Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

MISP in Google SecOps einbinden

In diesem Dokument wird beschrieben, wie Sie MISP in Google Security Operations einbinden.

Anwendungsfälle

Die MISP-Integration nutzt Google SecOps-Funktionen, um die folgenden Anwendungsfälle zu unterstützen:

Indikatoren für Kompromittierung anreichern: Rufen Sie automatisch Kontext für URLs, Hostnamen, IP-Adressen und Datei-Hashes aus Ihrer MISP-Instanz ab, um bekannte böswillige Akteure zu identifizieren.
Erstellung und Freigabe von Ereignissen automatisieren: Erstellen Sie neue MISP-Ereignisse direkt aus Playbooks und veröffentlichen Sie sie in Freigabegruppen, um Ihre Sicherheitscommunity über neue Bedrohungen zu informieren.
Ereignisklassifizierung verwalten: Tags dynamisch zu Ereignissen und Attributen hinzufügen oder daraus entfernen, um eine genaue und aktuelle Bedrohungslandschaft zu erhalten.
Zugehörige Bedrohungen untersuchen: Suchen Sie nach Informationen zu Ereignissen, die mit bestimmten Entitäten zusammenhängen, und rufen Sie diese ab, um den größeren Umfang einer laufenden Untersuchung zu verstehen.
Verdächtige Dateien analysieren: Laden Sie Dateien in MISP-Ereignisse hoch, um sie gemeinsam zu analysieren, oder laden Sie vorhandene Ereignisanhänge für die interne Sandbox-Bewertung herunter.

Hinweis

Bevor Sie die Integration in der Google SecOps-Plattform konfigurieren, müssen die folgenden Anforderungen in Ihrer MISP-Umgebung erfüllt sein:

MISP-API-Schlüssel: Sie benötigen einen gültigen Automatisierungsschlüssel, um die Verbindung zu authentifizieren. Sie können sie über das Menü „Event-Aktionen“ in der MISP-Benutzeroberfläche abrufen. Weitere Informationen finden Sie unter Automation and MISP API.
API-Stammadresse: Achten Sie darauf, dass die IP-Adresse oder der Hostname Ihrer MISP-Instanz für die Konfiguration verfügbar ist.
Optional: CA-Zertifikat: Wenn für Ihre Umgebung eine SSL-Überprüfung mit einem bestimmten Zertifikat erforderlich ist, muss die CA-Zertifikatsdatei verfügbar sein. Sie müssen diesen Wert während der Konfiguration als Base64-codierten String angeben.
Integrationsversion: Prüfen Sie, ob Sie die aktuelle Version der MISP-Integration verwenden, damit alle Aktionen und Parameter unterstützt werden.

Integrationsparameter

Verwenden Sie die folgenden Parameter, um die Integration zu konfigurieren:

Anzeigename des Parameters	Typ	Standardwert	Ist obligatorisch	Beschreibung
API-Stamm	String	https://<IP>	Ja	Adresse der MISP-Instanz.
API-Schlüssel	String	–	Ja	In der MISP-Konsole generiert.
Use SSL (SSL verwenden)	Kästchen	Deaktiviert	Nein	Aktivieren Sie dieses Kästchen, wenn für Ihre MISP-Verbindung eine SSL-Überprüfung erforderlich ist (standardmäßig deaktiviert).
Remote ausführen	Kästchen	Deaktiviert	Nein	Aktivieren Sie das Feld, um die konfigurierte Integration remote auszuführen. Nachdem Sie das Kästchen angekreuzt haben, wird die Option zum Auswählen des Remote-Nutzers (Kundenservicemitarbeiters) angezeigt.

Eine Anleitung zum Konfigurieren einer Integration in Google SecOps finden Sie unter Integrationen konfigurieren.

Bei Bedarf können Sie später Änderungen vornehmen. Nachdem Sie eine Integrationsinstanz konfiguriert haben, können Sie sie in Playbooks verwenden. Weitere Informationen zum Konfigurieren und Unterstützen mehrerer Instanzen finden Sie unter Mehrere Instanzen unterstützen.

Aktionen

Weitere Informationen zu Aktionen finden Sie unter Ausstehende Aktionen in „Mein Arbeitsbereich“ beantworten und Manuelle Aktion ausführen.

Attribut hinzufügen

Fügen Sie eine Entität als Attribut zu einem MISP-Ereignis hinzu.

Parameter

Anzeigename des Parameters	Typ	Standardwert	Ist obligatorisch	Beschreibung
Ereignis-ID	String	–	Ja	Die ID des Ereignisses.
Kategorie	String	Externe Analyse	Nein	Die Kategorie des Attributs. Standard: Externe Analyse.
Verteilung	String	1	Nein	Die Verteilung des Attributs. Der Standardwert ist 1.
Für Intrusion Detection System	Kästchen	Deaktiviert	Nein	Gibt an, ob das Attribut für das Intrusion Detection System verwendet wird. Standardeinstellung: false.
Kommentar	String	–	Nein	Der Kommentar, der dem Attribut hinzugefügt werden soll.

Anwendungsfälle

–

Ausführen am

Diese Aktion wird für die folgenden Einheiten ausgeführt:

URL
Hostname
IP-Adresse
Filehash

Aktionsergebnisse

Entitätsanreicherung

–

Statistiken

–

Scriptergebnis

Name des Scriptergebnisses	Wertoptionen	Beispiel
Erfolgreich	Wahr/falsch	success:False

JSON-Ergebnis

N/A

Termin erstellen

Erstellen Sie ein neues MISP-Ereignis.

Bekannte Einschränkung

Derzeit kann ein Ereignis über die MISP-API nicht sofort nach der Erstellung veröffentlicht werden. Sie müssen zuerst ein Ereignis erstellen und dann die Aktion „Ereignis veröffentlichen“ verwenden.

Parameter

Anzeigename des Parameters	Typ	Standardwert	Ist obligatorisch	Beschreibung
Ereignisname	String	–	Ja	Der Name des Ereignisses.
Gefahrenstufe	String	0	Nein	Die Bedrohungsstufe des Ereignisses. Standardwert: 0
Verteilung	String	1	Nein	Die Verteilung des Attributs. Der Standardwert ist 1.
Analyse	String	0	Nein	Die Analyseebene des Ereignisses [0–2]. Standard: 0.
Veröffentlichen	Kästchen	Aktiviert	Nein	Gibt an, ob das Event veröffentlicht werden soll.
Kommentar	String	–	Nein	Der Kommentar zum Ereignis.

Ausführen am

Diese Aktion wird für alle Elemente ausgeführt.

Aktionsergebnisse

Scriptergebnis

Name des Scriptergebnisses	Wertoptionen	Beispiel
event_id	–	–

Tag einem Ereignis hinzufügen

Wenn Sie einer Ereignisaktion ein Tag hinzufügen, kann ein Nutzer einem bestimmten Ereignis in MISP ein Tag hinzufügen. Dadurch wird dem Ereignis eine Klassifizierung basierend auf der Kategorie der Sicherheitsbedrohung hinzugefügt, die vom mit dem Ereignis verknüpften IOC ausgeht.

Parameter

Anzeigename des Parameters	Typ	Standardwert	Ist obligatorisch	Beschreibung
Ereignis-ID	String	–	Ja	Die eindeutige Kennung des Ereignisses, dem das Tag hinzugefügt werden soll.
Tag-Name	String	–	Ja	Der Name des Tags, der einem Ereignis hinzugefügt werden soll.

Anwendungsfälle

Ereignis klassifizieren:Aktualisieren Sie das Ereignis, indem Sie ein Tag hinzufügen.

Ausführen am

Diese Aktion wird für alle Elemente ausgeführt.

Aktionsergebnisse

Scriptergebnis

Name des Scriptergebnisses	Wertoptionen	Beispiel
is_success	Wahr/falsch	is_success:False

JSON-Ergebnis

[
    {
        "saved": true,
        "success": "Tag(s) added.",
        "check_publish": true
    }
]

Datei herunterladen

Laden Sie Dateien im Zusammenhang mit dem Ereignis in MISP herunter.

Parameter

Anzeigename des Parameters	Typ	Standardwert	Ist obligatorisch	Beschreibung
Ereignis-ID	String	–	Nein	Geben Sie die ID oder UUID des Ereignisses an, aus dem Sie Dateien herunterladen möchten.
Download-Ordnerpfad	String	–		Geben Sie den absoluten Pfad zum Ordner an, in dem Dateien gespeichert werden sollen. Wenn nichts angegeben ist, wird stattdessen eine Anlage erstellt. Hinweis: Das JSON-Ergebnis ist nur verfügbar, wenn Sie einen gültigen Wert für diesen Parameter angeben.
Überschreiben	Kästchen	Deaktiviert		Wenn diese Option aktiviert ist, werden vorhandene Dateien durch die Aktion überschrieben.

Ausführen am

Diese Aktion wird für die Filehash-Entität ausgeführt.

Aktionsergebnisse

Scriptergebnis

Name des Scriptergebnisses	Wertoptionen	Beispiel
Erfolgreich	Wahr/falsch	success:False

JSON-Ergebnis

{

"absolute_paths": ["/etc/file1.txt", "/etc/file2.txt"]

}

Fall-Repository

Ergebnistyp	Wertbeschreibung	Typ
Ausgabenachricht*	Bei Erfolg: „Die folgenden Dateien wurden erfolgreich aus dem Ereignis mit {0} {1} in MISP heruntergeladen:\n{2}“.format(ID/UUID, event_id, result/filename from the response) Wenn keine Dateien gefunden wurden: „No files were found for the event with {0} {1} in MISP:\n{2}“.format(ID/UUID, event_id) Wenn „Download Folder Path“ nicht angegeben ist und einige der Dateien das Plattformlimit für Anhänge überschritten haben: „Die folgenden Dateien konnten nicht heruntergeladen werden, da sie das Limit von 3 MB überschritten haben: \n {0}. \n Bitte geben Sie im Parameter „Download Folder Path“ (Download-Ordnerpfad) einen Ordnerpfad an, um die Dateien herunterzuladen.“.(result/filename) Kritischer Fehler (Aktion fehlgeschlagen) „Fehler beim Ausführen der Aktion ‚Datei herunterladen‘. Grund: {0}".format(stacktrace) Ereignis-ID nicht gefunden (Aktion fehlgeschlagen) „Fehler beim Ausführen der Aktion ‚Datei herunterladen‘. Grund: Ereignis mit {0} {1} wurde in MISP nicht gefunden“.format(ID/UUID, event_id) Wenn „overwrite“ auf „false“ festgelegt ist und eine der Dateien bereits vorhanden ist: „Fehler beim Ausführen der Aktion ‚Datei herunterladen‘. Grund: Die folgenden Dateien sind bereits vorhanden: {0}. Entfernen Sie sie oder setzen Sie den Parameter „Overwrite“ auf „true“.“.format(absoluter Pfad zur Datei)	Allgemein

Ergebnistyp

Wertbeschreibung

Typ

Ausgabenachricht*

Bei Erfolg: „Die folgenden Dateien wurden erfolgreich aus dem Ereignis mit {0} {1} in MISP heruntergeladen:\n{2}“.format(ID/UUID, event_id, result/filename from the response)

Wenn keine Dateien gefunden wurden: „No files were found for the event with {0} {1} in MISP:\n{2}“.format(ID/UUID, event_id)

Wenn „Download Folder Path“ nicht angegeben ist und einige der Dateien das Plattformlimit für Anhänge überschritten haben: „Die folgenden Dateien konnten nicht heruntergeladen werden, da sie das Limit von 3 MB überschritten haben: \n {0}. \n Bitte geben Sie im Parameter „Download Folder Path“ (Download-Ordnerpfad) einen Ordnerpfad an, um die Dateien herunterzuladen.“.(result/filename)

Kritischer Fehler (Aktion fehlgeschlagen) „Fehler beim Ausführen der Aktion ‚Datei herunterladen‘. Grund: {0}".format(stacktrace)

Ereignis-ID nicht gefunden (Aktion fehlgeschlagen) „Fehler beim Ausführen der Aktion ‚Datei herunterladen‘. Grund: Ereignis mit {0} {1} wurde in MISP nicht gefunden“.format(ID/UUID, event_id)

Wenn „overwrite“ auf „false“ festgelegt ist und eine der Dateien bereits vorhanden ist: „Fehler beim Ausführen der Aktion ‚Datei herunterladen‘. Grund: Die folgenden Dateien sind bereits vorhanden: {0}. Entfernen Sie sie oder setzen Sie den Parameter „Overwrite“ auf „true“.“.format(absoluter Pfad zur Datei)

Allgemein

Entitäten anreichern

Entitäten basierend auf den Attributen in MISP anreichern.

Parameter

Anzeigename des Parameters	Typ	Standardwert	Beschreibung
Anzahl der zurückzugebenden Attribute	String	–	Geben Sie an, wie viele Attribute für Entitäten zurückgegeben werden sollen.
Filterbedingung			Geben Sie die Filterbedingung für die Aktion an. Wenn „Letzte“ ausgewählt ist, wird für die Aktion das älteste Attribut zur Anreicherung verwendet. Wenn „Erste“ ausgewählt ist, wird das neueste Attribut verwendet.
Grenzwert für die Bedrohungsstufe	DDL	Niedrig Mögliche Werte: Hoch Mittel Niedrig Nicht definiert	Geben Sie den Schwellenwert für den Bedrohungsgrad des Ereignisses an, bei dem die Einheit gefunden wurde. Wenn das zugehörige Ereignis den Schwellenwert überschreitet oder erreicht, wird die Entität als verdächtig markiert.
Attributsuchlimit	Ganzzahl	50	Geben Sie an, nach wie vielen Attributen pro Entität gesucht werden soll. Dieser Parameter wirkt sich darauf aus, welches Attribut für die Anreicherung ausgewählt wird. Standard: 50.

Ausführen am

Diese Aktion wird für die folgenden Einheiten ausgeführt:

URL
Hostname
IP-Adresse
Filehash

Aktionsergebnisse

Entitätsanreicherung

Entitäten werden als verdächtig markiert, wenn der Bedrohungsgrad des Ereignisses über 0 liegt. Andernfalls: Falsch

Scriptergebnis

Name des Scriptergebnisses	Wertoptionen	Beispiel
Erfolgreich	Wahr/falsch	success:False

JSON-Ergebnis

[
    {
        "EntityResult": [
            {
                "Event":
                {
                    "orgc_id": "1",
                    "ShadowAttribute": [],
                    "id": "3",
                    "threat_level_id": "3",
                    "event_creator_email": "john_doe@example.com",
                    "uuid": "5c5bff1b-a414-4a83-8755-035f0a000016",
                    "Object": [],
                    "Orgc": {
                        "uuid": "5c5ac66e-3884-4031-afd7-46f5bb9ebcaa",
                        "name": "ORGNAME",
                        "id": "1"
                    },
                    "Org": {
                        "uuid": "5c5ac66e-3884-4031-afd7-46f5bb9ebcaa",
                        "name": "ORGNAME",
                        "id": "1"
                    },
                    "RelatedEvent": [],
                    "sharing_group_id": "0",
                    "timestamp": "1549533154",
                    "date": "2019-02-07",
                    "disable_correlation": "False",
                    "info": "Test event",
                    "locked": "False",
                    "publish_timestamp": "1549533214",
                    "Attribute": [
                        {
                            "category": "Network activity",
                            "comment": " ",
                            "uuid": "5c5bffe2-9298-4098-ae31-035d0a000016",
                            "deleted": "False",
                            "timestamp": "1549533154",
                            "to_ids": "False",
                            "distribution": "3",
                            "object_id": "0",
                            "event_id": "3",
                            "ShadowAttribute": [],
                            "sharing_group_id": "0",
                            "value": "1.1.1.1",
                            "disable_correlation": "False",
                            "object_relation": "None",
                            "type": "ip-src",
                            "id": "1",
                            "Galaxy": []
                        }],
                    "attribute_count": "1",
                    "org_id": "1",
                    "analysis": "2",
                    "extends_uuid": " ",
                    "published": "True",
                    "distribution": "3",
                    "proposal_email_lock": "False",
                    "Galaxy": []
                }}],
        "Entity": "1.1.1.1"
    }
]

Fall-Repository

Ergebnistyp	Wertbeschreibung	Typ
Ausgabenachricht*	Für gefundene Attribute: (is_success=true) „Die folgenden Entitäten wurden mit MISP angereichert: \n{0}“.format(entity.identifier) Für Attribute, die nicht gefunden wurden (is_success=true): „Die Aktion konnte die folgenden Elemente nicht mit MISP anreichern: \n{0}“.format(entity.identifier) Wenn nicht alle Attribute gefunden wurden (is_success=false): „No entities were enriched using MISP“ (Keine Entitäten mit MISP angereichert) Wenn Attribute verdächtig sind (is_success=true) „Die folgenden Attribute wurden mit MISP als verdächtig markiert: \n {0}“.format(entity.identifier)	Allgemein
CSV-Tabelle	Tabellenspalten: ID Ereignis-ID Kategorie Typ UUID Zeitstempel Verteilung IDS

Ergebnistyp

Wertbeschreibung

Typ

Ausgabenachricht*

Für gefundene Attribute: (is_success=true) „Die folgenden Entitäten wurden mit MISP angereichert: \n{0}“.format(entity.identifier)

Für Attribute, die nicht gefunden wurden (is_success=true): „Die Aktion konnte die folgenden Elemente nicht mit MISP anreichern: \n{0}“.format(entity.identifier)

Wenn nicht alle Attribute gefunden wurden (is_success=false): „No entities were enriched using MISP“ (Keine Entitäten mit MISP angereichert)

Wenn Attribute verdächtig sind (is_success=true) „Die folgenden Attribute wurden mit MISP als verdächtig markiert: \n {0}“.format(entity.identifier)

Allgemein

CSV-Tabelle

Tabellenspalten:

ID
Ereignis-ID
Kategorie
Typ
UUID
Zeitstempel
Verteilung
IDS

Zugehörige Ereignisse abrufen

Informationen zu Ereignissen abrufen, die mit Entitäten in MISP verknüpft sind

Parameter

Anzeigename des Parameters	Typ	Standardwert	Beschreibung
Als verdächtig markieren	Kästchen	Aktiviert	Wenn diese Option aktiviert ist, wird die Entität als verdächtig markiert, wenn mindestens ein zugehöriges Ereignis vorhanden ist.

Ausführen am

Diese Aktion wird für die folgenden Einheiten ausgeführt:

URL
Hostname
IP-Adresse
Filehash

Aktionsergebnisse

Entitätsanreicherung

Wenn Datensätze zu verknüpften Ereignissen verfügbar sind, werden Entitäten als verdächtig markiert. Andernfalls: „False“.

Name des Anreicherungsfelds	Logik – Wann anwenden?
Ereignis	Gibt zurück, ob es im JSON-Ergebnis vorhanden ist.

Scriptergebnis

Name des Scriptergebnisses	Wertoptionen	Beispiel
Erfolgreich	Wahr/falsch	success:False

JSON-Ergebnis

[
    {
        "EntityResult": [
            {
                "Event":
                {
                    "orgc_id": "1",
                    "ShadowAttribute": [],
                    "id": "3",
                    "threat_level_id": "3",
                    "event_creator_email": "john_doe@example.com",
                    "uuid": "5c5bff1b-a414-4a83-8755-035f0a000016",
                    "Object": [],
                    "Orgc": {
                        "uuid": "5c5ac66e-3884-4031-afd7-46f5bb9ebcaa",
                        "name": "ORGNAME",
                        "id": "1"
                    },
                    "Org": {
                        "uuid": "5c5ac66e-3884-4031-afd7-46f5bb9ebcaa",
                        "name": "ORGNAME",
                        "id": "1"
                    },
                    "RelatedEvent": [],
                    "sharing_group_id": "0",
                    "timestamp": "1549533154",
                    "date": "2019-02-07",
                    "disable_correlation": "False",
                    "info": "Test event",
                    "locked": "False",
                    "publish_timestamp": "1549533214",
                    "Attribute": [
                        {
                            "category": "Network activity",
                            "comment": " ",
                            "uuid": "5c5bffe2-9298-4098-ae31-035d0a000016",
                            "deleted": "False",
                            "timestamp": "1549533154",
                            "to_ids": "False",
                            "distribution": "3",
                            "object_id": "0",
                            "event_id": "3",
                            "ShadowAttribute": [],
                            "sharing_group_id": "0",
                            "value": "1.1.1.1",
                            "disable_correlation": "False",
                            "object_relation": "None",
                            "type": "ip-src",
                            "id": "1",
                            "Galaxy": []
                        }],
                    "attribute_count": "1",
                    "org_id": "1",
                    "analysis": "2",
                    "extends_uuid": " ",
                    "published": "True",
                    "distribution": "3",
                    "proposal_email_lock": "False",
                    "Galaxy": []
                }}],
        "Entity": "1.1.1.1"
    }
]

Fall-Repository

Ergebnistyp	Wertbeschreibung	Typ
Ausgabenachricht*	Wenn mindestens ein Ereignis für mindestens eine Entität gefunden wurde: „Informationen zu den zugehörigen Ereignissen für die folgenden Entitäten wurden abgerufen: \n{0}“.format(entity.identifier) Wenn für mindestens eine Einheit kein Ereignis gefunden wurde: „Die Aktion konnte keine Informationen zu den zugehörigen Ereignissen für die folgenden Einheiten abrufen: \n{0}“.format(entity.identifier) Wenn keine Ereignisse für alle: „Für die angegebenen Einheiten wurden keine zugehörigen Ereignisse gefunden.“	Allgemein

Ergebnistyp

Wertbeschreibung

Typ

Ausgabenachricht*

Wenn mindestens ein Ereignis für mindestens eine Entität gefunden wurde: „Informationen zu den zugehörigen Ereignissen für die folgenden Entitäten wurden abgerufen: \n{0}“.format(entity.identifier)

Wenn für mindestens eine Einheit kein Ereignis gefunden wurde: „Die Aktion konnte keine Informationen zu den zugehörigen Ereignissen für die folgenden Einheiten abrufen: \n{0}“.format(entity.identifier)

Wenn keine Ereignisse für alle: „Für die angegebenen Einheiten wurden keine zugehörigen Ereignisse gefunden.“

Allgemein

Datei hochladen

Laden Sie eine Datei in ein MISP-Ereignis hoch.

Parameter

Name	Typ	Standard	Beschreibung
Ereignis-ID	String	–	Geben Sie die ID oder UUID des Ereignisses an, in das Sie diese Datei hochladen möchten.
Dateipfad	String	–	Geben Sie eine durch Kommas getrennte Liste der absoluten Dateipfade der Dateien an, die Sie in MISP hochladen möchten.
Kategorie			Geben Sie die Kategorie für die hochgeladene Datei an. Mögliche Werte: „External Analysis“, „Payload Delivery“, „Artifacts Dropped“, „Payload Installation“.
Verteilung	String	Community	Geben Sie die Verteilung für die hochgeladene Datei an. Mögliche Werte: 0 – Organisation, 1 – Community, 2 – Verbunden, 3 – Alle. Sie können entweder eine Zahl oder einen String angeben.
Gefahrenstufe	String	Hoch	Geben Sie den Bedrohungsgrad für die hochgeladene Datei an. Mögliche Werte: 1 – Hoch, 2 – Mittel, 3 – Niedrig, 4 – Nicht definiert. Sie können entweder eine Zahl oder einen String angeben.
Analyse	String	Anfangsphase	Geben Sie die Analyse des Ereignisses an. Mögliche Werte: 0 – Initial, 1 – Ongoing, 2 – Completed. Sie können entweder eine Zahl oder einen String angeben.
Info	String	–	Geben Sie zusätzliche Informationen zur hochgeladenen Datei an.
Für Intrusion Detection System	Kästchen	Deaktiviert	Wenn diese Option aktiviert ist, wird die hochgeladene Datei für Intrusion Detection Systems verwendet.
Kommentar	String	–	Geben Sie zusätzliche Kommentare zur hochgeladenen Datei an.

Aktionsergebnisse

Scriptergebnis

Name des Scriptergebnisses	Wertoptionen	Beispiel
is_success	Wahr/falsch	is_success:False

JSON-Ergebnis

{
    "Event": {
        "id": "106",
        "orgc_id": "1",
        "org_id": "1",
        "date": "2021-01-15",
        "threat_level_id": "1",
        "info": "vanuhi 1015",
        "published": false,
        "uuid": "1cd22aa2-57e8-4fc8-bac6-721c1be2c27d",
        "attribute_count": "10",
        "analysis": "0",
        "timestamp": "1610893968",
        "distribution": "1",
        "proposal_email_lock": false,
        "locked": false,
        "publish_timestamp": "0",
        "sharing_group_id": "0",
        "disable_correlation": false,
        "extends_uuid": "",
        "event_creator_email": "admin@admin.test",
        "Org": {
            "id": "1",
            "name": "ORGNAME",
            "uuid": "09b0dde1-2934-4310-a107-74b6f534f041",
            "local": true
        },
        "Orgc": {
            "id": "1",
            "name": "ORGNAME",
            "uuid": "09b0dde1-2934-4310-a107-74b6f534f041",
            "local": true
        },
        "Attribute": [],
        "ShadowAttribute": [],
"Object": [
            {
                "id": "446",
                "name": "file",
                "meta-category": "file",
                "description": "File object describing a file with meta-information",
                "template_uuid": "688c46fb-5edb-40a3-8273-1af7923e2215",
                "template_version": "20",
                "event_id": "106",
                "uuid": "0188ba5d-68eb-4b5c-8e05-6fd49f8eee9a",
                "timestamp": "1610691647",
                "distribution": "1",
                "sharing_group_id": "0",
                "comment": "",
                "deleted": false,
                "first_seen": null,
                "last_seen": null,
                "ObjectReference": [],
                "Attribute": [
                    {
                        "id": "1859",
                        "type": "malware-sample",
                        "category": "External analysis",
                        "to_ids": true,
                        "uuid": "7920cd28-5082-47ce-9c3e-3ccbd5dae138",
                        "event_id": "106",
                        "distribution": "1",
                        "timestamp": "1610703650",
                        "comment": "",
                        "sharing_group_id": "0",
                        "deleted": false,
                        "disable_correlation": false,
                        "object_id": "446",
                        "object_relation": "malware-sample",
                        "first_seen": null,
                        "last_seen": null,
                        "value": "vanuhi.txt|7bd55b0a276e076cbaf470e64359adb8",
                        "Galaxy": [],
                        "data": "UEsDBAoACQAAAJgyL1Kgt+vZDwAAAAMAAAAgABwAN2JkNTViMGEyNzZlMDc2Y2JhZjQ3MGU2NDM1OWFkYjhVVAkAAz80AWA/NAFgdXgLAAEEIQAAAAQhAAAADCVIVuu0HeIv/PqGdn5EUEsHCKC369kPAAAAAwAAAFBLAwQKAAkAAACYMi9SGoPq+xYAAAAKAAAALQAcADdiZDU1YjBhMjc2ZTA3NmNiYWY0NzBlNjQzNTlhZGI4LmZpbGVuYW1lLnR4dFVUCQADPzQBYD80AWB1eAsAAQQhAAAABCEAAABLQfOZfPB0svIGywREZ5dDLdomR6gPUEsHCBqD6vsWAAAACgAAAFBLAQIeAwoACQAAAJgyL1Kgt+vZDwAAAAMAAAAgABgAAAAAAAEAAACkgQAAAAA3YmQ1NWIwYTI3NmUwNzZjYmFmNDcwZTY0MzU5YWRiOFVUBQADPzQBYHV4CwABBCEAAAAEIQAAAFBLAQIeAwoACQAAAJgyL1Iag+r7FgAAAAoAAAAtABgAAAAAAAEAAACkgXkAAAA3YmQ1NWIwYTI3NmUwNzZjYmFmNDcwZTY0MzU5YWRiOC5maWxlbmFtZS50eHRVVAUAAz80AWB1eAsAAQQhAAAABCEAAABQSwUGAAAAAAIAAgDZAAAABgEAAAAA",
                        "ShadowAttribute": [],
                        "Sighting": [
                            {
                                "id": "1733",
                                "attribute_id": "1859",
                                "event_id": "106",
                                "org_id": "1",
                                "date_sighting": "1611207638",
                                "uuid": "feb085f1-1923-4327-a73d-b60a948377e4",
                                "source": "",
                                "type": "0",
                                "Organisation": {
                                    "id": "1",
                                    "uuid": "09b0dde1-2934-4310-a107-74b6f534f041",
                                    "name": "ORGNAME"
                                },
                                "attribute_uuid": "7920cd28-5082-47ce-9c3e-3ccbd5dae138"
                            }
                        ]
                    }
            }
    }
}

Fall-Repository

Ergebnistyp	Wert/Beschreibung	Typ
Ausgabenachricht*	Bei Erfolg für eine Entität: „Die bereitgestellten Dateien wurden erfolgreich in MISP in das Ereignis {0} hochgeladen“.format(event_id) Kritischer Fehler (Aktion fehlgeschlagen): „Fehler beim Ausführen der Aktion ‚Datei hochladen‘. Grund: {0}".format(stacktrace) Wenn ein ungültiger Parameter in „Verteilung“ angegeben ist(Fehleraktion): „Fehler beim Ausführen der Aktion ‚Datei hochladen‘. Grund: Für den Parameter „Distribution“ wurde ein ungültiger Wert angegeben. Zulässige Zahlen: 0,1,2,3. Zulässige Strings: Organisation, Community, Connected, All. Wenn ein ungültiger Parameter in „Gefahrenstufe“ angegeben ist (Aktion fehlgeschlagen): „Fehler beim Ausführen der Aktion ‚Datei hochladen‘. Grund: Für den Parameter „Threat Level“ (Bedrohungsstufe) wurde ein ungültiger Wert angegeben. Zulässige Zahlen: 1,2,3,4. Zulässige Strings: „High“, „Medium“, „Low“, „Undefined“. Wenn ein ungültiger Parameter in „Category“ angegeben ist (Fehleraktion): „Fehler beim Ausführen der Aktion ‚Datei hochladen‘. Grund: Für den Parameter „Category“ wurde ein ungültiger Wert angegeben. Zulässige Werte: „External Analysis“, „Payload Delivery“, „Artifacts Dropped“, „Payload Installation“. Wenn in „Analyse“ ein ungültiger Parameter angegeben ist (Fehleraktion): „Fehler beim Ausführen der Aktion ‚Datei hochladen‘. Grund: Für den Parameter „Analysis“ wurde ein ungültiger Wert angegeben. Zulässige Zahlen: 0,1,2. Zulässige Strings: „Initial“, „Ongoing“, „Completed“. Wenn mindestens eine der Dateien nicht verfügbar ist: „Fehler beim Ausführen der Aktion ‚Datei hochladen‘. Grund: Auf die folgenden Dateien konnte nicht zugegriffen werden: \n {0}".format(file paths, that were not accessible.) Event-ID wurde nicht gefunden (Aktion fehlgeschlagen) „Fehler beim Ausführen der Aktion ‚Datei hochladen‘. Grund: Ereignis mit {0} {1} wurde in MISP nicht gefunden“.format(ID/UUID, event_id)	Allgemein

Ergebnistyp

Wert/Beschreibung

Typ

Ausgabenachricht*

Bei Erfolg für eine Entität: „Die bereitgestellten Dateien wurden erfolgreich in MISP in das Ereignis {0} hochgeladen“.format(event_id)

Kritischer Fehler (Aktion fehlgeschlagen): „Fehler beim Ausführen der Aktion ‚Datei hochladen‘. Grund: {0}".format(stacktrace)

Wenn ein ungültiger Parameter in „Verteilung“ angegeben ist(Fehleraktion):

„Fehler beim Ausführen der Aktion ‚Datei hochladen‘. Grund: Für den Parameter „Distribution“ wurde ein ungültiger Wert angegeben. Zulässige Zahlen: 0,1,2,3. Zulässige Strings: Organisation, Community, Connected, All.

Wenn ein ungültiger Parameter in „Gefahrenstufe“ angegeben ist (Aktion fehlgeschlagen): „Fehler beim Ausführen der Aktion ‚Datei hochladen‘. Grund: Für den Parameter „Threat Level“ (Bedrohungsstufe) wurde ein ungültiger Wert angegeben. Zulässige Zahlen: 1,2,3,4. Zulässige Strings: „High“, „Medium“, „Low“, „Undefined“.

Wenn ein ungültiger Parameter in „Category“ angegeben ist (Fehleraktion): „Fehler beim Ausführen der Aktion ‚Datei hochladen‘. Grund: Für den Parameter „Category“ wurde ein ungültiger Wert angegeben. Zulässige Werte: „External Analysis“, „Payload Delivery“, „Artifacts Dropped“, „Payload Installation“.

Wenn in „Analyse“ ein ungültiger Parameter angegeben ist (Fehleraktion): „Fehler beim Ausführen der Aktion ‚Datei hochladen‘. Grund: Für den Parameter „Analysis“ wurde ein ungültiger Wert angegeben. Zulässige Zahlen: 0,1,2. Zulässige Strings: „Initial“, „Ongoing“, „Completed“.

Wenn mindestens eine der Dateien nicht verfügbar ist: „Fehler beim Ausführen der Aktion ‚Datei hochladen‘. Grund: Auf die folgenden Dateien konnte nicht zugegriffen werden: \n {0}".format(file paths, that were not accessible.)

Event-ID wurde nicht gefunden (Aktion fehlgeschlagen) „Fehler beim Ausführen der Aktion ‚Datei hochladen‘. Grund: Ereignis mit {0} {1} wurde in MISP nicht gefunden“.format(ID/UUID, event_id)

Allgemein

Ping

Verbindung testen

Parameter

–

Anwendungsfälle

–

Ausführen am

Diese Aktion wird für alle Elemente ausgeführt.

Aktionsergebnisse

Entitätsanreicherung

–

Statistiken

–

Scriptergebnis

Name des Scriptergebnisses	Wertoptionen	Beispiel
Erfolgreich	Wahr/falsch	success:False

JSON-Ergebnis

N/A

Tag aus einem Ereignis entfernen

Entfernen Sie Tags aus dem Ereignis in MISP.

Parameter

Anzeigename des Parameters	Typ	Standardwert	Ist obligatorisch	Beschreibung
Ereignis-ID	String	–	Ja	Geben Sie die ID oder UUID des Ereignisses an, aus dem Sie Tags entfernen möchten.
Tag-Name	CSV	–	Ja	Geben Sie eine durch Kommas getrennte Liste der Tags an, die Sie aus Ereignissen entfernen möchten.

Anwendungsfälle

Ereignis neu klassifizieren:Entfernen Sie das Tag für die Neuklassifizierung.

Aktionsergebnisse

Scriptergebnis

Name des Scriptergebnisses	Wertoptionen	Beispiel
is_success	Wahr/falsch	is_success:False

JSON-Ergebnis

[
    {
        "saved": true,
        "success": "Tag removed.",
        "check_publish": true
    }
]

Fall-Repository

Ergebnistyp	Wert/Beschreibung	Typ
Ausgabenachricht*	Wenn alle Tags aus einem Ereignis entfernt wurden: „Successfully removed the following tags from the event with {0} {1} in MISP: {2}.“ (Die folgenden Tags wurden aus dem Ereignis mit {0} {1} in MISP entfernt: {2}).format(ID/UUID, event_id, tags) Wenn einige Tags nicht erfolgreich aus einem Ereignis entfernt wurden: „Action wasn't able to remove the following tags from the event with {0} {1} in MISP: {2}.“ (Die Aktion konnte die folgenden Tags nicht aus dem Ereignis mit {0} {1} in MISP entfernen: {2}.)“.format(ID/UUID, event_id, tags) Wenn nicht für alle erfolgreich: „No tags were removed from the event with {0} {1} in MISP“.format(ID/UUID, event_id) Wenn mindestens ein Tag nicht gefunden wurde: „Die folgenden Tags wurden in MISP nicht gefunden: \n{0}“.format(Liste der Tags, die in MISP nicht gefunden wurden) Wenn nicht alle Tags gefunden wurden: „Keines der angegebenen Tags wurde in MISP gefunden.“ Kritischer Fehler (Aktion fehlgeschlagen): „Fehler beim Ausführen der Aktion ‚Tag aus einem Ereignis entfernen‘. Grund: {0}".format(stacktrace) Ereignis-ID nicht gefunden (Fehleraktion) „Fehler beim Ausführen der Aktion ‚Tag aus Ereignis entfernen‘. Grund: Ereignis mit {0} {1} wurde in MISP nicht gefunden“.format(ID/UUID, event_id)	Allgemein

Ergebnistyp

Wert/Beschreibung

Typ

Ausgabenachricht*

Wenn alle Tags aus einem Ereignis entfernt wurden: „Successfully removed the following tags from the event with {0} {1} in MISP: {2}.“ (Die folgenden Tags wurden aus dem Ereignis mit {0} {1} in MISP entfernt: {2}).format(ID/UUID, event_id, tags)

Wenn einige Tags nicht erfolgreich aus einem Ereignis entfernt wurden: „Action wasn't able to remove the following tags from the event with {0} {1} in MISP: {2}.“ (Die Aktion konnte die folgenden Tags nicht aus dem Ereignis mit {0} {1} in MISP entfernen: {2}.)“.format(ID/UUID, event_id, tags)

Wenn nicht für alle erfolgreich: „No tags were removed from the event with {0} {1} in MISP“.format(ID/UUID, event_id)

Wenn mindestens ein Tag nicht gefunden wurde: „Die folgenden Tags wurden in MISP nicht gefunden: \n{0}“.format(Liste der Tags, die in MISP nicht gefunden wurden)

Wenn nicht alle Tags gefunden wurden: „Keines der angegebenen Tags wurde in MISP gefunden.“

Kritischer Fehler (Aktion fehlgeschlagen): „Fehler beim Ausführen der Aktion ‚Tag aus einem Ereignis entfernen‘. Grund: {0}".format(stacktrace)

Ereignis-ID nicht gefunden (Fehleraktion) „Fehler beim Ausführen der Aktion ‚Tag aus Ereignis entfernen‘. Grund: Ereignis mit {0} {1} wurde in MISP nicht gefunden“.format(ID/UUID, event_id)

Allgemein

Tag einem Attribut hinzufügen

Mit dieser Aktion kann ein Nutzer einem bestimmten Attribut in MISP ein Tag hinzufügen. Dadurch wird dem Attribut eine Klassifizierung basierend auf der Kategorie der Sicherheitsbedrohung hinzugefügt, die vom IOC im Attribut ausgeht.

Parameter

Anzeigename des Parameters	Typ	Standardwert	Ist obligatorisch	Beschreibung
Ereignis-ID	Ganzzahl	–	Ja	Die ID des Ereignisses, dem das Attribut zugeordnet ist. Beispiel 1:
Tag-Name	String	–	Ja	Der Name des Tags, das einem Attribut hinzugefügt werden soll.
Attributname	String	–	Ja	Der Name des Attributs, das getaggt werden soll.
Kategorie	String	–	Ja	Die Kategorie, zu der das Attribut gehört, z. B. „Nutzlastbereitstellung“.
Typ	String	–	Ja	Der Typ des Attributs, z. B. „filename“.
Objekt-UUID	String	–	Nein	Die eindeutige Kennung für ein Objekt im Ereignis.

Anwendungsfälle

Attribut anhand des IOC-Typs klassifizieren:Fügen Sie dem Attribut ein Tag hinzu.

Ausführen am

Diese Aktion wird für alle Elemente ausgeführt.

Aktionsergebnisse

Entitätsanreicherung

–

Statistiken

–

Scriptergebnis

Name des Scriptergebnisses	Wertoptionen	Beispiel
is_success	Wahr/falsch	is_success:False

JSON-Ergebnis

[
    {
        "name": "Global tag unique___test(7) successfully attached to Attribute(9).",
        "message": "Global tag unique___test(7) successfully attached to Attribute(9).",
        "url": "/tags/attachTagToObject"
    }
]

Tag aus einem Attribut entfernen

Tags aus Attributen in MISP entfernen

Parameter

Anzeigename des Parameters	Typ	Standardwert	Ist obligatorisch	Beschreibung
Ereignis-ID	String	–	Nein	Geben Sie die ID oder UUID des Ereignisses an, in dem nach Attributen gesucht werden soll. Dieser Parameter ist erforderlich, wenn „Attributsuche“ auf „Bereitgestelltes Ereignis“ festgelegt ist.
Tag-Name	CSV	–	Ja	Geben Sie eine durch Kommas getrennte Liste der Tags an, die Sie aus Attributen entfernen möchten.
Attributname	CSV	–	Nein	Geben Sie eine durch Kommas getrennte Liste von Attributkennungen an, aus denen Sie Tags entfernen möchten. Hinweis: Wenn sowohl „Attributname“ als auch „Attribut-UUID“ angegeben sind, wird die Aktion mit den Werten für „Attribut-UUID“ ausgeführt.
Kategorie	CSV	–	Nein	Geben Sie eine durch Kommas getrennte Liste von Kategorien an. Falls angegeben, werden durch die Aktion nur Tags aus Attributen mit einer übereinstimmenden Kategorie entfernt. Wenn nichts angegeben ist, werden Kategorien in Attributen ignoriert. Mögliche Werte: „External Analysis“, „Payload Delivery“, „Artifacts Dropped“, „Payload Installation“.
Typ	CSV	–	Nein	Geben Sie eine durch Kommas getrennte Liste von Attributtypen an. Falls angegeben, werden mit der Aktion nur Tags aus Attributen mit übereinstimmendem Attributtyp entfernt. Wenn nichts angegeben ist, werden Typen in Attributen ignoriert. Beispielwerte: md5, sha1, ip-src, ip-dst
Objekt-UUID	CSV	–		Geben Sie die UUID des Objekts an, das das gewünschte Attribut enthält.
Attributsuche	DDL	Bereitgestelltes Ereignis Mögliche Werte: Alle Ereignisse Bereitgestelltes Ereignis	Ja	Geben Sie an, wo die Aktion nach Attributen suchen soll. Wenn „Bereitgestelltes Ereignis“ ausgewählt ist, sucht die Aktion nur nach Attributen oder Attribut-UUIDs im Ereignis mit der ID/UUID, die im Parameter „Ereignis-ID“ angegeben ist. Wenn Sie „Alle Ereignisse“ auswählen, wird in allen Ereignissen nach Attributen gesucht und Tags werden aus allen Attributen entfernt, die unseren Kriterien entsprechen.
Attribut-UUID	CSV			Geben Sie eine durch Kommas getrennte Liste der UUIDs von Attributen an, aus denen Sie neue Tags entfernen möchten. Hinweis: Wenn sowohl „Attributname“ als auch „Attribut-UUID“ angegeben sind, wird die Aktion mit den Werten für „Attribut-UUID“ ausgeführt.

Anwendungsfälle

Attribut neu klassifizieren:Tag für die Neuklassifizierung entfernen

Ausführen am

Diese Aktion wird für alle Elemente ausgeführt.

Aktionsergebnisse

Scriptergebnis

Name des Scriptergebnisses	Wertoptionen	Beispiel
is_success	Wahr/falsch	is_success:False

JSON-Ergebnis

[
    {
        "name": "Tag unique___test(7) successfully removed from Attribute(9).",
        "message": "Tag unique___test(7) successfully removed from Attribute(9).",
        "url": "/tags/removeTagFromObject"
    }
]

Fall-Repository

Ergebnistyp	Wert/Beschreibung	Typ>
Ausgabenachricht*	Wenn Tags erfolgreich aus mindestens einem Attribut entfernt wurden: „Tags wurden erfolgreich aus den folgenden Attributen in MISP entfernt:\n{0}“.format(Attributname/Objekt-UUID) Wenn Tags nicht erfolgreich aus mindestens einem Attribut entfernt wurden: „Tags wurden nicht aus den folgenden Attributen in MISP entfernt:\n{0}“.format(Attributname/Objekt-UUID) Wenn nicht für alle erfolgreich: „Es wurden keine Tags aus den angegebenen Attributen in MISP entfernt.“ Wenn mindestens ein Tag nicht gefunden wurde: „Die folgenden Tags wurden in MISP nicht gefunden: \n{0}“.format(Liste der Tags, die in MISP nicht gefunden wurden) Wenn nicht alle Tags gefunden wurden: „Keines der angegebenen Tags wurde in MISP gefunden.“ Kritischer Fehler (Aktion fehlgeschlagen): „Fehler beim Ausführen der Aktion ‚Tag aus Attribut entfernen‘. Grund: {0}".format(stacktrace) Wenn in „Kategorie“ ein ungültiger Parameter angegeben ist (Fehleraktion): „Fehler beim Ausführen der Aktion ‚Tag aus Attribut entfernen‘. Grund: Für den Parameter „Category“ wurde ein ungültiger Wert angegeben. Zulässige Werte: „External Analysis“, „Payload Delivery“, „Artifacts Dropped“, „Payload Installation“. Wenn „Bereitgestelltes Ereignis“ ausgewählt ist, aber keine Ereignis-ID: „Fehler beim Ausführen der Aktion ‚Tag aus Attribut entfernen‘. Grund: Die Ereignis-ID muss angegeben werden, wenn für den Parameter „Attributsuche“ die Option „Bereitgestelltes Ereignis“ ausgewählt ist. Event-ID nicht gefunden (Fehleraktion): „Fehler beim Ausführen der Aktion ‚Tag aus Attribut entfernen‘. Grund: Ereignis mit {0} {1} wurde in MISP nicht gefunden“.format(ID/UUID, event_id)	Allgemein

Ergebnistyp

Wert/Beschreibung

Typ>

Ausgabenachricht*

Wenn Tags erfolgreich aus mindestens einem Attribut entfernt wurden: „Tags wurden erfolgreich aus den folgenden Attributen in MISP entfernt:\n{0}“.format(Attributname/Objekt-UUID)

Wenn Tags nicht erfolgreich aus mindestens einem Attribut entfernt wurden: „Tags wurden nicht aus den folgenden Attributen in MISP entfernt:\n{0}“.format(Attributname/Objekt-UUID)

Wenn nicht für alle erfolgreich: „Es wurden keine Tags aus den angegebenen Attributen in MISP entfernt.“

Wenn mindestens ein Tag nicht gefunden wurde: „Die folgenden Tags wurden in MISP nicht gefunden: \n{0}“.format(Liste der Tags, die in MISP nicht gefunden wurden)

Wenn nicht alle Tags gefunden wurden: „Keines der angegebenen Tags wurde in MISP gefunden.“

Kritischer Fehler (Aktion fehlgeschlagen): „Fehler beim Ausführen der Aktion ‚Tag aus Attribut entfernen‘. Grund: {0}".format(stacktrace)

Wenn in „Kategorie“ ein ungültiger Parameter angegeben ist (Fehleraktion): „Fehler beim Ausführen der Aktion ‚Tag aus Attribut entfernen‘. Grund: Für den Parameter „Category“ wurde ein ungültiger Wert angegeben. Zulässige Werte: „External Analysis“, „Payload Delivery“, „Artifacts Dropped“, „Payload Installation“.

Wenn „Bereitgestelltes Ereignis“ ausgewählt ist, aber keine Ereignis-ID: „Fehler beim Ausführen der Aktion ‚Tag aus Attribut entfernen‘. Grund: Die Ereignis-ID muss angegeben werden, wenn für den Parameter „Attributsuche“ die Option „Bereitgestelltes Ereignis“ ausgewählt ist.

Event-ID nicht gefunden (Fehleraktion): „Fehler beim Ausführen der Aktion ‚Tag aus Attribut entfernen‘. Grund: Ereignis mit {0} {1} wurde in MISP nicht gefunden“.format(ID/UUID, event_id)

Allgemein

Termin veröffentlichen

Mit dieser Aktion kann der Nutzer ein Event veröffentlichen. Wenn Sie ein Ereignis veröffentlichen, wird es für die ausgewählte Freigabegruppe freigegeben und ist für alle Mitglieder sichtbar.

Parameter

Anzeigename des Parameters	Typ	Standardwert	Ist obligatorisch	Beschreibung
Ereignis-ID	String	–	Ja	Geben Sie die ID oder UUID des Ereignisses an, das Sie veröffentlichen möchten.

Anwendungsfälle

Veranstaltung veröffentlichen:

Noch besser
Ereignisattribute hinzufügen
Termin veröffentlichen

Aktionsergebnisse

Scriptergebnis

Name des Scriptergebnisses	Wertoptionen	Beispiel
is_success	Wahr/falsch	is_success:False

JSON-Ergebnis

[
    {
        "Event": {
            "id": "3",
            "orgc_id": "1",
            "org_id": "1",
            "date": "2019-12-27",
            "threat_level_id": "1",
            "info": "Connection to .ch",
            "published": true,
            "uuid": "5e05dd29-7b90-474d-b5f6-51ae0a00024b",
            "attribute_count": "0",
            "analysis": "1",
            "timestamp": "1577774920",
            "distribution": "3",
            "proposal_email_lock": false,
            "locked": false,
            "publish_timestamp": "1577774846",
            "sharing_group_id": "0",
            "disable_correlation": false,
            "extends_uuid": "5e05db24-1e98-4bb9-bd56-51fd0a00024b",
            "event_creator_email": "admin@admin.test",
            "Org": {
                "id": "1",
                "name": "ORGNAME",
                "uuid": "5dfc9b8f-c320-4b6d-ac1c-4f4e8bdc3fef",
                "local": true
            },
            "Orgc": {
                "id": "1",
                "name": "ORGNAME",
                "uuid": "5dfc9b8f-c320-4b6d-ac1c-4f4e8bdc3fef",
                "local": true
            },
            "Attribute": [],
            "ShadowAttribute": [],
            "RelatedEvent": [],
            "Galaxy": [],
            "Object": [],
            "Tag": [
                {
                    "id": "7",
                    "name": "unique___test",
                    "colour": "#9648c4",
                    "exportable": true,
                    "user_id": "0",
                    "hide_tag": false,
                    "numerical_value": null,
                    "local": 0
                }
            ]
        }
    }
]

Fall-Repository

Ergebnistyp	Wert/Beschreibung	Typ
Ausgabenachricht*	Bei Erfolg: „Successfully published event with {0} {1} in MISP.“ (Ereignis mit {0} {1} wurde in MISP veröffentlicht).format(ID/UUID, event_id) Bei Misserfolg: „Event with {0} {1} was not published in MISP“.format(ID/UUID, event_id) Kritischer Fehler (Aktion fehlgeschlagen) „Fehler beim Ausführen der Aktion ‚Ereignis veröffentlichen‘. Grund: {0}".format(stacktrace) Event-ID wurde nicht gefunden (Aktion fehlgeschlagen) „Fehler beim Ausführen der Aktion ‚Event veröffentlichen‘. Grund: Ereignis mit {0} {1} wurde in MISP nicht gefunden“.format(ID/UUID, event_id)	Allgemein

Ergebnistyp

Wert/Beschreibung

Typ

Ausgabenachricht*

Bei Erfolg: „Successfully published event with {0} {1} in MISP.“ (Ereignis mit {0} {1} wurde in MISP veröffentlicht).format(ID/UUID, event_id)

Bei Misserfolg: „Event with {0} {1} was not published in MISP“.format(ID/UUID, event_id)

Kritischer Fehler (Aktion fehlgeschlagen) „Fehler beim Ausführen der Aktion ‚Ereignis veröffentlichen‘. Grund: {0}".format(stacktrace)

Event-ID wurde nicht gefunden (Aktion fehlgeschlagen) „Fehler beim Ausführen der Aktion ‚Event veröffentlichen‘. Grund: Ereignis mit {0} {1} wurde in MISP nicht gefunden“.format(ID/UUID, event_id)

Allgemein

Veröffentlichung des Ereignisses aufheben

Mit der Aktion kann der Nutzer ein Event aus der Veröffentlichung entfernen. Wenn Sie eine Veranstaltung aus der Veröffentlichung entfernen, ist sie für die freigegebenen Gruppen nicht mehr sichtbar.

Parameter

Anzeigename des Parameters	Typ	Standardwert	Ist obligatorisch	Beschreibung
Ereignis-ID	String	–	Ja	Geben Sie die ID oder UUID des Ereignisses an, dessen Veröffentlichung Sie aufheben möchten.

Aktionsergebnisse

Scriptergebnis

Name des Scriptergebnisses	Wertoptionen	Beispiel
is_success	Wahr/falsch	is_success:False

JSON-Ergebnis

[
    {
        "Event": {
            "id": "3",
            "orgc_id": "1",
            "org_id": "1",
            "date": "2019-12-27",
            "threat_level_id": "1",
            "info": "Connection to .ch",
            "published": false,
            "uuid": "5e05dd29-7b90-474d-b5f6-51ae0a00024b",
            "attribute_count": "0",
            "analysis": "1",
            "timestamp": "1577774920",
            "distribution": "3",
            "proposal_email_lock": false,
            "locked": false,
            "publish_timestamp": "1577774846",
            "sharing_group_id": "0",
            "disable_correlation": false,
            "extends_uuid": "5e05db24-1e98-4bb9-bd56-51fd0a00024b",
            "event_creator_email": "admin@admin.test",
            "Org": {
                "id": "1",
                "name": "ORGNAME",
                "uuid": "5dfc9b8f-c320-4b6d-ac1c-4f4e8bdc3fef",
                "local": true
            },
            "Orgc": {
                "id": "1",
                "name": "ORGNAME",
                "uuid": "5dfc9b8f-c320-4b6d-ac1c-4f4e8bdc3fef",
                "local": true
            },
            "Attribute": [],
            "ShadowAttribute": [],
            "RelatedEvent": [],
            "Galaxy": [],
            "Object": [],
            "Tag": [
                {
                    "id": "7",
                    "name": "unique___test",
                    "colour": "#9648c4",
                    "exportable": true,
                    "user_id": "0",
                    "hide_tag": false,
                    "numerical_value": null,
                    "local": 0
                }
            ]
        }
    }
]

Fall-Repository

Ergebnistyp	Wert/Beschreibung	Typ
Ausgabenachricht*	Bei Erfolg: „Successfully unpublished event with {0} {1} in MISP.“ (Veröffentlichung des Ereignisses mit {0} {1} in MISP wurde aufgehoben).format(ID/UUID, event_id) Wenn nicht erfolgreich: „Event with {0} {1} was not unpublished in MISP“.format(ID/UUID, event_id) Kritischer Fehler (Aktion fehlgeschlagen): „Fehler beim Ausführen der Aktion ‚Eventveröffentlichung aufheben‘. Grund: {0}".format(stacktrace) Event-ID nicht gefunden (Fehleraktion) „Fehler beim Ausführen der Aktion ‚Event-Veröffentlichung aufheben‘. Grund: Ereignis mit {0} {1} wurde in MISP nicht gefunden“.format(ID/UUID, event_id)	Allgemein

Ergebnistyp

Wert/Beschreibung

Typ

Ausgabenachricht*

Bei Erfolg: „Successfully unpublished event with {0} {1} in MISP.“ (Veröffentlichung des Ereignisses mit {0} {1} in MISP wurde aufgehoben).format(ID/UUID, event_id)

Wenn nicht erfolgreich: „Event with {0} {1} was not unpublished in MISP“.format(ID/UUID, event_id)

Kritischer Fehler (Aktion fehlgeschlagen): „Fehler beim Ausführen der Aktion ‚Eventveröffentlichung aufheben‘. Grund: {0}".format(stacktrace)

Event-ID nicht gefunden (Fehleraktion) „Fehler beim Ausführen der Aktion ‚Event-Veröffentlichung aufheben‘. Grund: Ereignis mit {0} {1} wurde in MISP nicht gefunden“.format(ID/UUID, event_id)

Allgemein

Attribut löschen

Attribute in MISP löschen Unterstützte Hashwerte: MD5, SHA1, SHA224, SHA256, SHA384, SHA512, SSDeep.

Parameter

Anzeigename des Parameters	Typ	Standardwert	Ist obligatorisch	Beschreibung
Ereignis-ID	String	–	Nein	Geben Sie die ID oder UUID des Ereignisses an, in dem nach Attributen gesucht werden soll. Dieser Parameter ist erforderlich, wenn „Attributsuche“ auf „Bereitgestelltes Ereignis“ festgelegt ist.
Attributname	CSV	–	Nein	Geben Sie eine durch Kommas getrennte Liste der Attributkennungen an, die Sie löschen möchten. Hinweis: Wenn sowohl „Attributname“ als auch „Attribut-UUID“ angegeben sind, wird die Aktion mit den Werten für „Attribut-UUID“ ausgeführt.
Kategorie	CSV	–	Nein	Geben Sie eine durch Kommas getrennte Liste von Kategorien an. Wenn angegeben, werden durch die Aktion nur Attribute mit einer übereinstimmenden Kategorie gelöscht. Wenn nichts angegeben ist, werden Kategorien in Attributen ignoriert. Mögliche Werte: „External Analysis“, „Payload Delivery“, „Artifacts Dropped“, „Payload Installation“.
Typ	CSV	–	Nein	Geben Sie eine durch Kommas getrennte Liste von Attributtypen an. Falls angegeben, werden durch die Aktion nur Attribute mit dem entsprechenden Attributtyp gelöscht. Wenn nichts angegeben ist, werden Typen in Attributen ignoriert. Beispielwerte: md5, sha1, ip-src, ip-dst
Objekt-UUID	String	–	Nein	Die eindeutige Kennung für ein Objekt im Ereignis.
Attributsuche	DDL	Bereitgestelltes Ereignis Mögliche Werte: Alle Ereignisse Bereitgestelltes Ereignis	Ja	Geben Sie an, wo die Aktion nach Attributen suchen soll. Wenn „Bereitgestelltes Ereignis“ ausgewählt ist, sucht die Aktion nur nach Attributen oder Attribut-UUIDs im Ereignis mit der ID/UUID, die im Parameter „Ereignis-ID“ angegeben ist. Bei „Alle Ereignisse“ wird in allen Ereignissen nach Attributen gesucht und alle Attribute, die unseren Kriterien entsprechen, werden gelöscht.
Attribut-UUID	CSV			Geben Sie eine durch Kommas getrennte Liste der Attribut-UUIDs an, die Sie löschen möchten. Hinweis: Wenn sowohl „Attributname“ als auch „Attribut-UUID“ angegeben sind, wird die Aktion mit den Werten für „Attribut-UUID“ ausgeführt.

Anwendungsfälle

Ein Attribut aus einem Ereignis entfernen

Ausführen am

Diese Aktion wird für alle Elemente ausgeführt.

Aktionsergebnisse

Scriptergebnis

Name des Scriptergebnisses	Wertoptionen	Beispiel
is_success	Wahr/falsch	is_success:False

JSON-Ergebnis

[
    {
        "message": "Attribute deleted."
    }
]

Fall-Repository

Ergebnistyp	Wertbeschreibung	Typ
Ausgabenachricht*	Wenn mindestens einem Attribut erfolgreich ein Sighting hinzugefügt wurde: „Successfully deleted the following attributes in MISP:\n{0}“.format(attribute name/object UUID) Wenn die Sichtung nicht mindestens einem Attribut hinzugefügt wurde: „Die Aktion hat die folgenden Attribute in MISP nicht gelöscht:\n{0}“.format(Attributname/Objekt-UUID) Wenn nicht für alle erfolgreich: „No attributes were deleted in MISP“ (Es wurden keine Attribute in MISP gelöscht) Kritischer Fehler (Aktion fehlgeschlagen): „Fehler beim Ausführen der Aktion ‚Attribut löschen‘. Grund: {0}".format(stacktrace) Wenn ein ungültiger Parameter in „Category“ (Fehleraktion) angegeben ist: „Error executing action ‚Delete an Attribute‘. Grund: Für den Parameter „Category“ wurde ein ungültiger Wert angegeben. Zulässige Werte: „External Analysis“, „Payload Delivery“, „Artifacts Dropped“, „Payload Installation“. Wenn „Bereitgestelltes Ereignis“ ausgewählt ist, aber keine Ereignis-ID: „Fehler beim Ausführen der Aktion ‚Attribut löschen‘. Grund: Die Ereignis-ID muss angegeben werden, wenn für den Parameter „Attributsuche“ die Option „Bereitgestelltes Ereignis“ ausgewählt ist. Event ID is not found (fail action) (Ereignis-ID nicht gefunden (Fehleraktion)): „Error executing action "Delete an Attribute". Grund: Ereignis mit {0} {1} wurde in MISP nicht gefunden“.format(ID/UUID, event_id)	Allgemein

Ergebnistyp

Wertbeschreibung

Typ

Ausgabenachricht*

Wenn mindestens einem Attribut erfolgreich ein Sighting hinzugefügt wurde: „Successfully deleted the following attributes in MISP:\n{0}“.format(attribute name/object UUID)

Wenn die Sichtung nicht mindestens einem Attribut hinzugefügt wurde: „Die Aktion hat die folgenden Attribute in MISP nicht gelöscht:\n{0}“.format(Attributname/Objekt-UUID)

Wenn nicht für alle erfolgreich: „No attributes were deleted in MISP“ (Es wurden keine Attribute in MISP gelöscht)

Kritischer Fehler (Aktion fehlgeschlagen): „Fehler beim Ausführen der Aktion ‚Attribut löschen‘. Grund: {0}".format(stacktrace)

Wenn ein ungültiger Parameter in „Category“ (Fehleraktion) angegeben ist: „Error executing action ‚Delete an Attribute‘. Grund: Für den Parameter „Category“ wurde ein ungültiger Wert angegeben. Zulässige Werte: „External Analysis“, „Payload Delivery“, „Artifacts Dropped“, „Payload Installation“.

Wenn „Bereitgestelltes Ereignis“ ausgewählt ist, aber keine Ereignis-ID: „Fehler beim Ausführen der Aktion ‚Attribut löschen‘. Grund: Die Ereignis-ID muss angegeben werden, wenn für den Parameter „Attributsuche“ die Option „Bereitgestelltes Ereignis“ ausgewählt ist.

Event ID is not found (fail action) (Ereignis-ID nicht gefunden (Fehleraktion)): „Error executing action "Delete an Attribute". Grund: Ereignis mit {0} {1} wurde in MISP nicht gefunden“.format(ID/UUID, event_id)

Allgemein

Termin löschen

Löschen Sie das Ereignis in MISP.

Parameter

Anzeigename des Parameters	Typ	Standardwert	Ist obligatorisch	Beschreibung
Ereignis-ID	String	–	Ja	Geben Sie die ID oder UUID des Ereignisses an, das Sie löschen möchten.

Anwendungsfälle

Termin endgültig löschen

Ausführen am

Diese Aktion wird für die Nutzerentität ausgeführt.

Aktionsergebnisse

Scriptergebnis

Name des Scriptergebnisses	Wertoptionen	Beispiel
is_success	Wahr/falsch	is_success:False

JSON-Ergebnis

[
    {
        "name": "Event deleted.",
        "message": "Event deleted.",
        "url": "/events/delete/4"
    }
]

Fall-Repository

Ergebnistyp	Wertbeschreibung	Typ
Ausgabenachricht*	Bei Erfolg: „Successfully deleted event with {0} {1} in MISP“.format(ID/UUID, event_id) Kritischer Fehler (Aktion fehlgeschlagen): „Fehler beim Ausführen der Aktion ‚Termin löschen‘. Grund: {0}.format(traceback) Event-ID nicht gefunden (Aktion fehlgeschlagen) „Fehler beim Ausführen der Aktion ‚Termin löschen‘. Grund: Ereignis mit {0} {1} wurde in MISP nicht gefunden“.format(ID/UUID, event_id)	Allgemein

Ergebnistyp

Wertbeschreibung

Typ

Ausgabenachricht*

Bei Erfolg: „Successfully deleted event with {0} {1} in MISP“.format(ID/UUID, event_id)

Kritischer Fehler (Aktion fehlgeschlagen): „Fehler beim Ausführen der Aktion ‚Termin löschen‘. Grund: {0}.format(traceback)

Event-ID nicht gefunden (Aktion fehlgeschlagen) „Fehler beim Ausführen der Aktion ‚Termin löschen‘. Grund: Ereignis mit {0} {1} wurde in MISP nicht gefunden“.format(ID/UUID, event_id)

Allgemein

Misp-Objekt für Datei erstellen

Mit der Aktion kann der Nutzer Dateiattribute, die sich auf ein Ereignis beziehen, in einem einzelnen Objekt organisieren, das eine Datei mit ihren Metainformationen beschreibt. Das Objekt mit den Attributen wird dann an ein bestimmtes Ereignis angehängt.

Parameter

Anzeigename des Parameters	Typ	Standardwert	Ist obligatorisch	Beschreibung
Ereignis-ID	String	–	Ja	Die eindeutige Kennung des Ereignisses, dem das Objekt hinzugefügt werden soll. Beispiel: 1
Dateiname	String	–	Nein	Der Dateiname der Datei.
MD5	String	–	Nein	Der MD5-Hashwert der Datei.
SHA1	String	–	Nein	Der SHA1-Hashwert der Datei.
SHA256	String	–	Nein	Der SHA256-Hashwert der Datei.
SSDEEP	String	–	Nein	Der ssdeep-Wert der Datei. Beispiel: 96:p5aAS1tN0M3t9AnTNuG6TNOt5PR1TNZdkljOXTNSnKTF3X7KsTFW+kLtW6K8i7bI:p5mb4rgQhRp7GljCbF3LKqFjkwxtU
Imphash	String	–	Nein	Der MD5-Hashwert, der aus der importierten Tabelle berechnet wurde.

Anwendungsfälle

–

Ausführen am

Diese Aktion wird für alle Elemente ausgeführt.

Aktionsergebnisse

Entitätsanreicherung

–

Statistiken

–

Scriptergebnis

Name des Scriptergebnisses	Wertoptionen	Beispiel
is_success	Wahr/falsch	is_success:False

JSON-Ergebnis

N/A

IP-Port-Misp-Objekt erstellen

Mit der Aktion kann der Nutzer IP-Port-Attribute, die sich auf ein Ereignis beziehen, in einem einzelnen Objekt organisieren, das eine IP-Adresse (oder Domain oder Hostname) und einen Port als Tupel (oder als Triple) in einem bestimmten Zeitraum beschreibt . Das Objekt mit den Attributen wird dann an ein bestimmtes Ereignis angehängt.

Parameter

Anzeigename des Parameters	Typ	Standardwert	Ist obligatorisch	Beschreibung
Ereignis-ID	String	–	Ja	Die eindeutige Kennung des Ereignisses, dem das Objekt hinzugefügt werden soll. Beispiel: 1
Dst-port	String	–	Nein	Zielport.
Src-port	String	–	Nein	Quellport.
Domain	String	–	Nein	Domain (Domain verwalten).
Hostname	String	–	Nein	Hostname
IP-Src	String	–	Nein	Quell-IP-Adresse.
IP-Dst	String	–	Nein	IP-Adresse des Ziels.

Anwendungsfälle

–

Ausführen am

Diese Aktion wird für alle Elemente ausgeführt.

Aktionsergebnisse

Entitätsanreicherung

–

Statistiken

–

Scriptergebnis

Name des Scriptergebnisses	Wertoptionen	Beispiel
is_success	Wahr/falsch	is_success:False

JSON-Ergebnis

N/A

Misp-Objekt für Netzwerkverbindung erstellen

Erstellen Sie ein Netzwerkverbindungsobjekt in MISP. Erfordert die Angabe von Dst-port, Src-port, IP-Src oder IP-Dst oder die Einstellung des Parameters „Use Entities“ auf „true“.

Parameter

Anzeigename des Parameters	Typ	Standardwert	Ist obligatorisch	Beschreibung
Ereignis-ID	String	–	Ja	Geben Sie die ID oder UUID des Ereignisses an, dem Sie Netzwerkverbindungsobjekte hinzufügen möchten.
Dst-port	String	–	Nein	Geben Sie den Zielport an, den Sie dem Ereignis hinzufügen möchten.
Src-port	String	–	Nein	Geben Sie den Quellport an, den Sie dem Ereignis hinzufügen möchten.
Hostname-dst	String	–	Nein	Geben Sie das Quellziel an, das Sie dem Ereignis hinzufügen möchten.
Hostname-src	String	–	Nein	Geben Sie den Quell-Hostname an, den Sie dem Ereignis hinzufügen möchten.
IP-Src	String	–	Nein	Geben Sie die Quell-IP-Adresse an, die Sie dem Ereignis hinzufügen möchten.
IP-Dst	String	–	Nein	Geben Sie die Ziel-IP an, die Sie dem Ereignis hinzufügen möchten.
Layer3-Protokoll	String	–	Nein	Geben Sie das zugehörige Layer 3-Protokoll an, das Sie dem Ereignis hinzufügen möchten.
Layer4-Protokoll	String	–	Nein	Geben Sie das zugehörige Layer 4-Protokoll an, das Sie dem Ereignis hinzufügen möchten.
Layer7-Protokoll	String	–	Nein	Geben Sie das zugehörige Layer 7-Protokoll an, das Sie dem Ereignis hinzufügen möchten.
Entitäten verwenden	Kästchen	Deaktiviert	Nein	Wenn diese Option aktiviert ist, werden mit der Aktion Objekte anhand von Entitäten erstellt. Unterstützte Einheiten: IP-Adresse. „Use Entities“ hat Vorrang vor anderen Parametern.
IP-Typ	DDL	Quell-IP-Adresse Mögliche Werte: Quell-IP-Adresse Ziel-IP-Adresse		Geben Sie an, welcher Attributtyp für IP-Entitäten verwendet werden soll.

Ausführen am

Diese Aktion wird für alle Elemente ausgeführt.

Aktionsergebnisse

Scriptergebnis

Name des Scriptergebnisses	Wertoptionen	Beispiel
is_success	Wahr/falsch	is_success:False

JSON-Ergebnis

N/A

Fall-Repository

Ergebnistyp	Wertbeschreibung	Typ
Ausgabenachricht*	Bei Erfolg und wenn „Use Entities“ nicht „true“ ist: „Successfully created new network-connection object for event with {0} {1} in MISP.“ (Es wurde ein neues Netzwerkverbindungsobjekt für das Ereignis mit {0} {1} in MISP erstellt.).format(ID/UUID, event_id) Wenn nicht erfolgreich und „Use Entities“ nicht wahr ist: „Action wasn't able to created new network-connection object for event with {0} {1} in MISP. Grund: {2}".format(ID/UUID) Wenn der Vorgang für ein Element erfolgreich war und „Use Entities“ (Entitäten verwenden) auf „true“ gesetzt ist: „Successfully created new network-connection objects for event with {0} {1} in MISP based on the following entities: \n{0}".format(ID/UUID, event_id, entity.identifiers) (Für das Ereignis mit {0} {1} in MISP wurden basierend auf den folgenden Entitäten neue Netzwerkverbindungsobjekte erstellt: \n{0}".format(ID/UUID, event_id, entity.identifiers)) Wenn ein Fehler auftritt und „Use Entities“ (Entitäten verwenden) auf „true“ gesetzt ist: „Action wasn't able to create new network-connection objects for event with {0} {1} in MISP based on the following entities: \n{0}".format(ID/UUID, event_id, entity.identifiers) (Mit der Aktion konnten keine neuen Netzwerkverbindungsobjekte für das Ereignis mit {0} {1} in MISP auf Grundlage der folgenden Entitäten erstellt werden: \n{0}).format(ID/UUID, event_id, entity.identifiers) Wenn nicht für alle erfolgreich und „Use Entities“ (Entitäten verwenden) auf „true“ gesetzt ist: „Action wasn't able to create new network-connection objects for event with {0} {1} in MISP based on the provided entities.“ (Mit der Aktion konnten keine neuen Netzwerkverbindungsobjekte für das Ereignis mit {0} {1} in MISP auf Grundlage der bereitgestellten Entitäten erstellt werden.).format(ID/UUID, event_id) Schwerwiegender Fehler (Aktion fehlgeschlagen) „Fehler beim Ausführen der Aktion ‚Misp-Objekt für Netzwerkverbindung erstellen‘. Grund: {0}".format(stacktrace) Event-ID nicht gefunden (Aktion fehlgeschlagen) „Fehler beim Ausführen der Aktion ‚Misp-Objekt für Netzwerkverbindung erstellen‘. Grund: Ereignis mit {0} {1} wurde in MISP nicht gefunden“.format(ID/UUID, event_id) Wenn keine der folgenden Angaben gemacht werden: Dst-Port, Src-Port, IP-Src, IP-Dst und „Use Entities“ == false: „Error executing action ‚Create network-connection Misp Object‘. Grund: Einer der folgenden Parameter muss angegeben werden: „Dst-port“, „Src-port“, „IP-Src“, „IP-Dst“. Alternativ kann der Parameter „Use Entities“ auf „true“ gesetzt werden.	Allgemein

Ergebnistyp

Wertbeschreibung

Typ

Ausgabenachricht*

Bei Erfolg und wenn „Use Entities“ nicht „true“ ist: „Successfully created new network-connection object for event with {0} {1} in MISP.“ (Es wurde ein neues Netzwerkverbindungsobjekt für das Ereignis mit {0} {1} in MISP erstellt.).format(ID/UUID, event_id)

Wenn nicht erfolgreich und „Use Entities“ nicht wahr ist: „Action wasn't able to created new network-connection object for event with {0} {1} in MISP. Grund: {2}".format(ID/UUID)

Wenn der Vorgang für ein Element erfolgreich war und „Use Entities“ (Entitäten verwenden) auf „true“ gesetzt ist: „Successfully created new network-connection objects for event with {0} {1} in MISP based on the following entities: \n{0}".format(ID/UUID, event_id, entity.identifiers) (Für das Ereignis mit {0} {1} in MISP wurden basierend auf den folgenden Entitäten neue Netzwerkverbindungsobjekte erstellt: \n{0}".format(ID/UUID, event_id, entity.identifiers))

Wenn ein Fehler auftritt und „Use Entities“ (Entitäten verwenden) auf „true“ gesetzt ist: „Action wasn't able to create new network-connection objects for event with {0} {1} in MISP based on the following entities: \n{0}".format(ID/UUID, event_id, entity.identifiers) (Mit der Aktion konnten keine neuen Netzwerkverbindungsobjekte für das Ereignis mit {0} {1} in MISP auf Grundlage der folgenden Entitäten erstellt werden: \n{0}).format(ID/UUID, event_id, entity.identifiers)

Wenn nicht für alle erfolgreich und „Use Entities“ (Entitäten verwenden) auf „true“ gesetzt ist: „Action wasn't able to create new network-connection objects for event with {0} {1} in MISP based on the provided entities.“ (Mit der Aktion konnten keine neuen Netzwerkverbindungsobjekte für das Ereignis mit {0} {1} in MISP auf Grundlage der bereitgestellten Entitäten erstellt werden.).format(ID/UUID, event_id)

Schwerwiegender Fehler (Aktion fehlgeschlagen) „Fehler beim Ausführen der Aktion ‚Misp-Objekt für Netzwerkverbindung erstellen‘. Grund: {0}".format(stacktrace)

Event-ID nicht gefunden (Aktion fehlgeschlagen) „Fehler beim Ausführen der Aktion ‚Misp-Objekt für Netzwerkverbindung erstellen‘. Grund: Ereignis mit {0} {1} wurde in MISP nicht gefunden“.format(ID/UUID, event_id)

Wenn keine der folgenden Angaben gemacht werden: Dst-Port, Src-Port, IP-Src, IP-Dst und „Use Entities“ == false: „Error executing action ‚Create network-connection Misp Object‘. Grund: Einer der folgenden Parameter muss angegeben werden: „Dst-port“, „Src-port“, „IP-Src“, „IP-Dst“. Alternativ kann der Parameter „Use Entities“ auf „true“ gesetzt werden.

Allgemein

UrlMisp-Objekt erstellen

Erstellen Sie ein URL-Objekt in MISP. Erfordert die Angabe von „URL“ oder die Einstellung des Parameters „Use Entities“ auf „true“.

Parameter

Anzeigename des Parameters	Typ	Standardwert	Ist obligatorisch	Beschreibung
Ereignis-ID	String	–	Ja	Geben Sie die ID oder UUID des Ereignisses an, dem Sie URL-Objekte hinzufügen möchten.
URL	String	–	Nein	Geben Sie die URL an, die Sie dem Ereignis hinzufügen möchten.
Port	String	–	Nein	Geben Sie den Port an, den Sie dem Ereignis hinzufügen möchten.
Zuerst erfasst	String	–	Nein	Geben Sie an, wann die URL zum ersten Mal aufgetreten ist. Format: 2020-12-22T13:07:32Z
Zuletzt erfasst	String	–	Nein	Geben Sie an, wann die URL zuletzt gesehen wurde. Format: 2020-12-22T13:07:32Z
Domain	String	–	Nein	Geben Sie die Domain an, die Sie dem Ereignis hinzufügen möchten.
Text	String	–	Nein	Geben Sie den zusätzlichen Text an, den Sie dem Ereignis hinzufügen möchten.
IP-Adresse	String	–	Nein	Geben Sie die IP-Adresse an, die Sie dem Ereignis hinzufügen möchten.
Host	String	–	Nein	Geben Sie den Host an, den Sie dem Termin hinzufügen möchten.
Entitäten verwenden	Kästchen	Deaktiviert		Wenn diese Option aktiviert ist, werden mit der Aktion Objekte anhand von Entitäten erstellt. Unterstützte Entitäten: URL. „Use Entities“ hat Vorrang vor anderen Parametern.

Ausführen am

Diese Aktion wird für alle Elemente ausgeführt.

Aktionsergebnisse

Scriptergebnis

Name des Scriptergebnisses	Wertoptionen	Beispiel
is_success	Wahr/falsch	is_success:False

JSON-Ergebnis

N/A

Fall-Repository

Ergebnistyp

Wertbeschreibung

Typ

Ausgabenachricht*

Bei Erfolg und wenn „Use Entities“ nicht „true“ ist: „Successfully created new URL object for event with {0} {1} in MISP.“ (Es wurde ein neues URL-Objekt für das Ereignis mit {0} {1} in MISP erstellt.).format(ID/UUID, event_id)

Wenn nicht erfolgreich und „Use Entities“ nicht „true“ ist: „Action wasn't able to created URL object for event with {0} {1} in MISP. Grund: {2}".format(ID/UUID)

Wenn der Vorgang für eine Entität erfolgreich war und „Use Entities“ (Entitäten verwenden) auf „true“ gesetzt ist: „Successfully created new URL objects for event with {0} {1} in MISP based on the following entities: \n{0}“.format(ID/UUID, event_id, entity.identifiers)

Wenn kein Erfolg für eine und „Use Entities“ (Entitäten verwenden) auf „true“ gesetzt ist: „Action wasn't able to create new URL objects for event with {0} {1} in MISP based on the following entities: \n{0}".format(ID/UUID, event_id, entity.identifiers)

Wenn nicht für alle erfolgreich und „Use Entities“ (Entitäten verwenden) auf „true“ gesetzt ist: „Action wasn't able to create new URL objects for event with {0} {1} in MISP based on the provided entities.“ (Die Aktion konnte basierend auf den bereitgestellten Entitäten keine neuen URL-Objekte für das Ereignis mit {0} {1} in MISP erstellen.).format(ID/UUID, event_id)

Kritischer Fehler (Aktion fehlgeschlagen) „Fehler beim Ausführen der Aktion ‚Create Url Misp Object‘. Grund: {0}".format(stacktrace)

Event-ID nicht gefunden (Fehleraktion) „Fehler beim Ausführen der Aktion ‚Create Url Misp Object‘. Grund: Ereignis mit {0} {1} wurde in MISP nicht gefunden“.format(ID/UUID, event_id)

Wenn keine der URLs angegeben ist und „Use Entities“ == „false“: „Error executing action ‚Create Url Misp Object‘.“ Grund: Entweder muss „URL“ angegeben oder der Parameter „Use Entities“ auf „true“ gesetzt werden.

Allgemein

VirusTotal-Berichtsobjekt erstellen

Erstellen Sie ein VirusTotal-Berichtsobjekt in MISP.

Parameter

Anzeigename des Parameters	Typ	Standardwert	Ist obligatorisch	Beschreibung
Ereignis-ID	String	–	Ja	Geben Sie die ID oder UUID des Ereignisses an, dem Sie URL-Objekte hinzufügen möchten.
Permalink	String	–	Ja	Geben Sie den Link zum VirusTotal-Bericht an, den Sie dem Ereignis hinzufügen möchten.
Kommentar	String	–	Nein	Geben Sie den Kommentar an, den Sie dem Ereignis hinzufügen möchten.
Erkennungsrate	String	–	Nein	Geben Sie das Erkennungsverhältnis an, das Sie dem Ereignis hinzufügen möchten.
Community-Bewertung	String	–	Nein	Geben Sie die Community-Bewertung an, die Sie dem Event hinzufügen möchten.
Erste Einreichung	String	–	Nein	Geben Sie die erste Einreichung des Ereignisses an. Format: 2020-12-22T13:07:32Z
Letzte Einreichung	String	–	Nein	Geben Sie die letzte Einreichung des Ereignisses an. Format: 2020-12-22T13:07:32Z

Ausführen am

Diese Aktion wird für alle Elemente ausgeführt.

Aktionsergebnisse

Scriptergebnis

Name des Scriptergebnisses	Wertoptionen	Beispiel
is_success	Wahr/falsch	is_success:False

Fall-Repository

Ergebnistyp

Wertbeschreibung

Typ

Ausgabenachricht*

Bei Erfolg: „Successfully created new Virustotal-Report object for event with {0} {1} in MISP.“ (Neues VirusTotal-Berichtsobjekt für Ereignis mit {0} {1} in MISP wurde erstellt).format(ID/UUID, event_id)

Wenn nicht erfolgreich: „Action wasn't able to created Virustotal-Report object for event with {0} {1} in MISP. Grund: {2}".format(ID/UUID)

Schwerwiegender Fehler (Aktion fehlgeschlagen): „Fehler beim Ausführen der Aktion ‚Virustotal-Bericht für MISP-Objekt erstellen‘. Grund: {0}".format(stacktrace)

Event-ID nicht gefunden (Fehleraktion) „Fehler beim Ausführen der Aktion ‚Virustotal-Bericht für MISP-Objekt erstellen‘. Grund: Ereignis mit {0} {1} wurde in MISP nicht gefunden“.format(ID/UUID, event_id)

Allgemein

Ereignisobjekte auflisten

Informationen zu verfügbaren Objekten im MISP-Ereignis abrufen

Parameter

Anzeigename des Parameters	Typ	Standardwert	Ist obligatorisch	Beschreibung
Ereignis-ID	String	–	Ja	Geben Sie eine durch Kommas getrennte Liste der IDs und UUIDs der Ereignisse an, für die Sie Details abrufen möchten.
Maximale Anzahl zurückzugebender Objekte	Ganzzahl	50	Nein	Geben Sie an, wie viele Objekte zurückgegeben werden sollen.

Ausführen am

Diese Aktion wird nicht für Elemente ausgeführt.

Aktionsergebnisse

Scriptergebnis

Name des Scriptergebnisses	Wertoptionen	Beispiel
is_success	Wahr/falsch	is_success:False

JSON-Ergebnis

"Object": [
    {
        "id": "1",
        "name": "ftm-Associate",
        "meta-category": "followthemoney",
        "description": "Non-family association between two people",
        "template_uuid": "6119ecb3-dedd-44b6-b88f-174585b0b1bf",
        "template_version": "1",
        "event_id": "1",
        "uuid": "2a3e260f-d3b2-4164-b2b1-2f6f5b559970",
        "timestamp": "1594632232",
        "distribution": "5",
        "sharing_group_id": "0",
        "comment": "",
        "deleted": false,
        "first_seen": null,
        "last_seen": null,
        "ObjectReference": [],
    },
    {
        "id": "2",
        "name": "ftm-Associate",
        "meta-category": "followthemoney",
        "description": "Non-family association between two people",
        "template_uuid": "6119ecb3-dedd-44b6-b88f-174585b0b1bf",
        "template_version": "1",
        "event_id": "1",
        "uuid": "800d8634-175a-4bc2-a4d7-aca200c8c132",
        "timestamp": "1594632463",
        "distribution": "5",
        "sharing_group_id": "0",
        "comment": "",
        "deleted": false,
        "first_seen": null,
        "last_seen": null,
        "ObjectReference": [],
    }

Fall-Repository

Ergebnistyp

Wertbeschreibung

Typ

Ausgabenachricht*

Die Aktion darf nicht fehlschlagen oder die Ausführung eines Playbooks stoppen:

Wenn mindestens ein Objekt für ein Ereignis gefunden wurde: „Successfully listed objects for the following events: \n{0}“.format(event_ids)

Wenn ein Ereignis mit der angegebenen ID nicht gefunden wurde (is_success = false):
print "Action was not able to list objects. Grund: Das Ereignis mit der ID {0} wurde in MISP nicht gefunden.“.format(event_id)

Wenn für ein Ereignis kein Objekt gefunden wird:

„Die Aktion konnte keine Objekte für die folgenden Ereignisse finden:\n {0}“.format(event_ids)

Wenn für alle Ereignisse kein Objekt gefunden wurde: „Für die angegebenen Ereignisse wurden keine Objekte gefunden.“

Die Aktion sollte fehlschlagen und die Ausführung eines Playbooks beenden:

Bei schwerwiegendem Fehler, z. B. falsche Anmeldedaten, keine Verbindung zum Server, Sonstiges:

print "Error executing action "List Event Objects". Grund: {0}''.format(error.Stacktrace)

Allgemein

CSV-Tabelle

Tabellenname:Event {0} Objects

Tabellenspalten:

Objekt-UUID (als UUID zugeordnet)
Name (als „name“ zugeordnet)
Kategorie (als Metakategorie zugeordnet)
Beschreibung (als „description“ zugeordnet)
Kommentar (als „comment“ zugeordnet)

Ereignisdetails abrufen

Details zu Ereignissen in MISP abrufen.

Parameter

Anzeigename des Parameters	Typ	Ist obligatorisch	Beschreibung
Ereignis-ID	String	Ja	Geben Sie eine durch Kommas getrennte Liste der IDs oder UUIDs der Ereignisse an, für die Sie Details abrufen möchten.
Informationen zu Attributen zurückgeben	Kästchen	Aktiviert	Wenn diese Option aktiviert ist, wird eine Case-Wall-Tabelle für alle Attribute erstellt, die Teil des Ereignisses sind.

Ausführen am

Diese Aktion wird nicht für Elemente ausgeführt.

Aktionsergebnisse

Scriptergebnis

Name des Scriptergebnisses	Wertoptionen	Beispiel
is_success	Wahr/falsch	is_success:False

Fall-Repository

Ergebnistyp

Wertbeschreibung

Typ

Ausgabenachricht*

Die Aktion darf nicht fehlschlagen oder die Ausführung eines Playbooks stoppen:

Wenn die Aktion für mindestens eine der angegebenen IDs erfolgreich abgeschlossen wurde:

Gib „Informationen für die folgenden Ereignisse wurden abgerufen: <>“ aus.

Wenn die Aktion für mindestens eine der angegebenen Vorfall-IDs nicht ausgeführt werden konnte:

Gib „Informationen für die folgenden Ereignisse konnten nicht abgerufen werden: <>“ aus.

Die Aktion sollte fehlschlagen und die Ausführung eines Playbooks beenden:
if fatal error, SDK error, like wrong credentials, no connection, other:
Print "Error executing action "Get Event Details". Grund: {0}''.format(error.Stacktrace

Die Aktion sollte fehlschlagen und die Ausführung eines Playbooks beenden:

Bei schwerwiegendem Fehler, z. B. falsche Anmeldedaten, keine Verbindung zum Server, Sonstiges:

print "Error executing action "List Event Objects". Grund: {0}''.format(error.Stacktrace)

Allgemein

CSV-Tabelle

Tabellenname: „Event {0} Attributes Details“.format(event_id)

Spalten:

ID
Wert
Kommentar
Typ
Kategorie
UUID
Verteilung
Zeitstempel

Vorkommen eines Attributs auflisten

Listet verfügbare Sichtungen für Attribute in MISP auf.

Parameter

Parametername	Typ	Standardwert	Verbindlich	Beschreibung
Attributname	CSV		Nein	Geben Sie eine durch Kommas getrennte Liste von Attributkennungen an, für die Sie Funde auflisten möchten. Hinweis: Wenn sowohl „Attributname“ als auch „Attribut-UUID“ angegeben sind, wird die Aktion mit den Werten für „Attribut-UUID“ ausgeführt.
Ereignis-ID	String		Nein	Geben Sie die ID oder UUID des Ereignisses an, in dem nach Attributen gesucht werden soll. Dieser Parameter ist erforderlich, wenn „Attributsuche“ auf „Bereitgestelltes Ereignis“ festgelegt ist.
Kategorie	CSV		Nein	Geben Sie eine durch Kommas getrennte Liste von Kategorien an. Falls angegeben, werden in der Aktion nur Funde für Attribute mit einer übereinstimmenden Kategorie aufgeführt. Wenn nichts angegeben ist, werden Kategorien in Attributen ignoriert. Mögliche Werte: „External Analysis“, „Payload Delivery“, „Artifacts Dropped“, „Payload Installation“.
Typ	CSV		Nein	Geben Sie eine durch Kommas getrennte Liste von Attributtypen an. Falls angegeben, werden in der Aktion nur Sichtungen für Attribute mit übereinstimmendem Attributtyp aufgeführt. Wenn nichts angegeben ist, werden Typen in Attributen ignoriert. Beispielwerte: md5, sha1, ip-src, ip-dst
Attributsuche	DDL	Bereitgestelltes Ereignis Mögliche Werte: Alle Ereignisse	Ja	Geben Sie an, wo die Aktion nach Attributen suchen soll. Wenn „Bereitgestelltes Ereignis“ ausgewählt ist, sucht die Aktion nur nach Attributen oder Attribut-UUIDs im Ereignis mit der ID/UUID, die im Parameter „Ereignis-ID“ angegeben ist. Bei „Alle Ereignisse“ wird in allen Ereignissen nach Attributen gesucht und es werden Funde für alle Attribute aufgeführt, die unseren Kriterien entsprechen.
Attribut-UUID	CSV		Nein	Geben Sie eine durch Kommas getrennte Liste der Attribut-UUIDs an, für die Sie Sichtungen auflisten möchten. Hinweis: Wenn sowohl „Attributname“ als auch „Attribut-UUID“ angegeben sind, wird die Aktion mit den Werten für „Attribut-UUID“ ausgeführt.

Aktionsergebnisse

Scriptergebnis

Name des Scriptergebnisses	Wertoptionen	Beispiel
is_success	Wahr/falsch	is_success:False

Fall-Repository

Ergebnistyp

Wert/Beschreibung

Typ

Ausgabenachricht*

Wenn Sichtungen erfolgreich für mindestens ein Attribut aufgeführt wurden: „Successfully listed sightings for the following attributes in MISP:\n{0}“.format(attribute name/attribute UUID)

Wenn keine Sichtungen für mindestens ein Attribut aufgeführt wurden: „Action didn't list sightings for the following attributes in MISP:\n{0}“.format(attribute name/attribute UUID)

Wenn nicht für alle oder für keine Sichtungen für alle Attribute erfolgreich: „No sightings were found for the provided attributes in MISP“ (Für die angegebenen Attribute wurden in MISP keine Sichtungen gefunden)

Kritischer Fehler (Aktion fehlgeschlagen) „Fehler beim Ausführen der Aktion ‚List Sightings of an Attribute‘. Grund: {0}".format(stacktrace)

Wenn ein ungültiger Parameter in „Category“ (Fehleraktion) angegeben ist: „Error executing action ‚List Sightings of an Attribute‘. Grund: Für den Parameter „Category“ wurde ein ungültiger Wert angegeben. Zulässige Werte: „External Analysis“, „Payload Delivery“, „Artifacts Dropped“, „Payload Installation“.

Wenn „Provided Event“ ausgewählt ist, aber keine Event-ID: „Error executing action ‚List Sightings of an Attribute‘.“ Grund: Die Ereignis-ID muss angegeben werden, wenn für den Parameter „Attributsuche“ die Option „Bereitgestelltes Ereignis“ ausgewählt ist.

Allgemein

IDS-Flag für ein Attribut festlegen

IDS-Flag für Attribute in MISP festlegen

Parameter

searchsearch

Parametername	Typ	Standardwert	Verbindlich	Beschreibung
Attributname	CSV		Nein	Geben Sie eine durch Kommas getrennte Liste von Attributkennungen an, für die Sie ein IDS-Flag festlegen möchten. Hinweis: Wenn sowohl „Attributname“ als auch „Attribut-UUID“ angegeben sind, wird die Aktion mit den Werten für „Attribut-UUID“ ausgeführt.
Ereignis-ID	String		Nein	Geben Sie die ID oder UUID des Ereignisses an, in dem nach Attributen gesucht werden soll. Dieser Parameter ist erforderlich, wenn „Attributsuche“ auf „Bereitgestelltes Ereignis“ festgelegt ist.
Kategorie	CSV		Nein	Geben Sie eine durch Kommas getrennte Liste von Kategorien an. Falls angegeben, wird das IDS-Flag für Attribute nur dann festgelegt, wenn die Kategorie übereinstimmt. Wenn nichts angegeben ist, werden Kategorien in Attributen ignoriert. Mögliche Werte: „External Analysis“, „Payload Delivery“, „Artifacts Dropped“, „Payload Installation“.
Typ	CSV		Nein	Geben Sie eine durch Kommas getrennte Liste von Attributtypen an. Falls angegeben, wird das IDS-Flag nur für Attribute mit einem übereinstimmenden Attributtyp festgelegt. Wenn nichts angegeben ist, werden Typen in Attributen ignoriert. Beispielwerte: md5, sha1, ip-src, ip-dst
Attributsuche	DDL	Bereitgestelltes Ereignis Mögliche Werte: Alle Ereignisse	Ja	Geben Sie an, wo die Aktion nach Attributen suchen soll. Wenn „Bereitgestelltes Ereignis“ ausgewählt ist, sucht die Aktion nur nach Attributen oder Attribut-UUIDs im Ereignis mit der ID/UUID, die im Parameter „Ereignis-ID“ angegeben ist. Wenn Sie „Alle Ereignisse“ auswählen, wird die Aktion nach Attributen in allen Ereignissen gesucht und das IDS-Flag für alle Attribute festgelegt, die unseren Kriterien entsprechen.
Attribut-UUID	CSV		Nein	Geben Sie eine durch Kommas getrennte Liste von Attribut-UUIDs an, für die Sie ein IDS-Flag festlegen möchten. Hinweis: Wenn sowohl „Attributname“ als auch „Attribut-UUID“ angegeben sind, wird die Aktion mit den Werten für „Attribut-UUID“ ausgeführt.

Aktionsergebnisse

Scriptergebnis

Name des Scriptergebnisses	Wertoptionen	Beispiel
Erfolgreich	Wahr/falsch	success:False

Fall-Repository

Ergebnistyp

Wertbeschreibung

Typ

Ausgabenachricht*

Wenn das IDS-Flag mindestens einem Attribut erfolgreich hinzugefügt wurde: „IDS-Flag für die folgenden Attribute in MISP erfolgreich festgelegt:\n{0}“.format(Attributname/Objekt-UUID)

Wenn das IDS-Flag nicht mindestens einem Attribut hinzugefügt wurde: „Action didn't set IDS flag for the following attributes in MISP:\n{0}“.format(attribute name/object UUID) (Das IDS-Flag wurde für die folgenden Attribute in MISP nicht festgelegt:\n{0}).format(Attributname/Objekt-UUID)

Wenn nicht für alle erfolgreich: „IDS-Flag wurde für die angegebenen Attribute in MISP nicht festgelegt“

Kritischer Fehler (Aktion fehlgeschlagen): „Fehler beim Ausführen der Aktion ‚IDS-Kennzeichnung für ein Attribut festlegen‘. Grund: {0}".format(stacktrace)

Wenn ein ungültiger Parameter in „Category“ (Fehleraktion) angegeben ist: „Error executing action ‚Set IDS Flag for an Attribute‘.“ Grund: Für den Parameter „Category“ wurde ein ungültiger Wert angegeben. Zulässige Werte: „External Analysis“, „Payload Delivery“, „Artifacts Dropped“, „Payload Installation“.

Wenn „Bereitgestelltes Ereignis“ ausgewählt ist, aber keine Ereignis-ID: „Fehler beim Ausführen der Aktion ‚IDS-Flag für ein Attribut festlegen‘. Grund: Die Ereignis-ID muss angegeben werden, wenn für den Parameter „Attributsuche“ die Option „Bereitgestelltes Ereignis“ ausgewählt ist.

Ereignis-ID nicht gefunden (Fehler bei Aktion) „Fehler beim Ausführen der Aktion ‚IDS-Kennzeichnung für ein Attribut festlegen‘. Grund: Ereignis mit {0} {1} wurde in MISP nicht gefunden“.format(ID/UUID, event_id)

Allgemein

IDS-Flag für ein Attribut entfernen

Das IDS-Flag für Attribute in MISP wird nicht festgelegt.

Parameter

Name	Typ	Standardwert	Verbindlich	Beschreibung
Attributname	CSV		Nein	Geben Sie eine durch Kommas getrennte Liste von Attributkennungen an, für die Sie ein IDS-Flag entfernen möchten. Hinweis: Wenn sowohl „Attributname“ als auch „Attribut-UUID“ angegeben sind, wird die Aktion mit den Werten für „Attribut-UUID“ ausgeführt.
Ereignis-ID	String		Nein	Geben Sie die ID oder UUID des Ereignisses an, in dem nach Attributen gesucht werden soll. Dieser Parameter ist erforderlich, wenn „Attributsuche“ auf „Bereitgestelltes Ereignis“ festgelegt ist.
Kategorie	CSV		Nein	Geben Sie eine durch Kommas getrennte Liste von Kategorien an. Falls angegeben, wird das IDS-Flag nur für Attribute mit einer übereinstimmenden Kategorie entfernt. Wenn nichts angegeben ist, werden Kategorien in Attributen ignoriert. Mögliche Werte: „External Analysis“, „Payload Delivery“, „Artifacts Dropped“, „Payload Installation“.
Typ	CSV		Nein	Geben Sie eine durch Kommas getrennte Liste von Attributtypen an. Falls angegeben, wird das IDS-Flag nur für Attribute mit dem entsprechenden Attributtyp entfernt. Wenn nichts angegeben ist, werden Typen in Attributen ignoriert. Beispielwerte: md5, sha1, ip-src, ip-dst
Attributsuche	DDL	Bereitgestelltes Ereignis Mögliche Werte: Alle Ereignisse	Wahr	Geben Sie an, wo die Aktion nach Attributen suchen soll. Wenn „Bereitgestelltes Ereignis“ ausgewählt ist, sucht die Aktion nur nach Attributen oder Attribut-UUIDs im Ereignis mit der ID/UUID, die im Parameter „Ereignis-ID“ angegeben ist. Wenn Sie „Alle Ereignisse“ auswählen, wird die Aktion für alle Ereignisse nach Attributen gesucht und das IDS-Flag für alle Attribute, die unseren Kriterien entsprechen, deaktiviert.
Attribut-UUID	CSV		Nein	Geben Sie eine durch Kommas getrennte Liste der Attribut-UUIDs an, für die Sie ein IDS-Flag entfernen möchten. Hinweis: Wenn sowohl „Attributname“ als auch „Attribut-UUID“ angegeben sind, wird die Aktion mit den Werten für „Attribut-UUID“ ausgeführt.

Aktionsergebnisse

Scriptergebnis

Name des Scriptergebnisses	Wertoptionen	Beispiel
Erfolgreich	Wahr/falsch	success:False

Fall-Repository

Ergebnistyp

Wertbeschreibung

Typ

Ausgabenachricht*

Wenn das IDS-Flag für mindestens ein Attribut erfolgreich entfernt wurde: „Das IDS-Flag wurde für die folgenden Attribute in MISP entfernt:\n{0}“.format(Attributname/Objekt-UUID)

if not successfully removed IDS flag to at least one attribute: "Action didn't unset IDS flag for the following attributes in MISP:\n{0}".format(attribute name/object UUID)

Wenn nicht für alle erfolgreich: „IDS-Flag wurde für die angegebenen Attribute in MISP nicht deaktiviert“

Kritischer Fehler (Aktion fehlgeschlagen): „Fehler beim Ausführen der Aktion ‚IDS-Kennzeichnung für ein Attribut entfernen‘. Grund: {0}".format(stacktrace)

Wenn ein ungültiger Parameter in „Kategorie“ angegeben ist (Fehleraktion): „Fehler beim Ausführen der Aktion ‚IDS-Kennzeichnung für ein Attribut entfernen‘. Grund: Für den Parameter „Category“ wurde ein ungültiger Wert angegeben. Zulässige Werte: „External Analysis“, „Payload Delivery“, „Artifacts Dropped“, „Payload Installation“.

Wenn „Bereitgestelltes Ereignis“ ausgewählt ist, aber keine Ereignis-ID: „Fehler beim Ausführen der Aktion ‚IDS-Flag für ein Attribut aufheben‘. Grund: Die Ereignis-ID muss angegeben werden, wenn für den Parameter „Attributsuche“ die Option „Bereitgestelltes Ereignis“ ausgewählt ist.

Ereignis-ID nicht gefunden (Aktion fehlgeschlagen): „Fehler beim Ausführen der Aktion ‚IDS-Kennzeichnung für ein Attribut entfernen‘. Grund: Ereignis mit {0} {1} wurde in MISP nicht gefunden“.format(ID/UUID, event_id)

Allgemein

Connectors

Weitere Informationen zum Konfigurieren von Connectors in Google SecOps finden Sie unter Daten aufnehmen (Connectors).

MISP – Attributes Connector

Attribute aus MISP abrufen

MISP – Attributes Connector in Google SecOps konfigurieren

Eine ausführliche Anleitung zum Konfigurieren eines Connectors in Google SecOps finden Sie unter Connector konfigurieren.

Connector-Parameter

Verwenden Sie die folgenden Parameter, um den Connector zu konfigurieren:

Parametername	Typ	Standardwert	Ist obligatorisch	Beschreibung
DeviceProductField	String	Produktname	Ja	Geben Sie den Namen des Quellfelds ein, um den Namen des Produktfelds abzurufen.
EventClassId	String	alertType	Ja	Geben Sie den Namen des Quellfelds ein, um den Namen des Ereignisfelds abzurufen.
PythonProcessTimeout	Ganzzahl	180	Ja	Zeitlimit für den Python-Prozess, in dem das aktuelle Skript ausgeführt wird.
API-Stamm	String	–	Ja	API-Stammverzeichnis für das MISP-Konto.
API-Schlüssel	Passwort		Ja	API-Schlüssel des MISP-Kontos.
Max. Stunden rückwärts abrufen	Ganzzahl	1	Nein	Anzahl der Stunden, ab denen Attribute abgerufen werden sollen.
Maximale Anzahl von Attributen pro Zyklus	Ganzzahl	50	Ja	Die Anzahl der Attribute, die pro Connector-Iteration verarbeitet werden sollen.
Niedrigster abzurufender Schweregrad	Ganzzahl	1	Ja	Der niedrigste Schweregrad, der zum Abrufen von Benachrichtigungen verwendet wird. Mögliche Werte: 1–4.
Filter für Attributtyp	String		Nein	Filtern Sie Attribute nach ihrem Typ. Geben Sie die Typen durch Kommas getrennt ein. Wenn sie angegeben werden, werden nur Attribute mit dem Typ auf der Zulassungsliste verarbeitet.
Kategoriefilter	String		Nein	Filtern Sie Attribute nach ihrer Kategorie. Verwenden Sie Kommas als Trennzeichen. Wenn angegeben, werden nur Attribute mit einer Kategorie auf der Zulassungsliste verarbeitet.
Galaxy-Filter	String		Nein	Filtern Sie Attribute nach der Galaxie des übergeordneten Ereignisses. Geben Sie die Galaxien durch Kommas getrennt ein. Falls angegeben, werden nur Attribute verarbeitet, die zu einem Ereignis mit einer auf der weißen Liste stehenden Galaxy gehören.
SSL überprüfen	Kästchen		Ja	Wenn die SSL-Verschlüsselung aktiviert ist, prüfen Sie, ob das SSL-Zertifikat für die Verbindung zum CheckPoint Cloud Guard-Server gültig ist.
Name des Umgebungsfelds	String		Nein	Beschreibt den Namen des Felds, in dem der Umgebungsname gespeichert ist. Wenn das Feld „environment“ nicht gefunden wird, ist die Umgebung die Standardumgebung.
Regex-Muster für Umgebung	String	.*	Nein	Ein regulärer Ausdruck, der auf den Wert im Feld „Name des Umgebungsvariablenfelds“ angewendet wird. Der Standardwert ist „.*“, um alle Werte zu erfassen und unverändert zurückzugeben. Damit kann der Nutzer das Feld „environment“ über Regex-Logik bearbeiten. Wenn das reguläre Ausdrucksmuster null oder leer ist oder der Umgebungswert null ist, ist das endgültige Umgebungsergebnis die Standardumgebung.
Proxyserveradresse	String		Nein	Die Adresse des zu verwendenden Proxyservers.
Proxy-Nutzername	String		Nein	Der Proxy-Nutzername für die Authentifizierung.
Proxy-Passwort	Passwort		Nein	Das Proxy-Passwort für die Authentifizierung.

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten