attributo predefinito MISP , usa uno di quelli.
  2. Se la proprietà richiede più attributi per descriverla (o è necessario modellare le relazioni tra gli attributi), utilizzare un oggetto per raggruppare tali attributi insieme.
  3. Se la proprietà è un valore binario (l'evento ha la proprietà o non lo è), usa un tag. Prova a selezionare un valore esistente da una tassonomia esistente.
  4. Se la proprietà è un valore binario ma ha bisogno di più metadati associati ad essa rispetto a quanto un normale tag può supportare, usa un cluster galassia.

La distinzione tra 3 e 4 (tassonomia e galassia) è supportata dalle risposte a questa domanda .

    
risposta data 03.04.2018 - 23:57
fonte

Leggi altre domande sui tag

Kerberos: imposizione di una richiesta TGT valida Devo usare una password casuale per il mio utente tecnico?