MISP

Versión de integración: 31.0

Configurar la integración de MISP para que funcione con Google Security Operations

Configurar la integración de MISP con un certificado de AC

Si es necesario, puedes verificar tu conexión con un archivo de certificado de AC.

Antes de empezar, asegúrate de que tienes lo siguiente:

  • El archivo de certificado de la AC
  • La versión más reciente de la integración de MISP

Para configurar la integración con un certificado de CA, sigue estos pasos:

  1. Analiza el archivo de certificado de la AC en una cadena Base64.
  2. Abre la página de parámetros de configuración de la integración.
  3. Inserta la cadena en el campo CA Certificate File (Archivo de certificado de AC).
  4. Para comprobar que la integración se ha configurado correctamente, selecciona la casilla Verificar SSL y haz clic en Probar.

Clave de automatización

La autenticación se realiza mediante una clave segura disponible en la interfaz de usuario de MISP. La clave de API está disponible en el menú de acciones de eventos de la automatización.

Configurar la integración de MISP en Google SecOps

Para obtener instrucciones detalladas sobre cómo configurar una integración en Google SecOps, consulta Configurar integraciones.

Parámetros de integración

Usa los siguientes parámetros para configurar la integración:

Nombre visible del parámetro Tipo Valor predeterminado Es obligatorio Descripción
Nombre de la instancia Cadena N/A No Nombre de la instancia para la que quiere configurar la integración.
Descripción Cadena N/A No Descripción de la instancia.
Raíz de la API https://<IP> Dirección de la instancia de MISP.
Clave de API Cadena N/A Generado en la consola de MISP.
Use SSL (Usar SSL) Casilla Desmarcada No Marca esta casilla si tu conexión MISP requiere una verificación SSL (está desmarcada de forma predeterminada).
Ejecutar de forma remota Casilla Desmarcada No Marca el campo para ejecutar la integración configurada de forma remota. Una vez marcada, aparece la opción para seleccionar al usuario remoto (agente).

Acciones

Añadir atributo

Descripción

Añade una entidad como atributo a un evento de MISP.

Parámetros

Nombre visible del parámetro Tipo Valor predeterminado Es obligatorio Descripción
ID de evento Cadena N/A ID del evento.
Categoría Cadena Análisis externo No Categoría del atributo. Valor predeterminado: análisis externo.
Distribución Cadena 1 No La distribución del atributo. Valor predeterminado: 1.
Para el sistema de detección de intrusos Casilla Desmarcada No Indica si el atributo se usa para el sistema de detección de intrusiones. Valor predeterminado: false.
Comentario Cadena N/A No El comentario que se va a añadir al atributo.

Casos prácticos

N/A

Fecha de ejecución

Esta acción se ejecuta en las siguientes entidades:

  • URL
  • Nombre de host
  • Dirección IP
  • Filehash

Resultados de la acción

Enriquecimiento de entidades

N/A

Estadísticas

N/A

Resultado de secuencia de comandos
Nombre del resultado de la secuencia de comandos Opciones de valor Ejemplo
correcto Verdadero/Falso success:False
Resultado de JSON
N/A

Cómo crear un evento

Descripción

Crea un evento de MISP.

Limitación conocida

Actualmente, la API de MISP no permite que los eventos se publiquen inmediatamente después de crearse. Primero debes crear un evento y, después, usar la acción "Publicar evento".

Parámetros

Nombre visible del parámetro Tipo Valor predeterminado Es obligatorio Descripción
Nombre del evento Cadena N/A Nombre del evento.
Nivel de amenaza Cadena 0 No El nivel de amenaza del evento. Valor predeterminado: 0.
Distribución Cadena 1 No La distribución del atributo. Valor predeterminado: 1.
Análisis Cadena 0 No Nivel de análisis del evento [0-2]. Valor predeterminado: 0.
Publicar Casilla Marcada No Indica si quieres publicar el evento o no.
Comentario Cadena N/A No El comentario del evento.

Fecha de ejecución

Esta acción se ejecuta en todas las entidades.

Resultados de la acción

Resultado de secuencia de comandos
Nombre del resultado de la secuencia de comandos Opciones de valor Ejemplo
event_id N/A N/A

Añadir una etiqueta a un evento

Descripción

Añadir una etiqueta a una acción de evento permite a un usuario añadir una etiqueta a un evento específico en MISP. De esta forma, se añade una clasificación al evento en función de la categoría de la amenaza de seguridad que supone el IOC asociado al evento.

Parámetros

Nombre visible del parámetro Tipo Valor predeterminado Es obligatorio Descripción
ID de evento Cadena N/A Identificador único que especifica el evento al que se va a añadir la etiqueta.
Nombre de la etiqueta Cadena N/A El nombre de la etiqueta que se va a añadir a un evento.

Casos prácticos

Clasificar un evento: actualice el evento añadiendo una etiqueta.

Fecha de ejecución

Esta acción se ejecuta en todas las entidades.

Resultados de la acción

Resultado de secuencia de comandos
Nombre del resultado de la secuencia de comandos Opciones de valor Ejemplo
is_success Verdadero/Falso is_success:False
Resultado de JSON
[
    {
        "saved": true,
        "success": "Tag(s) added.",
        "check_publish": true
    }
]

Descargar archivo

Descripción

Descarga los archivos relacionados con el evento en MISP.

Parámetros

Nombre visible del parámetro Tipo Valor predeterminado Es obligatorio Descripción
ID de evento Cadena N/A No Especifique el ID o UUID del evento del que quiera descargar archivos.
Ruta de la carpeta de descargas Cadena N/A

Especifica la ruta absoluta a la carpeta en la que se deben almacenar los archivos. Si no se especifica nada, la acción creará un archivo adjunto.
Nota: El resultado JSON solo está disponible cuando se proporciona el valor adecuado para este parámetro.
Sobrescribir Casilla Desmarcada Si está habilitada, la acción sobrescribirá los archivos.

Fecha de ejecución

Esta acción se ejecuta en la entidad Filehash.

Resultados de la acción
Resultado de secuencia de comandos
Nombre del resultado de la secuencia de comandos Opciones de valor Ejemplo
correcto Verdadero/Falso success:False
Resultado de JSON
{

"absolute_paths": ["/etc/file1.txt", "/etc/file2.txt"]

}
Panel de casos
Tipo de resultado Descripción del valor Tipo
Mensaje de salida*

Si se realiza correctamente: "Successfully downloaded the following files from the event with {0} {1} in MISP:\n{2}".format(ID/UUID, event_id, result/filename from the response)

Si no se ha encontrado ningún archivo: "No se ha encontrado ningún archivo para el evento con {0} {1} en MISP:\n{2}".format(ID/UUID, event_id)

Si no se ha especificado la ruta de la carpeta de descarga y algunos de los archivos superan el límite de la plataforma para los archivos adjuntos: "No se han podido descargar los siguientes archivos porque superan el límite de 3 MB: \n {0}. \n Especifica una ruta de carpeta en el parámetro "Ruta de la carpeta de descarga" para descargarlos.".(result/filename)

Error crítico (acción fallida) "Error al ejecutar la acción "Descargar archivo". Motivo: {0}".format(stacktrace)

No se encuentra el ID de evento (acción fallida) "Error al ejecutar la acción "Descargar archivo". Motivo: No se ha encontrado el evento con {0} {1} en MISP".format(ID/UUID, event_id)

Si overwrite es false y uno de los archivos ya existe: "Error al ejecutar la acción "Descargar archivo". Motivo: Los siguientes archivos ya existen: {0}. Elimínelos o defina el parámetro "Overwrite" como true.".format(ruta absoluta al archivo)

 General

Enriquecer entidades

Descripción

Enriquece las entidades en función de los atributos de MISP.

Parámetros

Nombre visible del parámetro Tipo Valor predeterminado Descripción
Número de atributos que se deben devolver. Cadena N/A Especifica cuántos atributos se deben devolver de las entidades.
Condición de filtrado Especifica la condición de filtrado de la acción. Si se selecciona "Último", la acción usará el atributo más antiguo para el enriquecimiento. Si se selecciona "Primero", la acción usará el atributo más reciente para el enriquecimiento.
Umbral de nivel de amenaza DDL

Bajo

Valores posibles:

Alta

Medio

Bajo

Sin definir

 Especifica el umbral del nivel de amenaza del evento en el que se ha encontrado la entidad. Si el evento relacionado supera o alcanza el umbral, la entidad se marcará como sospechosa.
Límite de búsqueda de atributos Entero 50 Especifica cuántos atributos se deben buscar por entidad. Este parámetro influye en el atributo que se seleccionará para el enriquecimiento. Valor predeterminado: 50.

Fecha de ejecución

Esta acción se ejecuta en las siguientes entidades:

  • URL
  • Nombre de host
  • Dirección IP
  • Filehash
Resultados de la acción
Enriquecimiento de entidades

Las entidades se marcan como sospechosas si el nivel de amenaza del evento es superior a 0. En caso contrario, devuelve False.

Resultado de secuencia de comandos
Nombre del resultado de la secuencia de comandos Opciones de valor Ejemplo
correcto Verdadero/Falso success:False
Resultado de JSON
[
    {
        "EntityResult": [
            {
                "Event":
                {
                    "orgc_id": "1",
                    "ShadowAttribute": [],
                    "id": "3",
                    "threat_level_id": "3",
                    "event_creator_email": "john_doe@example.com",
                    "uuid": "5c5bff1b-a414-4a83-8755-035f0a000016",
                    "Object": [],
                    "Orgc": {
                        "uuid": "5c5ac66e-3884-4031-afd7-46f5bb9ebcaa",
                        "name": "ORGNAME",
                        "id": "1"
                    },
                    "Org": {
                        "uuid": "5c5ac66e-3884-4031-afd7-46f5bb9ebcaa",
                        "name": "ORGNAME",
                        "id": "1"
                    },
                    "RelatedEvent": [],
                    "sharing_group_id": "0",
                    "timestamp": "1549533154",
                    "date": "2019-02-07",
                    "disable_correlation": "False",
                    "info": "Test event",
                    "locked": "False",
                    "publish_timestamp": "1549533214",
                    "Attribute": [
                        {
                            "category": "Network activity",
                            "comment": " ",
                            "uuid": "5c5bffe2-9298-4098-ae31-035d0a000016",
                            "deleted": "False",
                            "timestamp": "1549533154",
                            "to_ids": "False",
                            "distribution": "3",
                            "object_id": "0",
                            "event_id": "3",
                            "ShadowAttribute": [],
                            "sharing_group_id": "0",
                            "value": "1.1.1.1",
                            "disable_correlation": "False",
                            "object_relation": "None",
                            "type": "ip-src",
                            "id": "1",
                            "Galaxy": []
                        }],
                    "attribute_count": "1",
                    "org_id": "1",
                    "analysis": "2",
                    "extends_uuid": " ",
                    "published": "True",
                    "distribution": "3",
                    "proposal_email_lock": "False",
                    "Galaxy": []
                }}],
        "Entity": "1.1.1.1"
    }
]
Panel de casos
Tipo de resultado Descripción del valor Tipo
Mensaje de salida*

Para los atributos encontrados: (is_success=true) "Se han enriquecido correctamente las siguientes entidades mediante MISP: \n{0}".format(entity.identifier)

Para los atributos que no se han encontrado (is_success=true) "Action wasn't able to enrich the following entities using MISP: \n{0}".format(entity.identifier) ("La acción no ha podido enriquecer las siguientes entidades con MISP: \n{0}".format(entity.identifier)).

Si no se ha encontrado ningún atributo (is_success=false) "No se ha enriquecido ninguna entidad con MISP"

Si los atributos son sospechosos (is_success=true) "Los siguientes atributos se han marcado como sospechosos mediante MISP: \n {0}".format(entity.identifier)

 General
Tabla CSV

Columnas de tabla:

  • ID
  • ID de evento
  • Categoría
  • Tipo
  • UUID
  • Marca de tiempo
  • Distribución
  • IDS

Descripción

Recupera información sobre eventos relacionados con entidades de MISP.

Parámetros

Nombre visible del parámetro Tipo Valor predeterminado Descripción
Marcar como sospechoso Casilla Marcada Si se habilita, la acción marcará la entidad como sospechosa si hay al menos un evento relacionado con ella.

Fecha de ejecución

Esta acción se ejecuta en las siguientes entidades:

  • URL
  • Nombre de host
  • Dirección IP
  • Filehash

Resultados de la acción

Enriquecimiento de entidades

Si hay registros de eventos relacionados, las entidades se marcan como sospechosas. De lo contrario, el valor es False.

Nombre del campo de enriquecimiento Lógica: cuándo aplicar
Evento Devuelve si existe en el resultado JSON.
Resultado de secuencia de comandos
Nombre del resultado de la secuencia de comandos Opciones de valor Ejemplo
correcto Verdadero/Falso success:False
Resultado de JSON
[
    {
        "EntityResult": [
            {
                "Event":
                {
                    "orgc_id": "1",
                    "ShadowAttribute": [],
                    "id": "3",
                    "threat_level_id": "3",
                    "event_creator_email": "john_doe@example.com",
                    "uuid": "5c5bff1b-a414-4a83-8755-035f0a000016",
                    "Object": [],
                    "Orgc": {
                        "uuid": "5c5ac66e-3884-4031-afd7-46f5bb9ebcaa",
                        "name": "ORGNAME",
                        "id": "1"
                    },
                    "Org": {
                        "uuid": "5c5ac66e-3884-4031-afd7-46f5bb9ebcaa",
                        "name": "ORGNAME",
                        "id": "1"
                    },
                    "RelatedEvent": [],
                    "sharing_group_id": "0",
                    "timestamp": "1549533154",
                    "date": "2019-02-07",
                    "disable_correlation": "False",
                    "info": "Test event",
                    "locked": "False",
                    "publish_timestamp": "1549533214",
                    "Attribute": [
                        {
                            "category": "Network activity",
                            "comment": " ",
                            "uuid": "5c5bffe2-9298-4098-ae31-035d0a000016",
                            "deleted": "False",
                            "timestamp": "1549533154",
                            "to_ids": "False",
                            "distribution": "3",
                            "object_id": "0",
                            "event_id": "3",
                            "ShadowAttribute": [],
                            "sharing_group_id": "0",
                            "value": "1.1.1.1",
                            "disable_correlation": "False",
                            "object_relation": "None",
                            "type": "ip-src",
                            "id": "1",
                            "Galaxy": []
                        }],
                    "attribute_count": "1",
                    "org_id": "1",
                    "analysis": "2",
                    "extends_uuid": " ",
                    "published": "True",
                    "distribution": "3",
                    "proposal_email_lock": "False",
                    "Galaxy": []
                }}],
        "Entity": "1.1.1.1"
    }
]
Panel de casos
Tipo de resultado Descripción del valor Tipo
Mensaje de salida*

Si se encuentra al menos un evento para una entidad: "Successfully retrieved information about the related events for the following entities: \n{0}".format(entity.identifier) ("Se ha obtenido correctamente información sobre los eventos relacionados con las siguientes entidades: \n{0}".format(entity.identifier))

Si no se encuentra ningún evento de al menos una entidad: "No se ha podido obtener información sobre los eventos relacionados de las siguientes entidades: \n{0}".format(entity.identifier

Si no hay eventos de ningún tipo: "No se han encontrado eventos relacionados con las entidades proporcionadas".

 General

Subir archivo

Descripción

Sube un archivo a un evento de MISP.

Parámetros

Nombre Tipo Predeterminado Descripción
ID de evento Cadena N/A Especifique el ID o UUID del evento al que quiera subir este archivo.
Ruta del archivo Cadena N/A Especifica una lista separada por comas de las rutas de archivo absolutas de los archivos que quieras subir a MISP.
Categoría Especifica la categoría del archivo subido. Valores posibles: Análisis externo, Entrega de carga útil, Artefactos eliminados e Instalación de carga útil.
Distribución Cadena Comunidad

Especifica la distribución del archivo subido.
Valores posibles: 0 (Organización), 1 (Comunidad), 2 (Conectado) y 3 (Todos). Puedes proporcionar un número o una cadena.
Nivel de amenaza Cadena Alta

Especifica el nivel de amenaza del archivo subido.
Valores posibles: 1 (alto), 2 (medio), 3 (bajo) y 4 (sin definir). Puedes proporcionar un número o una cadena.
Análisis Cadena Inicial

Especifica el análisis del evento.
Valores posibles: 0 (Inicial), 1 (En curso) y 2 (Completado). Puedes proporcionar un número o una cadena.
Información Cadena N/A Especifica información adicional sobre el archivo subido.
Para el sistema de detección de intrusos Casilla Desmarcada Si se habilita, el archivo subido se usará para los sistemas de detección de intrusiones.
Comentario Cadena N/A Especifica comentarios adicionales relacionados con el archivo subido.
Resultados de la acción
Resultado de secuencia de comandos
Nombre del resultado de la secuencia de comandos Opciones de valor Ejemplo
is_success Verdadero/Falso is_success:False
Resultado de JSON
{
    "Event": {
        "id": "106",
        "orgc_id": "1",
        "org_id": "1",
        "date": "2021-01-15",
        "threat_level_id": "1",
        "info": "vanuhi 1015",
        "published": false,
        "uuid": "1cd22aa2-57e8-4fc8-bac6-721c1be2c27d",
        "attribute_count": "10",
        "analysis": "0",
        "timestamp": "1610893968",
        "distribution": "1",
        "proposal_email_lock": false,
        "locked": false,
        "publish_timestamp": "0",
        "sharing_group_id": "0",
        "disable_correlation": false,
        "extends_uuid": "",
        "event_creator_email": "admin@admin.test",
        "Org": {
            "id": "1",
            "name": "ORGNAME",
            "uuid": "09b0dde1-2934-4310-a107-74b6f534f041",
            "local": true
        },
        "Orgc": {
            "id": "1",
            "name": "ORGNAME",
            "uuid": "09b0dde1-2934-4310-a107-74b6f534f041",
            "local": true
        },
        "Attribute": [],
        "ShadowAttribute": [],
"Object": [
            {
                "id": "446",
                "name": "file",
                "meta-category": "file",
                "description": "File object describing a file with meta-information",
                "template_uuid": "688c46fb-5edb-40a3-8273-1af7923e2215",
                "template_version": "20",
                "event_id": "106",
                "uuid": "0188ba5d-68eb-4b5c-8e05-6fd49f8eee9a",
                "timestamp": "1610691647",
                "distribution": "1",
                "sharing_group_id": "0",
                "comment": "",
                "deleted": false,
                "first_seen": null,
                "last_seen": null,
                "ObjectReference": [],
                "Attribute": [
                    {
                        "id": "1859",
                        "type": "malware-sample",
                        "category": "External analysis",
                        "to_ids": true,
                        "uuid": "7920cd28-5082-47ce-9c3e-3ccbd5dae138",
                        "event_id": "106",
                        "distribution": "1",
                        "timestamp": "1610703650",
                        "comment": "",
                        "sharing_group_id": "0",
                        "deleted": false,
                        "disable_correlation": false,
                        "object_id": "446",
                        "object_relation": "malware-sample",
                        "first_seen": null,
                        "last_seen": null,
                        "value": "vanuhi.txt|7bd55b0a276e076cbaf470e64359adb8",
                        "Galaxy": [],
                        "data": "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",
                        "ShadowAttribute": [],
                        "Sighting": [
                            {
                                "id": "1733",
                                "attribute_id": "1859",
                                "event_id": "106",
                                "org_id": "1",
                                "date_sighting": "1611207638",
                                "uuid": "feb085f1-1923-4327-a73d-b60a948377e4",
                                "source": "",
                                "type": "0",
                                "Organisation": {
                                    "id": "1",
                                    "uuid": "09b0dde1-2934-4310-a107-74b6f534f041",
                                    "name": "ORGNAME"
                                },
                                "attribute_uuid": "7920cd28-5082-47ce-9c3e-3ccbd5dae138"
                            }
                        ]
                    }
            }
    }
}
Panel de casos
Tipo de resultado Valor/Descripción Tipo
Mensaje de salida*

Si se realiza correctamente para una entidad: "Succesfully uploaded the provided files to the event {0} in MISP".format(event_id) ("Se han subido correctamente los archivos proporcionados al evento {0} en MISP").

Error crítico (acción fallida) "Error al ejecutar la acción "Subir archivo". Motivo: {0}".format(stacktrace)

Si se especifica un parámetro no válido en "Distribution" (acción fallida):

"Error al ejecutar la acción "Subir archivo". Motivo: se ha proporcionado un valor no válido para el parámetro "Distribution". Números aceptados: 0, 1, 2 y 3. Cadenas aceptables: "Organisation", "Community", "Connected", "All".

Si se especifica un parámetro no válido en "Nivel de amenaza" (acción fallida): "Error al ejecutar la acción "Subir archivo". Motivo: se ha proporcionado un valor no válido para el parámetro "Nivel de amenaza". Números aceptables: 1, 2, 3 y 4. Cadenas aceptables: "High", "Medium", "Low", "Undefined".

Si se especifica un parámetro no válido en "Category" (acción fallida): "Error al ejecutar la acción "Subir archivo". Motivo: Se ha proporcionado un valor no válido para el parámetro "Category". Valores aceptables: External Analysis, Payload Delivery, Artifacts Dropped, Payload Installation".

Si se especifica un parámetro no válido en "Analysis" (acción fallida): "Error al ejecutar la acción "Subir archivo". Motivo: se ha proporcionado un valor no válido para el parámetro "Analysis". Números aceptables: 0, 1 y 2. Cadenas aceptables: Initial, Ongoing y Completed.

Si al menos uno de los archivos no está disponible, se mostrará el mensaje "Error al ejecutar la acción "Subir archivo". Motivo: no se ha podido acceder a los siguientes archivos: \n {0}".format(file paths, that were not accessible.)

No se encuentra el ID de evento (acción fallida) "Error al ejecutar la acción "Subir archivo". Motivo: No se ha encontrado el evento con {0} {1} en MISP".format(ID/UUID, event_id)

 General

Ping

Descripción

Prueba de conectividad.

Parámetros

N/A

Casos prácticos

N/A

Fecha de ejecución

Esta acción se ejecuta en todas las entidades.

Resultados de la acción

Enriquecimiento de entidades

N/A

Estadísticas

N/A

Resultado de secuencia de comandos
Nombre del resultado de la secuencia de comandos Opciones de valor Ejemplo
correcto Verdadero/Falso success:False
Resultado de JSON
N/A

Quitar una etiqueta de un evento

Descripción

Quita etiquetas de un evento en MISP.

Parámetros

Nombre visible del parámetro Tipo Valor predeterminado Es obligatorio Descripción
ID de evento Cadena N/A Especifica el ID o UUID del evento del que quieras quitar etiquetas.
Nombre de la etiqueta CSV N/A Especifica una lista de etiquetas separadas por comas que quieras quitar de los eventos.

Casos prácticos

Volver a clasificar un evento: elimina la etiqueta para volver a clasificarlo.

Resultados de la acción

Resultado de secuencia de comandos
Nombre del resultado de la secuencia de comandos Opciones de valor Ejemplo
is_success Verdadero/Falso is_success:False
Resultado de JSON
[
    {
        "saved": true,
        "success": "Tag removed.",
        "check_publish": true
    }
]
Panel de casos
Tipo de resultado Valor/Descripción Tipo
Mensaje de salida*

Si se han quitado todas las etiquetas de un evento correctamente: "Successfully removed the following tags from the event with {0} {1} in MISP: {2}.".format(ID/UUID, event_id, tags)

Si no se han podido quitar algunas etiquetas de un evento: "No se han podido quitar las siguientes etiquetas del evento con {0} {1} en MISP: {2}.".format(ID/UUID, event_id, tags)

Si no se ha completado para todos: "No se han quitado etiquetas del evento con {0} {1} en MISP".format(ID/UUID, event_id)

Si no se ha encontrado al menos una etiqueta: "No se han encontrado las siguientes etiquetas en MISP: \n{0}".format(lista de etiquetas que no se han encontrado en MISP)

Si no se ha encontrado ninguna etiqueta: "None of the provided tags were found in MISP." ("No se ha encontrado ninguna de las etiquetas proporcionadas en MISP").

Error crítico (acción fallida): "Error al ejecutar la acción "Quitar etiqueta de un evento". Motivo: {0}".format(stacktrace)

No se encuentra el ID de evento (acción fallida) "Error al ejecutar la acción "Quitar etiqueta de un evento". Motivo: No se ha encontrado el evento con {0} {1} en MISP".format(ID/UUID, event_id)

 General

Añadir una etiqueta a un atributo

Descripción

Esta acción permite a un usuario añadir una etiqueta a un atributo específico de MISP. Este añade una clasificación al atributo en función de la categoría de la amenaza de seguridad que supone el IOC en el atributo.

Parámetros

Nombre visible del parámetro Tipo Valor predeterminado Es obligatorio Descripción
ID de evento Entero N/A Identificador del evento al que está asociado el atributo. Ejemplo: 1.
Nombre de la etiqueta Cadena N/A Nombre de la etiqueta que se va a añadir a un atributo.
Nombre de atributo Cadena N/A El identificador de nombre del atributo que se va a etiquetar.
Categoría Cadena N/A Categoría a la que pertenece el atributo (por ejemplo, "Payload Delivery").
Tipo Cadena N/A El tipo de atributo (por ejemplo, nombre de archivo).
UUID de objeto Cadena N/A No Identificador único de un objeto del evento.

Casos prácticos

Clasifica el atributo según el tipo de indicador de compromiso: añade una etiqueta al atributo.

Fecha de ejecución

Esta acción se ejecuta en todas las entidades.

Resultados de la acción

Enriquecimiento de entidades

N/A

Estadísticas

N/A

Resultado de secuencia de comandos
Nombre del resultado de la secuencia de comandos Opciones de valor Ejemplo
is_success Verdadero/Falso is_success:False
Resultado de JSON
[
    {
        "name": "Global tag unique___test(7) successfully attached to Attribute(9).",
        "message": "Global tag unique___test(7) successfully attached to Attribute(9).",
        "url": "/tags/attachTagToObject"
    }
]

Quitar una etiqueta de un atributo

Descripción

Quitar etiquetas de atributos en MISP.

Parámetros

Nombre visible del parámetro Tipo Valor predeterminado Es obligatorio Descripción
ID de evento Cadena N/A No Especifica el ID o UUID del evento y dónde buscar los atributos. Este parámetro es obligatorio si "Búsqueda de atributos" se define como "Evento proporcionado".
Nombre de la etiqueta CSV N/A Especifica una lista de etiquetas separada por comas que quieras quitar de los atributos.
Nombre de atributo CSV N/A No

Especifica una lista separada por comas de los identificadores de atributo de los que quieras quitar etiquetas.
Nota: Si se especifican tanto "Nombre del atributo" como "UUID del atributo", la acción funcionará con los valores de "UUID del atributo".
Categoría CSV N/A No

Especifica una lista de categorías separadas por comas. Si se especifica, la acción solo quitará las etiquetas de los atributos que tengan una categoría coincidente. Si no se especifica nada, la acción ignorará las categorías de los atributos.
Valores posibles: External Analysis, Payload Delivery, Artifacts Dropped y Payload Installation.
Tipo CSV N/A No

Especifica una lista de tipos de atributos separados por comas. Si se especifica, la acción solo quitará las etiquetas de los atributos que tengan un tipo de atributo coincidente. Si no se especifica nada, la acción ignorará los tipos de los atributos.
Valores de ejemplo: md5, sha1, ip-src, ip-dst
UUID de objeto CSV N/A Especifica el UUID del objeto que contiene el atributo deseado.
Búsqueda de atributos DDL

Evento proporcionado

Posibles valores:

Todos los eventos

Evento proporcionado

 Especifica dónde debe buscar atributos la acción. Si se selecciona "Evento proporcionado", la acción solo buscará atributos o UUIDs de atributos en el evento con el ID o UUID proporcionado en el parámetro "ID de evento". Si elige "Todos los eventos", la acción buscará atributos en todos los eventos y quitará las etiquetas de todos los atributos que cumplan nuestros criterios.
UUID de atributo CSV Especifica una lista separada por comas de los UUIDs de los atributos de los que quieras quitar las etiquetas nuevas. Nota: Si se especifican tanto "Nombre del atributo" como "UUID del atributo", la acción funcionará con los valores de "UUID del atributo".

Casos prácticos

Volver a clasificar atributo: quitar etiqueta para volver a clasificar

Fecha de ejecución

Esta acción se ejecuta en todas las entidades.

Resultados de la acción

Resultado de secuencia de comandos
Nombre del resultado de la secuencia de comandos Opciones de valor Ejemplo
is_success Verdadero/Falso is_success:False
Resultado de JSON
[
    {
        "name": "Tag unique___test(7) successfully removed from Attribute(9).",
        "message": "Tag unique___test(7) successfully removed from Attribute(9).",
        "url": "/tags/removeTagFromObject"
    }
]
Panel de casos
Tipo de resultado Valor/Descripción Tipo>
Mensaje de salida*

Si se han eliminado correctamente las etiquetas de al menos un atributo: "Se han eliminado correctamente las etiquetas de los siguientes atributos de MISP:\n{0}".format(nombre del atributo/UUID del objeto)

Si no se han quitado las etiquetas de al menos un atributo: "No se han quitado las etiquetas de los siguientes atributos de MISP:\n{0}".format(nombre del atributo o UUID del objeto)

Si no se ha completado para todos: "No se ha quitado ninguna etiqueta de los atributos proporcionados en MISP"

Si no se ha encontrado al menos una etiqueta: "No se han encontrado las siguientes etiquetas en MISP: \n{0}".format(lista de etiquetas que no se han encontrado en MISP)

Si no se ha encontrado ninguna etiqueta: "None of the provided tags were found in MISP." ("No se ha encontrado ninguna de las etiquetas proporcionadas en MISP").

Error crítico (acción fallida): "Error al ejecutar la acción "Quitar etiqueta de un atributo". Motivo: {0}".format(stacktrace)

Si se especifica un parámetro no válido en "Categoría" (acción de fallo): "Error al ejecutar la acción "Quitar etiqueta de un atributo". Motivo: Se ha proporcionado un valor no válido para el parámetro "Category". Valores aceptables: External Analysis, Payload Delivery, Artifacts Dropped, Payload Installation".

Si se selecciona "Provided Event" (Evento proporcionado), pero no se selecciona Event ID (ID de evento): "Error executing action "Remove Tag from an Attribute". Motivo: debe proporcionar el ID de evento si selecciona "Evento proporcionado" en el parámetro "Búsqueda de atributo".

No se ha encontrado el ID de evento (acción fallida) "Error al ejecutar la acción "Remove Tag from an Attribute". Motivo: No se ha encontrado el evento con {0} {1} en MISP".format(ID/UUID, event_id)

 General

Publicar evento

Descripción

Esta acción permite al usuario publicar un evento. Al publicar un evento, se comparte con el grupo que hayas seleccionado, por lo que todos sus miembros podrán verlo.

Parámetros

Nombre visible del parámetro Tipo Valor predeterminado Es obligatorio Descripción
ID de evento Cadena N/A Especifique el ID o UUID del evento que quiera publicar.

Casos prácticos

Publicar un evento:

  1. Crear
  2. Añadir atributos de evento
  3. Publicar evento

Resultados de la acción

Resultado de secuencia de comandos
Nombre del resultado de la secuencia de comandos Opciones de valor Ejemplo
is_success Verdadero/Falso is_success:False
Resultado de JSON
[
    {
        "Event": {
            "id": "3",
            "orgc_id": "1",
            "org_id": "1",
            "date": "2019-12-27",
            "threat_level_id": "1",
            "info": "Connection to .ch",
            "published": true,
            "uuid": "5e05dd29-7b90-474d-b5f6-51ae0a00024b",
            "attribute_count": "0",
            "analysis": "1",
            "timestamp": "1577774920",
            "distribution": "3",
            "proposal_email_lock": false,
            "locked": false,
            "publish_timestamp": "1577774846",
            "sharing_group_id": "0",
            "disable_correlation": false,
            "extends_uuid": "5e05db24-1e98-4bb9-bd56-51fd0a00024b",
            "event_creator_email": "admin@admin.test",
            "Org": {
                "id": "1",
                "name": "ORGNAME",
                "uuid": "5dfc9b8f-c320-4b6d-ac1c-4f4e8bdc3fef",
                "local": true
            },
            "Orgc": {
                "id": "1",
                "name": "ORGNAME",
                "uuid": "5dfc9b8f-c320-4b6d-ac1c-4f4e8bdc3fef",
                "local": true
            },
            "Attribute": [],
            "ShadowAttribute": [],
            "RelatedEvent": [],
            "Galaxy": [],
            "Object": [],
            "Tag": [
                {
                    "id": "7",
                    "name": "unique___test",
                    "colour": "#9648c4",
                    "exportable": true,
                    "user_id": "0",
                    "hide_tag": false,
                    "numerical_value": null,
                    "local": 0
                }
            ]
        }
    }
]
Panel de casos
Tipo de resultado Valor/Descripción Tipo
Mensaje de salida*

Si la operación se realiza correctamente: "Successfully published event with {0} {1} in MISP.".format(ID/UUID, event_id)

Si no se ha publicado: "Event with {0} {1} was not published in MISP".format(ID/UUID, event_id) ("No se ha publicado el evento con {0} {1} en MISP").

Error crítico (acción fallida): "Error al ejecutar la acción "Publicar evento". Motivo: {0}".format(stacktrace)

No se ha encontrado el ID de evento (acción fallida) "Error al ejecutar la acción "Publicar evento". Motivo: No se ha encontrado el evento con {0} {1} en MISP".format(ID/UUID, event_id)

 General

Unpublish Event

Descripción

La acción permite al usuario anular la publicación de un evento. Si dejas de publicar un evento, los grupos compartidos no podrán verlo.

Parámetros

Nombre visible del parámetro Tipo Valor predeterminado Es obligatorio Descripción
ID de evento Cadena N/A Especifique el ID o UUID del evento que quiera dejar de publicar.
Resultados de la acción
Resultado de secuencia de comandos
Nombre del resultado de la secuencia de comandos Opciones de valor Ejemplo
is_success Verdadero/Falso is_success:False
Resultado de JSON
[
    {
        "Event": {
            "id": "3",
            "orgc_id": "1",
            "org_id": "1",
            "date": "2019-12-27",
            "threat_level_id": "1",
            "info": "Connection to .ch",
            "published": false,
            "uuid": "5e05dd29-7b90-474d-b5f6-51ae0a00024b",
            "attribute_count": "0",
            "analysis": "1",
            "timestamp": "1577774920",
            "distribution": "3",
            "proposal_email_lock": false,
            "locked": false,
            "publish_timestamp": "1577774846",
            "sharing_group_id": "0",
            "disable_correlation": false,
            "extends_uuid": "5e05db24-1e98-4bb9-bd56-51fd0a00024b",
            "event_creator_email": "admin@admin.test",
            "Org": {
                "id": "1",
                "name": "ORGNAME",
                "uuid": "5dfc9b8f-c320-4b6d-ac1c-4f4e8bdc3fef",
                "local": true
            },
            "Orgc": {
                "id": "1",
                "name": "ORGNAME",
                "uuid": "5dfc9b8f-c320-4b6d-ac1c-4f4e8bdc3fef",
                "local": true
            },
            "Attribute": [],
            "ShadowAttribute": [],
            "RelatedEvent": [],
            "Galaxy": [],
            "Object": [],
            "Tag": [
                {
                    "id": "7",
                    "name": "unique___test",
                    "colour": "#9648c4",
                    "exportable": true,
                    "user_id": "0",
                    "hide_tag": false,
                    "numerical_value": null,
                    "local": 0
                }
            ]
        }
    }
]
Panel de casos
Tipo de resultado Valor/Descripción Tipo
Mensaje de salida*

Si la operación se realiza correctamente: "Successfully unpublished event with {0} {1} in MISP.".format(ID/UUID, event_id) ("Se ha anulado la publicación del evento con {0} {1} en MISP.").

Si no se ha podido: "Event with {0} {1} was not unpublished in MISP".format(ID/UUID, event_id) ("No se ha podido anular la publicación del evento con {0} {1} en MISP").

Error crítico (acción fallida): "Error al ejecutar la acción "Despublicar evento". Motivo: {0}".format(stacktrace)

No se encuentra el ID de evento (acción fallida) "Error al ejecutar la acción "Unpublish Event". Motivo: No se ha encontrado el evento con {0} {1} en MISP".format(ID/UUID, event_id)

 General

Eliminar un atributo

Descripción

Eliminar atributos en MISP. Hashes admitidos: MD5, SHA1, SHA224, SHA256, SHA384, SHA512 y SSDeep.

Parámetros

Nombre visible del parámetro Tipo Valor predeterminado Es obligatorio Descripción
ID de evento Cadena N/A No Especifica el ID o UUID del evento y dónde buscar los atributos. Este parámetro es obligatorio si "Búsqueda de atributos" se define como "Evento proporcionado".
Nombre de atributo CSV N/A No

Especifica una lista separada por comas de los identificadores de atributos que quieras eliminar.
Nota: Si se especifican tanto "Nombre del atributo" como "UUID del atributo", la acción funcionará con los valores de "UUID del atributo".
Categoría CSV N/A No

Especifica una lista de categorías separadas por comas. Si se especifica, la acción solo eliminará los atributos que tengan una categoría coincidente. Si no se especifica nada, la acción ignorará las categorías de los atributos.
Valores posibles: External Analysis, Payload Delivery, Artifacts Dropped y Payload Installation.
Tipo CSV N/A No

Especifica una lista de tipos de atributos separados por comas. Si se especifica, la acción solo eliminará los atributos que tengan un tipo de atributo coincidente. Si no se especifica nada, la acción ignorará los tipos de los atributos.
Valores de ejemplo: md5, sha1, ip-src, ip-dst
UUID de objeto Cadena N/A No Identificador único de un objeto del evento.
Búsqueda de atributos DDL

Evento proporcionado

Posibles valores:

Todos los eventos

Evento proporcionado

 Especifica dónde debe buscar atributos la acción. Si se selecciona "Evento proporcionado", la acción solo buscará atributos o UUIDs de atributos en el evento con el ID o UUID proporcionado en el parámetro "ID de evento". Si selecciona "Todos los eventos", la acción buscará atributos en todos los eventos y eliminará todos los atributos que coincidan con nuestros criterios.
UUID de atributo CSV

Especifica una lista separada por comas de los UUIDs de los atributos que quieras eliminar.
Nota: Si se especifican tanto "Nombre del atributo" como "UUID del atributo", la acción funcionará con los valores de "UUID del atributo".

Casos prácticos

Quita un atributo de un evento.

Fecha de ejecución

Esta acción se ejecuta en todas las entidades.

Resultados de la acción

Resultado de secuencia de comandos
Nombre del resultado de la secuencia de comandos Opciones de valor Ejemplo
is_success Verdadero/Falso is_success:False
Resultado de JSON
[
    {
        "message": "Attribute deleted."
    }
]
Panel de casos
Tipo de resultado Descripción del valor Tipo
Mensaje de salida*

Si se ha añadido correctamente un avistamiento a al menos un atributo: "Se han eliminado correctamente los siguientes atributos en MISP:\n{0}".format(nombre del atributo o UUID del objeto)

Si no se ha añadido correctamente Sighting a al menos un atributo: "Action didn't delete the following attributes in MISP:\n{0}".format(attribute name/object UUID) ("No se han eliminado los siguientes atributos en MISP:\n{0}".format(nombre del atributo o UUID del objeto))

Si no se ha completado para todos: "No se ha eliminado ningún atributo en MISP"

Error crítico (acción fallida) "Error al ejecutar la acción "Eliminar un atributo". Motivo: {0}".format(stacktrace)

Si se especifica un parámetro no válido en "Category" (acción fallida): "Error al ejecutar la acción "Eliminar un atributo". Motivo: Se ha proporcionado un valor no válido para el parámetro "Category". Valores aceptables: External Analysis, Payload Delivery, Artifacts Dropped, Payload Installation".

Si se selecciona "Provided Event" (Evento proporcionado), pero no se selecciona Event ID (ID de evento): "Error executing action "Delete an Attribute". Motivo: debe proporcionar el ID de evento si selecciona "Evento proporcionado" en el parámetro "Búsqueda de atributo".

No se ha encontrado el ID de evento (acción fallida) "Error al ejecutar la acción "Eliminar un atributo". Motivo: No se ha encontrado el evento con {0} {1} en MISP".format(ID/UUID, event_id)

 General

Eliminar un evento

Descripción

Eliminar el evento en MISP.

Parámetros

Nombre visible del parámetro Tipo Valor predeterminado Es obligatorio Descripción
ID de evento Cadena N/A Especifica el ID o UUID del evento que quieras eliminar.

Casos prácticos

Eliminar un evento de forma permanente.

Fecha de ejecución

Esta acción se ejecuta en la entidad User.

Resultados de la acción

Resultado de secuencia de comandos
Nombre del resultado de la secuencia de comandos Opciones de valor Ejemplo
is_success Verdadero/Falso is_success:False
Resultado de JSON
[
    {
        "name": "Event deleted.",
        "message": "Event deleted.",
        "url": "/events/delete/4"
    }
]
Panel de casos
Tipo de resultado Descripción del valor Tipo
Mensaje de salida*

Si se ha completado correctamente: "Successfully deleted event with {0} {1} in MISP".format(ID/UUID, event_id)

Error crítico (acción fallida): "Error al ejecutar la acción "Eliminar un evento". Motivo: {0}".format(traceback)

No se encuentra el ID de evento (acción fallida) "Error al ejecutar la acción "Eliminar un evento". Motivo: No se ha encontrado el evento con {0} {1} en MISP".format(ID/UUID, event_id)

 General

Crear objeto File Misp

Descripción

Esta acción permite al usuario organizar los atributos de archivo relacionados con un evento en un solo objeto que describe un archivo con su metainformación. El objeto con los atributos se adjunta a un evento especificado.

Parámetros

Nombre visible del parámetro Tipo Valor predeterminado Es obligatorio Descripción
ID de evento Cadena N/A Identificador único del evento al que se va a añadir el objeto. Ejemplo: 1
Nombre del archivo Cadena N/A No El nombre del archivo.
MD5 Cadena N/A No El valor de hash MD5 del archivo.
SHA1 Cadena N/A No El valor de hash sha1 del archivo.
SHA256 Cadena N/A No El valor de hash sha256 del archivo.
SSDEEP Cadena N/A No Valor ssdeep del archivo Ejemplo: 96:p5aAS1tN0M3t9AnTNuG6TNOt5PR1TNZdkljOXTNSnKTF3X7KsTFW+kLtW6K8i7bI:p5mb4rgQhRp7GljCbF3LKqFjkwxtU
Imphash Cadena N/A No Valor de hash MD5 calculado a partir de la tabla importada.

Casos prácticos

N/A

Fecha de ejecución

Esta acción se ejecuta en todas las entidades.

Resultados de la acción

Enriquecimiento de entidades

N/A

Estadísticas

N/A

Resultado de secuencia de comandos
Nombre del resultado de la secuencia de comandos Opciones de valor Ejemplo
is_success Verdadero/Falso is_success:False
Resultado de JSON
N/A

Crear objeto de error de coincidencia de IP y puerto

Descripción

Esta acción permite al usuario organizar los atributos de puerto e IP relacionados con un evento en un solo objeto que describe una dirección IP (o un dominio o un nombre de host) y un puerto vistos como una tupla (o una tripleta) en un periodo específico . El objeto con los atributos se adjunta a un evento especificado.

Parámetros

Nombre visible del parámetro Tipo Valor predeterminado Es obligatorio Descripción
ID de evento Cadena N/A Identificador único del evento al que se va a añadir el objeto. Ejemplo: 1
Dst-port Cadena N/A No Puerto de destino.
Puerto de origen Cadena N/A No Puerto de origen.
Dominio Cadena N/A No Domain (Gestionar dominio).
Nombre de host Cadena N/A No Nombre de host.
IP-Src Cadena N/A No Dirección IP de origen.
IP-Dst Cadena N/A No Dirección IP de destino.

Casos prácticos

N/A

Fecha de ejecución

Esta acción se ejecuta en todas las entidades.

Resultados de la acción

Enriquecimiento de entidades

N/A

Estadísticas

N/A

Resultado de secuencia de comandos
Nombre del resultado de la secuencia de comandos Opciones de valor Ejemplo
is_success Verdadero/Falso is_success:False
Resultado de JSON
N/A

Crear un objeto Misp de conexión de red

Descripción

Crea un objeto de conexión de red en MISP. Se debe proporcionar uno de los siguientes parámetros: Dst-port, Src-port, IP-Src o IP-Dst, o bien el parámetro "Use Entities" debe tener el valor "true".

Parámetros

Nombre visible del parámetro Tipo Valor predeterminado Es obligatorio Descripción
ID de evento Cadena N/A Especifica el ID o UUID del evento al que quieras añadir objetos de conexión de red.
Dst-port Cadena N/A No Especifica el puerto de destino que quieras añadir al evento.
Puerto de origen Cadena N/A No Especifica el puerto de origen que quieras añadir al evento.
Nombre de host de destino Cadena N/A No Especifica el destino de origen que quieras añadir al evento.
Hostname-src Cadena N/A No Especifica el nombre de host de origen que quieras añadir al evento.
IP-Src Cadena N/A No Especifica la IP de origen que quieras añadir al evento.
IP-Dst Cadena N/A No Especifica la IP de destino que quieras añadir al evento.
Layer3-protocol Cadena N/A No Especifica el protocolo de capa 3 relacionado que quieras añadir al evento.
Protocolo de capa 4 Cadena N/A No Especifica el protocolo de capa 4 relacionado que quieras añadir al evento.
Layer7-protocol Cadena N/A No Especifica el protocolo de capa 7 relacionado que quieras añadir al evento.
Usar entidades Casilla Desmarcada No Si se habilita, la acción usará entidades para crear objetos. Entidades admitidas: dirección IP. "Usar entidades" tiene prioridad sobre otros parámetros.
Tipo de IP DDL

IP de origen

Posibles valores:

IP de origen

IP de destino

 Especifica qué tipo de atributo se debe usar con las entidades de IP.

Fecha de ejecución

Esta acción se ejecuta en todas las entidades.

Resultados de la acción

Resultado de secuencia de comandos
Nombre del resultado de la secuencia de comandos Opciones de valor Ejemplo
is_success Verdadero/Falso is_success:False
Resultado de JSON
N/A
Panel de casos
Tipo de resultado Descripción del valor Tipo
Mensaje de salida*

Si se ha completado correctamente y "Use Entities" no es true: "Successfully created new network-connection object for event with {0} {1} in MISP.".format(ID/UUID, event_id) ("Se ha creado correctamente un nuevo objeto de conexión de red para el evento con {0} {1} en MISP").

Si no se ha completado correctamente y "Use Entities" no es true: "Action wasn't able to created new network-connection object for event with {0} {1} in MISP. Motivo: {2}".format(ID/UUID)

Si se ha completado correctamente y "Use Entities" es true: "Successfully created new network-connection objects for event with {0} {1} in MISP based on the following entities: \n{0}".format(ID/UUID, event_id, entity.identifiers)

Si no se ha completado correctamente y "Use Entities" es true: "Action wasn't able to create new network-connection objects for event with {0} {1} in MISP based on the following entities: \n{0}".format(ID/UUID, event_id, entity.identifiers) ("No se ha podido crear objetos de conexión de red para el evento con {0} {1} en MISP en función de las siguientes entidades: \n{0}".format(ID/UUID, event_id, entity.identifiers))

Si no se ha completado correctamente para todos y "Use Entities" es true: "Action wasn't able to create new network-connection objects for event with {0} {1} in MISP based on the provided entities.".format(ID/UUID, event_id) ("No se ha podido crear objetos de conexión de red para el evento con {0} {1} en MISP en función de las entidades proporcionadas").

Error crítico (acción fallida) "Error al ejecutar la acción "Crear objeto Misp de conexión de red". Motivo: {0}".format(stacktrace)

No se ha encontrado el ID de evento (acción fallida) "Error al ejecutar la acción "Create network-connection Misp Object". Motivo: No se ha encontrado el evento con {0} {1} en MISP".format(ID/UUID, event_id)

Si no se proporcionan Dst-port, Src-port, IP-Src ni IP-Dst y "Use Entities" == false: "Error al ejecutar la acción "Create network-connection Misp Object". Motivo: Debe proporcionar uno de los siguientes parámetros: "Dst-port", "Src-port", "IP-Src" o "IP-Dst", o bien definir el parámetro "Use Entities" como "true".

 General

Crear objeto Url Misp

Descripción

Crea un objeto URL en MISP. Requiere que se proporcione la URL o que el parámetro "Use Entities" (Usar entidades) se defina como true.

Parámetros

Nombre visible del parámetro Tipo Valor predeterminado Es obligatorio Descripción
ID de evento Cadena N/A Especifique el ID o UUID del evento al que quiera añadir objetos URL.
URL Cadena N/A No Especifica la URL que quieras añadir al evento.
Puerto Cadena N/A No Especifica el puerto que quieras añadir al evento.
Visto por primera vez Cadena N/A No

Especifica cuándo se vio la URL por primera vez.
Formato: 2020-12-22T13:07:32Z
Detectada por última vez Cadena N/A No

Especifica cuándo se vio la URL por última vez.
Formato: 2020-12-22T13:07:32Z
Dominio Cadena N/A No Especifica el dominio que quieras añadir al evento.
Texto Cadena N/A No Especifica el texto adicional que quieras añadir al evento.
IP Cadena N/A No Especifica la IP que quieras añadir al evento.
Host Cadena N/A No Especifica el host que quieras añadir al evento.
Usar entidades Casilla Desmarcada Si se habilita, la acción usará entidades para crear objetos. Entidades admitidas: URL. "Usar entidades" tiene prioridad sobre otros parámetros.

Fecha de ejecución

Esta acción se ejecuta en todas las entidades.

Resultados de la acción

Resultado de secuencia de comandos
Nombre del resultado de la secuencia de comandos Opciones de valor Ejemplo
is_success Verdadero/Falso is_success:False
Resultado de JSON
N/A
Panel de casos
Tipo de resultado Descripción del valor Tipo
Mensaje de salida*

Si el resultado es correcto y "Use Entities" es falso: "Successfully created new URL object for event with {0} {1} in MISP.".format(ID/UUID, event_id) ("Se ha creado correctamente un nuevo objeto URL para el evento con {0} {1} en MISP").

Si no se ha completado correctamente y "Use Entities" no es true: "Action wasn't able to created URL object for event with {0} {1} in MISP. Motivo: {2}".format(ID/UUID)

Si se ha completado correctamente y "Use Entities" es true: "Successfully created new URL objects for event with {0} {1} in MISP based on the following entities: \n{0}".format(ID/UUID, event_id, entity.identifiers)

Si no se ha completado correctamente y "Use Entities" es true: "Action wasn't able to create new URL objects for event with {0} {1} in MISP based on the following entities: \n{0}".format(ID/UUID, event_id, entity.identifiers) ("No se ha podido crear ningún objeto de URL para el evento con {0} {1} en MISP en función de las siguientes entidades: \n{0}".format(ID/UUID, event_id, entity.identifiers))

Si no se ha completado correctamente para todos los elementos y "Use Entities" es true: "Action wasn't able to create new URL objects for event with {0} {1} in MISP based on the provided entities.".format(ID/UUID, event_id) ("No se ha podido crear objetos de URL para el evento con {0} {1} en MISP en función de las entidades proporcionadas").

Error crítico (acción fallida) "Error al ejecutar la acción "Create Url Misp Object". Motivo: {0}".format(stacktrace)

No se ha encontrado el ID de evento (acción fallida) "Error al ejecutar la acción "Create Url Misp Object". Motivo: No se ha encontrado el evento con {0} {1} en MISP".format(ID/UUID, event_id)

Si no se proporciona ninguna URL y "Use Entities" == false: "Error al ejecutar la acción "Create Url Misp Object". Motivo: se debe proporcionar una URL o el parámetro "Use Entities" debe tener el valor "true".

 General

Crear objeto Virustotal-Report

Descripción

Crea un objeto de informe de VirusTotal en MISP.

Parámetros

Nombre visible del parámetro Tipo Valor predeterminado Es obligatorio Descripción
ID de evento Cadena N/A Especifique el ID o UUID del evento al que quiera añadir objetos URL.
Permalink Cadena N/A Especifica el enlace al informe de VirusTotal que quieras añadir al evento.
Comentario Cadena N/A No Especifica el comentario que quieras añadir al evento.
Índice de detección Cadena N/A No Especifica la proporción de detección que quieras añadir al evento.
Puntuación de la comunidad Cadena N/A No Especifica la puntuación de la comunidad que quieras añadir al evento.
Primer envío Cadena N/A No

Especifica la primera vez que se envía el evento.
Formato: 2020-12-22T13:07:32Z
Último envío Cadena N/A No

Especifica la última envío del evento.
Formato: 2020-12-22T13:07:32Z

Fecha de ejecución

Esta acción se ejecuta en todas las entidades.

Resultados de la acción

Resultado de secuencia de comandos
Nombre del resultado de la secuencia de comandos Opciones de valor Ejemplo
is_success Verdadero/Falso is_success:False
Panel de casos
Tipo de resultado Descripción del valor Tipo
Mensaje de salida*

Si se ha completado correctamente : "Successfully created new Virustotal-Report object for event with {0} {1} in MISP.".format(ID/UUID, event_id) ("Se ha creado correctamente un nuevo objeto Virustotal-Report para el evento con {0} {1} en MISP").

Si no se ha completado correctamente : "Action wasn't able to created Virustotal-Report object for event with {0} {1} in MISP. Motivo: {2}".format(ID/UUID)

Error crítico (acción fallida) "Error al ejecutar la acción "Create Virustotal-Report Misp Object". Motivo: {0}".format(stacktrace)

No se ha encontrado el ID de evento (error en la acción) "Error al ejecutar la acción "Create Virustotal-Report Misp Object". Motivo: No se ha encontrado el evento con {0} {1} en MISP".format(ID/UUID, event_id)

 General

List Event Objects

Descripción

Recupera información sobre los objetos disponibles en el evento de MISP.

Parámetros

Nombre visible del parámetro Tipo Valor predeterminado Es obligatorio Descripción
ID de evento Cadena N/A Especifica una lista separada por comas de los IDs y UUIDs de los eventos de los que quieras obtener los detalles.
Número máximo de objetos que se devolverán Entero 50 No Especifica cuántos objetos quieres que se devuelvan.

Fecha de ejecución

Esta acción no se ejecuta en entidades.

Resultados de la acción

Resultado de secuencia de comandos
Nombre del resultado de la secuencia de comandos Opciones de valor Ejemplo
is_success Verdadero/Falso is_success:False
Resultado de JSON
"Object": [
    {
        "id": "1",
        "name": "ftm-Associate",
        "meta-category": "followthemoney",
        "description": "Non-family association between two people",
        "template_uuid": "6119ecb3-dedd-44b6-b88f-174585b0b1bf",
        "template_version": "1",
        "event_id": "1",
        "uuid": "2a3e260f-d3b2-4164-b2b1-2f6f5b559970",
        "timestamp": "1594632232",
        "distribution": "5",
        "sharing_group_id": "0",
        "comment": "",
        "deleted": false,
        "first_seen": null,
        "last_seen": null,
        "ObjectReference": [],
    },
    {
        "id": "2",
        "name": "ftm-Associate",
        "meta-category": "followthemoney",
        "description": "Non-family association between two people",
        "template_uuid": "6119ecb3-dedd-44b6-b88f-174585b0b1bf",
        "template_version": "1",
        "event_id": "1",
        "uuid": "800d8634-175a-4bc2-a4d7-aca200c8c132",
        "timestamp": "1594632463",
        "distribution": "5",
        "sharing_group_id": "0",
        "comment": "",
        "deleted": false,
        "first_seen": null,
        "last_seen": null,
        "ObjectReference": [],
    }
Panel de casos
Tipo de resultado Descripción del valor Tipo
Mensaje de salida*

La acción no debe fallar ni detener la ejecución de una guía:

Si se encuentra al menos un objeto para un evento: "Successfully listed objects for the following events: \n{0}".format(event_ids)

Si no se ha encontrado el evento con el ID especificado (is_success = false):
print "No se ha podido enumerar los objetos. Motivo: no se ha encontrado el evento con el ID {0} en MISP.".format(event_id)

Si no se encuentra ningún objeto en un evento:

"No se ha podido encontrar objetos para los siguientes eventos:\n {0}".format(event_ids)

Si no se encuentra ningún objeto en todos los eventos: "No se ha encontrado ningún objeto en los eventos proporcionados".

La acción debería fallar y detener la ejecución de la guía:

Si se produce un error grave, como credenciales incorrectas, no hay conexión con el servidor u otro:

imprime "Error al ejecutar la acción "List Event Objects". Motivo: {0}''.format(error.Stacktrace)

 General
Tabla CSV

Nombre de la tabla: Event {0} Objects

Columnas de tabla:

  • UUID del objeto (asignado como uuid)
  • Nombre (asignado como nombre)
  • Categoría (asignada como metacategoría)
  • Descripción (asignada como descripción)
  • Comentario (asignado como comentario)

Obtener detalles del evento

Descripción

Recupera detalles sobre eventos en MISP.

Parámetros

Nombre visible del parámetro Tipo Es obligatorio Descripción
ID de evento Cadena Especifique una lista separada por comas de los IDs o UUIDs de los eventos de los que quiera obtener detalles.
Return Attributes Info Casilla Marcada Si está habilitada, la acción creará una tabla de muro de casos para todos los atributos que formen parte del evento.

Fecha de ejecución

Esta acción no se ejecuta en entidades.

Resultados de la acción

Resultado de secuencia de comandos
Nombre del resultado de la secuencia de comandos Opciones de valor Ejemplo
is_success Verdadero/Falso is_success:False
Panel de casos
Tipo de resultado Descripción del valor Tipo
Mensaje de salida*

La acción no debe fallar ni detener la ejecución de una guía:

Si la acción se ha completado correctamente en al menos uno de los IDs proporcionados:

Imprime "Se ha obtenido correctamente la información de los siguientes eventos: <>"

Si no se ha podido ejecutar la acción en al menos uno de los IDs de incidencia proporcionados:

Imprime "No se ha podido recuperar la información de los siguientes eventos: <>

La acción debería fallar y detener la ejecución de un cuaderno de estrategias:
si se produce un error crítico o un error del SDK (por ejemplo, si las credenciales son incorrectas, no hay conexión u otro error):
Print "Error executing action "Get Event Details". Motivo: {0}''.format(error.Stacktrace

La acción debería fallar y detener la ejecución de la guía:

Si se produce un error grave, como credenciales incorrectas, no hay conexión con el servidor u otro:

imprime "Error al ejecutar la acción "List Event Objects". Motivo: {0}''.format(error.Stacktrace)

 General
Tabla CSV

Nombre de la tabla: "Detalles de los atributos del evento {0}".format(event_id)

Columnas:

  1. ID
  2. Valor
  3. Comentario
  4. Tipo
  5. Categoría
  6. UUID
  7. Distribución
  8. Marca de tiempo

Listar avistamientos de un atributo

Descripción

Lista de avistamientos disponibles para atributos en MISP.

Parámetros

búsqueda
Nombre del parámetro Tipo Valor predeterminado Obligatorio Descripción
Nombre de atributo CSV No Especifique una lista de identificadores de atributos separados por comas de los que quiera mostrar las detecciones. Nota: Si se especifican tanto "Nombre del atributo" como "UUID del atributo", la acción funcionará con los valores de "UUID del atributo".
ID de evento Cadena No Especifica el ID o UUID del evento y dónde buscar los atributos. Este parámetro es obligatorio si "Búsqueda de atributos" se define como "Evento proporcionado".
Categoría CSV No Especifica una lista de categorías separadas por comas. Si se especifica, la acción solo mostrará las detecciones de los atributos que tengan una categoría coincidente. Si no se especifica nada, la acción ignorará las categorías de los atributos. Valores posibles: Análisis externo, Entrega de carga útil, Artefactos eliminados e Instalación de carga útil.
Tipo CSV No Especifica una lista de tipos de atributos separados por comas. Si se especifica, la acción solo mostrará las detecciones de los atributos que tengan un tipo de atributo coincidente. Si no se especifica nada, la acción ignorará los tipos de los atributos. Valores de ejemplo: md5, sha1, ip-src, ip-dst
Búsqueda de atributos DDL

Evento proporcionado

Posibles valores:

Todos los eventos

 Especifica dónde debe buscar atributos la acción. Si se selecciona "Evento proporcionado", la acción solo buscará atributos o UUIDs de atributos en el evento con el ID o UUID proporcionado en el parámetro "ID de evento". Si selecciona "Todos los eventos", la acción buscará atributos en todos los eventos y mostrará los resultados de todos los atributos que coincidan con nuestros criterios.
UUID de atributo CSV No Especifica una lista separada por comas de los UUIDs de los atributos de los que quieras obtener una lista de avistamientos. Nota: Si se especifican tanto "Nombre del atributo" como "UUID del atributo", la acción funcionará con los valores de "UUID del atributo".
Resultados de la acción
Resultado de secuencia de comandos
Nombre del resultado de la secuencia de comandos Opciones de valor Ejemplo
is_success Verdadero/Falso is_success:False
Panel de casos
Tipo de resultado Valor/Descripción Tipo
Mensaje de salida*

Si se han añadido correctamente avistamientos a al menos un atributo: "Successfully listed sightings for the following attributes in MISP:\n{0}".format(attribute name/attribute UUID) ("Se han añadido correctamente avistamientos a los siguientes atributos en MISP:\n{0}".format(nombre del atributo/UUID del atributo))

Si no se han podido enumerar las detecciones de al menos un atributo: "Action didn't list sightings for the following attributes in MISP:\n{0}".format(attribute name/attribute UUID) ("No se han podido enumerar las detecciones de los siguientes atributos en MISP:\n{0}".format(nombre del atributo/UUID del atributo))

Si no se encuentran avistamientos para todos los atributos o no se encuentran avistamientos para ningún atributo: "No se han encontrado avistamientos para los atributos proporcionados en MISP"

Error crítico (acción fallida) "Error al ejecutar la acción "List Sightings of an Attribute". Motivo: {0}".format(stacktrace)

Si se especifica un parámetro no válido en "Categoría" (acción fallida): "Error al ejecutar la acción "List Sightings of an Attribute". Motivo: Se ha proporcionado un valor no válido para el parámetro "Category". Valores aceptables: External Analysis, Payload Delivery, Artifacts Dropped, Payload Installation".

Si se selecciona "Provided Event" (Evento proporcionado), pero no se selecciona Event ID (ID de evento): "Error executing action "List Sightings of an Attribute". Motivo: debe proporcionar el ID de evento si selecciona "Evento proporcionado" en el parámetro "Búsqueda de atributo".

 General

Definir la marca IDS de un atributo

Descripción

Define la marca IDS para los atributos de MISP.

Parámetros

searchsearch
Nombre del parámetro Tipo Valor predeterminado Obligatorio Descripción
Nombre de atributo CSV No Especifique una lista de identificadores de atributos separados por comas para los que quiera definir una marca de IDS. Nota: Si se especifican tanto "Nombre del atributo" como "UUID del atributo", la acción funcionará con los valores de "UUID del atributo".
ID de evento Cadena No Especifica el ID o UUID del evento y dónde buscar los atributos. Este parámetro es obligatorio si "Búsqueda de atributos" se define como "Evento proporcionado".
Categoría CSV No Especifica una lista de categorías separadas por comas. Si se especifica, la acción solo definirá la marca IDS para los atributos que tengan una categoría coincidente. Si no se especifica nada, la acción ignorará las categorías de los atributos. Valores posibles: Análisis externo, Entrega de carga útil, Artefactos eliminados e Instalación de carga útil.
Tipo CSV No Especifica una lista de tipos de atributos separados por comas. Si se especifica, la acción solo definirá la marca IDS para los atributos que tengan un tipo de atributo coincidente. Si no se especifica nada, la acción ignorará los tipos de los atributos. Valores de ejemplo: md5, sha1, ip-src, ip-dst
Búsqueda de atributos DDL

Evento proporcionado

Posibles valores:

Todos los eventos

 Especifica dónde debe buscar atributos la acción. Si se selecciona "Evento proporcionado", la acción solo buscará atributos o UUIDs de atributos en el evento con el ID o UUID proporcionado en el parámetro "ID de evento". Si se selecciona "Todos los eventos", la acción buscará atributos en todos los eventos y definirá la marca IDS para todos los atributos que cumplan nuestros criterios.
UUID de atributo CSV No

Especifique una lista separada por comas de los UUIDs de los atributos para los que quiera definir una marca de IDS.
Nota: Si se especifican tanto "Nombre del atributo" como "UUID del atributo", la acción funcionará con los valores de "UUID del atributo".

Resultados de la acción

Resultado de secuencia de comandos
Nombre del resultado de la secuencia de comandos Opciones de valor Ejemplo
correcto Verdadero/Falso success:False
Panel de casos
Tipo de resultado Descripción del valor Tipo
Mensaje de salida*

Si se ha añadido correctamente la marca IDS a al menos un atributo: "Se ha definido correctamente la marca IDS para los siguientes atributos en MISP:\n{0}".format(nombre del atributo o UUID del objeto)

Si no se ha añadido correctamente la marca IDS a al menos un atributo: "Action didn't set IDS flag for the following attributes in MISP:\n{0}".format(attribute name/object UUID) ("No se ha definido la marca IDS para los siguientes atributos en MISP:\n{0}".format(nombre del atributo o UUID del objeto))

Si no se ha completado correctamente para todos: "No se ha definido la marca IDS para los atributos proporcionados en MISP"

Error crítico (acción fallida) "Error al ejecutar la acción "Definir la marca de ID de un atributo". Motivo: {0}".format(stacktrace)

Si se especifica un parámetro no válido en "Categoría" (acción fallida): "Error al ejecutar la acción "Definir marca de ID para un atributo". Motivo: Se ha proporcionado un valor no válido para el parámetro "Category". Valores aceptables: External Analysis, Payload Delivery, Artifacts Dropped, Payload Installation".

Si se selecciona "Provided Event" (Evento proporcionado), pero no se selecciona Event ID (ID de evento): "Error al ejecutar la acción "Set IDS Flag for an Attribute" (Definir la marca IDS de un atributo). Motivo: debe proporcionar el ID de evento si selecciona "Evento proporcionado" en el parámetro "Búsqueda de atributo".

No se ha encontrado el ID de evento (acción fallida) "Error al ejecutar la acción "Set IDS Flag for an Attribute". Motivo: No se ha encontrado el evento con {0} {1} en MISP".format(ID/UUID, event_id)

 General

Anular la marca IDS de un atributo

Descripción

Anula la marca IDS de los atributos de MISP.

Parámetros

Nombre Tipo Valor predeterminado Obligatorio Descripción
Nombre de atributo CSV No

Especifique una lista de identificadores de atributos separados por comas para los que quiera quitar una marca de IDS.
Nota: Si se especifican tanto "Nombre del atributo" como "UUID del atributo", la acción funcionará con los valores de "UUID del atributo".
ID de evento Cadena No Especifica el ID o UUID del evento y dónde buscar los atributos. Este parámetro es obligatorio si "Búsqueda de atributos" se define como "Evento proporcionado".
Categoría CSV No Especifica una lista de categorías separadas por comas. Si se especifica, la acción solo anulará la marca IDS de los atributos que tengan una categoría coincidente. Si no se especifica nada, la acción ignorará las categorías de los atributos. Valores posibles: Análisis externo, Entrega de carga útil, Artefactos eliminados e Instalación de carga útil.
Tipo CSV No Especifica una lista de tipos de atributos separados por comas. Si se especifica, la acción solo anulará la marca IDS de los atributos que tengan un tipo de atributo coincidente. Si no se especifica nada, la acción ignorará los tipos de los atributos. Valores de ejemplo: md5, sha1, ip-src, ip-dst
Búsqueda de atributos DDL

Evento proporcionado

Posibles valores:

Todos los eventos

 Verdadero Especifica dónde debe buscar atributos la acción. Si se selecciona "Evento proporcionado", la acción solo buscará atributos o UUIDs de atributos en el evento con el ID o UUID proporcionado en el parámetro "ID de evento". Si se selecciona "Todos los eventos", la acción buscará atributos en todos los eventos y desactivará la marca IDS de todos los atributos que cumplan nuestros criterios.
UUID de atributo CSV No Especifica una lista separada por comas de UUIDs de atributos para los que quieras quitar una marca de IDS. Nota: Si se especifican tanto "Nombre del atributo" como "UUID del atributo", la acción funcionará con los valores de "UUID del atributo".

Resultados de la acción

Resultado de secuencia de comandos
Nombre del resultado de la secuencia de comandos Opciones de valor Ejemplo
correcto Verdadero/Falso success:False
Panel de casos
Tipo de resultado Descripción del valor Tipo
Mensaje de salida*

Si se ha quitado correctamente la marca de IDS de al menos un atributo: "Successfully unset IDS flag for the following attributes in MISP:\n{0}".format(attribute name/object UUID) ("Se ha quitado correctamente la marca de IDS de los siguientes atributos de MISP:\n{0}".format(nombre del atributo o UUID del objeto))

Si no se ha quitado correctamente la marca de IDS de al menos un atributo: "No se ha quitado la marca de IDS de los siguientes atributos de MISP:\n{0}".format(nombre del atributo o UUID del objeto)

Si no se ha completado correctamente para todos: "No se ha quitado la marca de IDS de los atributos proporcionados en MISP"

Error crítico (acción fallida): "Error al ejecutar la acción "Unset IDS Flag for an Attribute". Motivo: {0}".format(stacktrace)

Si se especifica un parámetro no válido en "Categoría" (acción fallida): "Error al ejecutar la acción "Unset IDS Flag for an Attribute". Motivo: Se ha proporcionado un valor no válido para el parámetro "Category". Valores aceptables: External Analysis, Payload Delivery, Artifacts Dropped, Payload Installation".

Si se selecciona "Provided Event" (Evento proporcionado), pero no se selecciona Event ID (ID de evento): "Error executing action "Unset IDS Flag for an Attribute". Motivo: debe proporcionar el ID de evento si selecciona "Evento proporcionado" en el parámetro "Búsqueda de atributo".

No se ha encontrado el ID de evento (acción fallida) "Error al ejecutar la acción "Unset IDS Flag for an Attribute". Motivo: No se ha encontrado el evento con {0} {1} en MISP".format(ID/UUID, event_id)

 General

Conector

MISP - Attributes Connector

Descripción

Extrae atributos de MISP.

Configurar el conector de atributos de MISP en Google SecOps

Para obtener instrucciones detalladas sobre cómo configurar un conector en Google SecOps, consulta el artículo Configurar el conector.

Parámetros del conector

Utiliza los siguientes parámetros para configurar el conector:

Nombre del parámetro Tipo Valor predeterminado Es obligatorio Descripción
DeviceProductField Cadena Nombre del producto Introduce el nombre del campo de origen para obtener el nombre del campo de producto.
EventClassId Cadena alertType Introduzca el nombre del campo de origen para obtener el nombre del campo de evento.
PythonProcessTimeout Entero 180 Límite de tiempo de espera del proceso de Python que ejecuta la secuencia de comandos actual.
Raíz de la API Cadena N/A Raíz de la API de la cuenta de MISP.
Clave de API Contraseña Clave de API de la cuenta de MISP.
Fetch Max Hours Backwards Entero 1 No Número de horas desde las que se deben obtener los atributos.
Número máximo de atributos por ciclo Entero 50 Número de atributos que se procesarán por cada iteración del conector.
Nivel de amenaza más bajo que se va a obtener Entero 1 Gravedad mínima que se usará para obtener alertas. Valores posibles: del 1 al 4.
Filtro de tipo de atributo Cadena No Filtra los atributos por su tipo, separados por comas. Si se proporciona, solo se procesarán los atributos con el tipo incluido en la lista blanca.
Filtro de categoría Cadena No Filtra los atributos por su categoría, separados por comas. Si se proporciona, solo se procesarán los atributos con la categoría incluida en la lista blanca.
Filtro Galaxy Cadena No Filtra los atributos por la galaxia de su evento principal, separados por comas. Si se proporciona, solo se procesarán los atributos que pertenezcan a un evento con una galaxia incluida en la lista blanca.
Verificar SSL Casilla Si está habilitada, compruebe que el certificado SSL de la conexión al servidor CheckPoint Cloud Guard sea válido.
Nombre del campo de entorno Cadena No Describe el nombre del campo en el que se almacena el nombre del entorno. Si no se encuentra el campo de entorno, se utiliza el entorno predeterminado.
Patrón de regex de entorno Cadena .* No Un patrón de expresión regular que se ejecuta en el valor encontrado en el campo \"Nombre del campo de entorno\". El valor predeterminado es .* para captar todos los valores y devolverlos sin cambios. Se usa para permitir que el usuario manipule el campo del entorno mediante la lógica de expresiones regulares. Si el patrón de expresión regular es nulo o está vacío, o si el valor del entorno es nulo, el resultado final del entorno será el entorno predeterminado.
Dirección del servidor proxy Cadena No Dirección del servidor proxy que se va a usar.
Nombre de usuario del proxy Cadena No Nombre de usuario del proxy para autenticarse.
Contraseña del proxy Contraseña No La contraseña del proxy para autenticarte.

¿Necesitas más ayuda? Recibe respuestas de los miembros de la comunidad y de los profesionales de Google SecOps.