top of page
Suche

Events in MISP – Erstellen, Taggen und mehr

Was ist ein Event in MISP?

In MISP ist ein Event die zentrale Einheit zur Erfassung und zum Austausch von Cyber-Threat-Intelligence.Man kann sich ein Event wie eine digitale Fallakte vorstellen – es enthält IOCs (Indicators of Compromise), zugehörigen Kontext sowie Metadaten zur Bedrohung.

Mit Events kannst du beispielsweise Folgendes dokumentieren:

  • Eine Phishing-Kampagne

  • Das Verhalten einer Malware

  • Einen gezielten Angriff

  • Oder jeden anderen sicherheitsrelevanten Vorfall, der für dein Team oder deine Community von Bedeutung ist.


Schritt 1: Manuelles Erstellen eines Events

So erstellst du ein neues Event:

  1. Melde dich mit deinem Benutzernamen und Passwort bei deiner goMISP-Instanz an (z.B. <instance_name>.eu.gomisp.com).

  2. Wähle im oberen Menü “Event Actions” → “Add Event”.

  3. Fülle anschließend die Event-Details aus:

    • Info: Ein kurzer Titel (z. B. “Suspicious RDP Activity - May 2025”)

    • Threat Level: Wähle zwischen Low, Medium, High oder Undefined

    • Analysis Level: Initial, Ongoing, or Completed

    • Date:  Das Datum, an dem das Event aufgetreten oder beobachtet wurde

    • Distribution: Wer soll Zugriff auf dieses Event haben? (Nur deine Organisation, deine Community, alle Benutzer etc.)
















Das erstellte Event ist für alle Organisationen sichtbar, die ein Konto auf dieser Plattform haben - es wird jedoch erst mit anderen MISP-Instanzen synchronisiert, wenn es veröffentlicht wurde.

Tipp: Verwende eine einheitliche Benennung für Event-Titel, damit du später ähnliche Events leichter finden und gruppieren kannst.

  1. Klicke auf „Submit“, um das Event zu erstellen.

Tipp: Wenn du mehr Informationen über die verschiedenen Kategorien oder die Bedeutung von Feldern brauchst, kannst du die offizielle MISP-Dokumentation besuchen.


Schritt 2: Attribute hinzufügen (Deine IOCs)

Nachdem du das Event erstellt hast, kannst du es nun mit Attributen füllen - also den tatsächlichen Indicators of Compromise (IOCs) wie IP-Adressen, Dateihashes, Domains, E-Mail-Adressen usw.

  1. Öffne das gerade erstellte Event.


  1. Klicke auf “Add Attribute”.

  1. Wähle den passenden Attributtyp, z. B.:

    • ip-src, ip-dst – Quell- oder Ziel-IP

    • domain, url, hostname

    • sha256, md5, sha1 – Dateihashes

    • email-src, text, malware-sample – u. v. m.

  2. Gib den Wert ein (z. B. 185.143.223.89) und speichere.

Wiederhole diesen Vorgang für jedes IOC, das du hinzufügen möchtest.

Tipp: Wenn du eine Liste mit mehreren Indikatoren hast, kannst du die Funktion „Batch Import“ verwenden, um sie schnell hochzuladen.


Alternative: IOCs direkt als Datei importieren

Falls du bereits eine Datei mit rohen IOCs (z. B. IPs, Hashes, Domains) hast:

  1. Gehe auf „Populate from...“

  1. Wähle das Dateiformat für den Import aus











Schritt 3: Events taggen

Tags helfen dir dabei, Events zu strukturieren und zu klassifizieren. Du kannst damit z. B. Folgendes kennzeichnen:

  • Bedrohungsstufe (TLP): z. B. tlp:red, tlp:green

  • Schweregrad oder Typ: z. B. ransomware, phishing

  • Kampagnen- oder Akteur-Referenzen

  • MITRE ATT&CK-Techniken


Wie taggt man ein Event:

  1. Öffne das Event und klicke auf “Tag Event”.




  1. Wähle aus den vorhandenen Tags oder erstelle eigene

  2. Speichern

Wichtig: Das Verwenden von Tags verbessert die Suche, Filterung und Synchronisation von Daten – deine Bedrohungsdaten werden so effizienter und intelligenter verwaltet.

Schritt 4: Galaxies hinzufügen (Erweiterte Tagging-Funktion)

Galaxies sind in MISP strukturierte Datenmengen, sogenannte Cluster, z. B. MITRE ATT&CK, Bedrohungsakteure, Malware-Familien usw. Sie liefern kontextreiche Informationen und bestehen aus Schlüssel-Wert-Paaren wie Namen, Aliassen oder Angriffstechniken.

🧩 So fügst du eine Galaxy hinzu:

  1. Öffne dein Event

  2. Klicke auf „Galaxies“ →

    • „Add New Cluster“ oder

    • „Add New Local Cluster“

  1. Wähle einen Galaxy-Typen aus (z.B. mitre-attack → Intrusion Set → APT28)

Dadurch wird dein Event automatisch mit den passenden Tags versehen, die den Kontext widerspiegeln.

Galaxies machen dein Event weltweit verständlich und erleichtern die Korrelation mit anderen Events in der MISP-Community!

Schritt 5: Event anreichern

Du kannst deine IOCs mithilfe integrierter Module anreichern, z. B.:

  • 🌍 GeoIP - zeigt das Land zu einer IP-Adresse

  • 🦠 VirusTotal - prüft die Erkennungsrate eines Hashes

  • 🌐 Passive DNS - zeigt die Historie einer Domain

  • 🛠️ YARAify, Shodan und viele weitere

So funktioniert’s:

  1. Klicke auf ein Attribut

  2. Wähle „Anreichern“

  3. Wähle ein Modul aus der Liste

Hinweis: Manche Module (z. B. VirusTotal) erfordern einen API-Schlüssel.


Fazit

Das Erstellen und Taggen von Events ist eine der zentralen Fähigkeiten beim Arbeiten mit MISP.Sobald deine Daten eingegeben sind, kannst du sie:

  • Mit bestehender Threat-Intelligence korrelieren

  • Mit vertrauenswürdigen Partnern teilen

  • In deinem SOC oder SIEM verwenden

  • Für Dashboards, Warnmeldungen und Auswertungen nutzen


 
 

Aktuelle Beiträge

Alle ansehen
  • LinkedIn
  • Bluesky_logo_(black).svg

WALLSEC GmbH

Industriestraße 44

69190 Walldorf

Germany

Zur Startseite

Datenschutz

Über uns

Kontakt

2025 © WALLSEC GmbH - IT Security Consulting. All rights reserved.

bottom of page