MISP
Integrationsversion: 31.0
MISP-Integration für die Verwendung mit Google Security Operations konfigurieren
MISP-Integration mit einem CA-Zertifikat konfigurieren
Bei Bedarf können Sie Ihre Verbindung mit einer CA-Zertifikatsdatei bestätigen.
Bevor Sie beginnen, benötigen Sie Folgendes:
- Die CA-Zertifikatsdatei
- Die aktuelle Version der MISP-Integration
Führen Sie die folgenden Schritte aus, um die Integration mit einem CA-Zertifikat zu konfigurieren:
- Parsen Sie Ihre CA-Zertifikatsdatei in eine Base64-Zeichenfolge.
- Öffnen Sie die Seite mit den Konfigurationsparametern für die Integration.
- Fügen Sie den String in das Feld CA Certificate File (Datei mit CA-Zertifikat) ein.
- Wenn Sie prüfen möchten, ob die Integration erfolgreich konfiguriert wurde, klicken Sie das Kästchen SSL prüfen an und klicken Sie auf Testen.
Automatisierungsschlüssel
Die Authentifizierung erfolgt über einen sicheren Schlüssel, der in der MISP-Benutzeroberfläche verfügbar ist. Der API-Schlüssel ist im Menü „Ereignisaktionen“ unter „Automatisierung“ verfügbar.
MISP-Integration in Google SecOps konfigurieren
Eine detaillierte Anleitung zum Konfigurieren einer Integration in Google SecOps finden Sie unter Integrationen konfigurieren.
Integrationsparameter
Verwenden Sie die folgenden Parameter, um die Integration zu konfigurieren:
| Anzeigename des Parameters | Typ | Standardwert | Ist obligatorisch | Beschreibung |
|---|---|---|---|---|
| Instanzname | String | – | Nein | Name der Instanz, für die Sie die Integration konfigurieren möchten. |
| Beschreibung | String | – | Nein | Beschreibung der Instanz. |
| API-Stamm | https://<IP> | Ja | Adresse der MISP-Instanz. | |
| API-Schlüssel | String | – | Ja | In der MISP-Konsole generiert. |
| Use SSL (SSL verwenden) | Kästchen | Deaktiviert | Nein | Aktivieren Sie dieses Kästchen, wenn für Ihre MISP-Verbindung eine SSL-Überprüfung erforderlich ist (standardmäßig deaktiviert). |
| Remote ausführen | Kästchen | Deaktiviert | Nein | Aktivieren Sie das Feld, um die konfigurierte Integration remote auszuführen. Nachdem Sie das Kästchen angekreuzt haben, wird die Option zum Auswählen des Remote-Nutzers (Kundenservicemitarbeiters) angezeigt. |
Aktionen
Attribut hinzufügen
Beschreibung
Fügen Sie eine Entität als Attribut zu einem MISP-Ereignis hinzu.
Parameter
| Anzeigename des Parameters | Typ | Standardwert | Ist obligatorisch | Beschreibung |
|---|---|---|---|---|
| Ereignis-ID | String | – | Ja | Die ID des Ereignisses. |
| Kategorie | String | Externe Analyse | Nein | Die Kategorie des Attributs. Standard: Externe Analyse. |
| Verteilung | String | 1 | Nein | Die Verteilung des Attributs. Der Standardwert ist 1. |
| Für Intrusion Detection System | Kästchen | Deaktiviert | Nein | Gibt an, ob das Attribut für das Intrusion Detection System verwendet wird. Standardeinstellung: false. |
| Kommentar | String | – | Nein | Der Kommentar, der dem Attribut hinzugefügt werden soll. |
Anwendungsfälle
–
Ausführen am
Diese Aktion wird für die folgenden Einheiten ausgeführt:
- URL
- Hostname
- IP-Adresse
- Filehash
Aktionsergebnisse
Entitätsanreicherung
–
Statistiken
–
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| Erfolgreich | Wahr/falsch | success:False |
JSON-Ergebnis
N/A
Termin erstellen
Beschreibung
Erstellen Sie ein neues MISP-Ereignis.
Bekannte Einschränkung
Derzeit kann ein Ereignis über die MISP-API nicht sofort nach der Erstellung veröffentlicht werden. Sie müssen zuerst ein Ereignis erstellen und dann die Aktion „Ereignis veröffentlichen“ verwenden.
Parameter
| Anzeigename des Parameters | Typ | Standardwert | Ist obligatorisch | Beschreibung |
|---|---|---|---|---|
| Ereignisname | String | – | Ja | Der Name des Ereignisses. |
| Bedrohungsstufe | String | 0 | Nein | Die Bedrohungsstufe des Ereignisses. Standardwert: 0 |
| Verteilung | String | 1 | Nein | Die Verteilung des Attributs. Der Standardwert ist 1. |
| Analyse | String | 0 | Nein | Die Analyseebene des Ereignisses [0–2]. Standard: 0. |
| Veröffentlichen | Kästchen | Aktiviert | Nein | Gibt an, ob das Event veröffentlicht werden soll. |
| Kommentar | String | – | Nein | Der Kommentar zum Ereignis. |
Ausführen am
Diese Aktion wird für alle Elemente ausgeführt.
Aktionsergebnisse
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| event_id | – | – |
Tag einem Ereignis hinzufügen
Beschreibung
Wenn Sie einer Ereignisaktion ein Tag hinzufügen, kann ein Nutzer einem bestimmten Ereignis in MISP ein Tag hinzufügen. Dadurch wird dem Ereignis eine Klassifizierung basierend auf der Kategorie der Sicherheitsbedrohung hinzugefügt, die vom mit dem Ereignis verknüpften IOC ausgeht.
Parameter
| Anzeigename des Parameters | Typ | Standardwert | Ist obligatorisch | Beschreibung |
|---|---|---|---|---|
| Ereignis-ID | String | – | Ja | Die eindeutige Kennung für das Ereignis, dem das Tag hinzugefügt werden soll. |
| Tag-Name | String | – | Ja | Der Name des Tags, der einem Ereignis hinzugefügt werden soll. |
Anwendungsfälle
Ereignis klassifizieren:Aktualisieren Sie das Ereignis, indem Sie ein Tag hinzufügen.
Ausführen am
Diese Aktion wird für alle Elemente ausgeführt.
Aktionsergebnisse
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| is_success | Wahr/falsch | is_success:False |
JSON-Ergebnis
[
{
"saved": true,
"success": "Tag(s) added.",
"check_publish": true
}
]
Datei herunterladen
Beschreibung
Laden Sie Dateien im Zusammenhang mit dem Ereignis in MISP herunter.
Parameter
| Anzeigename des Parameters | Typ | Standardwert | Ist obligatorisch | Beschreibung |
|---|---|---|---|---|
| Ereignis-ID | String | – | Nein | Geben Sie die ID oder UUID des Ereignisses an, aus dem Sie Dateien herunterladen möchten. |
| Download-Ordnerpfad | String | – | Geben Sie den absoluten Pfad zum Ordner an, in dem Dateien gespeichert werden sollen. Wenn nichts angegeben ist, wird stattdessen eine Anlage erstellt. |
|
| Überschreiben | Kästchen | Deaktiviert | Wenn diese Option aktiviert ist, werden vorhandene Dateien durch die Aktion überschrieben. |
Ausführen am
Diese Aktion wird für die Filehash-Entität ausgeführt.
Aktionsergebnisse
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| Erfolgreich | Wahr/falsch | success:False |
JSON-Ergebnis
{
"absolute_paths": ["/etc/file1.txt", "/etc/file2.txt"]
}
Fall-Repository
| Ergebnistyp | Wertbeschreibung | Typ |
|---|---|---|
| Ausgabemeldung* | Bei Erfolg: „Die folgenden Dateien wurden erfolgreich aus dem Ereignis mit {0} {1} in MISP heruntergeladen:\n{2}“.format(ID/UUID, event_id, result/filename from the response) Wenn keine Dateien gefunden wurden: „No files were found for the event with {0} {1} in MISP:\n{2}“.format(ID/UUID, event_id) Wenn „Download Folder Path“ nicht angegeben ist und einige der Dateien das Plattformlimit für Anhänge überschritten haben: „Die folgenden Dateien konnten nicht heruntergeladen werden, da sie das Limit von 3 MB überschritten haben: \n {0}. \n Bitte geben Sie im Parameter „Download Folder Path“ (Download-Ordnerpfad) einen Ordnerpfad an, um die Dateien herunterzuladen.“.(result/filename) Kritischer Fehler (Aktion fehlgeschlagen) „Fehler beim Ausführen der Aktion ‚Datei herunterladen‘. Grund: {0}".format(stacktrace) Ereignis-ID nicht gefunden (Aktion fehlgeschlagen) „Fehler beim Ausführen der Aktion ‚Datei herunterladen‘. Grund: Ereignis mit {0} {1} wurde in MISP nicht gefunden“.format(ID/UUID, event_id) Wenn „overwrite“ auf „false“ festgelegt ist und eine der Dateien bereits vorhanden ist: „Error executing action "Download File" (Fehler beim Ausführen der Aktion ‚Datei herunterladen‘). Grund: Die folgenden Dateien sind bereits vorhanden: {0}. Entfernen Sie sie oder setzen Sie den Parameter „Overwrite“ auf „true“.“.format(absoluter Pfad zur Datei) |
Allgemein |
Entitäten anreichern
Beschreibung
Entitäten basierend auf den Attributen in MISP anreichern.
Parameter
| Anzeigename des Parameters | Typ | Standardwert | Beschreibung |
|---|---|---|---|
| Anzahl der zurückzugebenden Attribute | String | – | Geben Sie an, wie viele Attribute für Entitäten zurückgegeben werden sollen. |
| Filterbedingung | Geben Sie die Filterbedingung für die Aktion an. Wenn „Letzte“ ausgewählt ist, wird für die Aktion das älteste Attribut zur Anreicherung verwendet. Wenn „Erste“ ausgewählt ist, wird das neueste Attribut verwendet. | ||
| Grenzwert für die Bedrohungsstufe | DDL | Niedrig Mögliche Werte: Hoch Mittel Niedrig Nicht definiert |
Geben Sie den Schwellenwert für den Bedrohungsgrad des Ereignisses an, bei dem die Identität gefunden wurde. Wenn das zugehörige Ereignis den Schwellenwert überschreitet oder erreicht, wird die Entität als verdächtig markiert. |
| Attribut-Suchlimit | Ganzzahl | 50 | Geben Sie an, nach wie vielen Attributen pro Entität gesucht werden soll. Dieser Parameter wirkt sich darauf aus, welches Attribut für die Anreicherung ausgewählt wird. Standard: 50. |
Ausführen am
Diese Aktion wird für die folgenden Einheiten ausgeführt:
- URL
- Hostname
- IP-Adresse
- Filehash
Aktionsergebnisse
Entitätsanreicherung
Entitäten werden als verdächtig markiert, wenn der Bedrohungsgrad des Ereignisses über 0 liegt. Andernfalls: Falsch
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| Erfolgreich | Wahr/falsch | success:False |
JSON-Ergebnis
[
{
"EntityResult": [
{
"Event":
{
"orgc_id": "1",
"ShadowAttribute": [],
"id": "3",
"threat_level_id": "3",
"event_creator_email": "john_doe@example.com",
"uuid": "5c5bff1b-a414-4a83-8755-035f0a000016",
"Object": [],
"Orgc": {
"uuid": "5c5ac66e-3884-4031-afd7-46f5bb9ebcaa",
"name": "ORGNAME",
"id": "1"
},
"Org": {
"uuid": "5c5ac66e-3884-4031-afd7-46f5bb9ebcaa",
"name": "ORGNAME",
"id": "1"
},
"RelatedEvent": [],
"sharing_group_id": "0",
"timestamp": "1549533154",
"date": "2019-02-07",
"disable_correlation": "False",
"info": "Test event",
"locked": "False",
"publish_timestamp": "1549533214",
"Attribute": [
{
"category": "Network activity",
"comment": " ",
"uuid": "5c5bffe2-9298-4098-ae31-035d0a000016",
"deleted": "False",
"timestamp": "1549533154",
"to_ids": "False",
"distribution": "3",
"object_id": "0",
"event_id": "3",
"ShadowAttribute": [],
"sharing_group_id": "0",
"value": "1.1.1.1",
"disable_correlation": "False",
"object_relation": "None",
"type": "ip-src",
"id": "1",
"Galaxy": []
}],
"attribute_count": "1",
"org_id": "1",
"analysis": "2",
"extends_uuid": " ",
"published": "True",
"distribution": "3",
"proposal_email_lock": "False",
"Galaxy": []
}}],
"Entity": "1.1.1.1"
}
]
Fall-Repository
| Ergebnistyp | Wertbeschreibung | Typ |
|---|---|---|
| Ausgabemeldung* | Für gefundene Attribute: (is_success=true) „Die folgenden Entitäten wurden mit MISP angereichert: \n{0}“.format(entity.identifier) Für Attribute, die nicht gefunden wurden (is_success=true) „Die Aktion konnte die folgenden Elemente nicht mit MISP anreichern: \n{0}“.format(entity.identifier) Wenn nicht alle Attribute gefunden wurden (is_success=false): „No entities were enriched using MISP“ (Keine Entitäten mit MISP angereichert) Wenn Attribute verdächtig sind (is_success=true) „Die folgenden Attribute wurden mit MISP als verdächtig markiert: \n {0}“.format(entity.identifier) |
Allgemein |
| CSV-Tabelle | Tabellenspalten:
|
Zugehörige Ereignisse abrufen
Beschreibung
Informationen zu Ereignissen abrufen, die mit Entitäten in MISP verknüpft sind
Parameter
| Anzeigename des Parameters | Typ | Standardwert | Beschreibung |
|---|---|---|---|
| Als verdächtig markieren | Kästchen | Aktiviert | Wenn diese Option aktiviert ist, wird die Einheit als verdächtig markiert, wenn mindestens ein zugehöriges Ereignis vorhanden ist. |
Ausführen am
Diese Aktion wird für die folgenden Einheiten ausgeführt:
- URL
- Hostname
- IP-Adresse
- Filehash
Aktionsergebnisse
Entitätsanreicherung
Wenn Datensätze zu verknüpften Ereignissen verfügbar sind, werden Entitäten als verdächtig markiert. Andernfalls: „False“.
| Name des Anreicherungsfelds | Logik – Wann anwenden? |
|---|---|
| Ereignis | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| Erfolgreich | Wahr/falsch | success:False |
JSON-Ergebnis
[
{
"EntityResult": [
{
"Event":
{
"orgc_id": "1",
"ShadowAttribute": [],
"id": "3",
"threat_level_id": "3",
"event_creator_email": "john_doe@example.com",
"uuid": "5c5bff1b-a414-4a83-8755-035f0a000016",
"Object": [],
"Orgc": {
"uuid": "5c5ac66e-3884-4031-afd7-46f5bb9ebcaa",
"name": "ORGNAME",
"id": "1"
},
"Org": {
"uuid": "5c5ac66e-3884-4031-afd7-46f5bb9ebcaa",
"name": "ORGNAME",
"id": "1"
},
"RelatedEvent": [],
"sharing_group_id": "0",
"timestamp": "1549533154",
"date": "2019-02-07",
"disable_correlation": "False",
"info": "Test event",
"locked": "False",
"publish_timestamp": "1549533214",
"Attribute": [
{
"category": "Network activity",
"comment": " ",
"uuid": "5c5bffe2-9298-4098-ae31-035d0a000016",
"deleted": "False",
"timestamp": "1549533154",
"to_ids": "False",
"distribution": "3",
"object_id": "0",
"event_id": "3",
"ShadowAttribute": [],
"sharing_group_id": "0",
"value": "1.1.1.1",
"disable_correlation": "False",
"object_relation": "None",
"type": "ip-src",
"id": "1",
"Galaxy": []
}],
"attribute_count": "1",
"org_id": "1",
"analysis": "2",
"extends_uuid": " ",
"published": "True",
"distribution": "3",
"proposal_email_lock": "False",
"Galaxy": []
}}],
"Entity": "1.1.1.1"
}
]
Fall-Repository
| Ergebnistyp | Wertbeschreibung | Typ |
|---|---|---|
| Ausgabemeldung* | Wenn mindestens ein Ereignis für mindestens eine Entität gefunden wurde: „Informationen zu den zugehörigen Ereignissen für die folgenden Entitäten wurden abgerufen: \n{0}“.format(entity.identifier) Wenn für mindestens eine Entität kein Ereignis gefunden wurde: „Die Aktion konnte keine Informationen zu den zugehörigen Ereignissen für die folgenden Entitäten abrufen: \n{0}“.format(entity.identifier) Wenn keine Ereignisse für alle: „Für die angegebenen Einheiten wurden keine zugehörigen Ereignisse gefunden.“ |
Allgemein |
Datei hochladen
Beschreibung
Laden Sie eine Datei in ein MISP-Ereignis hoch.
Parameter
| Name | Typ | Standard | Beschreibung |
|---|---|---|---|
| Ereignis-ID | String | – | Geben Sie die ID oder UUID des Ereignisses an, in das Sie diese Datei hochladen möchten. |
| Dateipfad | String | – | Geben Sie eine durch Kommas getrennte Liste der absoluten Dateipfade der Dateien an, die Sie in MISP hochladen möchten. |
| Kategorie | Geben Sie die Kategorie für die hochgeladene Datei an. Mögliche Werte: „External Analysis“, „Payload Delivery“, „Artifacts Dropped“, „Payload Installation“. | ||
| Verteilung | String | Community | Geben Sie die Verteilung für die hochgeladene Datei an. |
| Bedrohungsstufe | String | Hoch | Geben Sie den Bedrohungsgrad für die hochgeladene Datei an. |
| Analyse | String | Anfangsphase | Geben Sie die Analyse des Ereignisses an. |
| Info | String | – | Geben Sie zusätzliche Informationen zur hochgeladenen Datei an. |
| Für Intrusion Detection System | Kästchen | Deaktiviert | Wenn diese Option aktiviert ist, wird die hochgeladene Datei für Intrusion Detection Systems verwendet. |
| Kommentar | String | – | Geben Sie zusätzliche Kommentare zur hochgeladenen Datei an. |
Aktionsergebnisse
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| is_success | Wahr/falsch | is_success:False |
JSON-Ergebnis
{
"Event": {
"id": "106",
"orgc_id": "1",
"org_id": "1",
"date": "2021-01-15",
"threat_level_id": "1",
"info": "vanuhi 1015",
"published": false,
"uuid": "1cd22aa2-57e8-4fc8-bac6-721c1be2c27d",
"attribute_count": "10",
"analysis": "0",
"timestamp": "1610893968",
"distribution": "1",
"proposal_email_lock": false,
"locked": false,
"publish_timestamp": "0",
"sharing_group_id": "0",
"disable_correlation": false,
"extends_uuid": "",
"event_creator_email": "admin@admin.test",
"Org": {
"id": "1",
"name": "ORGNAME",
"uuid": "09b0dde1-2934-4310-a107-74b6f534f041",
"local": true
},
"Orgc": {
"id": "1",
"name": "ORGNAME",
"uuid": "09b0dde1-2934-4310-a107-74b6f534f041",
"local": true
},
"Attribute": [],
"ShadowAttribute": [],
"Object": [
{
"id": "446",
"name": "file",
"meta-category": "file",
"description": "File object describing a file with meta-information",
"template_uuid": "688c46fb-5edb-40a3-8273-1af7923e2215",
"template_version": "20",
"event_id": "106",
"uuid": "0188ba5d-68eb-4b5c-8e05-6fd49f8eee9a",
"timestamp": "1610691647",
"distribution": "1",
"sharing_group_id": "0",
"comment": "",
"deleted": false,
"first_seen": null,
"last_seen": null,
"ObjectReference": [],
"Attribute": [
{
"id": "1859",
"type": "malware-sample",
"category": "External analysis",
"to_ids": true,
"uuid": "7920cd28-5082-47ce-9c3e-3ccbd5dae138",
"event_id": "106",
"distribution": "1",
"timestamp": "1610703650",
"comment": "",
"sharing_group_id": "0",
"deleted": false,
"disable_correlation": false,
"object_id": "446",
"object_relation": "malware-sample",
"first_seen": null,
"last_seen": null,
"value": "vanuhi.txt|7bd55b0a276e076cbaf470e64359adb8",
"Galaxy": [],
"data": "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",
"ShadowAttribute": [],
"Sighting": [
{
"id": "1733",
"attribute_id": "1859",
"event_id": "106",
"org_id": "1",
"date_sighting": "1611207638",
"uuid": "feb085f1-1923-4327-a73d-b60a948377e4",
"source": "",
"type": "0",
"Organisation": {
"id": "1",
"uuid": "09b0dde1-2934-4310-a107-74b6f534f041",
"name": "ORGNAME"
},
"attribute_uuid": "7920cd28-5082-47ce-9c3e-3ccbd5dae138"
}
]
}
}
}
}
Fall-Repository
| Ergebnistyp | Wert/Beschreibung | Typ |
|---|---|---|
| Ausgabemeldung* | Bei Erfolg für eine Entität: „Die bereitgestellten Dateien wurden erfolgreich in MISP in das Ereignis {0} hochgeladen“.format(event_id) Kritischer Fehler (Aktion fehlgeschlagen): „Fehler beim Ausführen der Aktion ‚Datei hochladen‘. Grund: {0}".format(stacktrace) Wenn ein ungültiger Parameter in „Verteilung“ angegeben ist(Fehleraktion): „Fehler beim Ausführen der Aktion ‚Datei hochladen‘. Grund: Für den Parameter „Distribution“ wurde ein ungültiger Wert angegeben. Zulässige Zahlen: 0,1,2,3. Zulässige Strings: Organisation, Community, Connected, All. Wenn ein ungültiger Parameter in „Gefahrenstufe“ angegeben ist (Fehleraktion): „Fehler beim Ausführen der Aktion ‚Datei hochladen‘. Grund: Für den Parameter „Threat Level“ (Bedrohungsstufe) wurde ein ungültiger Wert angegeben. Zulässige Zahlen: 1,2,3,4. Zulässige Strings: „High“, „Medium“, „Low“, „Undefined“. Wenn ein ungültiger Parameter in „Category“ (Fehleraktion) angegeben ist: „Error executing action ‚Upload File‘. Grund: Für den Parameter „Category“ wurde ein ungültiger Wert angegeben. Zulässige Werte: „External Analysis“, „Payload Delivery“, „Artifacts Dropped“, „Payload Installation“. Wenn in „Analyse“ ein ungültiger Parameter angegeben ist (Fehleraktion): „Fehler beim Ausführen der Aktion ‚Datei hochladen‘. Grund: Für den Parameter „Analysis“ wurde ein ungültiger Wert angegeben. Zulässige Zahlen: 0,1,2. Zulässige Strings: „Initial“, „Ongoing“, „Completed“. Wenn mindestens eine der Dateien nicht verfügbar ist: „Fehler beim Ausführen der Aktion ‚Datei hochladen‘. Grund: Auf die folgenden Dateien konnte nicht zugegriffen werden: \n {0}".format(file paths, that were not accessible.) Event-ID wurde nicht gefunden (Aktion fehlgeschlagen) „Fehler beim Ausführen der Aktion ‚Datei hochladen‘. Grund: Ereignis mit {0} {1} wurde in MISP nicht gefunden“.format(ID/UUID, event_id) |
Allgemein |
Ping
Beschreibung
Verbindung testen
Parameter
–
Anwendungsfälle
–
Ausführen am
Diese Aktion wird für alle Elemente ausgeführt.
Aktionsergebnisse
Entitätsanreicherung
–
Statistiken
–
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| Erfolgreich | Wahr/falsch | success:False |
JSON-Ergebnis
N/A
Tag aus einem Ereignis entfernen
Beschreibung
Entfernen Sie Tags aus dem Ereignis in MISP.
Parameter
| Anzeigename des Parameters | Typ | Standardwert | Ist obligatorisch | Beschreibung |
|---|---|---|---|---|
| Ereignis-ID | String | – | Ja | Geben Sie die ID oder UUID des Ereignisses an, aus dem Sie Tags entfernen möchten. |
| Tag-Name | CSV | – | Ja | Geben Sie eine durch Kommas getrennte Liste der Tags an, die Sie aus Ereignissen entfernen möchten. |
Anwendungsfälle
Ereignis neu klassifizieren:Entfernen Sie das Tag für die Neuklassifizierung.
Aktionsergebnisse
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| is_success | Wahr/falsch | is_success:False |
JSON-Ergebnis
[
{
"saved": true,
"success": "Tag removed.",
"check_publish": true
}
]
Fall-Repository
| Ergebnistyp | Wert/Beschreibung | Typ |
|---|---|---|
| Ausgabemeldung* | Wenn alle Tags aus einem Ereignis entfernt wurden: „Successfully removed the following tags from the event with {0} {1} in MISP: {2}.“ (Die folgenden Tags wurden aus dem Ereignis mit {0} {1} in MISP entfernt: {2}).format(ID/UUID, event_id, tags) Wenn einige Tags nicht erfolgreich aus einem Ereignis entfernt wurden: „Action wasn't able to remove the following tags from the event with {0} {1} in MISP: {2}.“ (Die Aktion konnte die folgenden Tags nicht aus dem Ereignis mit {0} {1} in MISP entfernen: {2}.)“.format(ID/UUID, event_id, tags) Wenn nicht für alle erfolgreich: „No tags were removed from the event with {0} {1} in MISP“.format(ID/UUID, event_id) Wenn mindestens ein Tag nicht gefunden wurde: „Die folgenden Tags wurden in MISP nicht gefunden: \n{0}“.format(Liste der Tags, die in MISP nicht gefunden wurden) Wenn nicht alle Tags gefunden wurden: „Keines der angegebenen Tags wurde in MISP gefunden.“ Kritischer Fehler (Aktion fehlgeschlagen): „Fehler beim Ausführen der Aktion ‚Tag aus einem Ereignis entfernen‘. Grund: {0}".format(stacktrace) Ereignis-ID nicht gefunden (Fehleraktion) „Fehler beim Ausführen der Aktion ‚Tag aus Ereignis entfernen‘. Grund: Ereignis mit {0} {1} wurde in MISP nicht gefunden“.format(ID/UUID, event_id) |
Allgemein |
Tag einem Attribut hinzufügen
Beschreibung
Mit dieser Aktion kann ein Nutzer einem bestimmten Attribut in MISP ein Tag hinzufügen. Dadurch wird dem Attribut eine Klassifizierung basierend auf der Kategorie einer Sicherheitsbedrohung hinzugefügt, die vom IOC im Attribut ausgeht.
Parameter
| Anzeigename des Parameters | Typ | Standardwert | Ist obligatorisch | Beschreibung |
|---|---|---|---|---|
| Ereignis-ID | Ganzzahl | – | Ja | Die ID des Ereignisses, dem das Attribut zugeordnet ist. Beispiel 1: |
| Tag-Name | String | – | Ja | Der Name des Tags, das einem Attribut hinzugefügt werden soll. |
| Attributname | String | – | Ja | Der Name des Attributs, das getaggt werden soll. |
| Kategorie | String | – | Ja | Die Kategorie, zu der das Attribut gehört, z. B. „Nutzlastbereitstellung“. |
| Typ | String | – | Ja | Der Typ des Attributs, z. B. „filename“. |
| Objekt-UUID | String | – | Nein | Die eindeutige Kennung für ein Objekt im Ereignis. |
Anwendungsfälle
Attribut anhand des IOC-Typs klassifizieren:Fügen Sie dem Attribut ein Tag hinzu.
Ausführen am
Diese Aktion wird für alle Elemente ausgeführt.
Aktionsergebnisse
Entitätsanreicherung
–
Statistiken
–
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| is_success | Wahr/falsch | is_success:False |
JSON-Ergebnis
[
{
"name": "Global tag unique___test(7) successfully attached to Attribute(9).",
"message": "Global tag unique___test(7) successfully attached to Attribute(9).",
"url": "/tags/attachTagToObject"
}
]
Tag aus einem Attribut entfernen
Beschreibung
Tags aus Attributen in MISP entfernen
Parameter
| Anzeigename des Parameters | Typ | Standardwert | Ist obligatorisch | Beschreibung |
|---|---|---|---|---|
| Ereignis-ID | String | – | Nein | Geben Sie die ID oder UUID des Ereignisses an, in dem nach Attributen gesucht werden soll. Dieser Parameter ist erforderlich, wenn „Attributsuche“ auf „Bereitgestelltes Ereignis“ festgelegt ist. |
| Tag-Name | CSV | – | Ja | Geben Sie eine durch Kommas getrennte Liste der Tags an, die Sie aus Attributen entfernen möchten. |
| Attributname | CSV | – | Nein | Geben Sie eine durch Kommas getrennte Liste von Attributkennungen an, aus denen Sie Tags entfernen möchten. |
| Kategorie | CSV | – | Nein | Geben Sie eine durch Kommas getrennte Liste von Kategorien an. Falls angegeben, werden durch die Aktion nur Tags aus Attributen mit einer übereinstimmenden Kategorie entfernt. Wenn nichts angegeben ist, werden Kategorien in Attributen bei der Aktion ignoriert. |
| Typ | CSV | – | Nein | Geben Sie eine durch Kommas getrennte Liste von Attributtypen an. Falls angegeben, werden mit der Aktion nur Tags aus Attributen mit übereinstimmendem Attributtyp entfernt. Wenn nichts angegeben ist, werden Typen in Attributen ignoriert. |
| Objekt-UUID | CSV | – | Geben Sie die UUID des Objekts an, das das gewünschte Attribut enthält. | |
| Attributsuche | DDL | Bereitgestelltes Ereignis Mögliche Werte: Alle Ereignisse Bereitgestelltes Ereignis |
Ja | Geben Sie an, wo die Aktion nach Attributen suchen soll. Wenn „Provided Event“ (Bereitgestelltes Ereignis) ausgewählt ist, sucht die Aktion nur nach Attributen oder Attribut-UUIDs im Ereignis mit der ID/UUID, die im Parameter „Event ID“ (Ereignis-ID) angegeben ist. Wenn Sie „Alle Ereignisse“ auswählen, wird in allen Ereignissen nach Attributen gesucht und Tags werden aus allen Attributen entfernt, die unseren Kriterien entsprechen. |
| Attribut-UUID | CSV | Geben Sie eine durch Kommas getrennte Liste der UUIDs von Attributen an, aus denen Sie neue Tags entfernen möchten. Hinweis: Wenn sowohl „Attributname“ als auch „Attribut-UUID“ angegeben sind, wird die Aktion mit den Werten für „Attribut-UUID“ ausgeführt. |
Anwendungsfälle
Attribut neu klassifizieren:Tag für die Neuklassifizierung entfernen
Ausführen am
Diese Aktion wird für alle Elemente ausgeführt.
Aktionsergebnisse
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| is_success | Wahr/falsch | is_success:False |
JSON-Ergebnis
[
{
"name": "Tag unique___test(7) successfully removed from Attribute(9).",
"message": "Tag unique___test(7) successfully removed from Attribute(9).",
"url": "/tags/removeTagFromObject"
}
]
Fall-Repository
| Ergebnistyp | Wert/Beschreibung | Typ> |
|---|---|---|
| Ausgabemeldung* | Wenn Tags erfolgreich aus mindestens einem Attribut entfernt wurden: „Tags wurden erfolgreich aus den folgenden Attributen in MISP entfernt:\n{0}“.format(Attributname/Objekt-UUID) wenn Tags nicht erfolgreich aus mindestens einem Attribut entfernt wurden: „Tags wurden nicht aus den folgenden Attributen in MISP entfernt:\n{0}“.format(Attributname/Objekt-UUID) Wenn nicht für alle erfolgreich: „Es wurden keine Tags aus den angegebenen Attributen in MISP entfernt.“ Wenn mindestens ein Tag nicht gefunden wurde: „Die folgenden Tags wurden in MISP nicht gefunden: \n{0}“.format(Liste der Tags, die in MISP nicht gefunden wurden) Wenn nicht alle Tags gefunden wurden: „Keines der angegebenen Tags wurde in MISP gefunden.“ Kritischer Fehler (Aktion fehlgeschlagen): „Fehler beim Ausführen der Aktion ‚Tag aus Attribut entfernen‘. Grund: {0}".format(stacktrace) Wenn ein ungültiger Parameter in „Kategorie“ angegeben ist (Fehleraktion): „Fehler beim Ausführen der Aktion ‚Tag aus Attribut entfernen‘. Grund: Für den Parameter „Category“ wurde ein ungültiger Wert angegeben. Zulässige Werte: „External Analysis“, „Payload Delivery“, „Artifacts Dropped“, „Payload Installation“. Wenn „Bereitgestelltes Ereignis“ ausgewählt ist, aber keine Ereignis-ID: „Fehler beim Ausführen der Aktion ‚Tag aus Attribut entfernen‘. Grund: Wenn für den Parameter „Attributsuche“ die Option „Bereitgestelltes Ereignis“ ausgewählt ist, muss eine Ereignis-ID angegeben werden. Event-ID nicht gefunden (Fehleraktion): „Fehler beim Ausführen der Aktion ‚Tag aus Attribut entfernen‘. Grund: Ereignis mit {0} {1} wurde in MISP nicht gefunden“.format(ID/UUID, event_id) |
Allgemein |
Termin veröffentlichen
Beschreibung
Mit dieser Aktion kann der Nutzer ein Event veröffentlichen. Wenn Sie ein Ereignis veröffentlichen, wird es für die ausgewählte Freigabegruppe freigegeben und ist für alle Mitglieder sichtbar.
Parameter
| Anzeigename des Parameters | Typ | Standardwert | Ist obligatorisch | Beschreibung |
|---|---|---|---|---|
| Ereignis-ID | String | – | Ja | Geben Sie die ID oder UUID des Ereignisses an, das Sie veröffentlichen möchten. |
Anwendungsfälle
Veranstaltung veröffentlichen:
- Noch besser
- Ereignisattribute hinzufügen
- Termin veröffentlichen
Aktionsergebnisse
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| is_success | Wahr/falsch | is_success:False |
JSON-Ergebnis
[
{
"Event": {
"id": "3",
"orgc_id": "1",
"org_id": "1",
"date": "2019-12-27",
"threat_level_id": "1",
"info": "Connection to .ch",
"published": true,
"uuid": "5e05dd29-7b90-474d-b5f6-51ae0a00024b",
"attribute_count": "0",
"analysis": "1",
"timestamp": "1577774920",
"distribution": "3",
"proposal_email_lock": false,
"locked": false,
"publish_timestamp": "1577774846",
"sharing_group_id": "0",
"disable_correlation": false,
"extends_uuid": "5e05db24-1e98-4bb9-bd56-51fd0a00024b",
"event_creator_email": "admin@admin.test",
"Org": {
"id": "1",
"name": "ORGNAME",
"uuid": "5dfc9b8f-c320-4b6d-ac1c-4f4e8bdc3fef",
"local": true
},
"Orgc": {
"id": "1",
"name": "ORGNAME",
"uuid": "5dfc9b8f-c320-4b6d-ac1c-4f4e8bdc3fef",
"local": true
},
"Attribute": [],
"ShadowAttribute": [],
"RelatedEvent": [],
"Galaxy": [],
"Object": [],
"Tag": [
{
"id": "7",
"name": "unique___test",
"colour": "#9648c4",
"exportable": true,
"user_id": "0",
"hide_tag": false,
"numerical_value": null,
"local": 0
}
]
}
}
]
Fall-Repository
| Ergebnistyp | Wert/Beschreibung | Typ |
|---|---|---|
| Ausgabemeldung* | Bei Erfolg: „Successfully published event with {0} {1} in MISP.“ (Ereignis mit {0} {1} wurde in MISP veröffentlicht).format(ID/UUID, event_id) Bei Misserfolg: „Event with {0} {1} was not published in MISP“.format(ID/UUID, event_id) Kritischer Fehler (Aktion fehlgeschlagen) „Fehler beim Ausführen der Aktion ‚Ereignis veröffentlichen‘. Grund: {0}".format(stacktrace) Event-ID wurde nicht gefunden (Aktion fehlgeschlagen) „Fehler beim Ausführen der Aktion ‚Event veröffentlichen‘. Grund: Ereignis mit {0} {1} wurde in MISP nicht gefunden“.format(ID/UUID, event_id) |
Allgemein |
Veröffentlichung des Termins aufheben
Beschreibung
Mit der Aktion kann der Nutzer die Veröffentlichung eines Events aufheben. Wenn Sie eine Veranstaltung aus der Veröffentlichung entfernen, ist sie für die freigegebenen Gruppen nicht mehr sichtbar.
Parameter
| Anzeigename des Parameters | Typ | Standardwert | Ist obligatorisch | Beschreibung |
|---|---|---|---|---|
| Ereignis-ID | String | – | Ja | Geben Sie die ID oder UUID des Ereignisses an, dessen Veröffentlichung Sie aufheben möchten. |
Aktionsergebnisse
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| is_success | Wahr/falsch | is_success:False |
JSON-Ergebnis
[
{
"Event": {
"id": "3",
"orgc_id": "1",
"org_id": "1",
"date": "2019-12-27",
"threat_level_id": "1",
"info": "Connection to .ch",
"published": false,
"uuid": "5e05dd29-7b90-474d-b5f6-51ae0a00024b",
"attribute_count": "0",
"analysis": "1",
"timestamp": "1577774920",
"distribution": "3",
"proposal_email_lock": false,
"locked": false,
"publish_timestamp": "1577774846",
"sharing_group_id": "0",
"disable_correlation": false,
"extends_uuid": "5e05db24-1e98-4bb9-bd56-51fd0a00024b",
"event_creator_email": "admin@admin.test",
"Org": {
"id": "1",
"name": "ORGNAME",
"uuid": "5dfc9b8f-c320-4b6d-ac1c-4f4e8bdc3fef",
"local": true
},
"Orgc": {
"id": "1",
"name": "ORGNAME",
"uuid": "5dfc9b8f-c320-4b6d-ac1c-4f4e8bdc3fef",
"local": true
},
"Attribute": [],
"ShadowAttribute": [],
"RelatedEvent": [],
"Galaxy": [],
"Object": [],
"Tag": [
{
"id": "7",
"name": "unique___test",
"colour": "#9648c4",
"exportable": true,
"user_id": "0",
"hide_tag": false,
"numerical_value": null,
"local": 0
}
]
}
}
]
Fall-Repository
| Ergebnistyp | Wert/Beschreibung | Typ |
|---|---|---|
| Ausgabemeldung* | Bei Erfolg: „Successfully unpublished event with {0} {1} in MISP.“ (Veröffentlichung des Ereignisses mit {0} {1} in MISP wurde aufgehoben).format(ID/UUID, event_id) Wenn nicht erfolgreich: „Event with {0} {1} was not unpublished in MISP“.format(ID/UUID, event_id) Kritischer Fehler (Aktion fehlgeschlagen): „Fehler beim Ausführen der Aktion ‚Eventveröffentlichung aufheben‘. Grund: {0}".format(stacktrace) Event-ID nicht gefunden (Aktion fehlgeschlagen) „Fehler beim Ausführen der Aktion ‚Event-Veröffentlichung aufheben‘. Grund: Ereignis mit {0} {1} wurde in MISP nicht gefunden“.format(ID/UUID, event_id) |
Allgemein |
Attribut löschen
Beschreibung
Attribute in MISP löschen Unterstützte Hashwerte: MD5, SHA1, SHA224, SHA256, SHA384, SHA512, SSDeep.
Parameter
| Anzeigename des Parameters | Typ | Standardwert | Ist obligatorisch | Beschreibung |
|---|---|---|---|---|
| Ereignis-ID | String | – | Nein | Geben Sie die ID oder UUID des Ereignisses an, in dem nach Attributen gesucht werden soll. Dieser Parameter ist erforderlich, wenn „Attributsuche“ auf „Bereitgestelltes Ereignis“ festgelegt ist. |
| Attributname | CSV | – | Nein | Geben Sie eine durch Kommas getrennte Liste der Attributkennungen an, die Sie löschen möchten. |
| Kategorie | CSV | – | Nein | Geben Sie eine durch Kommas getrennte Liste von Kategorien an. Wenn angegeben, werden durch die Aktion nur Attribute mit einer übereinstimmenden Kategorie gelöscht. Wenn nichts angegeben ist, werden Kategorien in Attributen bei der Aktion ignoriert. |
| Typ | CSV | – | Nein | Geben Sie eine durch Kommas getrennte Liste von Attributtypen an. Falls angegeben, werden durch die Aktion nur Attribute mit dem entsprechenden Attributtyp gelöscht. Wenn nichts angegeben ist, werden Typen in Attributen ignoriert. |
| Objekt-UUID | String | – | Nein | Die eindeutige Kennung für ein Objekt im Ereignis. |
| Attributsuche | DDL | Bereitgestelltes Ereignis Mögliche Werte: Alle Ereignisse Bereitgestelltes Ereignis |
Ja | Geben Sie an, wo die Aktion nach Attributen suchen soll. Wenn „Provided Event“ (Bereitgestelltes Ereignis) ausgewählt ist, sucht die Aktion nur nach Attributen oder Attribut-UUIDs im Ereignis mit der ID/UUID, die im Parameter „Event ID“ (Ereignis-ID) angegeben ist. Bei „Alle Ereignisse“ wird in allen Ereignissen nach Attributen gesucht und alle Attribute, die unseren Kriterien entsprechen, werden gelöscht. |
| Attribut-UUID | CSV | Geben Sie eine durch Kommas getrennte Liste der Attribut-UUIDs an, die Sie löschen möchten. |
Anwendungsfälle
Ein Attribut aus einem Ereignis entfernen
Ausführen am
Diese Aktion wird für alle Elemente ausgeführt.
Aktionsergebnisse
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| is_success | Wahr/falsch | is_success:False |
JSON-Ergebnis
[
{
"message": "Attribute deleted."
}
]
Fall-Repository
| Ergebnistyp | Wertbeschreibung | Typ |
|---|---|---|
| Ausgabemeldung* | Wenn mindestens einem Attribut erfolgreich ein Sighting hinzugefügt wurde: „Successfully deleted the following attributes in MISP:\n{0}“.format(attribute name/object UUID) Wenn die Sichtung nicht erfolgreich zu mindestens einem Attribut hinzugefügt wurde: „Action didn't delete the following attributes in MISP:\n{0}“.format(attribute name/object UUID) Wenn nicht für alle erfolgreich: „Es wurden keine Attribute in MISP gelöscht.“ Kritischer Fehler (Aktion fehlgeschlagen): „Fehler beim Ausführen der Aktion ‚Attribut löschen‘. Grund: {0}".format(stacktrace) Wenn ein ungültiger Parameter in „Kategorie“ angegeben ist (Fehleraktion): „Fehler beim Ausführen der Aktion ‚Attribut löschen‘. Grund: Für den Parameter „Category“ wurde ein ungültiger Wert angegeben. Zulässige Werte: „External Analysis“, „Payload Delivery“, „Artifacts Dropped“, „Payload Installation“. Wenn „Bereitgestelltes Ereignis“ ausgewählt ist, aber keine Ereignis-ID: „Fehler beim Ausführen der Aktion ‚Attribut löschen‘. Grund: Wenn für den Parameter „Attributsuche“ die Option „Bereitgestelltes Ereignis“ ausgewählt ist, muss eine Ereignis-ID angegeben werden. Event-ID wurde nicht gefunden (Aktion fehlgeschlagen): „Fehler beim Ausführen der Aktion ‚Attribut löschen‘. Grund: Ereignis mit {0} {1} wurde in MISP nicht gefunden“.format(ID/UUID, event_id) |
Allgemein |
Termin löschen
Beschreibung
Löschen Sie das Ereignis in MISP.
Parameter
| Anzeigename des Parameters | Typ | Standardwert | Ist obligatorisch | Beschreibung |
|---|---|---|---|---|
| Ereignis-ID | String | – | Ja | Geben Sie die ID oder UUID des Ereignisses an, das Sie löschen möchten. |
Anwendungsfälle
Termin endgültig löschen
Ausführen am
Diese Aktion wird für die Nutzerentität ausgeführt.
Aktionsergebnisse
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| is_success | Wahr/falsch | is_success:False |
JSON-Ergebnis
[
{
"name": "Event deleted.",
"message": "Event deleted.",
"url": "/events/delete/4"
}
]
Fall-Repository
| Ergebnistyp | Wertbeschreibung | Typ |
|---|---|---|
| Ausgabemeldung* | Bei Erfolg: „Successfully deleted event with {0} {1} in MISP“.format(ID/UUID, event_id) Kritischer Fehler (Aktion fehlgeschlagen): „Fehler beim Ausführen der Aktion ‚Termin löschen‘. Grund: {0}.format(traceback) Ereignis-ID nicht gefunden (Aktion fehlgeschlagen) „Fehler beim Ausführen der Aktion ‚Ereignis löschen‘. Grund: Ereignis mit {0} {1} wurde in MISP nicht gefunden“.format(ID/UUID, event_id) |
Allgemein |
Misp-Objekt für Datei erstellen
Beschreibung
Mit der Aktion kann der Nutzer Dateiattribute, die sich auf ein Ereignis beziehen, in einem einzelnen Objekt organisieren, das eine Datei mit ihren Metainformationen beschreibt. Das Objekt mit den Attributen wird dann an ein bestimmtes Ereignis angehängt.
Parameter
| Anzeigename des Parameters | Typ | Standardwert | Ist obligatorisch | Beschreibung |
|---|---|---|---|---|
| Ereignis-ID | String | – | Ja | Die eindeutige Kennung des Ereignisses, dem das Objekt hinzugefügt werden soll. Beispiel: 1 |
| Dateiname | String | – | Nein | Der Dateiname der Datei. |
| MD5 | String | – | Nein | Der MD5-Hashwert der Datei. |
| SHA1 | String | – | Nein | Der SHA1-Hashwert der Datei. |
| SHA256 | String | – | Nein | Der SHA256-Hashwert der Datei. |
| SSDEEP | String | – | Nein | Der ssdeep-Wert der Datei. Beispiel: 96:p5aAS1tN0M3t9AnTNuG6TNOt5PR1TNZdkljOXTNSnKTF3X7KsTFW+kLtW6K8i7bI:p5mb4rgQhRp7GljCbF3LKqFjkwxtU |
| Imphash | String | – | Nein | Der MD5-Hashwert, der aus der importierten Tabelle berechnet wurde. |
Anwendungsfälle
–
Ausführen am
Diese Aktion wird für alle Elemente ausgeführt.
Aktionsergebnisse
Entitätsanreicherung
–
Statistiken
–
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| is_success | Wahr/falsch | is_success:False |
JSON-Ergebnis
N/A
IP-Port-Misp-Objekt erstellen
Beschreibung
Mit der Aktion kann der Nutzer IP-Port-Attribute, die sich auf ein Ereignis beziehen, in einem einzelnen Objekt organisieren, das eine IP-Adresse (oder Domain oder Hostname) und einen Port als Tupel (oder als Triple) in einem bestimmten Zeitraum beschreibt . Das Objekt mit den Attributen wird dann an ein bestimmtes Ereignis angehängt.
Parameter
| Anzeigename des Parameters | Typ | Standardwert | Ist obligatorisch | Beschreibung |
|---|---|---|---|---|
| Ereignis-ID | String | – | Ja | Die eindeutige Kennung des Ereignisses, dem das Objekt hinzugefügt werden soll. Beispiel: 1 |
| Dst-port | String | – | Nein | Zielport. |
| Src-port | String | – | Nein | Quellport. |
| Domain | String | – | Nein | Domain (Domain verwalten). |
| Hostname | String | – | Nein | Hostname |
| IP-Src | String | – | Nein | Quell-IP-Adresse. |
| IP-Dst | String | – | Nein | IP-Adresse des Ziels. |
Anwendungsfälle
–
Ausführen am
Diese Aktion wird für alle Elemente ausgeführt.
Aktionsergebnisse
Entitätsanreicherung
–
Statistiken
–
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| is_success | Wahr/falsch | is_success:False |
JSON-Ergebnis
N/A
Misp-Objekt für Netzwerkverbindung erstellen
Beschreibung
Erstellen Sie ein Netzwerkverbindungsobjekt in MISP. Erfordert einen der folgenden Parameter: Dst-port, Src-port, IP-Src, IP-Dst oder den Parameter „Use Entities“ auf „true“ gesetzt.
Parameter
| Anzeigename des Parameters | Typ | Standardwert | Ist obligatorisch | Beschreibung |
|---|---|---|---|---|
| Ereignis-ID | String | – | Ja | Geben Sie die ID oder UUID des Ereignisses an, dem Sie Netzwerkverbindungsobjekte hinzufügen möchten. |
| Dst-port | String | – | Nein | Geben Sie den Zielport an, den Sie dem Ereignis hinzufügen möchten. |
| Src-port | String | – | Nein | Geben Sie den Quellport an, den Sie dem Ereignis hinzufügen möchten. |
| Hostname-dst | String | – | Nein | Geben Sie das Quellziel an, das Sie dem Ereignis hinzufügen möchten. |
| Hostname-src | String | – | Nein | Geben Sie den Quell-Hostname an, den Sie dem Ereignis hinzufügen möchten. |
| IP-Src | String | – | Nein | Geben Sie die Quell-IP-Adresse an, die Sie dem Ereignis hinzufügen möchten. |
| IP-Dst | String | – | Nein | Geben Sie die Ziel-IP an, die Sie dem Ereignis hinzufügen möchten. |
| Layer3-Protokoll | String | – | Nein | Geben Sie das zugehörige Layer 3-Protokoll an, das Sie dem Ereignis hinzufügen möchten. |
| Layer4-Protokoll | String | – | Nein | Geben Sie das zugehörige Layer 4-Protokoll an, das Sie dem Ereignis hinzufügen möchten. |
| Layer7-Protokoll | String | – | Nein | Geben Sie das zugehörige Layer 7-Protokoll an, das Sie dem Ereignis hinzufügen möchten. |
| Entitäten verwenden | Kästchen | Deaktiviert | Nein | Wenn diese Option aktiviert ist, werden mit der Aktion Objekte anhand von Entitäten erstellt. Unterstützte Einheiten: IP-Adresse. „Use Entities“ hat Vorrang vor anderen Parametern. |
| IP-Typ | DDL | Quell-IP-Adresse Mögliche Werte: Quell-IP-Adresse Ziel-IP-Adresse |
Geben Sie an, welcher Attributtyp für IP-Entitäten verwendet werden soll. |
Ausführen am
Diese Aktion wird für alle Elemente ausgeführt.
Aktionsergebnisse
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| is_success | Wahr/falsch | is_success:False |
JSON-Ergebnis
N/A
Fall-Repository
| Ergebnistyp | Wertbeschreibung | Typ |
|---|---|---|
| Ausgabemeldung* | Bei Erfolg und wenn „Use Entities“ nicht „true“ ist: „Successfully created new network-connection object for event with {0} {1} in MISP.“ (Es wurde ein neues Netzwerkverbindungsobjekt für das Ereignis mit {0} {1} in MISP erstellt.).format(ID/UUID, event_id) Wenn nicht erfolgreich und „Use Entities“ nicht wahr ist: „Action wasn't able to created new network-connection object for event with {0} {1} in MISP. Grund: {2}".format(ID/UUID) Wenn der Vorgang für ein Element erfolgreich war und „Use Entities“ (Entitäten verwenden) auf „true“ gesetzt ist: „Successfully created new network-connection objects for event with {0} {1} in MISP based on the following entities: \n{0}".format(ID/UUID, event_id, entity.identifiers) (Es wurden neue Netzwerkverbindungsobjekte für das Ereignis mit {0} {1} in MISP basierend auf den folgenden Entitäten erstellt: \n{0}".format(ID/UUID, event_id, entity.identifiers)) Wenn ein Fehler auftritt und „Use Entities“ (Entitäten verwenden) auf „true“ gesetzt ist: „Action wasn't able to create new network-connection objects for event with {0} {1} in MISP based on the following entities: \n{0}".format(ID/UUID, event_id, entity.identifiers) (Mit der Aktion konnten keine neuen Netzwerkverbindungsobjekte für das Ereignis mit {0} {1} in MISP auf Grundlage der folgenden Entitäten erstellt werden: \n{0}).format(ID/UUID, event_id, entity.identifiers) Wenn nicht für alle erfolgreich und „Use Entities“ (Entitäten verwenden) auf „true“ gesetzt ist: „Action wasn't able to create new network-connection objects for event with {0} {1} in MISP based on the provided entities.“ (Mit der Aktion konnten keine neuen Netzwerkverbindungsobjekte für das Ereignis mit {0} {1} in MISP auf Grundlage der bereitgestellten Entitäten erstellt werden.).format(ID/UUID, event_id) Schwerwiegender Fehler (Aktion fehlgeschlagen) „Fehler beim Ausführen der Aktion ‚Misp-Objekt für Netzwerkverbindung erstellen‘. Grund: {0}".format(stacktrace) Event-ID nicht gefunden (Aktion fehlgeschlagen) „Fehler beim Ausführen der Aktion ‚Misp-Objekt für Netzwerkverbindung erstellen‘. Grund: Ereignis mit {0} {1} wurde in MISP nicht gefunden“.format(ID/UUID, event_id) Wenn keine der folgenden Angaben gemacht werden: Dst-Port, Src-Port, IP-Src, IP-Dst und „Use Entities“ == false: „Error executing action ‚Create network-connection Misp Object‘.“ Grund: Einer der folgenden Parameter muss angegeben werden: „Dst-port“, „Src-port“, „IP-Src“, „IP-Dst“. Alternativ kann der Parameter „Use Entities“ auf „true“ gesetzt werden. |
Allgemein |
Misp-Objekt für URL erstellen
Beschreibung
Erstellen Sie ein URL-Objekt in MISP. Erfordert die Angabe von „URL“ oder die Einstellung des Parameters „Use Entities“ auf „true“.
Parameter
| Anzeigename des Parameters | Typ | Standardwert | Ist obligatorisch | Beschreibung |
|---|---|---|---|---|
| Ereignis-ID | String | – | Ja | Geben Sie die ID oder UUID des Ereignisses an, dem Sie URL-Objekte hinzufügen möchten. |
| URL | String | – | Nein | Geben Sie die URL an, die Sie dem Ereignis hinzufügen möchten. |
| Port | String | – | Nein | Geben Sie den Port an, den Sie dem Ereignis hinzufügen möchten. |
| Zuerst erfasst | String | – | Nein | Geben Sie an, wann die URL zum ersten Mal aufgetreten ist. |
| Zuletzt erfasst | String | – | Nein | Geben Sie an, wann die URL zuletzt gesehen wurde. |
| Domain | String | – | Nein | Geben Sie die Domain an, die Sie dem Ereignis hinzufügen möchten. |
| Text | String | – | Nein | Geben Sie den zusätzlichen Text an, den Sie dem Ereignis hinzufügen möchten. |
| IP-Adresse | String | – | Nein | Geben Sie die IP-Adresse an, die Sie dem Ereignis hinzufügen möchten. |
| Host | String | – | Nein | Geben Sie den Host an, den Sie dem Termin hinzufügen möchten. |
| Entitäten verwenden | Kästchen | Deaktiviert | Wenn diese Option aktiviert ist, werden mit der Aktion Objekte anhand von Entitäten erstellt. Unterstützte Entitäten: URL. „Use Entities“ hat Vorrang vor anderen Parametern. |
Ausführen am
Diese Aktion wird für alle Elemente ausgeführt.
Aktionsergebnisse
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| is_success | Wahr/falsch | is_success:False |
JSON-Ergebnis
N/A
Fall-Repository
| Ergebnistyp | Wertbeschreibung | Typ |
|---|---|---|
| Ausgabemeldung* | Bei Erfolg und wenn „Use Entities“ nicht „true“ ist: „Successfully created new URL object for event with {0} {1} in MISP.“ (Es wurde ein neues URL-Objekt für das Ereignis mit {0} {1} in MISP erstellt.).format(ID/UUID, event_id) Wenn nicht erfolgreich und „Use Entities“ nicht „true“ ist: „Action wasn't able to created URL object for event with {0} {1} in MISP. Grund: {2}".format(ID/UUID) Wenn der Vorgang für eine Entität erfolgreich war und „Use Entities“ (Entitäten verwenden) auf „true“ gesetzt ist: „Successfully created new URL objects for event with {0} {1} in MISP based on the following entities: \n{0}“.format(ID/UUID, event_id, entity.identifiers) Wenn kein Erfolg für eine und „Use Entities“ (Entitäten verwenden) auf „true“ gesetzt ist: „Action wasn't able to create new URL objects for event with {0} {1} in MISP based on the following entities: \n{0}".format(ID/UUID, event_id, entity.identifiers) Wenn nicht für alle erfolgreich und „Use Entities“ (Entitäten verwenden) auf „true“ gesetzt ist: „Action wasn't able to create new URL objects for event with {0} {1} in MISP based on the provided entities.“ (Die Aktion konnte basierend auf den bereitgestellten Entitäten keine neuen URL-Objekte für das Ereignis mit {0} {1} in MISP erstellen.).format(ID/UUID, event_id) Kritischer Fehler (Aktion fehlgeschlagen) „Fehler beim Ausführen der Aktion ‚Create Url Misp Object‘. Grund: {0}".format(stacktrace) Event-ID nicht gefunden (Fehleraktion) „Fehler beim Ausführen der Aktion ‚Create Url Misp Object‘. Grund: Ereignis mit {0} {1} wurde in MISP nicht gefunden“.format(ID/UUID, event_id) Wenn keine der URLs angegeben ist und „Use Entities“ == false: „Error executing action ‚Create Url Misp Object‘.“ Grund: Entweder muss „URL“ angegeben oder der Parameter „Use Entities“ auf „true“ gesetzt werden. |
Allgemein |
VirusTotal-Berichtsobjekt erstellen
Beschreibung
Erstellen Sie ein VirusTotal-Berichtsobjekt in MISP.
Parameter
| Anzeigename des Parameters | Typ | Standardwert | Ist obligatorisch | Beschreibung |
|---|---|---|---|---|
| Ereignis-ID | String | – | Ja | Geben Sie die ID oder UUID des Ereignisses an, dem Sie URL-Objekte hinzufügen möchten. |
| Permalink | String | – | Ja | Geben Sie den Link zum VirusTotal-Bericht an, den Sie dem Ereignis hinzufügen möchten. |
| Kommentar | String | – | Nein | Geben Sie den Kommentar an, den Sie dem Ereignis hinzufügen möchten. |
| Erkennungsrate | String | – | Nein | Geben Sie das Erkennungsverhältnis an, das Sie dem Ereignis hinzufügen möchten. |
| Community-Bewertung | String | – | Nein | Geben Sie die Community-Bewertung an, die Sie dem Event hinzufügen möchten. |
| Erste Einreichung | String | – | Nein | Geben Sie die erste Einreichung des Ereignisses an. |
| Letzte Einreichung | String | – | Nein | Geben Sie die letzte Einreichung des Ereignisses an. |
Ausführen am
Diese Aktion wird für alle Elemente ausgeführt.
Aktionsergebnisse
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| is_success | Wahr/falsch | is_success:False |
Fall-Repository
| Ergebnistyp | Wertbeschreibung | Typ |
|---|---|---|
| Ausgabemeldung* | Bei Erfolg: „Successfully created new Virustotal-Report object for event with {0} {1} in MISP.“ (Neues VirusTotal-Berichtsobjekt für Ereignis mit {0} {1} in MISP wurde erstellt).format(ID/UUID, event_id) Wenn nicht erfolgreich: „Action wasn't able to created Virustotal-Report object for event with {0} {1} in MISP. Grund: {2}".format(ID/UUID) Schwerwiegender Fehler (Aktion fehlgeschlagen) „Fehler beim Ausführen der Aktion ‚Virustotal-Bericht für MISP-Objekt erstellen‘. Grund: {0}".format(stacktrace) Event-ID wurde nicht gefunden (Aktion fehlgeschlagen) „Fehler beim Ausführen der Aktion ‚Virustotal-Bericht für MISP-Objekt erstellen‘. Grund: Ereignis mit {0} {1} wurde in MISP nicht gefunden“.format(ID/UUID, event_id) |
Allgemein |
Ereignisobjekte auflisten
Beschreibung
Informationen zu verfügbaren Objekten im MISP-Ereignis abrufen
Parameter
| Anzeigename des Parameters | Typ | Standardwert | Ist obligatorisch | Beschreibung |
|---|---|---|---|---|
| Ereignis-ID | String | – | Ja | Geben Sie eine durch Kommas getrennte Liste der IDs und UUIDs der Ereignisse an, für die Sie Details abrufen möchten. |
| Maximale Anzahl zurückzugebender Objekte | Ganzzahl | 50 | Nein | Geben Sie an, wie viele Objekte zurückgegeben werden sollen. |
Ausführen am
Diese Aktion wird nicht für Elemente ausgeführt.
Aktionsergebnisse
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| is_success | Wahr/falsch | is_success:False |
JSON-Ergebnis
"Object": [
{
"id": "1",
"name": "ftm-Associate",
"meta-category": "followthemoney",
"description": "Non-family association between two people",
"template_uuid": "6119ecb3-dedd-44b6-b88f-174585b0b1bf",
"template_version": "1",
"event_id": "1",
"uuid": "2a3e260f-d3b2-4164-b2b1-2f6f5b559970",
"timestamp": "1594632232",
"distribution": "5",
"sharing_group_id": "0",
"comment": "",
"deleted": false,
"first_seen": null,
"last_seen": null,
"ObjectReference": [],
},
{
"id": "2",
"name": "ftm-Associate",
"meta-category": "followthemoney",
"description": "Non-family association between two people",
"template_uuid": "6119ecb3-dedd-44b6-b88f-174585b0b1bf",
"template_version": "1",
"event_id": "1",
"uuid": "800d8634-175a-4bc2-a4d7-aca200c8c132",
"timestamp": "1594632463",
"distribution": "5",
"sharing_group_id": "0",
"comment": "",
"deleted": false,
"first_seen": null,
"last_seen": null,
"ObjectReference": [],
}
Fall-Repository
| Ergebnistyp | Wertbeschreibung | Typ |
|---|---|---|
| Ausgabemeldung* | Die Aktion darf nicht fehlschlagen und darf die Ausführung eines Playbooks nicht stoppen. Wenn mindestens ein Objekt für ein Ereignis gefunden wurde: „Successfully listed objects for the following events: \n{0}“.format(event_ids) Wenn ein Ereignis mit der angegebenen ID nicht gefunden wurde (is_success = false): Wenn für ein Ereignis kein Objekt gefunden wird: „Die Aktion konnte keine Objekte für die folgenden Ereignisse finden:\n {0}“.format(event_ids) Wenn für alle Ereignisse kein Objekt gefunden wurde: „Für die angegebenen Ereignisse wurden keine Objekte gefunden.“ Die Aktion sollte fehlschlagen und die Playbook-Ausführung beenden: Bei schwerwiegendem Fehler, z. B. falsche Anmeldedaten, keine Verbindung zum Server, Sonstiges: print "Error executing action "List Event Objects". Grund: {0}''.format(error.Stacktrace) |
Allgemein |
| CSV-Tabelle | Tabellenname:Event {0} Objects Tabellenspalten:
|
Ereignisdetails abrufen
Beschreibung
Details zu Ereignissen in MISP abrufen.
Parameter
| Anzeigename des Parameters | Typ | Ist obligatorisch | Beschreibung |
|---|---|---|---|
| Ereignis-ID | String | Ja | Geben Sie eine durch Kommas getrennte Liste der IDs oder UUIDs der Ereignisse an, für die Sie Details abrufen möchten. |
| Informationen zu Attributen zurückgeben | Kästchen | Aktiviert | Wenn diese Option aktiviert ist, wird eine Case-Wall-Tabelle für alle Attribute erstellt, die Teil des Ereignisses sind. |
Ausführen am
Diese Aktion wird nicht für Elemente ausgeführt.
Aktionsergebnisse
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| is_success | Wahr/falsch | is_success:False |
Fall-Repository
| Ergebnistyp | Wertbeschreibung | Typ |
|---|---|---|
| Ausgabemeldung* | Die Aktion darf nicht fehlschlagen und darf die Ausführung eines Playbooks nicht stoppen. Wenn die Aktion für mindestens eine der angegebenen IDs erfolgreich abgeschlossen wurde: Gib „Informationen für die folgenden Ereignisse wurden abgerufen: <>“ aus. Wenn die Aktion für mindestens eine der angegebenen Vorfall-IDs nicht ausgeführt werden konnte: Gib „Informationen für die folgenden Ereignisse konnten nicht abgerufen werden: <>“ aus. Die Aktion sollte fehlschlagen und die Ausführung des Playbooks beenden: Die Aktion sollte fehlschlagen und die Playbook-Ausführung beenden: Bei schwerwiegendem Fehler, z. B. falsche Anmeldedaten, keine Verbindung zum Server, Sonstiges: print "Error executing action "List Event Objects". Grund: {0}''.format(error.Stacktrace) |
Allgemein |
| CSV-Tabelle | Tabellenname:Event {0} Attributes Details".format(event_id) Spalten:
|
Vorkommen eines Attributs auflisten
Beschreibung
Listet verfügbare Sichtungen für Attribute in MISP auf.
Parameter
search| Parametername | Typ | Standardwert | Verbindlich | Beschreibung |
|---|---|---|---|---|
| Attributname | CSV | Nein | Geben Sie eine durch Kommas getrennte Liste von Attributkennungen an, für die Sie Funde auflisten möchten. Hinweis: Wenn sowohl „Attributname“ als auch „Attribut-UUID“ angegeben sind, wird die Aktion mit den Werten für „Attribut-UUID“ ausgeführt. | |
| Ereignis-ID | String | Nein | Geben Sie die ID oder UUID des Ereignisses an, in dem nach Attributen gesucht werden soll. Dieser Parameter ist erforderlich, wenn „Attributsuche“ auf „Bereitgestelltes Ereignis“ festgelegt ist. | |
| Kategorie | CSV | Nein | Geben Sie eine durch Kommas getrennte Liste von Kategorien an. Falls angegeben, werden in der Aktion nur Funde für Attribute mit einer übereinstimmenden Kategorie aufgeführt. Wenn nichts angegeben ist, werden Kategorien in Attributen bei der Aktion ignoriert. Mögliche Werte: „External Analysis“, „Payload Delivery“, „Artifacts Dropped“, „Payload Installation“. | |
| Typ | CSV | Nein | Geben Sie eine durch Kommas getrennte Liste von Attributtypen an. Falls angegeben, werden in der Aktion nur Sichtungen für Attribute mit übereinstimmendem Attributtyp aufgeführt. Wenn nichts angegeben ist, werden Typen in Attributen ignoriert. Beispielwerte: md5, sha1, ip-src, ip-dst | |
| Attributsuche | DDL | Bereitgestelltes Ereignis Mögliche Werte: Alle Ereignisse |
Ja | Geben Sie an, wo die Aktion nach Attributen suchen soll. Wenn „Provided Event“ (Bereitgestelltes Ereignis) ausgewählt ist, sucht die Aktion nur nach Attributen oder Attribut-UUIDs im Ereignis mit der ID/UUID, die im Parameter „Event ID“ (Ereignis-ID) angegeben ist. Wenn Sie „Alle Ereignisse“ auswählen, wird in allen Ereignissen nach Attributen gesucht und es werden alle Funde für Attribute aufgeführt, die unseren Kriterien entsprechen. |
| Attribut-UUID | CSV | Nein | Geben Sie eine durch Kommas getrennte Liste von Attribut-UUIDs an, für die Sie Funde auflisten möchten. Hinweis: Wenn sowohl „Attributname“ als auch „Attribut-UUID“ angegeben sind, wird die Aktion mit den Werten für „Attribut-UUID“ ausgeführt. |
Aktionsergebnisse
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| is_success | Wahr/falsch | is_success:False |
Fall-Repository
| Ergebnistyp | Wert/Beschreibung | Typ |
|---|---|---|
| Ausgabemeldung* | Wenn Sichtungen erfolgreich für mindestens ein Attribut aufgeführt wurden: „Successfully listed sightings for the following attributes in MISP:\n{0}“.format(attribute name/attribute UUID) Wenn keine Funde für mindestens ein Attribut aufgeführt wurden: „Action didn't list sightings for the following attributes in MISP:\n{0}“.format(attribute name/attribute UUID) Wenn nicht für alle oder für keine Sichtungen für alle Attribute erfolgreich: „No sightings were found for the provided attributes in MISP“ (Für die angegebenen Attribute wurden in MISP keine Sichtungen gefunden) Kritischer Fehler (Aktion fehlgeschlagen) „Fehler beim Ausführen der Aktion ‚List Sightings of an Attribute‘.“ Grund: {0}".format(stacktrace) Wenn ein ungültiger Parameter in „Category“ (Aktion fehlgeschlagen) angegeben ist: „Error executing action ‚List Sightings of an Attribute‘. Grund: Für den Parameter „Category“ wurde ein ungültiger Wert angegeben. Zulässige Werte: „External Analysis“, „Payload Delivery“, „Artifacts Dropped“, „Payload Installation“. Wenn „Provided Event“ ausgewählt ist, aber keine Event-ID: „Error executing action ‚List Sightings of an Attribute‘.“ Grund: Wenn für den Parameter „Attributsuche“ die Option „Bereitgestelltes Ereignis“ ausgewählt ist, muss eine Ereignis-ID angegeben werden. |
Allgemein |
IDS-Flag für ein Attribut festlegen
Beschreibung
IDS-Flag für Attribute in MISP festlegen
Parameter
searchsearch| Parametername | Typ | Standardwert | Verbindlich | Beschreibung |
|---|---|---|---|---|
| Attributname | CSV | Nein | Geben Sie eine durch Kommas getrennte Liste von Attributkennungen an, für die Sie ein IDS-Flag festlegen möchten. Hinweis: Wenn sowohl „Attributname“ als auch „Attribut-UUID“ angegeben sind, wird die Aktion mit den Werten für „Attribut-UUID“ ausgeführt. | |
| Ereignis-ID | String | Nein | Geben Sie die ID oder UUID des Ereignisses an, in dem nach Attributen gesucht werden soll. Dieser Parameter ist erforderlich, wenn „Attributsuche“ auf „Bereitgestelltes Ereignis“ festgelegt ist. | |
| Kategorie | CSV | Nein | Geben Sie eine durch Kommas getrennte Liste von Kategorien an. Falls angegeben, wird das IDS-Flag nur für Attribute mit einer übereinstimmenden Kategorie festgelegt. Wenn nichts angegeben ist, werden Kategorien in Attributen bei der Aktion ignoriert. Mögliche Werte: „External Analysis“, „Payload Delivery“, „Artifacts Dropped“, „Payload Installation“. | |
| Typ | CSV | Nein | Geben Sie eine durch Kommas getrennte Liste von Attributtypen an. Falls angegeben, wird das IDS-Flag nur für Attribute mit einem übereinstimmenden Attributtyp festgelegt. Wenn nichts angegeben ist, werden Typen in Attributen ignoriert. Beispielwerte: md5, sha1, ip-src, ip-dst | |
| Attributsuche | DDL | Bereitgestelltes Ereignis Mögliche Werte: Alle Ereignisse |
Ja | Geben Sie an, wo die Aktion nach Attributen suchen soll. Wenn „Provided Event“ (Bereitgestelltes Ereignis) ausgewählt ist, sucht die Aktion nur nach Attributen oder Attribut-UUIDs im Ereignis mit der ID/UUID, die im Parameter „Event ID“ (Ereignis-ID) angegeben ist. Wenn Sie „Alle Ereignisse“ auswählen, wird die Aktion nach Attributen in allen Ereignissen gesucht und das IDS-Flag für alle Attribute festgelegt, die unseren Kriterien entsprechen. |
| Attribut-UUID | CSV | Nein | Geben Sie eine durch Kommas getrennte Liste von Attribut-UUIDs an, für die Sie ein IDS-Flag festlegen möchten. |
Aktionsergebnisse
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| Erfolgreich | Wahr/falsch | success:False |
Fall-Repository
| Ergebnistyp | Wertbeschreibung | Typ |
|---|---|---|
| Ausgabemeldung* | Wenn das IDS-Flag mindestens einem Attribut hinzugefügt wurde: „Successfully set IDS flag for the following attributes in MISP:\n{0}“.format(attribute name/object UUID) (Das IDS-Flag wurde für die folgenden Attribute in MISP festgelegt:\n{0}).format(Attributname/Objekt-UUID) Wenn das IDS-Flag nicht mindestens einem Attribut hinzugefügt wurde: „Action didn't set IDS flag for the following attributes in MISP:\n{0}“.format(attribute name/object UUID) (Das IDS-Flag wurde für die folgenden Attribute in MISP nicht festgelegt:\n{0}).format(Attributname/Objekt-UUID) Wenn nicht für alle erfolgreich: „IDS-Flag wurde für die angegebenen Attribute in MISP nicht festgelegt“ Kritischer Fehler (Aktion fehlgeschlagen) „Fehler beim Ausführen der Aktion ‚IDS-Kennzeichnung für ein Attribut festlegen‘. Grund: {0}".format(stacktrace) Wenn ein ungültiger Parameter in „Kategorie“ angegeben ist (Fehleraktion): „Fehler beim Ausführen der Aktion ‚IDS-Kennzeichnung für ein Attribut festlegen‘. Grund: Für den Parameter „Category“ wurde ein ungültiger Wert angegeben. Zulässige Werte: „External Analysis“, „Payload Delivery“, „Artifacts Dropped“, „Payload Installation“. Wenn „Bereitgestelltes Ereignis“ ausgewählt ist, aber keine Ereignis-ID: „Fehler beim Ausführen der Aktion ‚IDS-Flag für ein Attribut festlegen‘. Grund: Wenn für den Parameter „Attributsuche“ die Option „Bereitgestelltes Ereignis“ ausgewählt ist, muss eine Ereignis-ID angegeben werden. Ereignis-ID nicht gefunden (Fehler bei Aktion): „Fehler beim Ausführen der Aktion ‚IDS-Kennzeichnung für ein Attribut festlegen‘. Grund: Ereignis mit {0} {1} wurde in MISP nicht gefunden“.format(ID/UUID, event_id) |
Allgemein |
IDS-Kennzeichnung für ein Attribut entfernen
Beschreibung
Das IDS-Flag für Attribute in MISP wird aufgehoben.
Parameter
| Name | Typ | Standardwert | Verbindlich | Beschreibung |
|---|---|---|---|---|
| Attributname | CSV | Nein | Geben Sie eine durch Kommas getrennte Liste von Attributkennungen an, für die Sie ein IDS-Flag entfernen möchten. |
|
| Ereignis-ID | String | Nein | Geben Sie die ID oder UUID des Ereignisses an, in dem nach Attributen gesucht werden soll. Dieser Parameter ist erforderlich, wenn „Attributsuche“ auf „Bereitgestelltes Ereignis“ festgelegt ist. | |
| Kategorie | CSV | Nein | Geben Sie eine durch Kommas getrennte Liste von Kategorien an. Falls angegeben, wird das IDS-Flag nur für Attribute mit einer übereinstimmenden Kategorie entfernt. Wenn nichts angegeben ist, werden Kategorien in Attributen bei der Aktion ignoriert. Mögliche Werte: „External Analysis“, „Payload Delivery“, „Artifacts Dropped“, „Payload Installation“. | |
| Typ | CSV | Nein | Geben Sie eine durch Kommas getrennte Liste von Attributtypen an. Falls angegeben, wird das IDS-Flag nur für Attribute mit dem entsprechenden Attributtyp entfernt. Wenn nichts angegeben ist, werden Typen in Attributen ignoriert. Beispielwerte: md5, sha1, ip-src, ip-dst | |
| Attributsuche | DDL | Bereitgestelltes Ereignis Mögliche Werte: Alle Ereignisse |
Wahr | Geben Sie an, wo die Aktion nach Attributen suchen soll. Wenn „Provided Event“ (Bereitgestelltes Ereignis) ausgewählt ist, sucht die Aktion nur nach Attributen oder Attribut-UUIDs im Ereignis mit der ID/UUID, die im Parameter „Event ID“ (Ereignis-ID) angegeben ist. Wenn Sie „Alle Ereignisse“ auswählen, wird die Aktion für alle Ereignisse nach Attributen gesucht und das IDS-Flag für alle Attribute, die unseren Kriterien entsprechen, deaktiviert. |
| Attribut-UUID | CSV | Nein | Geben Sie eine durch Kommas getrennte Liste der Attribut-UUIDs an, für die Sie ein IDS-Flag entfernen möchten. Hinweis: Wenn sowohl „Attributname“ als auch „Attribut-UUID“ angegeben sind, wird die Aktion mit den Werten für „Attribut-UUID“ ausgeführt. |
Aktionsergebnisse
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| Erfolgreich | Wahr/falsch | success:False |
Fall-Repository
| Ergebnistyp | Wertbeschreibung | Typ |
|---|---|---|
| Ausgabemeldung* | Wenn das IDS-Flag für mindestens ein Attribut erfolgreich entfernt wurde: „IDS-Flag für die folgenden Attribute in MISP wurde entfernt:\n{0}“.format(Attributname/Objekt-UUID) if not successfully removed IDS flag to at least one attribute: "Action didn't unset IDS flag for the following attributes in MISP:\n{0}".format(attribute name/object UUID) Wenn nicht für alle erfolgreich: „IDS-Flag wurde für die angegebenen Attribute in MISP nicht deaktiviert“ Kritischer Fehler (Aktion fehlgeschlagen): „Fehler beim Ausführen der Aktion ‚IDS-Kennzeichnung für ein Attribut entfernen‘. Grund: {0}".format(stacktrace) Wenn ein ungültiger Parameter in „Kategorie“ angegeben ist (Fehleraktion): „Fehler beim Ausführen der Aktion ‚IDS-Kennzeichnung für ein Attribut entfernen‘. Grund: Für den Parameter „Category“ wurde ein ungültiger Wert angegeben. Zulässige Werte: „External Analysis“, „Payload Delivery“, „Artifacts Dropped“, „Payload Installation“. Wenn „Bereitgestelltes Ereignis“ ausgewählt ist, aber keine Ereignis-ID: „Fehler beim Ausführen der Aktion ‚IDS-Flag für ein Attribut aufheben‘. Grund: Wenn für den Parameter „Attributsuche“ die Option „Bereitgestelltes Ereignis“ ausgewählt ist, muss eine Ereignis-ID angegeben werden. Ereignis-ID nicht gefunden (Aktion fehlgeschlagen): „Fehler beim Ausführen der Aktion ‚IDS-Kennzeichnung für ein Attribut entfernen‘. Grund: Ereignis mit {0} {1} wurde in MISP nicht gefunden“.format(ID/UUID, event_id) |
Allgemein |
Connector
MISP – Attributes Connector
Beschreibung
Attribute aus MISP abrufen
MISP – Attributes Connector in Google SecOps konfigurieren
Eine ausführliche Anleitung zum Konfigurieren eines Connectors in Google SecOps finden Sie unter Connector konfigurieren.
Connector-Parameter
Verwenden Sie die folgenden Parameter, um den Connector zu konfigurieren:
| Parametername | Typ | Standardwert | Ist obligatorisch | Beschreibung |
|---|---|---|---|---|
| DeviceProductField | String | Produktname | Ja | Geben Sie den Namen des Quellfelds ein, um den Namen des Produktfelds abzurufen. |
| EventClassId | String | alertType | Ja | Geben Sie den Namen des Quellfelds ein, um den Namen des Ereignisfelds abzurufen. |
| PythonProcessTimeout | Ganzzahl | 180 | Ja | Zeitlimit für den Python-Prozess, in dem das aktuelle Skript ausgeführt wird. |
| API-Stamm | String | – | Ja | API-Stammverzeichnis für das MISP-Konto. |
| API-Schlüssel | Passwort | Ja | API-Schlüssel des MISP-Kontos. | |
| Maximale Stunden rückwärts abrufen | Ganzzahl | 1 | Nein | Anzahl der Stunden, ab denen Attribute abgerufen werden sollen. |
| Maximale Anzahl von Attributen pro Zyklus | Ganzzahl | 50 | Ja | Die Anzahl der Attribute, die pro Connector-Iteration verarbeitet werden sollen. |
| Niedrigste abzurufende Gefahrenstufe | Ganzzahl | 1 | Ja | Der niedrigste Schweregrad, der zum Abrufen von Benachrichtigungen verwendet wird. Mögliche Werte: 1–4. |
| Filter für Attributtyp | String | Nein | Filtern Sie Attribute nach ihrem Typ. Geben Sie die Typen durch Kommas getrennt ein. Falls angegeben, werden nur Attribute mit dem Typ auf der Zulassungsliste verarbeitet. | |
| Kategoriefilter | String | Nein | Filtern Sie Attribute nach ihrer Kategorie. Verwenden Sie als Trennzeichen Kommas. Wenn angegeben, werden nur Attribute mit einer Kategorie auf der Zulassungsliste verarbeitet. | |
| Galaxy-Filter | String | Nein | Filtern Sie Attribute nach der Galaxie des übergeordneten Ereignisses. Geben Sie die Galaxien durch Kommas getrennt ein. Falls angegeben, werden nur Attribute verarbeitet, die zu einem Ereignis mit einer Galaxy auf der weißen Liste gehören. | |
| SSL überprüfen | Kästchen | Ja | Wenn die SSL-Verschlüsselung aktiviert ist, prüfen Sie, ob das SSL-Zertifikat für die Verbindung zum CheckPoint Cloud Guard-Server gültig ist. | |
| Name des Umgebungsfelds | String | Nein | Beschreibt den Namen des Felds, in dem der Umgebungsname gespeichert ist. Wenn das Feld „environment“ nicht gefunden wird, ist die Umgebung die Standardumgebung. | |
| Regex-Muster für Umgebung | String | .* | Nein | Ein regulärer Ausdruck, der auf den Wert im Feld „Name des Umgebungsvariablenfelds“ angewendet wird. Der Standardwert ist „.*“, um alle Werte zu erfassen und unverändert zurückzugeben. Damit kann der Nutzer das Feld „environment“ über Regex-Logik bearbeiten. Wenn das reguläre Ausdrucksmuster null oder leer ist oder der Umgebungswert null ist, ist das endgültige Umgebungsergebnis die Standardumgebung. |
| Proxyserveradresse | String | Nein | Die Adresse des zu verwendenden Proxyservers. | |
| Proxy-Nutzername | String | Nein | Der Proxy-Nutzername für die Authentifizierung. | |
| Proxy-Passwort | Passwort | Nein | Das Proxy-Passwort für die Authentifizierung. |
Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten