INPUT FILTERS
Giriş Filtreleri, bu platforma verilerin ne şekilde ve nasıl girilebileceğini değiştirir. Temel olarak, öznitelik girişini türüne göre doğrulamanın yanı sıra, site yöneticileri belirli değerler için düzenli ifade değişimleri ve engelleme listeleri tanımlayabilirler.
Ayrıca, belirli değerlerin dışa aktarılmasını engellemenin yanı sıra, belirli değerlerin engellenmesi de mümkündür. Kullanıcılar bu değiştirme ve engelleme kurallarını görüntüleyebilir, ancak bir yönetici bunları değiştirebilir. Bu sayede veri girişi ve işleme süreçleri daha güvenli ve kontrol edilebilir hale gelir.
- Import Regex: Belirli türdeki verilerin içeri aktarılması sırasında uygulanacak düzenli ifadelerin tanımlanmasını sağlar. Bu alanda belirtilen düzenli ifadeler, içeri aktarılan verilerin belirli bir formata veya desene uyması gerektiğini belirtir. Örneğin, e-posta adresleri, URL'ler veya dosya adları gibi belirli veri türlerinin doğruluğunu kontrol etmek için kullanılabilirler. Bu şekilde, yanlış veya zararlı verilerin sisteme girmesi engellenir ve veri bütünlüğü sağlanır.
- Signature Allowedlist: İçeri aktarılan verilerin belirli imzaları veya desenleri içermesine izin verilen bir izin listesini tanımlar. Bu alanda belirtilen imzalar veya desenler, verilerin içeri aktarılmasını engelleyen diğer filtrelerin aksine, içeri aktarılan verilerin içinde belirli imzaların bulunmasını gerektirir. Örneğin, bir organizasyonun belirli bir veri türünü veya formatını kabul etmesi gerekiyorsa, bu alanda bu tür imzalar veya desenler tanımlanabilir. Bu şekilde, kabul edilmeyen veya istenmeyen verilerin içeri aktarılması önlenir ve sistemin belirli bir standarda veya gereksinime uygun olarak çalışması sağlanır.
- Warninglists: Potansiyel false-positive, errorlar veya yanlışlıklarla ilişkilendirilebilecek iyi bilinen göstergelerin listeleridir. Bu tür birçok belirli durumda hata yapma olasılığı var, ve yanlış alarmı önlemek için alınan önlemler anlamına gelir. Python dilinde, bu uyarı listeleriyle çalışmak için PyMISPWarningLists adında bir Python modülü bulunmaktadır.
-
- False-Positive İkilemi:
False-Positiveler, tehdit istihbaratı paylaşımında sıkça karşılaşılan bir problem olarak öne çıkar.
Genellikle durumlara ya da koşullara göre değişkenlik gösterebilir;
-
-
- False-Positiveler, bilgi paylaşan kullanıcı topluluğuna göre değişkenlik gösterebilir.
- Kuruluşlar,False-Positiveler konusunda kendi bakış açılarına sahip olabilirler.
- Warninglist Kullanımı:
-
Varsayılan olarak, MISP, warninglist olarak adlandırılan belirli veri listelerindeki özelliklerin(attributelerin) sadece bir tür bayrağı belirli olduğunda eşleşmeleri tetikler. Ancak bu davranış, MISP'in yapılandırma ayarlarından biri olan "MISP.warning_for_all" parametresi "true" olarak ayarlandığında değiştirilebilir.
Öznitelikler, genellikle bir olayın veya tehdidin belirli bir yönünü tanımlamak için kullanılan veri parçalarıdır. Öznitelikler arasında IP adresleri, alan adları, dosya adları gibi bilgiler bulunabilir. MISP, bu özniteliklerin, MISP'e özgü bir kimlik tespit sistemi (IDS) tarafından işaretlendiğinde, yani bir tehdit olarak algılandığında, uyarı listelerindeki verilerle eşleşip eşleşmediğini kontrol eder.
Bir öznitelik, uyarı listesi adı verilen önceden tanımlanmış bir veri listesinde bir eşleşme bulursa, bu durum kullanıcıya bildirilir. Kullanıcı, bu bilgiyi olay ve öznitelik düzeyinde bir bilgi veya uyarı kutusu aracılığıyla görebilir. Bu, kullanıcının potansiyel olarak tehlikeli olduğu düşünülen verilere dikkat etmesini ve gerekli önlemleri almasını sağlar.