¿Cuándo modelar un concepto a través de un objeto vs taxonomía vs galaxia en MISP?

Navega tus respuestas
1

Las taxonomías en MISP son un triple de (namespace, predicate, value) referido como "machinetags".

Las galaxias parecen ser similares. Los documentos de la galaxia MISP afirman que

  

MISP galaxy es un método simple para expresar un objeto grande llamado cluster que puede adjuntarse a eventos o atributos MISP.

Los objetos en MISP permiten combinaciones de atributos, y las definiciones de formato proporcionan un conjunto común de formatos para modelar objetos complejos. Los objetos también pueden modelar relaciones con otros objetos.

Las taxonomías, galaxias y objetos se definen a través de un conjunto de definiciones JSON abiertas.

Lo que no está claro es cuándo debo usar una etiqueta de una taxonomía, un cúmulo de galaxias o un objeto para modelar algún atributo sobre un evento. La superposición entre etiquetas de máquina en una taxonomía y agrupaciones en una galaxia es particularmente confusa para mí

Información adicional

Las definiciones JSON de eventos para todos estos tipos se pueden encontrar aquí:

Según los documentos, "galaxy" es un espacio de nombres reservado dentro de la taxonomía MISP.

Los documentos para las 3 contribuciones de invitación de elementos adicionales

Las RFC para el formato central, taxonomía, galaxia y objetos se pueden encontrar aquí:

Este tema (cuándo usar taxonomy vs galaxy vs object) no se aborda en los materiales de capacitación recientes: enlace

Ideas

Objetos vs atributos

Ambos son diferentes de las etiquetas, ya que permiten al usuario establecer valores. Por lo tanto, para el atributo Artifacts dropped: md5 , el usuario puede establecer el valor del hash md5 . Las etiquetas son solo banderas binarias.

Los objetos son diferentes de los atributos, ya que pueden modelar un conjunto de etiquetas que pueden describir un solo concepto, como un usuario o una cuenta bancaria, y luego pueden modelar las relaciones entre estos paquetes de etiquetas.

¿Quizás la diferencia entre taxonomía y galaxia está relacionada con la complejidad de las definiciones?

Cada etiqueta de máquina en una taxonomía generalmente solo tiene value y expanded definidos: enlace

Cada etiqueta de máquina en una galaxia tiene value , description , uuid y meta (que es un objeto anidado que contiene más detalles: enlace

La galaxia de muestra del formato central RFC agrega significativamente más detalles que una etiqueta: enlace

    
pregunta turtlemonvh 03.04.2018 - 23:18
fuente

1 respuesta

0

El siguiente proceso de decisión se puede usar para seleccionar cómo modelar un atributo de un evento a través de MISP.

  1. Si puede modelar una propiedad de su evento utilizando un atributo predeterminado MISP , usa uno de esos.
  2. Si la propiedad requiere múltiples atributos para describirla (o si necesita modelar las relaciones entre atributos), use un objeto para agrupar esos atributos.
  3. Si la propiedad es un valor binario (el evento tiene la propiedad o no la tiene), use una etiqueta. Intente seleccionar un valor existente de una taxonomía existente.
  4. Si la propiedad es un valor binario pero necesita más metadatos asociados con ella de lo que puede soportar una etiqueta normal, use un cúmulo de galaxias.

La distinción entre 3 y 4 (taxonomía y galaxia) es compatible con las respuestas a esta pregunta .

    
respondido por el turtlemonvh 03.04.2018 - 23:57
fuente

Lea otras preguntas en las etiquetas

tokens CSRF en las cookies? MasterSecret expansión a claves