top of page
Suche

Events in MISP – Erstellen, Taggen und mehr

Was ist ein Event in MISP?

In MISP ist ein Event die zentrale Einheit zur Erfassung und zum Austausch von Cyber-Threat-Intelligence.Man kann sich ein Event wie eine digitale Fallakte vorstellen – es enthält IOCs (Indicators of Compromise), zugehörigen Kontext sowie Metadaten zur Bedrohung.

Mit Events kannst du beispielsweise Folgendes dokumentieren:

  • Eine Phishing-Kampagne

  • Das Verhalten einer Malware

  • Einen gezielten Angriff

  • Oder jeden anderen sicherheitsrelevanten Vorfall, der für dein Team oder deine Community von Bedeutung ist.


Schritt 1: Manuelles Erstellen eines Events

So erstellst du ein neues Event:

  1. Melde dich mit deinem Benutzernamen und Passwort bei deiner goMISP-Instanz an (z.B. <instance_name>.eu.gomisp.com).

    ree

  2. Wähle im oberen Menü “Event Actions” → “Add Event”.

    ree

  3. Fülle anschließend die Event-Details aus:

    • Info: Ein kurzer Titel (z. B. “Suspicious RDP Activity - May 2025”)

    • Threat Level: Wähle zwischen Low, Medium, High oder Undefined

    • Analysis Level: Initial, Ongoing, or Completed

    • Date:  Das Datum, an dem das Event aufgetreten oder beobachtet wurde

    • Distribution: Wer soll Zugriff auf dieses Event haben? (Nur deine Organisation, deine Community, alle Benutzer etc.)

ree















Das erstellte Event ist für alle Organisationen sichtbar, die ein Konto auf dieser Plattform haben - es wird jedoch erst mit anderen MISP-Instanzen synchronisiert, wenn es veröffentlicht wurde.

Tipp: Verwende eine einheitliche Benennung für Event-Titel, damit du später ähnliche Events leichter finden und gruppieren kannst.

  1. Klicke auf „Submit“, um das Event zu erstellen.

Tipp: Wenn du mehr Informationen über die verschiedenen Kategorien oder die Bedeutung von Feldern brauchst, kannst du die offizielle MISP-Dokumentation besuchen.


Schritt 2: Attribute hinzufügen (Deine IOCs)

Nachdem du das Event erstellt hast, kannst du es nun mit Attributen füllen - also den tatsächlichen Indicators of Compromise (IOCs) wie IP-Adressen, Dateihashes, Domains, E-Mail-Adressen usw.

  1. Öffne das gerade erstellte Event.

ree

  1. Klicke auf “Add Attribute”.

ree

  1. Wähle den passenden Attributtyp, z. B.:

    • ip-src, ip-dst – Quell- oder Ziel-IP

    • domain, url, hostname

    • sha256, md5, sha1 – Dateihashes

    • email-src, text, malware-sample – u. v. m.

  2. Gib den Wert ein (z. B. 185.143.223.89) und speichere.

Wiederhole diesen Vorgang für jedes IOC, das du hinzufügen möchtest.

Tipp: Wenn du eine Liste mit mehreren Indikatoren hast, kannst du die Funktion „Batch Import“ verwenden, um sie schnell hochzuladen.


Alternative: IOCs direkt als Datei importieren

Falls du bereits eine Datei mit rohen IOCs (z. B. IPs, Hashes, Domains) hast:

  1. Gehe auf „Populate from...“

ree

  1. Wähle das Dateiformat für den Import aus

ree










Schritt 3: Events taggen

Tags helfen dir dabei, Events zu strukturieren und zu klassifizieren. Du kannst damit z. B. Folgendes kennzeichnen:

  • Bedrohungsstufe (TLP): z. B. tlp:red, tlp:green

  • Schweregrad oder Typ: z. B. ransomware, phishing

  • Kampagnen- oder Akteur-Referenzen

  • MITRE ATT&CK-Techniken


Wie taggt man ein Event:

  1. Öffne das Event und klicke auf “Tag Event”.


ree


  1. Wähle aus den vorhandenen Tags oder erstelle eigene

  2. Speichern

Wichtig: Das Verwenden von Tags verbessert die Suche, Filterung und Synchronisation von Daten – deine Bedrohungsdaten werden so effizienter und intelligenter verwaltet.

Schritt 4: Galaxies hinzufügen (Erweiterte Tagging-Funktion)

Galaxies sind in MISP strukturierte Datenmengen, sogenannte Cluster, z. B. MITRE ATT&CK, Bedrohungsakteure, Malware-Familien usw. Sie liefern kontextreiche Informationen und bestehen aus Schlüssel-Wert-Paaren wie Namen, Aliassen oder Angriffstechniken.

🧩 So fügst du eine Galaxy hinzu:

  1. Öffne dein Event

  2. Klicke auf „Galaxies“ →

    • „Add New Cluster“ oder

    • „Add New Local Cluster“

ree

  1. Wähle einen Galaxy-Typen aus (z.B. mitre-attack → Intrusion Set → APT28)

Dadurch wird dein Event automatisch mit den passenden Tags versehen, die den Kontext widerspiegeln.

Galaxies machen dein Event weltweit verständlich und erleichtern die Korrelation mit anderen Events in der MISP-Community!

Schritt 5: Event anreichern

Du kannst deine IOCs mithilfe integrierter Module anreichern, z. B.:

  • 🌍 GeoIP - zeigt das Land zu einer IP-Adresse

  • 🦠 VirusTotal - prüft die Erkennungsrate eines Hashes

  • 🌐 Passive DNS - zeigt die Historie einer Domain

  • 🛠️ YARAify, Shodan und viele weitere

So funktioniert’s:

  1. Klicke auf ein Attribut

  2. Wähle „Anreichern“

  3. Wähle ein Modul aus der Liste

Hinweis: Manche Module (z. B. VirusTotal) erfordern einen API-Schlüssel.


Fazit

Das Erstellen und Taggen von Events ist eine der zentralen Fähigkeiten beim Arbeiten mit MISP.Sobald deine Daten eingegeben sind, kannst du sie:

  • Mit bestehender Threat-Intelligence korrelieren

  • Mit vertrauenswürdigen Partnern teilen

  • In deinem SOC oder SIEM verwenden

  • Für Dashboards, Warnmeldungen und Auswertungen nutzen


 
 

Aktuelle Beiträge

Alle ansehen
  • LinkedIn
  • Bluesky_logo_(black).svg

WALLSEC GmbH

Industriestraße 44

69190 Walldorf

Germany

Zur Startseite

Datenschutz

Über uns

Kontakt

2025 © WALLSEC GmbH - IT Security Consulting. All rights reserved.

bottom of page