MISP
Versión de la integración: 31.0
Configura la integración de MISP para que funcione con Google Security Operations
Configura la integración de MISP con un certificado de CA
Si es necesario, puedes verificar tu conexión con un archivo de certificado de CA.
Antes de comenzar, asegúrate de tener lo siguiente:
- El archivo del certificado de la CA
- La versión más reciente de la integración de MISP
Para configurar la integración con un certificado de CA, completa los siguientes pasos:
- Analiza tu archivo de certificado de CA en una cadena Base64.
- Abre la página de parámetros de configuración de la integración.
- Inserta la cadena en el campo Archivo de certificado de CA.
- Para probar que la integración se configuró correctamente, selecciona la casilla de verificación Verificar SSL y haz clic en Probar.
Clave de automatización
La autenticación se realiza a través de una clave segura disponible en la IU de MISP. La clave de API está disponible en el menú de acciones de eventos en Automatización.
Configura la integración de MISP en Google SecOps
Si quieres obtener instrucciones detalladas para configurar una integración en Google SecOps, consulta Configura integraciones.
Parámetros de integración
Usa los siguientes parámetros para configurar la integración:
| Nombre visible del parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
|---|---|---|---|---|
| Nombre de la instancia | String | N/A | No | Nombre de la instancia para la que deseas configurar la integración. |
| Descripción | String | N/A | No | Es la descripción de la instancia. |
| Raíz de la API | https://<IP> | Sí | Es la dirección de la instancia de MISP. | |
| Clave de API | String | N/A | Sí | Se genera en la consola de MISP. |
| Usa SSL | Casilla de verificación | Desmarcado | No | Usa esta casilla de verificación si tu conexión a MISP requiere una verificación SSL (no está marcada de forma predeterminada). |
| Ejecutar de forma remota | Casilla de verificación | Desmarcado | No | Marca la casilla para ejecutar la integración configurada de forma remota. Una vez que se marca, aparece la opción para seleccionar al usuario remoto (agente). |
Acciones
Agregar atributo
Descripción
Agrega una entidad como atributo a un evento de MISP.
Parámetros
| Nombre visible del parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
|---|---|---|---|---|
| ID del evento | String | N/A | Sí | Es el ID del evento. |
| Categoría | String | Análisis externo | No | Es la categoría del atributo. Valor predeterminado: Análisis externo. |
| Distribución | String | 1 | No | Es la distribución del atributo. Cantidad predeterminada: 1 |
| Para el sistema de detección de intrusiones | Casilla de verificación | Desmarcado | No | Indica si el atributo se usa para el Sistema de detección de intrusiones. Valor predeterminado: false. |
| Comentario | String | N/A | No | Es el comentario que se agregará al atributo. |
Casos de uso
N/A
Ejecutar en
Esta acción se ejecuta en las siguientes entidades:
- URL
- Nombre de host
- Dirección IP
- Filehash
Resultados de la acción
Enriquecimiento de entidades
N/A
Estadísticas
N/A
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| correcto | Verdadero/Falso | success:False |
Resultado de JSON
N/A
Crear el evento
Descripción
Crea un nuevo evento de MISP.
Limitación conocida
Actualmente, la API de MISP no permite que los eventos se publiquen inmediatamente después de su creación. Primero debes crear un evento y, luego, usar la acción "Publicar evento".
Parámetros
| Nombre visible del parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
|---|---|---|---|---|
| Nombre del evento | String | N/A | Sí | Nombre del evento. |
| Nivel de amenaza | String | 0 | No | Es el nivel de amenaza del evento. El valor predeterminado es 0. |
| Distribución | String | 1 | No | Es la distribución del atributo. Cantidad predeterminada: 1 |
| Análisis | String | 0 | No | Nivel de análisis del evento [0-2]: El valor predeterminado es 0. |
| Publicar | Casilla de verificación | Marcado | No | Indica si se publicará el evento o no. |
| Comentario | String | N/A | No | Es el comentario del evento. |
Ejecutar en
Esta acción se ejecuta en todas las entidades.
Resultados de la acción
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| event_id | N/A | N/A |
Agrega una etiqueta a un evento
Descripción
Agregar una etiqueta a una acción de evento permite que un usuario agregue una etiqueta a un evento específico en MISP. Esto agrega una clasificación al evento según la categoría de la amenaza de seguridad que representa el IOC asociado con el evento.
Parámetros
| Nombre visible del parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
|---|---|---|---|---|
| ID del evento | String | N/A | Sí | Es el identificador único que especifica el evento al que se agregará la etiqueta. |
| Nombre de la etiqueta | String | N/A | Sí | Es el nombre de la etiqueta que se agregará a un evento. |
Casos de uso
Clasifica un evento: Actualiza el evento agregando una etiqueta.
Ejecutar en
Esta acción se ejecuta en todas las entidades.
Resultados de la acción
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success:False |
Resultado de JSON
[
{
"saved": true,
"success": "Tag(s) added.",
"check_publish": true
}
]
Descargar archivo
Descripción
Descarga los archivos relacionados con el evento en MISP.
Parámetros
| Nombre visible del parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
|---|---|---|---|---|
| ID del evento | String | N/A | No | Especifica el ID o UUID del evento del que deseas descargar archivos. |
| Ruta de acceso a la carpeta de descarga | String | N/A | Especifica la ruta de acceso absoluta a la carpeta en la que se deben almacenar los archivos. Si no se especifica nada, la acción creará un adjunto. |
|
| Reemplazar | Casilla de verificación | Desmarcado | Si se habilita, la acción reemplazará los archivos existentes. |
Ejecutar en
Esta acción se ejecuta en la entidad Filehash.
Resultados de la acción
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| correcto | Verdadero/Falso | success:False |
Resultado de JSON
{
"absolute_paths": ["/etc/file1.txt", "/etc/file2.txt"]
}
Muro de casos
| Tipo de resultado | Descripción del valor | Tipo |
|---|---|---|
| Mensaje de salida* | Si se ejecuta correctamente: "Se descargaron correctamente los siguientes archivos del evento con {0} {1} en MISP:\n{2}".format(ID/UUID, event_id, result/filename from the response) Si no se encontraron archivos: "No se encontraron archivos para el evento con {0} {1} en MISP:\n{2}".format(ID/UUID, event_id) Si no se especifica la ruta de acceso a la carpeta de descargas y algunos de los archivos superan el límite de la plataforma para los archivos adjuntos, se mostrará el siguiente mensaje: "No se pudieron descargar los siguientes archivos porque superaron el límite de 3 MB: \n {0}. \n Especifica una ruta de acceso a la carpeta en el parámetro "Ruta de acceso a la carpeta de descarga" para descargarlos".(result/filename) Error crítico (acción de falla) "Error al ejecutar la acción "Descargar archivo". Reason: {0}".format(stacktrace) No se encontró el ID del evento (acción de falla) "Error al ejecutar la acción "Descargar archivo". Motivo: No se encontró el evento con {0} {1} en MISP".format(ID/UUID, event_id) Si overwrite es falso y uno de los archivos ya existe: "Error al ejecutar la acción "Descargar archivo". Motivo: Los siguientes archivos ya existen: {0}. Quítalos o configura el parámetro "Overwrite" como verdadero".format(ruta de acceso absoluta al archivo) |
General |
Enriquece entidades
Descripción
Enriquece las entidades según los atributos de MISP.
Parámetros
| Nombre visible del parámetro | Tipo | Valor predeterminado | Descripción |
|---|---|---|---|
| Cantidad de atributos que se devolverán | String | N/A | Especifica cuántos atributos se deben devolver para las entidades. |
| Condición de filtrado | Especifica la condición de filtrado para la acción. Si se selecciona "Último", la acción usará el atributo más antiguo para el enriquecimiento. Si se selecciona "Primero", la acción usará el atributo más reciente para el enriquecimiento. | ||
| Umbral del nivel de amenaza | DDL | Baja Valores posibles: Alta Medio Baja Indefinido |
Especifica cuál debe ser el umbral del nivel de amenaza del evento en el que se encontró la entidad. Si el evento relacionado supera o coincide con el umbral, la entidad se marcará como sospechosa. |
| Límite de búsqueda de atributos | Número entero | 50 | Especifica cuántos atributos se deben buscar por entidad. Este parámetro influye en el atributo que se seleccionará para el enriquecimiento. El valor predeterminado es 50. |
Ejecutar en
Esta acción se ejecuta en las siguientes entidades:
- URL
- Nombre de host
- Dirección IP
- Filehash
Resultados de la acción
Enriquecimiento de entidades
Las entidades se marcan como sospechosas si el nivel de amenaza del evento supera el 0. De lo contrario, es False.
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| correcto | Verdadero/Falso | success:False |
Resultado de JSON
[
{
"EntityResult": [
{
"Event":
{
"orgc_id": "1",
"ShadowAttribute": [],
"id": "3",
"threat_level_id": "3",
"event_creator_email": "john_doe@example.com",
"uuid": "5c5bff1b-a414-4a83-8755-035f0a000016",
"Object": [],
"Orgc": {
"uuid": "5c5ac66e-3884-4031-afd7-46f5bb9ebcaa",
"name": "ORGNAME",
"id": "1"
},
"Org": {
"uuid": "5c5ac66e-3884-4031-afd7-46f5bb9ebcaa",
"name": "ORGNAME",
"id": "1"
},
"RelatedEvent": [],
"sharing_group_id": "0",
"timestamp": "1549533154",
"date": "2019-02-07",
"disable_correlation": "False",
"info": "Test event",
"locked": "False",
"publish_timestamp": "1549533214",
"Attribute": [
{
"category": "Network activity",
"comment": " ",
"uuid": "5c5bffe2-9298-4098-ae31-035d0a000016",
"deleted": "False",
"timestamp": "1549533154",
"to_ids": "False",
"distribution": "3",
"object_id": "0",
"event_id": "3",
"ShadowAttribute": [],
"sharing_group_id": "0",
"value": "1.1.1.1",
"disable_correlation": "False",
"object_relation": "None",
"type": "ip-src",
"id": "1",
"Galaxy": []
}],
"attribute_count": "1",
"org_id": "1",
"analysis": "2",
"extends_uuid": " ",
"published": "True",
"distribution": "3",
"proposal_email_lock": "False",
"Galaxy": []
}}],
"Entity": "1.1.1.1"
}
]
Muro de casos
| Tipo de resultado | Descripción del valor | Tipo |
|---|---|---|
| Mensaje de salida* | Para los atributos que se encontraron: (is_success=true) "Se enriquecieron correctamente las siguientes entidades con MISP: \n{0}".format(entity.identifier) Para los atributos que no se encontraron (is_success=true) "La acción no pudo enriquecer las siguientes entidades con MISP: \n{0}".format(entity.identifier) Si no se encontraron todos los atributos (is_success=false) "No se enriqueció ninguna entidad con MISP" Si los atributos son sospechosos (is_success=true) "Los siguientes atributos se marcaron como sospechosos con MISP: \n {0}".format(entity.identifier) |
General |
| Tabla CSV | Columnas de la tabla:
|
Obtén eventos relacionados
Descripción
Recupera información sobre eventos relacionados con entidades en MISP.
Parámetros
| Nombre visible del parámetro | Tipo | Valor predeterminado | Descripción |
|---|---|---|---|
| Marcar como sospechoso | Casilla de verificación | Marcado | Si se habilita, la acción marcará la entidad como sospechosa si hay al menos un evento relacionado con ella. |
Ejecutar en
Esta acción se ejecuta en las siguientes entidades:
- URL
- Nombre de host
- Dirección IP
- Filehash
Resultados de la acción
Enriquecimiento de entidades
Si hay registros de eventos relacionados disponibles, las entidades se marcan como sospechosas. De lo contrario, el valor es falso.
| Nombre del campo de enriquecimiento | Lógica: Cuándo aplicar |
|---|---|
| Evento | Devuelve si existe en el resultado JSON. |
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| correcto | Verdadero/Falso | success:False |
Resultado de JSON
[
{
"EntityResult": [
{
"Event":
{
"orgc_id": "1",
"ShadowAttribute": [],
"id": "3",
"threat_level_id": "3",
"event_creator_email": "john_doe@example.com",
"uuid": "5c5bff1b-a414-4a83-8755-035f0a000016",
"Object": [],
"Orgc": {
"uuid": "5c5ac66e-3884-4031-afd7-46f5bb9ebcaa",
"name": "ORGNAME",
"id": "1"
},
"Org": {
"uuid": "5c5ac66e-3884-4031-afd7-46f5bb9ebcaa",
"name": "ORGNAME",
"id": "1"
},
"RelatedEvent": [],
"sharing_group_id": "0",
"timestamp": "1549533154",
"date": "2019-02-07",
"disable_correlation": "False",
"info": "Test event",
"locked": "False",
"publish_timestamp": "1549533214",
"Attribute": [
{
"category": "Network activity",
"comment": " ",
"uuid": "5c5bffe2-9298-4098-ae31-035d0a000016",
"deleted": "False",
"timestamp": "1549533154",
"to_ids": "False",
"distribution": "3",
"object_id": "0",
"event_id": "3",
"ShadowAttribute": [],
"sharing_group_id": "0",
"value": "1.1.1.1",
"disable_correlation": "False",
"object_relation": "None",
"type": "ip-src",
"id": "1",
"Galaxy": []
}],
"attribute_count": "1",
"org_id": "1",
"analysis": "2",
"extends_uuid": " ",
"published": "True",
"distribution": "3",
"proposal_email_lock": "False",
"Galaxy": []
}}],
"Entity": "1.1.1.1"
}
]
Muro de casos
| Tipo de resultado | Descripción del valor | Tipo |
|---|---|---|
| Mensaje de salida* | Si se encuentra un evento para al menos una entidad: "Se recuperó correctamente la información sobre los eventos relacionados para las siguientes entidades: \n{0}".format(entity.identifier) Si no se encontró ningún evento para al menos una entidad: "La acción no pudo recuperar información sobre los eventos relacionados para las siguientes entidades: \n{0}".format(entity.identifier Si no hay eventos para todos: "No se encontraron eventos relacionados con las entidades proporcionadas". |
General |
Subir archivo
Descripción
Sube un archivo a un evento de MISP.
Parámetros
| Nombre | Tipo | Predeterminado | Descripción |
|---|---|---|---|
| ID del evento | String | N/A | Especifica el ID o UUID del evento al que deseas subir este archivo. |
| Ruta de acceso al archivo | String | N/A | Especifica una lista separada por comas de las rutas de acceso absolutas de los archivos que deseas subir a MISP. |
| Categoría | Especifica la categoría del archivo subido. Valores posibles: External Analysis, Payload Delivery, Artifacts Dropped y Payload Installation. | ||
| Distribución | String | Comunidad | Especifica la distribución del archivo subido. |
| Nivel de amenaza | String | Alta | Especifica el nivel de amenaza del archivo subido. |
| Análisis | String | Inicial | Especifica el análisis del evento. |
| Información | String | N/A | Especifica información adicional para el archivo subido. |
| Para el sistema de detección de intrusiones | Casilla de verificación | Desmarcado | Si se habilita, el archivo subido se usará para los sistemas de detección de intrusiones. |
| Comentario | String | N/A | Especifica comentarios adicionales relacionados con el archivo subido. |
Resultados de la acción
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success:False |
Resultado de JSON
{
"Event": {
"id": "106",
"orgc_id": "1",
"org_id": "1",
"date": "2021-01-15",
"threat_level_id": "1",
"info": "vanuhi 1015",
"published": false,
"uuid": "1cd22aa2-57e8-4fc8-bac6-721c1be2c27d",
"attribute_count": "10",
"analysis": "0",
"timestamp": "1610893968",
"distribution": "1",
"proposal_email_lock": false,
"locked": false,
"publish_timestamp": "0",
"sharing_group_id": "0",
"disable_correlation": false,
"extends_uuid": "",
"event_creator_email": "admin@admin.test",
"Org": {
"id": "1",
"name": "ORGNAME",
"uuid": "09b0dde1-2934-4310-a107-74b6f534f041",
"local": true
},
"Orgc": {
"id": "1",
"name": "ORGNAME",
"uuid": "09b0dde1-2934-4310-a107-74b6f534f041",
"local": true
},
"Attribute": [],
"ShadowAttribute": [],
"Object": [
{
"id": "446",
"name": "file",
"meta-category": "file",
"description": "File object describing a file with meta-information",
"template_uuid": "688c46fb-5edb-40a3-8273-1af7923e2215",
"template_version": "20",
"event_id": "106",
"uuid": "0188ba5d-68eb-4b5c-8e05-6fd49f8eee9a",
"timestamp": "1610691647",
"distribution": "1",
"sharing_group_id": "0",
"comment": "",
"deleted": false,
"first_seen": null,
"last_seen": null,
"ObjectReference": [],
"Attribute": [
{
"id": "1859",
"type": "malware-sample",
"category": "External analysis",
"to_ids": true,
"uuid": "7920cd28-5082-47ce-9c3e-3ccbd5dae138",
"event_id": "106",
"distribution": "1",
"timestamp": "1610703650",
"comment": "",
"sharing_group_id": "0",
"deleted": false,
"disable_correlation": false,
"object_id": "446",
"object_relation": "malware-sample",
"first_seen": null,
"last_seen": null,
"value": "vanuhi.txt|7bd55b0a276e076cbaf470e64359adb8",
"Galaxy": [],
"data": "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",
"ShadowAttribute": [],
"Sighting": [
{
"id": "1733",
"attribute_id": "1859",
"event_id": "106",
"org_id": "1",
"date_sighting": "1611207638",
"uuid": "feb085f1-1923-4327-a73d-b60a948377e4",
"source": "",
"type": "0",
"Organisation": {
"id": "1",
"uuid": "09b0dde1-2934-4310-a107-74b6f534f041",
"name": "ORGNAME"
},
"attribute_uuid": "7920cd28-5082-47ce-9c3e-3ccbd5dae138"
}
]
}
}
}
}
Muro de casos
| Tipo de resultado | Valor/Descripción | Tipo |
|---|---|---|
| Mensaje de salida* | Si la operación se realizó correctamente para una entidad, se mostrará el mensaje"Se subieron correctamente los archivos proporcionados al evento {0} en MISP".format(event_id). Error crítico (acción de falla) "Error al ejecutar la acción "Subir archivo". Reason: {0}".format(stacktrace) Si se especifica un parámetro no válido en "Distribución" (acción de falla): "Error al ejecutar la acción "Subir archivo". Motivo: Se proporcionó un valor no válido para el parámetro "Distribución". Números aceptables: 0, 1, 2 y 3. Las cadenas aceptables son: Organización, Comunidad, Conectado y Todos". Si se especifica un parámetro no válido en "Nivel de amenaza" (acción de falla): "Error al ejecutar la acción "Subir archivo". Motivo: Se proporcionó un valor no válido para el parámetro "Nivel de amenaza". Números aceptables: 1, 2, 3 y 4. Las cadenas aceptables son: High, Medium, Low, Undefined". Si se especifica un parámetro no válido en "Categoría" (acción fallida): "Error al ejecutar la acción "Subir archivo". Motivo: Se proporcionó un valor no válido para el parámetro "Category". Los valores aceptables son "External Analysis", "Payload Delivery", "Artifacts Dropped" y "Payload Installation". Si se especifica un parámetro no válido en "Análisis" (acción de falla): "Error al ejecutar la acción "Subir archivo". Motivo: Se proporcionó un valor no válido para el parámetro "Análisis". Números aceptables: 0, 1 y 2. Las cadenas aceptables son: Initial, Ongoing, Completed". si al menos uno de los archivos no está disponible "Error al ejecutar la acción "Subir archivo". Motivo: No se pudo acceder a los siguientes archivos: \n {0}".format(file paths, that were not accessible.) No se encontró el ID del evento (acción de falla) "Error al ejecutar la acción "Subir archivo". Motivo: No se encontró el evento con {0} {1} en MISP".format(ID/UUID, event_id) |
General |
Ping
Descripción
Prueba la conectividad.
Parámetros
N/A
Casos de uso
N/A
Ejecutar en
Esta acción se ejecuta en todas las entidades.
Resultados de la acción
Enriquecimiento de entidades
N/A
Estadísticas
N/A
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| correcto | Verdadero/Falso | success:False |
Resultado de JSON
N/A
Cómo quitar una etiqueta de un evento
Descripción
Quita etiquetas del evento en MISP.
Parámetros
| Nombre visible del parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
|---|---|---|---|---|
| ID del evento | String | N/A | Sí | Especifica el ID o UUID del evento del que deseas quitar etiquetas. |
| Nombre de la etiqueta | CSV | N/A | Sí | Especifica una lista separada por comas de las etiquetas que deseas quitar de los eventos. |
Casos de uso
Reclassify event: Quita la etiqueta para volver a clasificar el evento.
Resultados de la acción
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success:False |
Resultado de JSON
[
{
"saved": true,
"success": "Tag removed.",
"check_publish": true
}
]
Muro de casos
| Tipo de resultado | Valor/Descripción | Tipo |
|---|---|---|
| Mensaje de salida* | Si se quitaron correctamente todas las etiquetas de un evento: "Se quitaron correctamente las siguientes etiquetas del evento con {0} {1} en MISP: {2}".format(ID/UUID, event_id, tags) Si no se quitaron correctamente algunas etiquetas de un evento: "La acción no pudo quitar las siguientes etiquetas del evento con {0} {1} en MISP: {2}".format(ID/UUID, event_id, tags) Si no se quitaron todas las etiquetas: "No se quitaron etiquetas del evento con {0} {1} en MISP".format(ID/UUID, event_id) Si no se encontró al menos una etiqueta: "The following tags were not found in MISP: \n{0}".format(list of tags that were not found in MISP) Si no se encontraron todas las etiquetas: "None of the provided tags were found in MISP" (No se encontró ninguna de las etiquetas proporcionadas en MISP). Error crítico (acción de falla): "Se produjo un error al ejecutar la acción "Quitar etiqueta de un evento". Reason: {0}".format(stacktrace) No se encontró el ID del evento (acción de falla) "Error al ejecutar la acción "Quitar etiqueta de un evento". Motivo: No se encontró el evento con {0} {1} en MISP".format(ID/UUID, event_id) |
General |
Agrega una etiqueta a un atributo
Descripción
Esta acción permite que un usuario agregue una etiqueta a un atributo específico en MISP. Esto agrega una clasificación al atributo según la categoría de amenaza de seguridad que representa el IOC en el atributo.
Parámetros
| Nombre visible del parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
|---|---|---|---|---|
| ID del evento | Número entero | N/A | Sí | Es el identificador del evento con el que se asocia el atributo. Ejemplo: 1. |
| Nombre de la etiqueta | String | N/A | Sí | Es el nombre de la etiqueta que se agregará a un atributo. |
| Nombre del atributo | String | N/A | Sí | Es el identificador de nombre del atributo que se etiquetará. |
| Categoría | String | N/A | Sí | Es la categoría a la que pertenece el atributo, p. ej., Entrega de cargas útiles. |
| Tipo | String | N/A | Sí | Es el tipo de atributo, p. ej., nombre de archivo. |
| UUID del objeto | String | N/A | No | Es el identificador único de un objeto en el evento. |
Casos de uso
Clasifica el atributo según el tipo de IOC: Agrega una etiqueta al atributo.
Ejecutar en
Esta acción se ejecuta en todas las entidades.
Resultados de la acción
Enriquecimiento de entidades
N/A
Estadísticas
N/A
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success:False |
Resultado de JSON
[
{
"name": "Global tag unique___test(7) successfully attached to Attribute(9).",
"message": "Global tag unique___test(7) successfully attached to Attribute(9).",
"url": "/tags/attachTagToObject"
}
]
Cómo quitar una etiqueta de un atributo
Descripción
Quita etiquetas de los atributos en MISP.
Parámetros
| Nombre visible del parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
|---|---|---|---|---|
| ID del evento | String | N/A | No | Especifica el ID o UUID del evento en el que se buscarán los atributos. Este parámetro es obligatorio si "Attribute Search" se configura como "Provided Event". |
| Nombre de la etiqueta | CSV | N/A | Sí | Especifica una lista separada por comas de las etiquetas que deseas quitar de los atributos. |
| Nombre del atributo | CSV | N/A | No | Especifica una lista separada por comas de los identificadores de atributos de los que deseas quitar etiquetas. |
| Categoría | CSV | N/A | No | Especifica una lista de categorías separadas por comas. Si se especifica, la acción solo quitará etiquetas de los atributos que tengan una categoría coincidente. Si no se especifica nada, la acción ignorará las categorías en los atributos. |
| Tipo | CSV | N/A | No | Especifica una lista de tipos de atributos separados por comas. Si se especifica, la acción solo quitará etiquetas de los atributos que tengan un tipo de atributo coincidente. Si no se especifica nada, la acción ignorará los tipos en los atributos. |
| UUID del objeto | CSV | N/A | Especifica el UUID del objeto que contiene el atributo deseado. | |
| Búsqueda de atributos | DDL | Evento proporcionado Valores posibles: Todos los eventos Evento proporcionado |
Sí | Especifica dónde debe buscar atributos la acción. Si se selecciona "Evento proporcionado", la acción solo buscará atributos o UUID de atributos en el evento con el ID o UUID proporcionado en el parámetro "ID del evento". Si se selecciona "Todos los eventos", la acción buscará atributos entre todos los eventos y quitará las etiquetas de todos los atributos que coincidan con nuestros criterios. |
| UUID del atributo | CSV | Especifica una lista separada por comas de los UUID de los atributos de los que deseas quitar etiquetas nuevas. Nota: Si se especifican tanto el "Nombre del atributo" como el "UUID del atributo", la acción funcionará con los valores del "UUID del atributo". |
Casos de uso
Re-classify attribute: Quita la etiqueta para volver a clasificar el atributo.
Ejecutar en
Esta acción se ejecuta en todas las entidades.
Resultados de la acción
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success:False |
Resultado de JSON
[
{
"name": "Tag unique___test(7) successfully removed from Attribute(9).",
"message": "Tag unique___test(7) successfully removed from Attribute(9).",
"url": "/tags/removeTagFromObject"
}
]
Muro de casos
| Tipo de resultado | Valor/Descripción | Tipo> |
|---|---|---|
| Mensaje de salida* | Si se quitaron correctamente las etiquetas de al menos un atributo: "Se quitaron correctamente las etiquetas de los siguientes atributos en MISP:\n{0}".format(nombre del atributo/UUID del objeto) Si no se quitaron correctamente las etiquetas de al menos un atributo: "La acción no quitó las etiquetas de los siguientes atributos en MISP:\n{0}".format(nombre del atributo/UUID del objeto) Si no se quitan todas las etiquetas: "No se quitaron etiquetas de los atributos proporcionados en el MISP" Si no se encontró al menos una etiqueta: "The following tags were not found in MISP: \n{0}".format(list of tags that were not found in MISP) Si no se encontraron todas las etiquetas: "None of the provided tags were found in MISP" (No se encontró ninguna de las etiquetas proporcionadas en MISP). Error crítico (acción de falla) "Se produjo un error al ejecutar la acción "Quitar etiqueta de un atributo". Reason: {0}".format(stacktrace) Si se especifica un parámetro no válido en "Categoría" (acción de falla): "Error al ejecutar la acción "Quitar etiqueta de un atributo". Motivo: Se proporcionó un valor no válido para el parámetro "Category". Los valores aceptables son "External Analysis", "Payload Delivery", "Artifacts Dropped" y "Payload Installation". Si se selecciona "Evento proporcionado", pero no se selecciona el ID del evento: "Error al ejecutar la acción "Quitar etiqueta de un atributo". Motivo: Se debe proporcionar el ID del evento si se selecciona "Evento proporcionado" para el parámetro "Búsqueda de atributos". No se encontró el ID del evento (acción de falla) "Error al ejecutar la acción "Quitar etiqueta de un atributo". Motivo: No se encontró el evento con {0} {1} en MISP".format(ID/UUID, event_id) |
General |
Publicar evento
Descripción
La acción permite que el usuario publique un evento. Cuando publicas un evento, se comparte con el grupo de uso compartido seleccionado, lo que lo hace visible para todos los miembros.
Parámetros
| Nombre visible del parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
|---|---|---|---|---|
| ID del evento | String | N/A | Sí | Especifica el ID o UUID del evento que deseas publicar. |
Casos de uso
Publica un evento:
- Crea un evento
- Agrega atributos de evento
- Publicar evento
Resultados de la acción
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success:False |
Resultado de JSON
[
{
"Event": {
"id": "3",
"orgc_id": "1",
"org_id": "1",
"date": "2019-12-27",
"threat_level_id": "1",
"info": "Connection to .ch",
"published": true,
"uuid": "5e05dd29-7b90-474d-b5f6-51ae0a00024b",
"attribute_count": "0",
"analysis": "1",
"timestamp": "1577774920",
"distribution": "3",
"proposal_email_lock": false,
"locked": false,
"publish_timestamp": "1577774846",
"sharing_group_id": "0",
"disable_correlation": false,
"extends_uuid": "5e05db24-1e98-4bb9-bd56-51fd0a00024b",
"event_creator_email": "admin@admin.test",
"Org": {
"id": "1",
"name": "ORGNAME",
"uuid": "5dfc9b8f-c320-4b6d-ac1c-4f4e8bdc3fef",
"local": true
},
"Orgc": {
"id": "1",
"name": "ORGNAME",
"uuid": "5dfc9b8f-c320-4b6d-ac1c-4f4e8bdc3fef",
"local": true
},
"Attribute": [],
"ShadowAttribute": [],
"RelatedEvent": [],
"Galaxy": [],
"Object": [],
"Tag": [
{
"id": "7",
"name": "unique___test",
"colour": "#9648c4",
"exportable": true,
"user_id": "0",
"hide_tag": false,
"numerical_value": null,
"local": 0
}
]
}
}
]
Muro de casos
| Tipo de resultado | Valor/Descripción | Tipo |
|---|---|---|
| Mensaje de salida* | Si se ejecuta correctamente: "Successfully published event with {0} {1} in MISP.".format(ID/UUID, event_id) Si no se realiza correctamente: "El evento con {0} {1} no se publicó en MISP".format(ID/UUID, event_id) Error crítico (acción de falla) "Se produjo un error al ejecutar la acción "Publicar evento". Reason: {0}".format(stacktrace) No se encontró el ID del evento (acción de falla) "Se produjo un error al ejecutar la acción "Publicar evento". Motivo: No se encontró el evento con {0} {1} en MISP".format(ID/UUID, event_id) |
General |
Anular la publicación del evento
Descripción
La acción permite que el usuario anule la publicación de un evento. Si anulas la publicación de un evento, este no será visible para los grupos compartidos.
Parámetros
| Nombre visible del parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
|---|---|---|---|---|
| ID del evento | String | N/A | Sí | Especifica el ID o UUID del evento que deseas anular su publicación. |
Resultados de la acción
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success:False |
Resultado de JSON
[
{
"Event": {
"id": "3",
"orgc_id": "1",
"org_id": "1",
"date": "2019-12-27",
"threat_level_id": "1",
"info": "Connection to .ch",
"published": false,
"uuid": "5e05dd29-7b90-474d-b5f6-51ae0a00024b",
"attribute_count": "0",
"analysis": "1",
"timestamp": "1577774920",
"distribution": "3",
"proposal_email_lock": false,
"locked": false,
"publish_timestamp": "1577774846",
"sharing_group_id": "0",
"disable_correlation": false,
"extends_uuid": "5e05db24-1e98-4bb9-bd56-51fd0a00024b",
"event_creator_email": "admin@admin.test",
"Org": {
"id": "1",
"name": "ORGNAME",
"uuid": "5dfc9b8f-c320-4b6d-ac1c-4f4e8bdc3fef",
"local": true
},
"Orgc": {
"id": "1",
"name": "ORGNAME",
"uuid": "5dfc9b8f-c320-4b6d-ac1c-4f4e8bdc3fef",
"local": true
},
"Attribute": [],
"ShadowAttribute": [],
"RelatedEvent": [],
"Galaxy": [],
"Object": [],
"Tag": [
{
"id": "7",
"name": "unique___test",
"colour": "#9648c4",
"exportable": true,
"user_id": "0",
"hide_tag": false,
"numerical_value": null,
"local": 0
}
]
}
}
]
Muro de casos
| Tipo de resultado | Valor/Descripción | Tipo |
|---|---|---|
| Mensaje de salida* | Si la operación se realiza correctamente: "Se anuló correctamente la publicación del evento con {0} {1} en MISP".format(ID/UUID, event_id) Si no se realiza correctamente: "No se anuló la publicación del evento con {0} {1} en MISP".format(ID/UUID, event_id) Error crítico (acción de falla) "Error al ejecutar la acción "Anular la publicación del evento". Reason: {0}".format(stacktrace) No se encontró el ID del evento (acción de falla) "Error al ejecutar la acción "Anular la publicación del evento". Motivo: No se encontró el evento con {0} {1} en MISP".format(ID/UUID, event_id) |
General |
Cómo borrar un atributo
Descripción
Borra atributos en MISP. Hashes admitidos: MD5, SHA1, SHA224, SHA256, SHA384, SHA512 y SSDeep.
Parámetros
| Nombre visible del parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
|---|---|---|---|---|
| ID del evento | String | N/A | No | Especifica el ID o UUID del evento en el que se buscarán los atributos. Este parámetro es obligatorio si "Attribute Search" se configura como "Provided Event". |
| Nombre del atributo | CSV | N/A | No | Especifica una lista separada por comas de los identificadores de atributos que deseas borrar. |
| Categoría | CSV | N/A | No | Especifica una lista de categorías separadas por comas. Si se especifica, la acción solo borrará los atributos que tengan una categoría coincidente. Si no se especifica nada, la acción ignorará las categorías en los atributos. |
| Tipo | CSV | N/A | No | Especifica una lista de tipos de atributos separados por comas. Si se especifica, la acción solo borrará los atributos que tengan un tipo de atributo coincidente. Si no se especifica nada, la acción ignorará los tipos en los atributos. |
| UUID del objeto | String | N/A | No | Es el identificador único de un objeto en el evento. |
| Búsqueda de atributos | DDL | Evento proporcionado Valores posibles: Todos los eventos Evento proporcionado |
Sí | Especifica dónde debe buscar atributos la acción. Si se selecciona "Evento proporcionado", la acción solo buscará atributos o UUID de atributos en el evento con el ID o UUID proporcionado en el parámetro "ID del evento". Si se selecciona "Todos los eventos", la acción buscará atributos entre todos los eventos y borrará todos los atributos que coincidan con nuestros criterios. |
| UUID del atributo | CSV | Especifica una lista separada por comas de los UUIDs de los atributos que deseas borrar. |
Casos de uso
Quita un atributo de un evento.
Ejecutar en
Esta acción se ejecuta en todas las entidades.
Resultados de la acción
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success:False |
Resultado de JSON
[
{
"message": "Attribute deleted."
}
]
Muro de casos
| Tipo de resultado | Descripción del valor | Tipo |
|---|---|---|
| Mensaje de salida* | Si se agregó correctamente un avistamiento a, al menos, un atributo: "Se borraron correctamente los siguientes atributos en MISP:\n{0}".format(attribute name/object UUID) Si no se agregó correctamente el avistamiento a al menos un atributo: "La acción no borró los siguientes atributos en MISP:\n{0}".format(nombre del atributo/UUID del objeto) Si no se borraron todos: "No se borraron atributos en MISP" Error crítico (acción de falla) "Se produjo un error al ejecutar la acción "Borrar un atributo". Reason: {0}".format(stacktrace) Si se especifica un parámetro no válido en "Categoría" (acción de falla): "Error al ejecutar la acción "Borrar un atributo". Motivo: Se proporcionó un valor no válido para el parámetro "Category". Los valores aceptables son "External Analysis", "Payload Delivery", "Artifacts Dropped" y "Payload Installation". Si se selecciona "Evento proporcionado", pero no se selecciona el ID del evento: "Error al ejecutar la acción "Borrar un atributo". Motivo: Se debe proporcionar el ID del evento si se selecciona "Evento proporcionado" para el parámetro "Búsqueda de atributos". No se encontró el ID del evento (acción de falla) "Error al ejecutar la acción "Borrar un atributo". Motivo: No se encontró el evento con {0} {1} en MISP".format(ID/UUID, event_id) |
General |
Cómo borrar un evento
Descripción
Borra el evento en MISP.
Parámetros
| Nombre visible del parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
|---|---|---|---|---|
| ID del evento | String | N/A | Sí | Especifica el ID o UUID del evento que deseas borrar. |
Casos de uso
Borra un evento de forma permanente.
Ejecutar en
Esta acción se ejecuta en la entidad User.
Resultados de la acción
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success:False |
Resultado de JSON
[
{
"name": "Event deleted.",
"message": "Event deleted.",
"url": "/events/delete/4"
}
]
Muro de casos
| Tipo de resultado | Descripción del valor | Tipo |
|---|---|---|
| Mensaje de salida* | Si la operación se realiza correctamente: "Se borró correctamente el evento con {0} {1} en MISP".format(ID/UUID, event_id) Error crítico (acción de falla) "Se produjo un error al ejecutar la acción "Borrar un evento". Motivo: {0}".format(traceback) No se encontró el ID del evento (acción de falla) "Error al ejecutar la acción "Borrar un evento". Motivo: No se encontró el evento con {0} {1} en MISP".format(ID/UUID, event_id) |
General |
Crea un objeto de Misp de archivo
Descripción
La acción permite al usuario organizar los atributos de archivo relacionados con un evento en un solo objeto que describe un archivo con su metainformación. Luego, el objeto con los atributos se adjunta a un evento especificado.
Parámetros
| Nombre visible del parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
|---|---|---|---|---|
| ID del evento | String | N/A | Sí | Es el identificador único del evento al que se agregará el objeto. Ejemplo: 1 |
| Nombre del archivo | String | N/A | No | Nombre del archivo. |
| MD5 | String | N/A | No | Es el valor del hash MD5 del archivo. |
| SHA1 | String | N/A | No | Es el valor de hash sha1 del archivo. |
| SHA256 | String | N/A | No | Es el valor de hash sha256 del archivo. |
| SSDEEP | String | N/A | No | Valor de ssdeep del archivo. Ejemplo: 96:p5aAS1tN0M3t9AnTNuG6TNOt5PR1TNZdkljOXTNSnKTF3X7KsTFW+kLtW6K8i7bI:p5mb4rgQhRp7GljCbF3LKqFjkwxtU |
| Imphash | String | N/A | No | Es el valor de hash MD5 calculado a partir de la tabla importada. |
Casos de uso
N/A
Ejecutar en
Esta acción se ejecuta en todas las entidades.
Resultados de la acción
Enriquecimiento de entidades
N/A
Estadísticas
N/A
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success:False |
Resultado de JSON
N/A
Crea un objeto de discrepancia de IP y puerto
Descripción
La acción permite al usuario organizar los atributos de IP y puerto relacionados con un evento en un solo objeto que describe una dirección IP (o un dominio o un nombre de host) y un puerto que se ven como una tupla (o como una tripleta) en un período específico . Luego, el objeto con los atributos se adjunta a un evento especificado.
Parámetros
| Nombre visible del parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
|---|---|---|---|---|
| ID del evento | String | N/A | Sí | Es el identificador único del evento al que se agregará el objeto. Ejemplo: 1 |
| Dst-port | String | N/A | No | Es el puerto de destino. |
| Src-port | String | N/A | No | Es el puerto de origen. |
| Dominio | String | N/A | No | Es el dominio. |
| Nombre de host | String | N/A | No | Nombre de host. |
| IP-Src | String | N/A | No | Es la dirección IP de origen. |
| IP-Dst | String | N/A | No | Es la dirección IP de destino. |
Casos de uso
N/A
Ejecutar en
Esta acción se ejecuta en todas las entidades.
Resultados de la acción
Enriquecimiento de entidades
N/A
Estadísticas
N/A
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success:False |
Resultado de JSON
N/A
Crea un objeto Misp de conexión de red
Descripción
Crea un objeto de conexión de red en MISP. Requiere que se proporcionen uno de los siguientes parámetros: Dst-port, Src-port, IP-Src o IP-Dst, o que el parámetro "Use Entities" se establezca como verdadero.
Parámetros
| Nombre visible del parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
|---|---|---|---|---|
| ID del evento | String | N/A | Sí | Especifica el ID o el UUID del evento al que deseas agregar objetos de conexión de red. |
| Dst-port | String | N/A | No | Especifica el puerto de destino que deseas agregar al evento. |
| Src-port | String | N/A | No | Especifica el puerto de origen que deseas agregar al evento. |
| Hostname-dst | String | N/A | No | Especifica el destino de la fuente que deseas agregar al evento. |
| Hostname-src | String | N/A | No | Especifica el nombre de host de la fuente que deseas agregar al evento. |
| IP-Src | String | N/A | No | Especifica la IP de origen que deseas agregar al evento. |
| IP-Dst | String | N/A | No | Especifica la IP de destino que deseas agregar al evento. |
| Layer3-protocol | String | N/A | No | Especifica el protocolo de capa 3 relacionado que deseas agregar al evento. |
| Layer4-protocol | String | N/A | No | Especifica el protocolo de capa 4 relacionado que deseas agregar al evento. |
| Layer7-protocol | String | N/A | No | Especifica el protocolo de capa 7 relacionado que deseas agregar al evento. |
| Usa entidades | Casilla de verificación | Desmarcado | No | Si se habilita, la acción usará entidades para crear objetos. Entidades admitidas: Dirección IP. "Usar entidades" tiene prioridad sobre otros parámetros. |
| Tipo de IP | DDL | IP de origen Valores posibles: IP de origen IP de destino |
Especifica qué tipo de atributo se debe usar con las entidades de IP. |
Ejecutar en
Esta acción se ejecuta en todas las entidades.
Resultados de la acción
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success:False |
Resultado de JSON
N/A
Muro de casos
| Tipo de resultado | Descripción del valor | Tipo |
|---|---|---|
| Mensaje de salida* | Si la operación se realiza correctamente y "Use Entities" no es verdadero: "Se creó correctamente un nuevo objeto de conexión de red para el evento con {0} {1} en MISP".format(ID/UUID, event_id) Si no se completó correctamente y "Use Entities" no es verdadero: "Action wasn't able to created new network-connection object for event with {0} {1} in MISP. Motivo: {2}".format(ID/UUID) Si se realiza correctamente para uno y "Use Entities" es verdadero: "Se crearon correctamente nuevos objetos de conexión de red para el evento con {0} {1} en MISP según las siguientes entidades: \n{0}".format(ID/UUID, event_id, entity.identifiers) Si no se realiza correctamente para uno y "Use Entities" es verdadero: "No se pudo crear objetos de conexión de red nuevos para el evento con {0} {1} en MISP según las siguientes entidades: \n{0}".format(ID/UUID, event_id, entity.identifiers) Si no se completó correctamente para todos y "Use Entities" es verdadero: "No se pudieron crear objetos de conexión de red nuevos para el evento con {0} {1} en MISP según las entidades proporcionadas".format(ID/UUID, event_id) Error crítico (acción de falla) "Error al ejecutar la acción "Crear objeto Misp de conexión de red". Reason: {0}".format(stacktrace) No se encontró el ID del evento (acción fallida) "Error al ejecutar la acción "Crear objeto Misp de conexión de red". Motivo: No se encontró el evento con {0} {1} en MISP".format(ID/UUID, event_id) Si no se proporcionan ninguno de los campos Dst-port, Src-port, IP-Src o IP-Dst, y "Use Entities" == false: "Error al ejecutar la acción "Create network-connection Misp Object". Motivo: Se debe proporcionar uno de los siguientes parámetros: "Dst-port", "Src-port", "IP-Src", "IP-Dst", o bien se debe establecer el parámetro "Use Entities" como verdadero. |
General |
Crea un objeto de URL mal escrita
Descripción
Crea un objeto URL en MISP. Se requiere que se proporcione la "URL" o que el parámetro "Usar entidades" se establezca como verdadero.
Parámetros
| Nombre visible del parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
|---|---|---|---|---|
| ID del evento | String | N/A | Sí | Especifica el ID o el UUID del evento al que deseas agregar objetos URL. |
| URL | String | N/A | No | Especifica la URL que deseas agregar al evento. |
| Puerto | String | N/A | No | Especifica el puerto que deseas agregar al evento. |
| First seen | String | N/A | No | Especifica cuándo se vio la URL por primera vez. |
| Visto por última vez | String | N/A | No | Especifica cuándo se vio la URL por última vez. |
| Dominio | String | N/A | No | Especifica el dominio que deseas agregar al evento. |
| Texto | String | N/A | No | Especifica el texto adicional que quieres agregar al evento. |
| IP | String | N/A | No | Especifica la IP que deseas agregar al evento. |
| Host | String | N/A | No | Especifica el host que quieres agregar al evento. |
| Usa entidades | Casilla de verificación | Desmarcado | Si se habilita, la acción usará entidades para crear objetos. Entidades admitidas: URL. "Usar entidades" tiene prioridad sobre otros parámetros. |
Ejecutar en
Esta acción se ejecuta en todas las entidades.
Resultados de la acción
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success:False |
Resultado de JSON
N/A
Muro de casos
| Tipo de resultado | Descripción del valor | Tipo |
|---|---|---|
| Mensaje de salida* | Si la operación se realiza correctamente y "Use Entities" no es verdadero: "Se creó correctamente un nuevo objeto URL para el evento con {0} {1} en MISP".format(ID/UUID, event_id) Si no se completó correctamente y "Use Entities" no es verdadero: "Action wasn't able to created URL object for event with {0} {1} in MISP. Motivo: {2}".format(ID/UUID) Si se realiza correctamente para uno y "Use Entities" es verdadero: "Se crearon correctamente nuevos objetos de URL para el evento con {0} {1} en MISP según las siguientes entidades: \n{0}".format(ID/UUID, event_id, entity.identifiers) Si no se realiza correctamente para uno y "Use Entities" es verdadero: "Action wasn't able to create new URL objects for event with {0} {1} in MISP based on the following entities: \n{0}".format(ID/UUID, event_id, entity.identifiers) Si no se completó correctamente para todos y "Use Entities" es verdadero: "No se pudieron crear objetos de URL nuevos para el evento con {0} {1} en MISP según las entidades proporcionadas".format(ID/UUID, event_id) Error crítico (acción de falla) "Se produjo un error al ejecutar la acción "Create Url Misp Object". Reason: {0}".format(stacktrace) No se encontró el ID del evento (acción de falla) "Error al ejecutar la acción "Create Url Misp Object". Motivo: No se encontró el evento con {0} {1} en MISP".format(ID/UUID, event_id) Si no se proporciona ninguna URL y "Use Entities" == false: "Error executing action "Create Url Misp Object". Motivo: Se debe proporcionar "URL" o configurar el parámetro "Use Entities" como verdadero. |
General |
Crea el objeto Virustotal-Report
Descripción
Crea un objeto Virustotal-Report en MISP.
Parámetros
| Nombre visible del parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
|---|---|---|---|---|
| ID del evento | String | N/A | Sí | Especifica el ID o el UUID del evento al que deseas agregar objetos URL. |
| Vínculo permanente | String | N/A | Sí | Especifica el vínculo al informe de VirusTotal que deseas agregar al evento. |
| Comentario | String | N/A | No | Especifica el comentario que quieres agregar al evento. |
| Porcentaje de detección | String | N/A | No | Especifica la proporción de detección que deseas agregar al evento. |
| Puntuación de la comunidad | String | N/A | No | Especifica la puntuación de la comunidad que deseas agregar al evento. |
| Primer envío | String | N/A | No | Especifica el primer envío del evento. |
| Último envío | String | N/A | No | Especifica el último envío del evento. |
Ejecutar en
Esta acción se ejecuta en todas las entidades.
Resultados de la acción
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success:False |
Muro de casos
| Tipo de resultado | Descripción del valor | Tipo |
|---|---|---|
| Mensaje de salida* | If success : "Successfully created new Virustotal-Report object for event with {0} {1} in MISP.".format(ID/UUID, event_id) Si no se completó correctamente : "No se pudo crear el objeto Virustotal-Report para el evento con {0} {1} en MISP. Motivo: {2}".format(ID/UUID) Error crítico (acción de falla) "Error al ejecutar la acción "Crear objeto Misp de informe de VirusTotal". Reason: {0}".format(stacktrace) No se encontró el ID del evento (acción de falla) "Error al ejecutar la acción "Crear objeto Misp de informe de VirusTotal"". Motivo: No se encontró el evento con {0} {1} en MISP".format(ID/UUID, event_id) |
General |
Enumera objetos de eventos
Descripción
Recupera información sobre los objetos disponibles en el evento de MISP.
Parámetros
| Nombre visible del parámetro | Tipo | Valor predeterminado | Es obligatorio. | Descripción |
|---|---|---|---|---|
| ID del evento | String | N/A | Sí | Especifica una lista separada por comas de los IDs y UUIDs de los eventos de los que deseas recuperar detalles. |
| Cantidad máxima de objetos que se devolverán | Número entero | 50 | No | Especifica la cantidad de objetos que se devolverán. |
Ejecutar en
Esta acción no se ejecuta en entidades.
Resultados de la acción
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success:False |
Resultado de JSON
"Object": [
{
"id": "1",
"name": "ftm-Associate",
"meta-category": "followthemoney",
"description": "Non-family association between two people",
"template_uuid": "6119ecb3-dedd-44b6-b88f-174585b0b1bf",
"template_version": "1",
"event_id": "1",
"uuid": "2a3e260f-d3b2-4164-b2b1-2f6f5b559970",
"timestamp": "1594632232",
"distribution": "5",
"sharing_group_id": "0",
"comment": "",
"deleted": false,
"first_seen": null,
"last_seen": null,
"ObjectReference": [],
},
{
"id": "2",
"name": "ftm-Associate",
"meta-category": "followthemoney",
"description": "Non-family association between two people",
"template_uuid": "6119ecb3-dedd-44b6-b88f-174585b0b1bf",
"template_version": "1",
"event_id": "1",
"uuid": "800d8634-175a-4bc2-a4d7-aca200c8c132",
"timestamp": "1594632463",
"distribution": "5",
"sharing_group_id": "0",
"comment": "",
"deleted": false,
"first_seen": null,
"last_seen": null,
"ObjectReference": [],
}
Muro de casos
| Tipo de resultado | Descripción del valor | Tipo |
|---|---|---|
| Mensaje de salida* | La acción no debe fallar ni detener la ejecución de una guía: Si se encontró al menos un objeto para 1 evento: "Successfully listed objects for the following events: \n{0}".format(event_ids) Si no se encontró el evento con el ID especificado (is_success = false): Si no se encuentra ningún objeto para 1 evento: "La acción no pudo encontrar objetos para los siguientes eventos:\n {0}".format(event_ids) Si no se encuentra ningún objeto para todos los eventos: "No se encontraron objetos para los eventos proporcionados". La acción debería fallar y detener la ejecución de la guía: Si se produce un error fatal, como credenciales incorrectas, falta de conexión con el servidor o algún otro problema, Imprime "Error executing action "List Event Objects". Reason: {0}''.format(error.Stacktrace) |
General |
| Tabla CSV | Nombre de la tabla: Objetos del evento {0} Columnas de la tabla:
|
Obtén detalles del evento
Descripción
Recupera detalles sobre los eventos en MISP.
Parámetros
| Nombre visible del parámetro | Tipo | Es obligatorio | Descripción |
|---|---|---|---|
| ID del evento | String | Sí | Especifica una lista separada por comas de los IDs o UUIDs de los eventos de los que deseas recuperar detalles. |
| Devuelve información de los atributos | Casilla de verificación | Marcado | Si se habilita, la acción creará una tabla de casos para todos los atributos que forman parte del evento. |
Ejecutar en
Esta acción no se ejecuta en entidades.
Resultados de la acción
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success:False |
Muro de casos
| Tipo de resultado | Descripción del valor | Tipo |
|---|---|---|
| Mensaje de salida* | La acción no debe fallar ni detener la ejecución de una guía: Si la acción se completó correctamente para al menos uno de los IDs proporcionados, haz lo siguiente: Imprime "Se recuperó correctamente la información de los siguientes eventos: <>". Si no se pudo ejecutar la acción para al menos uno de los IDs de incidente proporcionados, haz lo siguiente: Imprime "No se pudo recuperar la información de los siguientes eventos: <> La acción debe fallar y detener la ejecución de un playbook: La acción debería fallar y detener la ejecución de la guía: Si se produce un error fatal, como credenciales incorrectas, falta de conexión con el servidor o algún otro problema, Imprime "Error executing action "List Event Objects". Reason: {0}''.format(error.Stacktrace) |
General |
| Tabla CSV | Nombre de la tabla: Detalles de los atributos del evento {0}".format(event_id) Columnas:
|
Enumera las observaciones de un atributo
Descripción
Enumera los avistamientos disponibles para los atributos en MISP.
Parámetros
search| Nombre del parámetro | Tipo | Valor predeterminado | Obligatorio | Descripción |
|---|---|---|---|---|
| Nombre del atributo | CSV | No | Especifica una lista separada por comas de los identificadores de atributos para los que deseas mostrar los avistamientos. Nota: Si se especifican tanto el "Nombre del atributo" como el "UUID del atributo", la acción funcionará con los valores del "UUID del atributo". | |
| ID del evento | String | No | Especifica el ID o UUID del evento en el que se buscarán los atributos. Este parámetro es obligatorio si "Attribute Search" se configura como "Provided Event". | |
| Categoría | CSV | No | Especifica una lista de categorías separadas por comas. Si se especifica, la acción solo mostrará las detecciones de los atributos que tengan una categoría coincidente. Si no se especifica nada, la acción ignorará las categorías en los atributos. Valores posibles: External Analysis, Payload Delivery, Artifacts Dropped y Payload Installation. | |
| Tipo | CSV | No | Especifica una lista de tipos de atributos separados por comas. Si se especifica, la acción solo mostrará las detecciones de los atributos que tengan un tipo de atributo coincidente. Si no se especifica nada, la acción ignorará los tipos en los atributos. Valores de ejemplo: md5, sha1, ip-src, ip-dst | |
| Búsqueda de atributos | DDL | Evento proporcionado Valores posibles: Todos los eventos |
Sí | Especifica dónde debe buscar atributos la acción. Si se selecciona "Evento proporcionado", la acción solo buscará atributos o UUID de atributos en el evento con el ID o UUID proporcionado en el parámetro "ID del evento". Si se selecciona "Todos los eventos", la acción buscará atributos entre todos los eventos y mostrará los avistamientos de todos los atributos que coincidan con nuestros criterios. |
| UUID del atributo | CSV | No | Especifica una lista separada por comas de los UUIDs de los atributos para los que deseas enumerar las detecciones. Nota: Si se especifican tanto el "Nombre del atributo" como el "UUID del atributo", la acción funcionará con los valores del "UUID del atributo". |
Resultados de la acción
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success:False |
Muro de casos
| Tipo de resultado | Valor/Descripción | Tipo |
|---|---|---|
| Mensaje de salida* | Si se enumeraron correctamente los avistamientos para al menos un atributo: "Se enumeraron correctamente los avistamientos para los siguientes atributos en MISP:\n{0}".format(attribute name/attribute UUID) if not successfully listed sightings for at least one attribute: "Action didn't list sightings for the following attributes in MISP:\n{0}".format(attribute name/attribute UUID) Si no se encontraron avistamientos para todos los atributos o no se encontraron avistamientos para ningún atributo, se mostrará el mensaje "No se encontraron avistamientos para los atributos proporcionados en MISP". Error crítico (acción de falla) "Error al ejecutar la acción "List Sightings of an Attribute". Reason: {0}".format(stacktrace) Si se especifica un parámetro no válido en "Categoría" (acción de falla): "Error al ejecutar la acción "List Sightings of an Attribute". Motivo: Se proporcionó un valor no válido para el parámetro "Category". Los valores aceptables son "External Analysis", "Payload Delivery", "Artifacts Dropped" y "Payload Installation". Si se selecciona "Provided Event", pero no se selecciona el ID del evento: Se muestra el mensaje "Error al ejecutar la acción "List Sightings of an Attribute"". Motivo: Se debe proporcionar el ID del evento si se selecciona "Evento proporcionado" para el parámetro "Búsqueda de atributos". |
General |
Cómo establecer la marca de IDS para un atributo
Descripción
Establece la marca de IDS para los atributos en MISP.
Parámetros
searchsearch| Nombre del parámetro | Tipo | Valor predeterminado | Obligatorio | Descripción |
|---|---|---|---|---|
| Nombre del atributo | CSV | No | Especifica una lista separada por comas de los identificadores de atributos para los que deseas establecer una marca de IDS. Nota: Si se especifican tanto el "Nombre del atributo" como el "UUID del atributo", la acción funcionará con los valores del "UUID del atributo". | |
| ID del evento | String | No | Especifica el ID o UUID del evento en el que se buscarán los atributos. Este parámetro es obligatorio si "Attribute Search" se configura como "Provided Event". | |
| Categoría | CSV | No | Especifica una lista de categorías separadas por comas. Si se especifica, la acción solo establecerá la marca de IDS para los atributos que tengan una categoría coincidente. Si no se especifica nada, la acción ignorará las categorías en los atributos. Valores posibles: External Analysis, Payload Delivery, Artifacts Dropped y Payload Installation. | |
| Tipo | CSV | No | Especifica una lista de tipos de atributos separados por comas. Si se especifica, la acción solo establecerá la marca de IDS para los atributos que tengan un tipo de atributo coincidente. Si no se especifica nada, la acción ignorará los tipos en los atributos. Valores de ejemplo: md5, sha1, ip-src, ip-dst | |
| Búsqueda de atributos | DDL | Evento proporcionado Valores posibles: Todos los eventos |
Sí | Especifica dónde debe buscar atributos la acción. Si se selecciona "Evento proporcionado", la acción solo buscará atributos o UUID de atributos en el evento con el ID o UUID proporcionado en el parámetro "ID del evento". Si se selecciona "Todos los eventos", la acción buscará atributos entre todos los eventos y establecerá la marca de IDS para todos los atributos que coincidan con nuestros criterios. |
| UUID del atributo | CSV | No | Especifica una lista separada por comas de los UUID de los atributos para los que deseas establecer una marca de IDS. |
Resultados de la acción
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| correcto | Verdadero/Falso | success:False |
Muro de casos
| Tipo de resultado | Descripción del valor | Tipo |
|---|---|---|
| Mensaje de salida* | Si se agregó correctamente la marca de IDS a al menos un atributo: "Se configuró correctamente la marca de IDS para los siguientes atributos en MISP:\n{0}".format(nombre del atributo/UUID del objeto) Si no se agregó correctamente la marca de IDS a al menos un atributo: "La acción no estableció la marca de IDS para los siguientes atributos en MISP:\n{0}".format(nombre del atributo/UUID del objeto) Si no se aplica a todos: "No se estableció la marca de IDS para los atributos proporcionados en MISP" Error crítico (acción de falla): "Se produjo un error al ejecutar la acción "Set IDS Flag for an Attribute". Reason: {0}".format(stacktrace) Si se especifica un parámetro no válido en "Categoría" (acción de falla): "Error al ejecutar la acción "Establecer la marca de IDS para un atributo". Motivo: Se proporcionó un valor no válido para el parámetro "Category". Los valores aceptables son "External Analysis", "Payload Delivery", "Artifacts Dropped" y "Payload Installation". Si se selecciona "Provided Event", pero no se selecciona Event ID: "Error al ejecutar la acción "Set IDS Flag for an Attribute". Motivo: Se debe proporcionar el ID del evento si se selecciona "Evento proporcionado" para el parámetro "Búsqueda de atributos". No se encontró el ID del evento (acción de falla) "Error al ejecutar la acción "Establecer la marca de IDS para un atributo". Motivo: No se encontró el evento con {0} {1} en MISP".format(ID/UUID, event_id) |
General |
Cómo anular la configuración de la marca de IDS para un atributo
Descripción
Se anuló la marca de IDS para los atributos en MISP.
Parámetros
| Nombre | Tipo | Valor predeterminado | Obligatorio | Descripción |
|---|---|---|---|---|
| Nombre del atributo | CSV | No | Especifica una lista separada por comas de los identificadores de atributos para los que deseas anular una marca de IDS. |
|
| ID del evento | String | No | Especifica el ID o UUID del evento en el que se buscarán los atributos. Este parámetro es obligatorio si "Attribute Search" se configura como "Provided Event". | |
| Categoría | CSV | No | Especifica una lista de categorías separadas por comas. Si se especifica, la acción solo anulará la configuración de la marca de IDS para los atributos que tengan una categoría coincidente. Si no se especifica nada, la acción ignorará las categorías en los atributos. Valores posibles: External Analysis, Payload Delivery, Artifacts Dropped y Payload Installation. | |
| Tipo | CSV | No | Especifica una lista de tipos de atributos separados por comas. Si se especifica, la acción solo anulará la configuración de la marca de IDS para los atributos que tengan un tipo de atributo coincidente. Si no se especifica nada, la acción ignorará los tipos en los atributos. Valores de ejemplo: md5, sha1, ip-src, ip-dst | |
| Búsqueda de atributos | DDL | Evento proporcionado Valores posibles: Todos los eventos |
Verdadero | Especifica dónde debe buscar atributos la acción. Si se selecciona "Evento proporcionado", la acción solo buscará atributos o UUID de atributos en el evento con el ID o UUID proporcionado en el parámetro "ID del evento". Si se selecciona "Todos los eventos", la acción buscará atributos entre todos los eventos y anulará la configuración de la marca de IDS para todos los atributos que coincidan con nuestros criterios. |
| UUID del atributo | CSV | No | Especifica una lista separada por comas de los UUID de los atributos para los que deseas anular una marca de IDS. Nota: Si se especifican tanto el "Nombre del atributo" como el "UUID del atributo", la acción funcionará con los valores del "UUID del atributo". |
Resultados de la acción
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| correcto | Verdadero/Falso | success:False |
Muro de casos
| Tipo de resultado | Descripción del valor | Tipo |
|---|---|---|
| Mensaje de salida* | Si se quitó correctamente la marca de IDS de al menos un atributo: "Se anuló correctamente la marca de IDS para los siguientes atributos en MISP:\n{0}".format(attribute name/object UUID) if not successfully removed IDS flag to at least one attribute: "Action didn't unset IDS flag for the following attributes in MISP:\n{0}".format(attribute name/object UUID) Si no se realizó correctamente para todos: "No se anuló la configuración de la marca de IDS para los atributos proporcionados en MISP" Error crítico (acción de falla) "Se produjo un error al ejecutar la acción "Unset IDS Flag for an Attribute"". Reason: {0}".format(stacktrace) Si se especifica un parámetro no válido en "Categoría" (acción de falla): "Error al ejecutar la acción "Unset IDS Flag for an Attribute". Motivo: Se proporcionó un valor no válido para el parámetro "Category". Los valores aceptables son "External Analysis", "Payload Delivery", "Artifacts Dropped" y "Payload Installation". Si se selecciona "Provided Event", pero no se selecciona el ID del evento: "Error al ejecutar la acción "Unset IDS Flag for an Attribute". Motivo: Se debe proporcionar el ID del evento si se selecciona "Evento proporcionado" para el parámetro "Búsqueda de atributos". No se encontró el ID del evento (acción de falla) "Error al ejecutar la acción "Unset IDS Flag for an Attribute". Motivo: No se encontró el evento con {0} {1} en MISP".format(ID/UUID, event_id) |
General |
Conector
MISP - Attributes Connector
Descripción
Extrae atributos de MISP.
Configura el conector de atributos de MISP en Google SecOps
Si quieres obtener instrucciones detalladas para configurar un conector en Google SecOps, consulta Cómo configurar el conector.
Parámetros del conector
Usa los siguientes parámetros para configurar el conector:
| Nombre del parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
|---|---|---|---|---|
| DeviceProductField | String | Nombre del producto | Sí | Ingresa el nombre del campo de origen para recuperar el nombre del campo del producto. |
| EventClassId | String | alertType | Sí | Ingresa el nombre del campo de origen para recuperar el nombre del campo del evento. |
| PythonProcessTimeout | Número entero | 180 | Sí | Es el límite de tiempo de espera para el proceso de Python que ejecuta la secuencia de comandos actual. |
| Raíz de la API | String | N/A | Sí | Es la raíz de la API para la cuenta de MISP. |
| Clave de API | Contraseña | Sí | Es la clave de API de la cuenta de MISP. | |
| Recuperar horas máximas hacia atrás | Número entero | 1 | No | Cantidad de horas desde las que se recuperan los atributos. |
| Cantidad máxima de atributos por ciclo | Número entero | 50 | Sí | Cantidad de atributos que se procesarán por iteración del conector. |
| Nivel de amenaza más bajo que se recuperará | Número entero | 1 | Sí | Es la gravedad más baja que se usará para recuperar alertas. Valores posibles: del 1 al 4. |
| Filtro de tipo de atributo | String | No | Atributos de filtro por su tipo, separados por comas. Si se proporciona, solo se procesarán los atributos con el tipo incluido en la lista de entidades permitidas. | |
| Filtro de categoría | String | No | Atributos de filtro por categoría, separados por comas. Si se proporciona, solo se procesarán los atributos con la categoría incluida en la lista de entidades permitidas. | |
| Filtro de Galaxy | String | No | Atributos de filtro por la galaxia del evento principal, separados por comas. Si se proporciona, solo se procesarán los atributos que pertenezcan a un evento con una galaxia incluida en la lista de entidades permitidas. | |
| Verificar SSL | Casilla de verificación | Sí | Si está habilitada, verifica que el certificado SSL para la conexión al servidor de Check Point CloudGuard sea válido. | |
| Nombre del campo del entorno | String | No | Describe el nombre del campo en el que se almacena el nombre del entorno. Si no se encuentra el campo del entorno, se usa el entorno predeterminado. | |
| Patrón de expresión regular del entorno | String | .* | No | Es un patrón de regex que se ejecuta en el valor que se encuentra en el campo "Nombre del campo de entorno". El valor predeterminado es .* para capturar todo y devolver el valor sin cambios. Se usa para permitir que el usuario manipule el campo del entorno a través de la lógica de regex. Si el patrón de regex es nulo o está vacío, o si el valor del entorno es nulo, el resultado final del entorno es el entorno predeterminado. |
| Dirección del servidor proxy | String | No | Es la dirección del servidor proxy que se usará. | |
| Nombre de usuario del proxy | String | No | Nombre de usuario del proxy con el que se realizará la autenticación. | |
| Contraseña de proxy | Contraseña | No | Contraseña del proxy para la autenticación. |
¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.