Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

Intégrer MISP à Google SecOps

Ce document explique comment intégrer MISP à Google Security Operations.

Cas d'utilisation

L'intégration MISP utilise les fonctionnalités Google SecOps pour prendre en charge les cas d'utilisation suivants :

Enrichir les indicateurs de compromission : récupérez automatiquement le contexte des URL, des noms d'hôte, des adresses IP et des hachages de fichiers à partir de votre instance MISP pour identifier les acteurs malveillants connus.
Automatisez la création et le partage d'événements : créez des événements MISP directement à partir de playbooks et publiez-les dans des groupes de partage pour alerter votre communauté de sécurité des nouvelles menaces.
Gérer la classification des événements : ajoutez ou supprimez dynamiquement des tags d'événements et d'attributs pour maintenir un panorama des menaces précis et à jour.
Enquêter sur les menaces associées : recherchez et récupérez des informations sur les événements liés à des entités spécifiques pour comprendre l'étendue d'une enquête en cours.
Analysez les fichiers suspects : importez des fichiers dans les événements MISP pour une analyse collaborative ou téléchargez les pièces jointes d'événements existantes pour une évaluation interne dans le bac à sable.

Avant de commencer

Avant de configurer l'intégration dans la plate-forme Google SecOps, vérifiez que les exigences suivantes sont remplies dans votre environnement MISP :

Clé API MISP : vous devez disposer d'une clé d'automatisation valide pour authentifier la connexion. Vous pouvez l'obtenir dans le menu des actions d'événement de l'interface utilisateur MISP. Pour en savoir plus, consultez Automatisation et API MISP.
Adresse racine de l'API : assurez-vous d'avoir l'adresse IP ou le nom d'hôte de votre instance MISP disponible pour la configuration.
Facultatif : Certificat CA : si votre environnement nécessite une validation SSL à l'aide d'un certificat spécifique, assurez-vous d'avoir le fichier de certificat CA disponible. Vous devez fournir cette valeur sous forme de chaîne encodée en Base64 lors de la configuration.
Version de l'intégration : vérifiez que vous exécutez la dernière version de l'intégration MISP pour vous assurer que toutes les actions et tous les paramètres sont compatibles.

Paramètres d'intégration

Utilisez les paramètres suivants pour configurer l'intégration :

Nom à afficher du paramètre	Type	Valeur par défaut	Obligatoire	Description
Racine de l'API	Chaîne	https://<IP>	Oui	Adresse de l'instance MISP.
Clé API	Chaîne	N/A	Oui	Généré dans la console MISP.
Use SSL (Connexion SSL)	Case à cocher	Décochée	Non	Cochez cette case si votre connexion MISP nécessite une validation SSL (elle est décochée par défaut).
Exécuter à distance	Case à cocher	Décochée	Non	Cochez le champ pour exécuter l'intégration configurée à distance. Une fois la case cochée, l'option permettant de sélectionner l'utilisateur distant (agent) s'affiche.

Pour obtenir des instructions sur la configuration d'une intégration dans Google SecOps, consultez Configurer des intégrations.

Si nécessaire, vous pourrez apporter des modifications ultérieurement. Une fois que vous avez configuré une instance d'intégration, vous pouvez l'utiliser dans des playbooks. Pour savoir comment configurer et prendre en charge plusieurs instances, consultez Prise en charge de plusieurs instances.

Actions

Pour en savoir plus sur les actions, consultez Répondre aux actions en attente depuis Votre bureau et Effectuer une action manuelle.

Ajouter un attribut

Ajoutez une entité en tant qu'attribut à un événement MISP.

Paramètres

Nom à afficher du paramètre	Type	Valeur par défaut	Obligatoire	Description
ID de l'événement	Chaîne	N/A	Oui	ID de l'événement.
Catégorie	Chaîne	Analyse externe	Non	Catégorie de l'attribut. Par défaut : Analyse externe.
Distribution	Chaîne	1	Non	Distribution de l'attribut. Par défaut : 1.
Pour le système de détection des intrusions	Case à cocher	Décochée	Non	Indique si l'attribut est utilisé pour le système de détection des intrusions. Valeur par défaut : "false".
Commentaire	Chaîne	N/A	Non	Commentaire à ajouter à l'attribut.

Cas d'utilisation

N/A

Exécuter le

Cette action s'applique aux entités suivantes :

URL
Nom d'hôte
Adresse IP
Filehash

Résultats de l'action

Enrichissement d'entités

N/A

Insights

N/A

Résultat du script

Nom du résultat du script	Options de valeur	Exemple
success	Vrai/Faux	success:False

Résultat JSON

N/A

Créer un événement

Créez un événement MISP.

Limitation connue

Actuellement, l'API MISP ne permet pas de publier immédiatement un événement lors de sa création. Vous devez d'abord créer un événement, puis utiliser l'action "Publier un événement".

Paramètres

Nom à afficher du paramètre	Type	Valeur par défaut	Obligatoire	Description
Nom de l'événement	Chaîne	N/A	Oui	Nom de l'événement.
Niveau de menace	Chaîne	0	Non	Niveau de menace de l'événement. Valeur par défaut : 0.
Distribution	Chaîne	1	Non	Distribution de l'attribut. Par défaut : 1.
Analyse	Chaîne	0	Non	Niveau d'analyse de l'événement [0-2]. Valeur par défaut : 0.
Publier	Case à cocher	Cochée	Non	Indique si l'événement doit être publié ou non.
Commentaire	Chaîne	N/A	Non	Commentaire sur l'événement.

Exécuter le

Cette action s'exécute sur toutes les entités.

Résultats de l'action

Résultat du script

Nom du résultat du script	Options de valeur	Exemple
event_id	N/A	N/A

Ajouter un tag à un événement

L'ajout d'un tag à une action d'événement permet à un utilisateur d'ajouter un tag à un événement spécifique dans MISP. Cela ajoute une classification à l'événement en fonction de la catégorie de menace de sécurité posée par l'IOC associé à l'événement.

Paramètres

Nom à afficher du paramètre	Type	Valeur par défaut	Obligatoire	Description
ID de l'événement	Chaîne	N/A	Oui	Identifiant unique spécifiant l'événement auquel ajouter le tag.
Nom du tag	Chaîne	N/A	Oui	Nom du tag à ajouter à un événement.

Cas d'utilisation

Classer un événement : ajoutez un tag à l'événement pour le classer.

Exécuter le

Cette action s'exécute sur toutes les entités.

Résultats de l'action

Résultat du script

Nom du résultat du script	Options de valeur	Exemple
is_success	Vrai/Faux	is_success:False

Résultat JSON

[
    {
        "saved": true,
        "success": "Tag(s) added.",
        "check_publish": true
    }
]

Télécharger le fichier

Téléchargez les fichiers liés à l'événement dans MISP.

Paramètres

Nom à afficher du paramètre	Type	Valeur par défaut	Obligatoire	Description
ID de l'événement	Chaîne	N/A	Non	Spécifiez l'ID ou l'UUID de l'événement à partir duquel vous souhaitez télécharger des fichiers.
Chemin d'accès au dossier de téléchargement	Chaîne	N/A		Spécifiez le chemin d'accès absolu au dossier dans lequel les fichiers doivent être stockés. Si rien n'est spécifié, l'action créera une pièce jointe. Remarque : Le résultat JSON n'est disponible que si vous fournissez une valeur appropriée pour ce paramètre.
Remplacer	Case à cocher	Décochée		Si cette option est activée, l'action écrasera les fichiers existants.

Exécuter le

Cette action s'exécute sur l'entité Filehash.

Résultats de l'action

Résultat du script

Nom du résultat du script	Options de valeur	Exemple
success	Vrai/Faux	success:False

Résultat JSON

{

"absolute_paths": ["/etc/file1.txt", "/etc/file2.txt"]

}

Mur des cas

Type de résultat	Description de la valeur	Type
Message de sortie*	En cas de réussite : "Les fichiers suivants ont été téléchargés depuis l'événement {0} {1} dans MISP :\n{2}".format(ID/UUID, event_id, result/filename from the response) Si aucun fichier n'a été trouvé : "Aucun fichier n'a été trouvé pour l'événement avec {0} {1} dans MISP :\n{2}".format(ID/UUID, event_id) Si le chemin d'accès au dossier de téléchargement n'est pas spécifié et que certains fichiers dépassent la limite de taille des pièces jointes de la plate-forme : "L'action n'a pas pu télécharger les fichiers suivants, car ils dépassent la limite de 3 Mo : \n {0}. \n Veuillez spécifier un chemin d'accès à un dossier dans le paramètre "Chemin d'accès au dossier de téléchargement" pour les télécharger.".(result/filename) Erreur critique (échec de l'action) : "Erreur lors de l'exécution de l'action "Télécharger le fichier". Raison : {0}".format(stacktrace) ID d'événement introuvable (action d'échec) "Erreur lors de l'exécution de l'action "Télécharger le fichier". Motif : L'événement {0} {1} est introuvable dans MISP".format(ID/UUID, event_id) Si "overwrite" est défini sur "false" et qu'un des fichiers existe déjà : "Erreur lors de l'exécution de l'action "Télécharger le fichier". Motif : Les fichiers suivants existent déjà : {0}. Veuillez les supprimer ou définir le paramètre "Overwrite" sur "true".".format(chemin d'accès absolu au fichier)	Général

Type de résultat

Description de la valeur

Type

Message de sortie*

En cas de réussite : "Les fichiers suivants ont été téléchargés depuis l'événement {0} {1} dans MISP :\n{2}".format(ID/UUID, event_id, result/filename from the response)

Si aucun fichier n'a été trouvé : "Aucun fichier n'a été trouvé pour l'événement avec {0} {1} dans MISP :\n{2}".format(ID/UUID, event_id)

Si le chemin d'accès au dossier de téléchargement n'est pas spécifié et que certains fichiers dépassent la limite de taille des pièces jointes de la plate-forme : "L'action n'a pas pu télécharger les fichiers suivants, car ils dépassent la limite de 3 Mo : \n {0}. \n Veuillez spécifier un chemin d'accès à un dossier dans le paramètre "Chemin d'accès au dossier de téléchargement" pour les télécharger.".(result/filename)

Erreur critique (échec de l'action) : "Erreur lors de l'exécution de l'action "Télécharger le fichier". Raison : {0}".format(stacktrace)

ID d'événement introuvable (action d'échec) "Erreur lors de l'exécution de l'action "Télécharger le fichier". Motif : L'événement {0} {1} est introuvable dans MISP".format(ID/UUID, event_id)

Si "overwrite" est défini sur "false" et qu'un des fichiers existe déjà : "Erreur lors de l'exécution de l'action "Télécharger le fichier". Motif : Les fichiers suivants existent déjà : {0}. Veuillez les supprimer ou définir le paramètre "Overwrite" sur "true".".format(chemin d'accès absolu au fichier)

Général

Enrichir les entités

Enrichissez les entités en fonction des attributs de MISP.

Paramètres

Nom à afficher du paramètre	Type	Valeur par défaut	Description
Nombre d'attributs à renvoyer	Chaîne	N/A	Spécifiez le nombre d'attributs à renvoyer pour les entités.
Condition de filtrage			Spécifiez la condition de filtrage pour l'action. Si "Dernier" est sélectionné, l'action utilisera l'attribut le plus ancien pour l'enrichissement. Si "Premier" est sélectionné, l'action utilisera l'attribut le plus récent pour l'enrichissement.
Seuil du niveau de menace	LDD	Faible Valeurs possibles : Élevée Moyen Faible Indéterminé	Spécifiez le seuil du niveau de menace de l'événement, où l'entité a été trouvée. Si un événement associé dépasse ou atteint le seuil, l'entité est marquée comme suspecte.
Limite de recherche d'attributs	Integer	50	Indiquez le nombre d'attributs à rechercher par entité. Ce paramètre a une incidence sur l'attribut qui sera sélectionné pour l'enrichissement. Valeur par défaut : 50.

Exécuter le

Cette action s'applique aux entités suivantes :

URL
Nom d'hôte
Adresse IP
Filehash

Résultats de l'action

Enrichissement d'entités

Les entités sont marquées comme suspectes si le niveau de menace de l'événement est supérieur à 0. Sinon : False

Résultat du script

Nom du résultat du script	Options de valeur	Exemple
success	Vrai/Faux	success:False

Résultat JSON

[
    {
        "EntityResult": [
            {
                "Event":
                {
                    "orgc_id": "1",
                    "ShadowAttribute": [],
                    "id": "3",
                    "threat_level_id": "3",
                    "event_creator_email": "john_doe@example.com",
                    "uuid": "5c5bff1b-a414-4a83-8755-035f0a000016",
                    "Object": [],
                    "Orgc": {
                        "uuid": "5c5ac66e-3884-4031-afd7-46f5bb9ebcaa",
                        "name": "ORGNAME",
                        "id": "1"
                    },
                    "Org": {
                        "uuid": "5c5ac66e-3884-4031-afd7-46f5bb9ebcaa",
                        "name": "ORGNAME",
                        "id": "1"
                    },
                    "RelatedEvent": [],
                    "sharing_group_id": "0",
                    "timestamp": "1549533154",
                    "date": "2019-02-07",
                    "disable_correlation": "False",
                    "info": "Test event",
                    "locked": "False",
                    "publish_timestamp": "1549533214",
                    "Attribute": [
                        {
                            "category": "Network activity",
                            "comment": " ",
                            "uuid": "5c5bffe2-9298-4098-ae31-035d0a000016",
                            "deleted": "False",
                            "timestamp": "1549533154",
                            "to_ids": "False",
                            "distribution": "3",
                            "object_id": "0",
                            "event_id": "3",
                            "ShadowAttribute": [],
                            "sharing_group_id": "0",
                            "value": "1.1.1.1",
                            "disable_correlation": "False",
                            "object_relation": "None",
                            "type": "ip-src",
                            "id": "1",
                            "Galaxy": []
                        }],
                    "attribute_count": "1",
                    "org_id": "1",
                    "analysis": "2",
                    "extends_uuid": " ",
                    "published": "True",
                    "distribution": "3",
                    "proposal_email_lock": "False",
                    "Galaxy": []
                }}],
        "Entity": "1.1.1.1"
    }
]

Mur des cas

Type de résultat	Description de la valeur	Type
Message de sortie*	Pour les attributs trouvés : (is_success=true) "Les entités suivantes ont été enrichies avec succès à l'aide de MISP : \n{0}".format(entity.identifier) Pour les attributs qui n'ont pas été trouvés (is_success=true) "L'action n'a pas pu enrichir les entités suivantes à l'aide de MISP : \n{0}".format(entity.identifier) Si tous les attributs n'ont pas été trouvés (is_success=false) "Aucune entité n'a été enrichie à l'aide de MISP" Si les attributs sont suspects (is_success=true) "Les attributs suivants ont été marqués comme suspects à l'aide de MISP : \n {0}".format(entity.identifier)	Général
Tableau CSV	Colonnes du tableau : ID ID de l'événement Catégorie Type UUID Horodatage Distribution IDS

Type de résultat

Description de la valeur

Type

Message de sortie*

Pour les attributs trouvés : (is_success=true) "Les entités suivantes ont été enrichies avec succès à l'aide de MISP : \n{0}".format(entity.identifier)

Pour les attributs qui n'ont pas été trouvés (is_success=true) "L'action n'a pas pu enrichir les entités suivantes à l'aide de MISP : \n{0}".format(entity.identifier)

Si tous les attributs n'ont pas été trouvés (is_success=false) "Aucune entité n'a été enrichie à l'aide de MISP"

Si les attributs sont suspects (is_success=true) "Les attributs suivants ont été marqués comme suspects à l'aide de MISP : \n {0}".format(entity.identifier)

Général

Tableau CSV

Colonnes du tableau :

ID
ID de l'événement
Catégorie
Type
UUID
Horodatage
Distribution
IDS

Obtenir les événements associés

Récupérez des informations sur les événements liés à des entités dans MISP.

Paramètres

Nom à afficher du paramètre	Type	Valeur par défaut	Description
Marquer comme suspect	Case à cocher	Cochée	Si cette option est activée, l'action marquera l'entité comme suspecte s'il existe au moins un événement associé.

Exécuter le

Cette action s'applique aux entités suivantes :

URL
Nom d'hôte
Adresse IP
Filehash

Résultats de l'action

Enrichissement d'entités

Si des enregistrements d'événements associés sont disponibles, les entités sont marquées comme suspectes. Sinon, la valeur est "False".

Nom du champ d'enrichissement	Logique : quand l'appliquer ?
Événement	Renvoie la valeur si elle existe dans le résultat JSON.

Résultat du script

Nom du résultat du script	Options de valeur	Exemple
success	Vrai/Faux	success:False

Résultat JSON

[
    {
        "EntityResult": [
            {
                "Event":
                {
                    "orgc_id": "1",
                    "ShadowAttribute": [],
                    "id": "3",
                    "threat_level_id": "3",
                    "event_creator_email": "john_doe@example.com",
                    "uuid": "5c5bff1b-a414-4a83-8755-035f0a000016",
                    "Object": [],
                    "Orgc": {
                        "uuid": "5c5ac66e-3884-4031-afd7-46f5bb9ebcaa",
                        "name": "ORGNAME",
                        "id": "1"
                    },
                    "Org": {
                        "uuid": "5c5ac66e-3884-4031-afd7-46f5bb9ebcaa",
                        "name": "ORGNAME",
                        "id": "1"
                    },
                    "RelatedEvent": [],
                    "sharing_group_id": "0",
                    "timestamp": "1549533154",
                    "date": "2019-02-07",
                    "disable_correlation": "False",
                    "info": "Test event",
                    "locked": "False",
                    "publish_timestamp": "1549533214",
                    "Attribute": [
                        {
                            "category": "Network activity",
                            "comment": " ",
                            "uuid": "5c5bffe2-9298-4098-ae31-035d0a000016",
                            "deleted": "False",
                            "timestamp": "1549533154",
                            "to_ids": "False",
                            "distribution": "3",
                            "object_id": "0",
                            "event_id": "3",
                            "ShadowAttribute": [],
                            "sharing_group_id": "0",
                            "value": "1.1.1.1",
                            "disable_correlation": "False",
                            "object_relation": "None",
                            "type": "ip-src",
                            "id": "1",
                            "Galaxy": []
                        }],
                    "attribute_count": "1",
                    "org_id": "1",
                    "analysis": "2",
                    "extends_uuid": " ",
                    "published": "True",
                    "distribution": "3",
                    "proposal_email_lock": "False",
                    "Galaxy": []
                }}],
        "Entity": "1.1.1.1"
    }
]

Mur des cas

Type de résultat	Description de la valeur	Type
Message de sortie*	Si au moins un événement est trouvé pour au moins une entité : "Informations sur les événements associés récupérées avec succès pour les entités suivantes : \n{0}".format(entity.identifier) Si aucun événement n'a été trouvé pour au moins une entité : "L'action n'a pas pu récupérer d'informations sur les événements associés pour les entités suivantes : \n{0}".format(entity.identifier Si aucun événement n'est trouvé pour tous les éléments : "Aucun événement associé n'a été trouvé pour les entités fournies."	Général

Type de résultat

Description de la valeur

Type

Message de sortie*

Si au moins un événement est trouvé pour au moins une entité : "Informations sur les événements associés récupérées avec succès pour les entités suivantes : \n{0}".format(entity.identifier)

Si aucun événement n'a été trouvé pour au moins une entité : "L'action n'a pas pu récupérer d'informations sur les événements associés pour les entités suivantes : \n{0}".format(entity.identifier

Si aucun événement n'est trouvé pour tous les éléments : "Aucun événement associé n'a été trouvé pour les entités fournies."

Général

Importer un fichier

Importez un fichier dans un événement MISP.

Paramètres

Nom	Type	Par défaut	Description
ID de l'événement	Chaîne	N/A	Spécifiez l'ID ou l'UUID de l'événement pour lequel vous souhaitez importer ce fichier.
Chemin d'accès au fichier	Chaîne	N/A	Spécifiez une liste de chemins d'accès absolus aux fichiers que vous souhaitez importer dans MISP, séparés par une virgule.
Catégorie			Spécifiez la catégorie du fichier importé. Valeurs possibles : "External Analysis" (Analyse externe), "Payload Delivery" (Distribution de la charge utile), "Artifacts Dropped" (Artifacts déposés), "Payload Installation" (Installation de la charge utile).
Distribution	Chaîne	Communauté	Spécifiez la distribution du fichier importé. Valeurs possibles : 0 – Organisation, 1 – Communauté, 2 – Connecté, 3 – Tous. Vous pouvez fournir un nombre ou une chaîne.
Niveau de menace	Chaîne	Élevée	Spécifiez le niveau de menace du fichier importé. Valeurs possibles : 1 = Élevée, 2 = Moyenne, 3 = Faible, 4 = Non définie. Vous pouvez fournir un nombre ou une chaîne.
Analyse	Chaîne	initial	Spécifiez l'analyse de l'événement. Valeurs possibles : 0 – Initial, 1 – En cours, 2 – Terminé. Vous pouvez fournir un nombre ou une chaîne.
Infos	Chaîne	N/A	Spécifiez des informations supplémentaires pour le fichier importé.
Pour le système de détection des intrusions	Case à cocher	Décochée	Si cette option est activée, le fichier importé sera utilisé pour les systèmes de détection des intrusions.
Commentaire	Chaîne	N/A	Spécifiez d'autres commentaires concernant le fichier importé.

Résultats de l'action

Résultat du script

Nom du résultat du script	Options de valeur	Exemple
is_success	Vrai/Faux	is_success:False

Résultat JSON

{
    "Event": {
        "id": "106",
        "orgc_id": "1",
        "org_id": "1",
        "date": "2021-01-15",
        "threat_level_id": "1",
        "info": "vanuhi 1015",
        "published": false,
        "uuid": "1cd22aa2-57e8-4fc8-bac6-721c1be2c27d",
        "attribute_count": "10",
        "analysis": "0",
        "timestamp": "1610893968",
        "distribution": "1",
        "proposal_email_lock": false,
        "locked": false,
        "publish_timestamp": "0",
        "sharing_group_id": "0",
        "disable_correlation": false,
        "extends_uuid": "",
        "event_creator_email": "admin@admin.test",
        "Org": {
            "id": "1",
            "name": "ORGNAME",
            "uuid": "09b0dde1-2934-4310-a107-74b6f534f041",
            "local": true
        },
        "Orgc": {
            "id": "1",
            "name": "ORGNAME",
            "uuid": "09b0dde1-2934-4310-a107-74b6f534f041",
            "local": true
        },
        "Attribute": [],
        "ShadowAttribute": [],
"Object": [
            {
                "id": "446",
                "name": "file",
                "meta-category": "file",
                "description": "File object describing a file with meta-information",
                "template_uuid": "688c46fb-5edb-40a3-8273-1af7923e2215",
                "template_version": "20",
                "event_id": "106",
                "uuid": "0188ba5d-68eb-4b5c-8e05-6fd49f8eee9a",
                "timestamp": "1610691647",
                "distribution": "1",
                "sharing_group_id": "0",
                "comment": "",
                "deleted": false,
                "first_seen": null,
                "last_seen": null,
                "ObjectReference": [],
                "Attribute": [
                    {
                        "id": "1859",
                        "type": "malware-sample",
                        "category": "External analysis",
                        "to_ids": true,
                        "uuid": "7920cd28-5082-47ce-9c3e-3ccbd5dae138",
                        "event_id": "106",
                        "distribution": "1",
                        "timestamp": "1610703650",
                        "comment": "",
                        "sharing_group_id": "0",
                        "deleted": false,
                        "disable_correlation": false,
                        "object_id": "446",
                        "object_relation": "malware-sample",
                        "first_seen": null,
                        "last_seen": null,
                        "value": "vanuhi.txt|7bd55b0a276e076cbaf470e64359adb8",
                        "Galaxy": [],
                        "data": "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",
                        "ShadowAttribute": [],
                        "Sighting": [
                            {
                                "id": "1733",
                                "attribute_id": "1859",
                                "event_id": "106",
                                "org_id": "1",
                                "date_sighting": "1611207638",
                                "uuid": "feb085f1-1923-4327-a73d-b60a948377e4",
                                "source": "",
                                "type": "0",
                                "Organisation": {
                                    "id": "1",
                                    "uuid": "09b0dde1-2934-4310-a107-74b6f534f041",
                                    "name": "ORGNAME"
                                },
                                "attribute_uuid": "7920cd28-5082-47ce-9c3e-3ccbd5dae138"
                            }
                        ]
                    }
            }
    }
}

Mur des cas

Type de résultat	Valeur/Description	Type
Message de sortie*	Si l'opération réussit pour une entité : "Les fichiers fournis ont été importés dans l'événement {0} dans MISP".format(event_id) Erreur critique (échec de l'action) : "Erreur lors de l'exécution de l'action "Importer un fichier". Raison : {0}".format(stacktrace) Si un paramètre non valide est spécifié dans "Distribution" (action d'échec) : "Erreur lors de l'exécution de l'action "Importer un fichier". Motif : Une valeur non valide a été fournie pour le paramètre "Distribution". Les nombres acceptables sont 0, 1, 2 et 3. Chaînes acceptées : "Organisation", "Communauté", "Connecté", "Tous". Si un paramètre non valide est spécifié dans "Niveau de menace" (action d'échec) : "Erreur lors de l'exécution de l'action "Importer un fichier". Motif : Une valeur non valide a été fournie pour le paramètre "Niveau de menace". Les nombres acceptés sont : 1, 2, 3 et 4. Chaînes acceptables : "High", "Medium", "Low", "Undefined". Si un paramètre non valide est spécifié dans "Catégorie" (action d'échec) : "Erreur lors de l'exécution de l'action "Importer un fichier". Motif : Une valeur non valide a été fournie pour le paramètre "Category" (Catégorie). Valeurs acceptables : "External Analysis", "Payload Delivery", "Artifacts Dropped", "Payload Installation". Si un paramètre non valide est spécifié dans "Analyse" (action d'échec) : "Erreur lors de l'exécution de l'action "Importer un fichier". Motif : Une valeur non valide a été fournie pour le paramètre "Analysis". Les nombres acceptables sont 0, 1 et 2. Chaînes acceptables : "Initial", "Ongoing", "Completed". Si au moins l'un des fichiers n'est pas disponible : "Erreur lors de l'exécution de l'action "Importer un fichier". Raison : les fichiers suivants n'étaient pas accessibles : \n {0}".format(file paths, that were not accessible.) L'ID d'événement est introuvable (action d'échec) : "Erreur lors de l'exécution de l'action "Importer un fichier". Motif : L'événement {0} {1} est introuvable dans MISP".format(ID/UUID, event_id)	Général

Type de résultat

Valeur/Description

Type

Message de sortie*

Si l'opération réussit pour une entité : "Les fichiers fournis ont été importés dans l'événement {0} dans MISP".format(event_id)

Erreur critique (échec de l'action) : "Erreur lors de l'exécution de l'action "Importer un fichier". Raison : {0}".format(stacktrace)

Si un paramètre non valide est spécifié dans "Distribution" (action d'échec) :

"Erreur lors de l'exécution de l'action "Importer un fichier". Motif : Une valeur non valide a été fournie pour le paramètre "Distribution". Les nombres acceptables sont 0, 1, 2 et 3. Chaînes acceptées : "Organisation", "Communauté", "Connecté", "Tous".

Si un paramètre non valide est spécifié dans "Niveau de menace" (action d'échec) : "Erreur lors de l'exécution de l'action "Importer un fichier". Motif : Une valeur non valide a été fournie pour le paramètre "Niveau de menace". Les nombres acceptés sont : 1, 2, 3 et 4. Chaînes acceptables : "High", "Medium", "Low", "Undefined".

Si un paramètre non valide est spécifié dans "Catégorie" (action d'échec) : "Erreur lors de l'exécution de l'action "Importer un fichier". Motif : Une valeur non valide a été fournie pour le paramètre "Category" (Catégorie). Valeurs acceptables : "External Analysis", "Payload Delivery", "Artifacts Dropped", "Payload Installation".

Si un paramètre non valide est spécifié dans "Analyse" (action d'échec) : "Erreur lors de l'exécution de l'action "Importer un fichier". Motif : Une valeur non valide a été fournie pour le paramètre "Analysis". Les nombres acceptables sont 0, 1 et 2. Chaînes acceptables : "Initial", "Ongoing", "Completed".

Si au moins l'un des fichiers n'est pas disponible : "Erreur lors de l'exécution de l'action "Importer un fichier". Raison : les fichiers suivants n'étaient pas accessibles : \n {0}".format(file paths, that were not accessible.)

L'ID d'événement est introuvable (action d'échec) : "Erreur lors de l'exécution de l'action "Importer un fichier". Motif : L'événement {0} {1} est introuvable dans MISP".format(ID/UUID, event_id)

Général

Ping

Testez la connectivité.

Paramètres

N/A

Cas d'utilisation

N/A

Exécuter le

Cette action s'exécute sur toutes les entités.

Résultats de l'action

Enrichissement d'entités

N/A

Insights

N/A

Résultat du script

Nom du résultat du script	Options de valeur	Exemple
success	Vrai/Faux	success:False

Résultat JSON

N/A

Supprimer un tag d'un événement

Supprimez les tags de l'événement dans MISP.

Paramètres

Nom à afficher du paramètre	Type	Valeur par défaut	Obligatoire	Description
ID de l'événement	Chaîne	N/A	Oui	Spécifiez l'ID ou l'UUID de l'événement dont vous souhaitez supprimer les tags.
Nom du tag	CSV	N/A	Oui	Spécifiez une liste de tags à supprimer des événements, séparés par une virgule.

Cas d'utilisation

Reclasser un événement : supprimez le tag pour reclasser l'événement.

Résultats de l'action

Résultat du script

Nom du résultat du script	Options de valeur	Exemple
is_success	Vrai/Faux	is_success:False

Résultat JSON

[
    {
        "saved": true,
        "success": "Tag removed.",
        "check_publish": true
    }
]

Mur des cas

Type de résultat	Valeur/Description	Type
Message de sortie*	Si toutes les balises d'un événement ont bien été supprimées : "Les balises suivantes ont bien été supprimées de l'événement {0} {1} dans MISP : {2}.".format(ID/UUID, event_id, tags) Si certains tags n'ont pas été supprimés d'un événement : "L'action n'a pas pu supprimer les tags suivants de l'événement avec {0} {1} dans MISP : {2}.".format(ID/UUID, event_id, tags) Si l'opération n'a pas abouti pour tous les événements : "Aucune balise n'a été supprimée de l'événement avec {0} {1} dans MISP".format(ID/UUID, event_id) Si au moins un tag est introuvable : "Les tags suivants sont introuvables dans MISP : \n{0}".format(liste des tags introuvables dans MISP) Si toutes les balises n'ont pas été trouvées : "Aucune des balises fournies n'a été trouvée dans MISP." Erreur critique (échec de l'action) : "Erreur lors de l'exécution de l'action "Supprimer un tag d'un événement". Raison : {0}".format(stacktrace) ID d'événement introuvable (action d'échec) "Erreur lors de l'exécution de l'action "Supprimer un tag d'un événement". Motif : L'événement {0} {1} est introuvable dans MISP".format(ID/UUID, event_id)	Général

Type de résultat

Valeur/Description

Type

Message de sortie*

Si toutes les balises d'un événement ont bien été supprimées : "Les balises suivantes ont bien été supprimées de l'événement {0} {1} dans MISP : {2}.".format(ID/UUID, event_id, tags)

Si certains tags n'ont pas été supprimés d'un événement : "L'action n'a pas pu supprimer les tags suivants de l'événement avec {0} {1} dans MISP : {2}.".format(ID/UUID, event_id, tags)

Si l'opération n'a pas abouti pour tous les événements : "Aucune balise n'a été supprimée de l'événement avec {0} {1} dans MISP".format(ID/UUID, event_id)

Si au moins un tag est introuvable : "Les tags suivants sont introuvables dans MISP : \n{0}".format(liste des tags introuvables dans MISP)

Si toutes les balises n'ont pas été trouvées : "Aucune des balises fournies n'a été trouvée dans MISP."

Erreur critique (échec de l'action) : "Erreur lors de l'exécution de l'action "Supprimer un tag d'un événement". Raison : {0}".format(stacktrace)

ID d'événement introuvable (action d'échec) "Erreur lors de l'exécution de l'action "Supprimer un tag d'un événement". Motif : L'événement {0} {1} est introuvable dans MISP".format(ID/UUID, event_id)

Général

Ajouter un tag à un attribut

Cette action permet à un utilisateur d'ajouter un tag à un attribut spécifique dans MISP. Cela ajoute une classification à l'attribut en fonction de la catégorie de menace de sécurité que représente l'IOC dans l'attribut.

Paramètres

Nom à afficher du paramètre	Type	Valeur par défaut	Obligatoire	Description
ID de l'événement	Integer	N/A	Oui	Identifiant de l'événement auquel l'attribut est associé. Exemple : 1.
Nom du tag	Chaîne	N/A	Oui	Nom du tag à ajouter à un attribut.
Nom de l'attribut	Chaîne	N/A	Oui	Identifiant du nom de l'attribut à taguer.
Catégorie	Chaîne	N/A	Oui	Catégorie à laquelle appartient l'attribut (par exemple, "Diffusion de la charge utile").
Type	Chaîne	N/A	Oui	Type d'attribut, par exemple "filename".
UUID de l'objet	Chaîne	N/A	Non	Identifiant unique d'un objet dans l'événement.

Cas d'utilisation

Classer l'attribut en fonction du type d'IOC : ajoutez un tag à l'attribut.

Exécuter le

Cette action s'exécute sur toutes les entités.

Résultats de l'action

Enrichissement d'entités

N/A

Insights

N/A

Résultat du script

Nom du résultat du script	Options de valeur	Exemple
is_success	Vrai/Faux	is_success:False

Résultat JSON

[
    {
        "name": "Global tag unique___test(7) successfully attached to Attribute(9).",
        "message": "Global tag unique___test(7) successfully attached to Attribute(9).",
        "url": "/tags/attachTagToObject"
    }
]

Supprimer un tag d'un attribut

Supprimez les tags des attributs dans MISP.

Paramètres

Nom à afficher du paramètre	Type	Valeur par défaut	Obligatoire	Description
ID de l'événement	Chaîne	N/A	Non	Spécifiez l'ID ou l'UUID de l'événement, et l'emplacement où rechercher les attributs. Ce paramètre est obligatoire si "Recherche par attribut" est défini sur "Événement fourni".
Nom du tag	CSV	N/A	Oui	Spécifiez une liste de tags à supprimer des attributs, séparés par une virgule.
Nom de l'attribut	CSV	N/A	Non	Spécifiez une liste d'identifiants d'attributs à partir desquels vous souhaitez supprimer des tags, séparés par une virgule. Remarque : Si le nom et l'UUID de l'attribut sont spécifiés, l'action fonctionnera avec les valeurs de l'UUID de l'attribut.
Catégorie	CSV	N/A	Non	Spécifiez une liste de catégories séparées par une virgule. Si spécifié, l'action ne supprimera les tags que des attributs dont la catégorie correspond. Si rien n'est spécifié, l'action ignore les catégories dans les attributs. Valeurs possibles : "External Analysis" (Analyse externe), "Payload Delivery" (Livraison de la charge utile), "Artifacts Dropped" (Artifacts déposés), "Payload Installation" (Installation de la charge utile).
Type	CSV	N/A	Non	Spécifiez une liste de types d'attributs séparés par une virgule. Si cette option est spécifiée, l'action ne supprimera les tags que des attributs dont le type correspond. Si rien n'est spécifié, l'action ignore les types dans les attributs. Exemples de valeurs : md5, sha1, ip-src, ip-dst
UUID de l'objet	CSV	N/A		Spécifiez l'UUID de l'objet contenant l'attribut souhaité.
Recherche d'attributs	LDD	Événement fourni Valeurs possibles : Tous les événements Événement fourni	Oui	Spécifiez où l'action doit rechercher les attributs. Si l'option "Événement fourni" est sélectionnée, l'action ne recherchera les attributs ou les UUID d'attributs que dans l'événement dont l'ID/UUID est fourni dans le paramètre "ID d'événement". Si vous sélectionnez "Tous les événements", l'action recherchera les attributs parmi tous les événements et supprimera les tags de tous les attributs qui correspondent à nos critères.
UUID de l'attribut	CSV			Spécifiez une liste d'UUID d'attributs séparés par une virgule à partir desquels vous souhaitez supprimer de nouveaux tags. Remarque : Si "Nom de l'attribut" et "UUID de l'attribut" sont spécifiés, l'action fonctionnera avec les valeurs "UUID de l'attribut".

Cas d'utilisation

Reclasser l'attribut : supprimer le tag pour reclassification

Exécuter le

Cette action s'exécute sur toutes les entités.

Résultats de l'action

Résultat du script

Nom du résultat du script	Options de valeur	Exemple
is_success	Vrai/Faux	is_success:False

Résultat JSON

[
    {
        "name": "Tag unique___test(7) successfully removed from Attribute(9).",
        "message": "Tag unique___test(7) successfully removed from Attribute(9).",
        "url": "/tags/removeTagFromObject"
    }
]

Mur des cas

Type de résultat	Valeur/Description	Type>
Message de sortie*	Si les tags ont été supprimés d'au moins un attribut : "Les tags ont bien été supprimés des attributs suivants dans MISP :\n{0}".format(nom de l'attribut/UUID de l'objet) if not successfully removed tags from at least one attribute: "Action didn't removed tags from the following attributes in MISP:\n{0}".format(attribute name/object UUID) Si l'opération n'a pas abouti pour tous les attributs : "Aucun tag n'a été supprimé des attributs fournis dans MISP" Si au moins un tag est introuvable : "Les tags suivants sont introuvables dans MISP : \n{0}".format(liste des tags introuvables dans MISP) Si toutes les balises n'ont pas été trouvées : "Aucune des balises fournies n'a été trouvée dans MISP." Erreur critique (échec de l'action) : "Erreur lors de l'exécution de l'action "Supprimer le tag d'un attribut". Raison : {0}".format(stacktrace) Si un paramètre non valide est spécifié dans "Catégorie" (action d'échec) : "Erreur lors de l'exécution de l'action "Supprimer un tag d'un attribut". Motif : Une valeur non valide a été fournie pour le paramètre "Category" (Catégorie). Valeurs acceptables : "External Analysis", "Payload Delivery", "Artifacts Dropped", "Payload Installation". Si "Événement fourni" est sélectionné, mais que l'ID d'événement ne l'est pas : "Erreur lors de l'exécution de l'action "Supprimer le tag d'un attribut". Motif : L'ID de l'événement doit être fourni si l'option "Événement fourni" est sélectionnée pour le paramètre "Recherche d'attributs". ID d'événement introuvable (action d'échec) "Erreur lors de l'exécution de l'action "Supprimer le tag d'un attribut". Motif : L'événement {0} {1} est introuvable dans MISP".format(ID/UUID, event_id)	Général

Type de résultat

Valeur/Description

Type>

Message de sortie*

Si les tags ont été supprimés d'au moins un attribut : "Les tags ont bien été supprimés des attributs suivants dans MISP :\n{0}".format(nom de l'attribut/UUID de l'objet)

if not successfully removed tags from at least one attribute: "Action didn't removed tags from the following attributes in MISP:\n{0}".format(attribute name/object UUID)

Si l'opération n'a pas abouti pour tous les attributs : "Aucun tag n'a été supprimé des attributs fournis dans MISP"

Si au moins un tag est introuvable : "Les tags suivants sont introuvables dans MISP : \n{0}".format(liste des tags introuvables dans MISP)

Si toutes les balises n'ont pas été trouvées : "Aucune des balises fournies n'a été trouvée dans MISP."

Erreur critique (échec de l'action) : "Erreur lors de l'exécution de l'action "Supprimer le tag d'un attribut". Raison : {0}".format(stacktrace)

Si un paramètre non valide est spécifié dans "Catégorie" (action d'échec) : "Erreur lors de l'exécution de l'action "Supprimer un tag d'un attribut". Motif : Une valeur non valide a été fournie pour le paramètre "Category" (Catégorie). Valeurs acceptables : "External Analysis", "Payload Delivery", "Artifacts Dropped", "Payload Installation".

Si "Événement fourni" est sélectionné, mais que l'ID d'événement ne l'est pas : "Erreur lors de l'exécution de l'action "Supprimer le tag d'un attribut". Motif : L'ID de l'événement doit être fourni si l'option "Événement fourni" est sélectionnée pour le paramètre "Recherche d'attributs".

ID d'événement introuvable (action d'échec) "Erreur lors de l'exécution de l'action "Supprimer le tag d'un attribut". Motif : L'événement {0} {1} est introuvable dans MISP".format(ID/UUID, event_id)

Général

Publier un événement

Cette action permet à l'utilisateur de publier un événement. Lorsque vous publiez un événement, il est partagé avec le groupe de partage sélectionné et devient visible pour tous les membres.

Paramètres

Nom à afficher du paramètre	Type	Valeur par défaut	Obligatoire	Description
ID de l'événement	Chaîne	N/A	Oui	Spécifiez l'ID ou l'UUID de l'événement que vous souhaitez publier.

Cas d'utilisation

Publier un événement :

Nouez des liens
Ajouter des attributs d'événement
Publier l'événement

Résultats de l'action

Résultat du script

Nom du résultat du script	Options de valeur	Exemple
is_success	Vrai/Faux	is_success:False

Résultat JSON

[
    {
        "Event": {
            "id": "3",
            "orgc_id": "1",
            "org_id": "1",
            "date": "2019-12-27",
            "threat_level_id": "1",
            "info": "Connection to .ch",
            "published": true,
            "uuid": "5e05dd29-7b90-474d-b5f6-51ae0a00024b",
            "attribute_count": "0",
            "analysis": "1",
            "timestamp": "1577774920",
            "distribution": "3",
            "proposal_email_lock": false,
            "locked": false,
            "publish_timestamp": "1577774846",
            "sharing_group_id": "0",
            "disable_correlation": false,
            "extends_uuid": "5e05db24-1e98-4bb9-bd56-51fd0a00024b",
            "event_creator_email": "admin@admin.test",
            "Org": {
                "id": "1",
                "name": "ORGNAME",
                "uuid": "5dfc9b8f-c320-4b6d-ac1c-4f4e8bdc3fef",
                "local": true
            },
            "Orgc": {
                "id": "1",
                "name": "ORGNAME",
                "uuid": "5dfc9b8f-c320-4b6d-ac1c-4f4e8bdc3fef",
                "local": true
            },
            "Attribute": [],
            "ShadowAttribute": [],
            "RelatedEvent": [],
            "Galaxy": [],
            "Object": [],
            "Tag": [
                {
                    "id": "7",
                    "name": "unique___test",
                    "colour": "#9648c4",
                    "exportable": true,
                    "user_id": "0",
                    "hide_tag": false,
                    "numerical_value": null,
                    "local": 0
                }
            ]
        }
    }
]

Mur des cas

Type de résultat	Valeur/Description	Type
Message de sortie*	En cas de succès : "Successfully published event with {0} {1} in MISP.".format(ID/UUID, event_id) En cas d'échec : "L'événement {0} {1} n'a pas été publié dans MISP".format(ID/UUID, event_id) Erreur critique (échec de l'action) : "Erreur lors de l'exécution de l'action "Publier l'événement". Raison : {0}".format(stacktrace) L'ID d'événement est introuvable (action d'échec) : "Erreur lors de l'exécution de l'action "Publier l'événement". Motif : L'événement {0} {1} est introuvable dans MISP".format(ID/UUID, event_id)	Général

Type de résultat

Valeur/Description

Type

Message de sortie*

En cas de succès : "Successfully published event with {0} {1} in MISP.".format(ID/UUID, event_id)

En cas d'échec : "L'événement {0} {1} n'a pas été publié dans MISP".format(ID/UUID, event_id)

Erreur critique (échec de l'action) : "Erreur lors de l'exécution de l'action "Publier l'événement". Raison : {0}".format(stacktrace)

L'ID d'événement est introuvable (action d'échec) : "Erreur lors de l'exécution de l'action "Publier l'événement". Motif : L'événement {0} {1} est introuvable dans MISP".format(ID/UUID, event_id)

Général

Annuler la publication d'un événement

Cette action permet à l'utilisateur de dépublier un événement. Si vous annulez la publication d'un événement, il ne sera plus visible par les groupes partagés.

Paramètres

Nom à afficher du paramètre	Type	Valeur par défaut	Obligatoire	Description
ID de l'événement	Chaîne	N/A	Oui	Spécifiez l'ID ou l'UUID de l'événement dont vous souhaitez annuler la publication.

Résultats de l'action

Résultat du script

Nom du résultat du script	Options de valeur	Exemple
is_success	Vrai/Faux	is_success:False

Résultat JSON

[
    {
        "Event": {
            "id": "3",
            "orgc_id": "1",
            "org_id": "1",
            "date": "2019-12-27",
            "threat_level_id": "1",
            "info": "Connection to .ch",
            "published": false,
            "uuid": "5e05dd29-7b90-474d-b5f6-51ae0a00024b",
            "attribute_count": "0",
            "analysis": "1",
            "timestamp": "1577774920",
            "distribution": "3",
            "proposal_email_lock": false,
            "locked": false,
            "publish_timestamp": "1577774846",
            "sharing_group_id": "0",
            "disable_correlation": false,
            "extends_uuid": "5e05db24-1e98-4bb9-bd56-51fd0a00024b",
            "event_creator_email": "admin@admin.test",
            "Org": {
                "id": "1",
                "name": "ORGNAME",
                "uuid": "5dfc9b8f-c320-4b6d-ac1c-4f4e8bdc3fef",
                "local": true
            },
            "Orgc": {
                "id": "1",
                "name": "ORGNAME",
                "uuid": "5dfc9b8f-c320-4b6d-ac1c-4f4e8bdc3fef",
                "local": true
            },
            "Attribute": [],
            "ShadowAttribute": [],
            "RelatedEvent": [],
            "Galaxy": [],
            "Object": [],
            "Tag": [
                {
                    "id": "7",
                    "name": "unique___test",
                    "colour": "#9648c4",
                    "exportable": true,
                    "user_id": "0",
                    "hide_tag": false,
                    "numerical_value": null,
                    "local": 0
                }
            ]
        }
    }
]

Mur des cas

Type de résultat	Valeur/Description	Type
Message de sortie*	En cas de réussite : "L'événement {1} a bien été dépublié avec {0} dans MISP.".format(ID/UUID, event_id) En cas d'échec : "L'événement {1} avec {0} n'a pas été dépublié dans MISP".format(ID/UUID, event_id) Erreur critique (échec de l'action) : "Erreur lors de l'exécution de l'action "Annuler la publication de l'événement". Raison : {0}".format(stacktrace) L'ID de l'événement est introuvable (action d'échec) "Erreur lors de l'exécution de l'action "Annuler la publication de l'événement". Motif : L'événement {0} {1} est introuvable dans MISP".format(ID/UUID, event_id)	Général

Type de résultat

Valeur/Description

Type

Message de sortie*

En cas de réussite : "L'événement {1} a bien été dépublié avec {0} dans MISP.".format(ID/UUID, event_id)

En cas d'échec : "L'événement {1} avec {0} n'a pas été dépublié dans MISP".format(ID/UUID, event_id)

Erreur critique (échec de l'action) : "Erreur lors de l'exécution de l'action "Annuler la publication de l'événement". Raison : {0}".format(stacktrace)

L'ID de l'événement est introuvable (action d'échec) "Erreur lors de l'exécution de l'action "Annuler la publication de l'événement". Motif : L'événement {0} {1} est introuvable dans MISP".format(ID/UUID, event_id)

Général

Supprimer un attribut

Supprimez les attributs dans MISP. Hachages acceptés : MD5, SHA1, SHA224, SHA256, SHA384, SHA512, SSDeep.

Paramètres

Nom à afficher du paramètre	Type	Valeur par défaut	Obligatoire	Description
ID de l'événement	Chaîne	N/A	Non	Spécifiez l'ID ou l'UUID de l'événement, et l'emplacement où rechercher les attributs. Ce paramètre est obligatoire si "Recherche par attribut" est défini sur "Événement fourni".
Nom de l'attribut	CSV	N/A	Non	Spécifiez une liste d'identifiants d'attributs à supprimer, séparés par une virgule. Remarque : Si le nom et l'UUID de l'attribut sont spécifiés, l'action fonctionnera avec les valeurs de l'UUID de l'attribut.
Catégorie	CSV	N/A	Non	Spécifiez une liste de catégories séparées par une virgule. Si spécifié, l'action ne supprimera que les attributs dont la catégorie correspond. Si rien n'est spécifié, l'action ignore les catégories dans les attributs. Valeurs possibles : "External Analysis" (Analyse externe), "Payload Delivery" (Livraison de la charge utile), "Artifacts Dropped" (Artifacts déposés), "Payload Installation" (Installation de la charge utile).
Type	CSV	N/A	Non	Spécifiez une liste de types d'attributs séparés par une virgule. Si cette option est spécifiée, l'action ne supprimera que les attributs dont le type correspond. Si rien n'est spécifié, l'action ignore les types dans les attributs. Exemples de valeurs : md5, sha1, ip-src, ip-dst
UUID de l'objet	Chaîne	N/A	Non	Identifiant unique d'un objet dans l'événement.
Recherche d'attributs	LDD	Événement fourni Valeurs possibles : Tous les événements Événement fourni	Oui	Spécifiez où l'action doit rechercher les attributs. Si l'option "Événement fourni" est sélectionnée, l'action ne recherchera les attributs ou les UUID d'attributs que dans l'événement dont l'ID/UUID est fourni dans le paramètre "ID d'événement". Si vous sélectionnez "Tous les événements", l'action recherchera les attributs dans tous les événements et supprimera tous ceux qui correspondent à nos critères.
UUID de l'attribut	CSV			Spécifiez une liste d'UUID d'attributs à supprimer, séparés par une virgule. Remarque : Si le nom et l'UUID de l'attribut sont spécifiés, l'action fonctionnera avec les valeurs de l'UUID de l'attribut.

Cas d'utilisation

Supprimez un attribut d'un événement.

Exécuter le

Cette action s'exécute sur toutes les entités.

Résultats de l'action

Résultat du script

Nom du résultat du script	Options de valeur	Exemple
is_success	Vrai/Faux	is_success:False

Résultat JSON

[
    {
        "message": "Attribute deleted."
    }
]

Mur des cas

Type de résultat	Description de la valeur	Type
Message de sortie*	Si l'observation a été ajoutée à au moins un attribut : "Les attributs suivants ont bien été supprimés dans MISP :\n{0}".format(nom de l'attribut/UUID de l'objet) Si l'observation n'a pas été ajoutée à au moins un attribut : "L'action n'a pas supprimé les attributs suivants dans MISP :\n{0}".format(nom de l'attribut/UUID de l'objet) Si l'opération n'a pas abouti pour tous les attributs : "Aucun attribut n'a été supprimé dans MISP" Erreur critique (échec de l'action) : "Erreur lors de l'exécution de l'action "Supprimer un attribut". Raison : {0}".format(stacktrace) Si un paramètre non valide est spécifié dans "Catégorie" (action d'échec) : "Erreur lors de l'exécution de l'action "Supprimer un attribut". Motif : Une valeur non valide a été fournie pour le paramètre "Category" (Catégorie). Valeurs acceptables : "External Analysis", "Payload Delivery", "Artifacts Dropped", "Payload Installation". Si "Événement fourni" est sélectionné, mais que l'ID d'événement ne l'est pas : "Erreur lors de l'exécution de l'action "Supprimer un attribut". Motif : L'ID de l'événement doit être fourni si l'option "Événement fourni" est sélectionnée pour le paramètre "Recherche d'attributs". ID d'événement introuvable (action d'échec) "Erreur lors de l'exécution de l'action "Supprimer un attribut". Motif : L'événement {0} {1} est introuvable dans MISP".format(ID/UUID, event_id)	Général

Type de résultat

Description de la valeur

Type

Message de sortie*

Si l'observation a été ajoutée à au moins un attribut : "Les attributs suivants ont bien été supprimés dans MISP :\n{0}".format(nom de l'attribut/UUID de l'objet)

Si l'observation n'a pas été ajoutée à au moins un attribut : "L'action n'a pas supprimé les attributs suivants dans MISP :\n{0}".format(nom de l'attribut/UUID de l'objet)

Si l'opération n'a pas abouti pour tous les attributs : "Aucun attribut n'a été supprimé dans MISP"

Erreur critique (échec de l'action) : "Erreur lors de l'exécution de l'action "Supprimer un attribut". Raison : {0}".format(stacktrace)

Si un paramètre non valide est spécifié dans "Catégorie" (action d'échec) : "Erreur lors de l'exécution de l'action "Supprimer un attribut". Motif : Une valeur non valide a été fournie pour le paramètre "Category" (Catégorie). Valeurs acceptables : "External Analysis", "Payload Delivery", "Artifacts Dropped", "Payload Installation".

Si "Événement fourni" est sélectionné, mais que l'ID d'événement ne l'est pas : "Erreur lors de l'exécution de l'action "Supprimer un attribut". Motif : L'ID de l'événement doit être fourni si l'option "Événement fourni" est sélectionnée pour le paramètre "Recherche d'attributs".

ID d'événement introuvable (action d'échec) "Erreur lors de l'exécution de l'action "Supprimer un attribut". Motif : L'événement {0} {1} est introuvable dans MISP".format(ID/UUID, event_id)

Général

Supprimer un événement

Supprimez l'événement dans MISP.

Paramètres

Nom à afficher du paramètre	Type	Valeur par défaut	Obligatoire	Description
ID de l'événement	Chaîne	N/A	Oui	Spécifiez l'ID ou l'UUID de l'événement que vous souhaitez supprimer.

Cas d'utilisation

Supprimez définitivement un événement.

Exécuter le

Cette action s'exécute sur l'entité "Utilisateur".

Résultats de l'action

Résultat du script

Nom du résultat du script	Options de valeur	Exemple
is_success	Vrai/Faux	is_success:False

Résultat JSON

[
    {
        "name": "Event deleted.",
        "message": "Event deleted.",
        "url": "/events/delete/4"
    }
]

Mur des cas

Type de résultat	Description de la valeur	Type
Message de sortie*	En cas de réussite : "L'événement {1} avec {0} a bien été supprimé dans MISP".format(ID/UUID, event_id) Erreur critique (échec de l'action) : "Erreur lors de l'exécution de l'action "Supprimer un événement". Raison : {0}".format(traceback) ID d'événement introuvable (action d'échec) "Erreur lors de l'exécution de l'action "Supprimer un événement". Motif : L'événement {0} {1} est introuvable dans MISP".format(ID/UUID, event_id)	Général

Type de résultat

Description de la valeur

Type

Message de sortie*

En cas de réussite : "L'événement {1} avec {0} a bien été supprimé dans MISP".format(ID/UUID, event_id)

Erreur critique (échec de l'action) : "Erreur lors de l'exécution de l'action "Supprimer un événement". Raison : {0}".format(traceback)

ID d'événement introuvable (action d'échec) "Erreur lors de l'exécution de l'action "Supprimer un événement". Motif : L'événement {0} {1} est introuvable dans MISP".format(ID/UUID, event_id)

Général

Créer un objet MISP de fichier

Cette action permet à l'utilisateur d'organiser les attributs de fichier liés à un événement dans un seul objet qui décrit un fichier avec ses méta-informations. L'objet contenant les attributs est ensuite associé à un événement spécifié.

Paramètres

Nom à afficher du paramètre	Type	Valeur par défaut	Obligatoire	Description
ID de l'événement	Chaîne	N/A	Oui	Identifiant unique de l'événement auquel ajouter l'objet. Exemple : 1
Nom de fichier	Chaîne	N/A	Non	Nom du fichier.
MD5	Chaîne	N/A	Non	Valeur de hachage MD5 du fichier.
SHA1	Chaîne	N/A	Non	Valeur de hachage sha1 du fichier.
SHA256	Chaîne	N/A	Non	Valeur de hachage sha256 du fichier.
SSDEEP	Chaîne	N/A	Non	Valeur ssdeep du fichier. Exemple : 96:p5aAS1tN0M3t9AnTNuG6TNOt5PR1TNZdkljOXTNSnKTF3X7KsTFW+kLtW6K8i7bI:p5mb4rgQhRp7GljCbF3LKqFjkwxtU
Imphash	Chaîne	N/A	Non	Valeur de hachage MD5 calculée à partir de la table importée.

Cas d'utilisation

N/A

Exécuter le

Cette action s'exécute sur toutes les entités.

Résultats de l'action

Enrichissement d'entités

N/A

Insights

N/A

Résultat du script

Nom du résultat du script	Options de valeur	Exemple
is_success	Vrai/Faux	is_success:False

Résultat JSON

N/A

Créer un objet MISP IP-Port

Cette action permet à l'utilisateur d'organiser les attributs d'adresse IP et de port associés à un événement dans un seul objet décrivant une adresse IP (ou un domaine ou un nom d'hôte) et un port, vus comme un tuple (ou un triplet) dans un intervalle de temps spécifique . L'objet avec les attributs est ensuite associé à un événement spécifié.

Paramètres

Nom à afficher du paramètre	Type	Valeur par défaut	Obligatoire	Description
ID de l'événement	Chaîne	N/A	Oui	Identifiant unique de l'événement auquel ajouter l'objet. Exemple : 1
Dst-port	Chaîne	N/A	Non	Port de destination.
Src-port	Chaîne	N/A	Non	Port source
Domaine	Chaîne	N/A	Non	Domain (Gérer le domaine).
Nom d'hôte	Chaîne	N/A	Non	Nom d'hôte.
IP-Src	Chaîne	N/A	Non	Adresse IP source.
IP-Dst	Chaîne	N/A	Non	Adresse IP de destination.

Cas d'utilisation

N/A

Exécuter le

Cette action s'exécute sur toutes les entités.

Résultats de l'action

Enrichissement d'entités

N/A

Insights

N/A

Résultat du script

Nom du résultat du script	Options de valeur	Exemple
is_success	Vrai/Faux	is_success:False

Résultat JSON

N/A

Créer un objet Misp de connexion réseau

Créez un objet de connexion réseau dans MISP. L'un des paramètres suivants doit être fourni : Dst-port, Src-port, IP-Src, IP-Dst. Vous pouvez également définir le paramètre "Use Entities" (Utiliser les entités) sur "true".

Paramètres

Nom à afficher du paramètre	Type	Valeur par défaut	Obligatoire	Description
ID de l'événement	Chaîne	N/A	Oui	Spécifiez l'ID ou l'UUID de l'événement auquel vous souhaitez ajouter des objets de connexion réseau.
Dst-port	Chaîne	N/A	Non	Spécifiez le port de destination que vous souhaitez ajouter à l'événement.
Src-port	Chaîne	N/A	Non	Spécifiez le port source que vous souhaitez ajouter à l'événement.
Hostname-dst	Chaîne	N/A	Non	Spécifiez la destination source que vous souhaitez ajouter à l'événement.
Hostname-src	Chaîne	N/A	Non	Spécifiez le nom d'hôte source que vous souhaitez ajouter à l'événement.
IP-Src	Chaîne	N/A	Non	Spécifiez l'adresse IP source que vous souhaitez ajouter à l'événement.
IP-Dst	Chaîne	N/A	Non	Spécifiez l'adresse IP de destination que vous souhaitez ajouter à l'événement.
Layer3-protocol	Chaîne	N/A	Non	Spécifiez le protocole de couche 3 associé que vous souhaitez ajouter à l'événement.
Layer4-protocol	Chaîne	N/A	Non	Spécifiez le protocole de couche 4 associé que vous souhaitez ajouter à l'événement.
Protocole de couche 7	Chaîne	N/A	Non	Spécifiez le protocole de couche 7 associé que vous souhaitez ajouter à l'événement.
Utiliser des entités	Case à cocher	Décochée	Non	Si cette option est activée, l'action utilise les entités pour créer des objets. Entités acceptées : adresse IP. L'option "Utiliser les entités" est prioritaire sur les autres paramètres.
Type d'adresse IP	LDD	Adresse IP source Valeurs possibles : Adresse IP source Adresse IP de destination		Spécifiez le type d'attribut à utiliser avec les entités IP.

Exécuter le

Cette action s'exécute sur toutes les entités.

Résultats de l'action

Résultat du script

Nom du résultat du script	Options de valeur	Exemple
is_success	Vrai/Faux	is_success:False

Résultat JSON

N/A

Mur des cas

Type de résultat	Description de la valeur	Type
Message de sortie*	Si l'opération réussit et que "Use Entities" (Utiliser les entités) n'est pas défini sur "true" : "Successfully created new network-connection object for event with {0} {1} in MISP.".format(ID/UUID, event_id) (Nouvel objet de connexion réseau créé pour l'événement avec {0} {1} dans MISP). Si l'opération n'a pas réussi et que "Use Entities" (Utiliser des entités) n'est pas défini sur "true" : "Action wasn't able to created new network-connection object for event with {0} {1} in MISP. Raison : {2}".format(ID/UUID) Si l'opération réussit et que "Utiliser les entités" est défini sur "true" : "Successfully created new network-connection objects for event with {0} {1} in MISP based on the following entities: \n{0}".format(ID/UUID, event_id, entity.identifiers) Si l'opération n'a pas réussi pour l'un des événements et que "Utiliser des entités" est défini sur "true" : "L'action n'a pas pu créer d'objets de connexion réseau pour l'événement {0} {1} dans MISP en fonction des entités suivantes : \n{0}".format(ID/UUID, event_id, entity.identifiers) Si l'opération n'a pas réussi pour tous les objets et que "Use Entities" (Utiliser les entités) est défini sur "true" : "Action wasn't able to create new network-connection objects for event with {0} {1} in MISP based on the provided entities.".format(ID/UUID, event_id) (L'action n'a pas pu créer d'objets de connexion réseau pour l'événement {0} {1} dans MISP en fonction des entités fournies). Erreur critique (échec de l'action) : "Erreur lors de l'exécution de l'action "Créer un objet Misp de connexion réseau". Raison : {0}".format(stacktrace) ID d'événement introuvable (action d'échec) "Erreur lors de l'exécution de l'action "Créer un objet Misp de connexion réseau". Motif : L'événement {0} {1} est introuvable dans MISP".format(ID/UUID, event_id) Si aucun des champs Dst-port, Src-port, IP-Src et IP-Dst n'est fourni et que "Use Entities" (Utiliser les entités) est défini sur "false" : "Error executing action "Create network-connection Misp Object". Motif : Vous devez fournir l'un des paramètres suivants : "Dst-port", "Src-port", "IP-Src" ou "IP-Dst", ou définir le paramètre "Use Entities" (Utiliser les entités) sur "true".	Général

Type de résultat

Description de la valeur

Type

Message de sortie*

Si l'opération réussit et que "Use Entities" (Utiliser les entités) n'est pas défini sur "true" : "Successfully created new network-connection object for event with {0} {1} in MISP.".format(ID/UUID, event_id) (Nouvel objet de connexion réseau créé pour l'événement avec {0} {1} dans MISP).

Si l'opération n'a pas réussi et que "Use Entities" (Utiliser des entités) n'est pas défini sur "true" : "Action wasn't able to created new network-connection object for event with {0} {1} in MISP. Raison : {2}".format(ID/UUID)

Si l'opération réussit et que "Utiliser les entités" est défini sur "true" : "Successfully created new network-connection objects for event with {0} {1} in MISP based on the following entities: \n{0}".format(ID/UUID, event_id, entity.identifiers)

Si l'opération n'a pas réussi pour l'un des événements et que "Utiliser des entités" est défini sur "true" : "L'action n'a pas pu créer d'objets de connexion réseau pour l'événement {0} {1} dans MISP en fonction des entités suivantes : \n{0}".format(ID/UUID, event_id, entity.identifiers)

Si l'opération n'a pas réussi pour tous les objets et que "Use Entities" (Utiliser les entités) est défini sur "true" : "Action wasn't able to create new network-connection objects for event with {0} {1} in MISP based on the provided entities.".format(ID/UUID, event_id) (L'action n'a pas pu créer d'objets de connexion réseau pour l'événement {0} {1} dans MISP en fonction des entités fournies).

Erreur critique (échec de l'action) : "Erreur lors de l'exécution de l'action "Créer un objet Misp de connexion réseau". Raison : {0}".format(stacktrace)

ID d'événement introuvable (action d'échec) "Erreur lors de l'exécution de l'action "Créer un objet Misp de connexion réseau". Motif : L'événement {0} {1} est introuvable dans MISP".format(ID/UUID, event_id)

Si aucun des champs Dst-port, Src-port, IP-Src et IP-Dst n'est fourni et que "Use Entities" (Utiliser les entités) est défini sur "false" : "Error executing action "Create network-connection Misp Object". Motif : Vous devez fournir l'un des paramètres suivants : "Dst-port", "Src-port", "IP-Src" ou "IP-Dst", ou définir le paramètre "Use Entities" (Utiliser les entités) sur "true".

Général

Créer un objet Misp pour une URL

Créez un objet URL dans MISP. Le paramètre "URL" doit être fourni ou le paramètre "Utiliser les entités" doit être défini sur "true".

Paramètres

Nom à afficher du paramètre	Type	Valeur par défaut	Obligatoire	Description
ID de l'événement	Chaîne	N/A	Oui	Spécifiez l'ID ou l'UUID de l'événement auquel vous souhaitez ajouter des objets URL.
URL	Chaîne	N/A	Non	Spécifiez l'URL que vous souhaitez ajouter à l'événement.
Port	Chaîne	N/A	Non	Spécifiez le port que vous souhaitez ajouter à l'événement.
Première occurrence	Chaîne	N/A	Non	Indiquez la date à laquelle l'URL a été vue pour la première fois. Format : 2020-12-22T13:07:32Z
Dernière activité	Chaîne	N/A	Non	Indiquez la date de la dernière observation de l'URL. Format : 2020-12-22T13:07:32Z
Domaine	Chaîne	N/A	Non	Spécifiez le domaine que vous souhaitez ajouter à l'événement.
Texte	Chaîne	N/A	Non	Spécifiez le texte supplémentaire que vous souhaitez ajouter à l'événement.
IP	Chaîne	N/A	Non	Spécifiez l'adresse IP que vous souhaitez ajouter à l'événement.
Hôte	Chaîne	N/A	Non	Spécifiez l'organisateur que vous souhaitez ajouter à l'événement.
Utiliser des entités	Case à cocher	Décochée		Si cette option est activée, l'action utilise les entités pour créer des objets. Entités acceptées : URL. L'option "Utiliser les entités" est prioritaire sur les autres paramètres.

Exécuter le

Cette action s'exécute sur toutes les entités.

Résultats de l'action

Résultat du script

Nom du résultat du script	Options de valeur	Exemple
is_success	Vrai/Faux	is_success:False

Résultat JSON

N/A

Mur des cas

Type de résultat

Description de la valeur

Type

Message de sortie*

Si le résultat est "success" et que "Use Entities" n'est pas défini sur "true" : "Successfully created new URL object for event with {0} {1} in MISP.".format(ID/UUID, event_id)

Si l'action n'a pas réussi et que "Utiliser les entités" n'est pas défini sur "true" : "L'action n'a pas pu créer d'objet URL pour l'événement avec {0} {1} dans MISP. Raison : {2}".format(ID/UUID)

Si l'opération réussit pour une entité et que "Use Entities" (Utiliser les entités) est défini sur "true" : "Successfully created new URL objects for event with {0} {1} in MISP based on the following entities: \n{0}".format(ID/UUID, event_id, entity.identifiers)

Si l'opération échoue pour l'un des objets et que "Use Entities" (Utiliser les entités) est défini sur "true" : "Action wasn't able to create new URL objects for event with {0} {1} in MISP based on the following entities: \n{0}".format(ID/UUID, event_id, entity.identifiers)

Si l'opération n'a pas réussi pour tous les éléments et que "Utiliser les entités" est défini sur "true" : "L'action n'a pas pu créer d'objets URL pour l'événement {0} {1} dans MISP en fonction des entités fournies.".format(ID/UUID, event_id)

Erreur critique (échec de l'action) : "Erreur lors de l'exécution de l'action "Create Url Misp Object". Raison : {0}".format(stacktrace)

ID d'événement introuvable (action d'échec) : "Erreur lors de l'exécution de l'action "Créer un objet MISP d'URL". Motif : L'événement {0} {1} est introuvable dans MISP".format(ID/UUID, event_id)

Si aucune URL n'est fournie et que "Use Entities" (Utiliser les entités) est défini sur "false" : "Error executing action "Create Url Misp Object". Motif : Vous devez fournir une URL ou définir le paramètre "Utiliser des entités" sur "true".

Général

Créer un objet de rapport VirusTotal

Créez un objet de rapport VirusTotal dans MISP.

Paramètres

Nom à afficher du paramètre	Type	Valeur par défaut	Obligatoire	Description
ID de l'événement	Chaîne	N/A	Oui	Spécifiez l'ID ou l'UUID de l'événement auquel vous souhaitez ajouter des objets URL.
Permalink	Chaîne	N/A	Oui	Spécifiez le lien vers le rapport VirusTotal que vous souhaitez ajouter à l'événement.
Commentaire	Chaîne	N/A	Non	Spécifiez le commentaire que vous souhaitez ajouter à l'événement.
Taux de détection	Chaîne	N/A	Non	Spécifiez le ratio de détection que vous souhaitez ajouter à l'événement.
Score de la communauté	Chaîne	N/A	Non	Spécifiez le score de la communauté que vous souhaitez ajouter à l'événement.
Premier envoi	Chaîne	N/A	Non	Indiquez la première soumission de l'événement. Format : 2020-12-22T13:07:32Z
Dernier envoi	Chaîne	N/A	Non	Spécifiez la dernière soumission de l'événement. Format : 2020-12-22T13:07:32Z

Exécuter le

Cette action s'exécute sur toutes les entités.

Résultats de l'action

Résultat du script

Nom du résultat du script	Options de valeur	Exemple
is_success	Vrai/Faux	is_success:False

Mur des cas

Type de résultat

Description de la valeur

Type

Message de sortie*

En cas de réussite : "Successfully created new Virustotal-Report object for event with {0} {1} in MISP.".format(ID/UUID, event_id)

Si l'opération échoue : "L'action n'a pas pu créer d'objet Virustotal-Report pour l'événement avec {0} {1} dans MISP. Raison : {2}".format(ID/UUID)

Erreur critique (échec de l'action) : "Erreur lors de l'exécution de l'action "Create Virustotal-Report Misp Object". Raison : {0}".format(stacktrace)

ID d'événement introuvable (action d'échec) "Erreur lors de l'exécution de l'action "Créer un objet Misp Virustotal-Report". Motif : L'événement {0} {1} est introuvable dans MISP".format(ID/UUID, event_id)

Général

Lister les objets d'événement

Récupérez des informations sur les objets disponibles dans l'événement MISP.

Paramètres

Nom à afficher du paramètre	Type	Valeur par défaut	Obligatoire	Description
ID de l'événement	Chaîne	N/A	Oui	Spécifiez une liste d'ID et d'UUID d'événements, séparés par une virgule, pour lesquels vous souhaitez récupérer des informations.
Nombre maximal d'objets à renvoyer	Integer	50	Non	Spécifiez le nombre d'objets à renvoyer.

Exécuter le

Cette action ne s'applique pas aux entités.

Résultats de l'action

Résultat du script

Nom du résultat du script	Options de valeur	Exemple
is_success	Vrai/Faux	is_success:False

Résultat JSON

"Object": [
    {
        "id": "1",
        "name": "ftm-Associate",
        "meta-category": "followthemoney",
        "description": "Non-family association between two people",
        "template_uuid": "6119ecb3-dedd-44b6-b88f-174585b0b1bf",
        "template_version": "1",
        "event_id": "1",
        "uuid": "2a3e260f-d3b2-4164-b2b1-2f6f5b559970",
        "timestamp": "1594632232",
        "distribution": "5",
        "sharing_group_id": "0",
        "comment": "",
        "deleted": false,
        "first_seen": null,
        "last_seen": null,
        "ObjectReference": [],
    },
    {
        "id": "2",
        "name": "ftm-Associate",
        "meta-category": "followthemoney",
        "description": "Non-family association between two people",
        "template_uuid": "6119ecb3-dedd-44b6-b88f-174585b0b1bf",
        "template_version": "1",
        "event_id": "1",
        "uuid": "800d8634-175a-4bc2-a4d7-aca200c8c132",
        "timestamp": "1594632463",
        "distribution": "5",
        "sharing_group_id": "0",
        "comment": "",
        "deleted": false,
        "first_seen": null,
        "last_seen": null,
        "ObjectReference": [],
    }

Mur des cas

Type de résultat

Description de la valeur

Type

Message de sortie*

L'action ne doit pas échouer ni arrêter l'exécution d'un playbook :

Si au moins un objet a été trouvé pour un événement : "Objets listés avec succès pour les événements suivants : \n{0}".format(event_ids)

Si l'événement avec l'ID spécifié est introuvable (is_success = false) :
print "Action was not able to list objects. Motif : L'événement portant l'ID {0} est introuvable dans MISP.".format(event_id)

Si aucun objet n'est trouvé pour un événement :

"L'action n'a pas pu trouver d'objets pour les événements suivants :\n {0}".format(event_ids)

Si aucun objet n'est trouvé pour tous les événements : "Aucun objet n'a été trouvé pour les événements fournis."

L'action doit échouer et arrêter l'exécution d'un playbook :

Si une erreur fatale se produit (par exemple, des identifiants incorrects, aucune connexion au serveur, etc.) :

print "Error executing action "List Event Objects". Raison : {0}''.format(error.Stacktrace)

Général

Tableau CSV

Nom de la table : Objets de l'événement {0}

Colonnes du tableau :

UUID de l'objet (mappé en tant qu'UUID)
Nom (mappé en tant que nom)
Catégorie (mappée en tant que métacatégorie)
Description (mappée en tant que description)
Commentaire (mappé en tant que commentaire)

Obtenir les détails d'un événement

Récupérer des informations sur les événements dans MISP.

Paramètres

Nom à afficher du paramètre	Type	Obligatoire	Description
ID de l'événement	Chaîne	Oui	Spécifiez une liste d'ID ou d'UUID d'événements pour lesquels vous souhaitez récupérer des détails, séparés par une virgule.
Informations sur les attributs de retour	Case à cocher	Cochée	Si cette option est activée, l'action crée un tableau de cas pour tous les attributs qui font partie de l'événement.

Exécuter le

Cette action ne s'applique pas aux entités.

Résultats de l'action

Résultat du script

Nom du résultat du script	Options de valeur	Exemple
is_success	Vrai/Faux	is_success:False

Mur des cas

Type de résultat

Description de la valeur

Type

Message de sortie*

L'action ne doit pas échouer ni arrêter l'exécution d'un playbook :

Si l'action a abouti pour au moins l'un des ID fournis :

Imprimer "Informations récupérées pour les événements suivants : <>"

Si l'action n'a pas pu être exécutée pour au moins l'un des ID d'incident fournis :

Imprimez "Échec de la récupération des informations pour les événements suivants : <>

L'action doit échouer et arrêter l'exécution d'un playbook :
si erreur fatale, erreur de SDK (par exemple, identifiants incorrects, pas de connexion, etc.) :
Print "Error executing action "Get Event Details". Raison : {0}''.format(error.Stacktrace

L'action doit échouer et arrêter l'exécution d'un playbook :

Si une erreur fatale se produit (par exemple, des identifiants incorrects, aucune connexion au serveur, etc.) :

print "Error executing action "List Event Objects". Raison : {0}''.format(error.Stacktrace)

Général

Tableau CSV

Nom de la table : "Détails des attributs de l'événement {0}".format(event_id)

Colonnes :

ID
Valeur
Commentaire
Type
Catégorie
UUID
Distribution
Horodatage

Lister les observations d'un attribut

Liste les observations disponibles pour les attributs dans MISP.

Paramètres

Nom du paramètre	Type	Valeur par défaut	Obligatoire	Description
Nom de l'attribut	CSV		Non	Spécifiez une liste d'identifiants d'attributs pour lesquels vous souhaitez lister les observations, séparés par une virgule. Remarque : Si "Nom de l'attribut" et "UUID de l'attribut" sont spécifiés, l'action fonctionnera avec les valeurs "UUID de l'attribut".
ID de l'événement	Chaîne		Non	Spécifiez l'ID ou l'UUID de l'événement, et l'emplacement où rechercher les attributs. Ce paramètre est obligatoire si "Recherche par attribut" est défini sur "Événement fourni".
Catégorie	CSV		Non	Spécifiez une liste de catégories séparées par une virgule. Si elle est spécifiée, l'action ne listera que les observations pour les attributs dont la catégorie correspond. Si rien n'est spécifié, l'action ignore les catégories dans les attributs. Valeurs possibles : "External Analysis" (Analyse externe), "Payload Delivery" (Distribution de la charge utile), "Artifacts Dropped" (Artifacts déposés), "Payload Installation" (Installation de la charge utile).
Type	CSV		Non	Spécifiez une liste de types d'attributs séparés par une virgule. Si elle est spécifiée, l'action ne listera que les observations pour les attributs dont le type correspond. Si rien n'est spécifié, l'action ignore les types dans les attributs. Exemples de valeurs : md5, sha1, ip-src, ip-dst
Recherche d'attributs	LDD	Événement fourni Valeurs possibles : Tous les événements	Oui	Spécifiez où l'action doit rechercher les attributs. Si l'option "Événement fourni" est sélectionnée, l'action ne recherchera les attributs ou les UUID d'attributs que dans l'événement dont l'ID/UUID est fourni dans le paramètre "ID d'événement". Si vous sélectionnez "Tous les événements", l'action recherchera les attributs parmi tous les événements et listera les observations pour tous les attributs qui correspondent à nos critères.
UUID de l'attribut	CSV		Non	Spécifiez une liste d'UUID d'attributs pour lesquels vous souhaitez lister les observations, séparés par une virgule. Remarque : Si "Nom de l'attribut" et "UUID de l'attribut" sont spécifiés, l'action fonctionnera avec les valeurs "UUID de l'attribut".

Résultats de l'action

Résultat du script

Nom du résultat du script	Options de valeur	Exemple
is_success	Vrai/Faux	is_success:False

Mur des cas

Type de résultat

Valeur/Description

Type

Message de sortie*

Si les observations ont été correctement listées pour au moins un attribut : "Les observations ont été correctement listées pour les attributs suivants dans MISP :\n{0}".format(nom de l'attribut/UUID de l'attribut)

Si l'action n'a pas réussi à lister les observations pour au moins un attribut : "L'action n'a pas listé les observations pour les attributs suivants dans MISP :\n{0}".format(nom de l'attribut/UUID de l'attribut)

Si aucune observation n'a été trouvée pour tous les attributs ou si aucune observation n'a été trouvée pour aucun attribut : "Aucune observation n'a été trouvée pour les attributs fournis dans MISP"

Erreur critique (échec de l'action) "Erreur lors de l'exécution de l'action "Lister les observations d'un attribut". Raison : {0}".format(stacktrace)

Si un paramètre non valide est spécifié dans "Catégorie" (action d'échec) : "Erreur lors de l'exécution de l'action "Lister les observations d'un attribut". Motif : Une valeur non valide a été fournie pour le paramètre "Category" (Catégorie). Valeurs acceptables : "External Analysis", "Payload Delivery", "Artifacts Dropped", "Payload Installation".

Si "Événement fourni" est sélectionné, mais que l'ID d'événement ne l'est pas : "Erreur lors de l'exécution de l'action "Lister les observations d'un attribut". Motif : L'ID de l'événement doit être fourni si l'option "Événement fourni" est sélectionnée pour le paramètre "Recherche d'attributs".

Général

Définir l'indicateur IDS pour un attribut

Définissez l'indicateur IDS pour les attributs dans MISP.

Paramètres

searchsearch

Nom du paramètre	Type	Valeur par défaut	Obligatoire	Description
Nom de l'attribut	CSV		Non	Spécifiez une liste d'identifiants d'attributs pour lesquels vous souhaitez définir un indicateur IDS, séparés par une virgule. Remarque : Si "Nom de l'attribut" et "UUID de l'attribut" sont spécifiés, l'action fonctionnera avec les valeurs "UUID de l'attribut".
ID de l'événement	Chaîne		Non	Spécifiez l'ID ou l'UUID de l'événement, et l'emplacement où rechercher les attributs. Ce paramètre est obligatoire si "Recherche par attribut" est défini sur "Événement fourni".
Catégorie	CSV		Non	Spécifiez une liste de catégories séparées par une virgule. Si cette option est spécifiée, l'action ne définira l'indicateur IDS que pour les attributs dont la catégorie correspond. Si rien n'est spécifié, l'action ignore les catégories dans les attributs. Valeurs possibles : "External Analysis" (Analyse externe), "Payload Delivery" (Distribution de la charge utile), "Artifacts Dropped" (Artifacts déposés), "Payload Installation" (Installation de la charge utile).
Type	CSV		Non	Spécifiez une liste de types d'attributs séparés par une virgule. Si elle est spécifiée, l'action ne définira l'indicateur IDS que pour les attributs dont le type correspond. Si rien n'est spécifié, l'action ignore les types dans les attributs. Exemples de valeurs : md5, sha1, ip-src, ip-dst
Recherche d'attributs	LDD	Événement fourni Valeurs possibles : Tous les événements	Oui	Spécifiez où l'action doit rechercher les attributs. Si l'option "Événement fourni" est sélectionnée, l'action ne recherchera les attributs ou les UUID d'attributs que dans l'événement dont l'ID/UUID est fourni dans le paramètre "ID d'événement". Si vous sélectionnez "Tous les événements", l'action recherchera des attributs parmi tous les événements et définira l'indicateur IDS pour tous les attributs qui correspondent à nos critères.
UUID de l'attribut	CSV		Non	Spécifiez une liste d'UUID d'attributs séparés par une virgule pour lesquels vous souhaitez définir un indicateur IDS. Remarque : Si le nom et l'UUID de l'attribut sont spécifiés, l'action fonctionnera avec les valeurs de l'UUID de l'attribut.

Résultats de l'action

Résultat du script

Nom du résultat du script	Options de valeur	Exemple
success	Vrai/Faux	success:False

Mur des cas

Type de résultat

Description de la valeur

Type

Message de sortie*

Si l'indicateur IDS a été ajouté à au moins un attribut : "L'indicateur IDS a été défini pour les attributs suivants dans MISP :\n{0}".format(nom de l'attribut/UUID de l'objet)

if not successfully added IDS flag to at least one attribute: "Action didn't set IDS flag for the following attributes in MISP:\n{0}".format(attribute name/object UUID)

Si l'opération n'a pas abouti pour tous les attributs : "L'indicateur IDS n'a pas été défini pour les attributs fournis dans MISP"

Erreur critique (action d'échec) : "Erreur lors de l'exécution de l'action "Définir l'indicateur IDS pour un attribut". Raison : {0}".format(stacktrace)

Si un paramètre non valide est spécifié dans "Catégorie" (action d'échec) : "Erreur lors de l'exécution de l'action "Définir l'indicateur IDS pour un attribut". Motif : Une valeur non valide a été fournie pour le paramètre "Category" (Catégorie). Valeurs acceptables : "External Analysis", "Payload Delivery", "Artifacts Dropped", "Payload Installation".

Si "Événement fourni" est sélectionné, mais que l'ID d'événement ne l'est pas : "Erreur lors de l'exécution de l'action "Définir le flag IDS pour un attribut". Motif : L'ID de l'événement doit être fourni si l'option "Événement fourni" est sélectionnée pour le paramètre "Recherche d'attributs".

ID d'événement introuvable (action d'échec) "Erreur lors de l'exécution de l'action "Définir le flag IDS pour un attribut". Motif : L'événement {0} {1} est introuvable dans MISP".format(ID/UUID, event_id)

Général

Supprimer le flag IDS pour un attribut

Supprimez l'indicateur IDS pour les attributs dans MISP.

Paramètres

Nom	Type	Valeur par défaut	Obligatoire	Description
Nom de l'attribut	CSV		Non	Spécifiez une liste d'identifiants d'attributs pour lesquels vous souhaitez supprimer un indicateur IDS, séparés par une virgule. Remarque : Si le nom et l'UUID de l'attribut sont spécifiés, l'action fonctionnera avec les valeurs de l'UUID de l'attribut.
ID de l'événement	Chaîne		Non	Spécifiez l'ID ou l'UUID de l'événement, et l'emplacement où rechercher les attributs. Ce paramètre est obligatoire si "Recherche par attribut" est défini sur "Événement fourni".
Catégorie	CSV		Non	Spécifiez une liste de catégories séparées par une virgule. Si elle est spécifiée, l'action ne désactivera l'indicateur IDS que pour les attributs dont la catégorie correspond. Si rien n'est spécifié, l'action ignore les catégories dans les attributs. Valeurs possibles : "External Analysis" (Analyse externe), "Payload Delivery" (Distribution de la charge utile), "Artifacts Dropped" (Artifacts déposés), "Payload Installation" (Installation de la charge utile).
Type	CSV		Non	Spécifiez une liste de types d'attributs séparés par une virgule. Si elle est spécifiée, l'action ne désactivera l'indicateur IDS que pour les attributs dont le type correspond. Si rien n'est spécifié, l'action ignore les types dans les attributs. Exemples de valeurs : md5, sha1, ip-src, ip-dst
Recherche d'attributs	LDD	Événement fourni Valeurs possibles : Tous les événements	Vrai	Spécifiez où l'action doit rechercher les attributs. Si l'option "Événement fourni" est sélectionnée, l'action ne recherchera les attributs ou les UUID d'attributs que dans l'événement dont l'ID/UUID est fourni dans le paramètre "ID d'événement". Si vous sélectionnez "Tous les événements", l'action recherchera des attributs parmi tous les événements et désactivera l'indicateur IDS pour tous les attributs qui correspondent à nos critères.
UUID de l'attribut	CSV		Non	Spécifiez une liste d'UUID d'attributs séparés par une virgule pour lesquels vous souhaitez supprimer un indicateur IDS. Remarque : Si "Nom de l'attribut" et "UUID de l'attribut" sont spécifiés, l'action fonctionnera avec les valeurs "UUID de l'attribut".

Résultats de l'action

Résultat du script

Nom du résultat du script	Options de valeur	Exemple
success	Vrai/Faux	success:False

Mur des cas

Type de résultat

Description de la valeur

Type

Message de sortie*

Si le signalement IDS a été supprimé pour au moins un attribut : "Le signalement IDS a bien été supprimé pour les attributs suivants dans MISP :\n{0}".format(nom de l'attribut/UUID de l'objet)

if not successfully removed IDS flag to at least one attribute: "Action didn't unset IDS flag for the following attributes in MISP:\n{0}".format(attribute name/object UUID)

Si l'opération n'a pas abouti pour tous les attributs : "Le signalement IDS n'a pas été supprimé pour les attributs fournis dans MISP"

Erreur critique (échec de l'action) : "Erreur lors de l'exécution de l'action "Supprimer le signalement IDS pour un attribut". Raison : {0}".format(stacktrace)

Si un paramètre non valide est spécifié dans "Catégorie" (action d'échec) : "Erreur lors de l'exécution de l'action "Supprimer le signalement IDS pour un attribut". Motif : Une valeur non valide a été fournie pour le paramètre "Category" (Catégorie). Valeurs acceptables : "External Analysis", "Payload Delivery", "Artifacts Dropped", "Payload Installation".

Si "Événement fourni" est sélectionné, mais que l'ID d'événement ne l'est pas : "Erreur lors de l'exécution de l'action "Supprimer le signalement IDS pour un attribut". Motif : L'ID de l'événement doit être fourni si l'option "Événement fourni" est sélectionnée pour le paramètre "Recherche d'attributs".

ID d'événement introuvable (action d'échec) "Erreur lors de l'exécution de l'action "Supprimer le signalement IDS pour un attribut". Motif : L'événement {0} {1} est introuvable dans MISP".format(ID/UUID, event_id)

Général

Connecteurs

Pour en savoir plus sur la configuration des connecteurs dans Google SecOps, consultez Ingérer vos données (connecteurs).

Connecteur d'attributs MISP

Extrayez les attributs de MISP.

Configurer le connecteur d'attributs MISP sur Google SecOps

Pour obtenir des instructions détaillées sur la configuration d'un connecteur dans Google SecOps, consultez Configurer le connecteur.

Paramètres du connecteur

Utilisez les paramètres suivants pour configurer le connecteur :

Nom du paramètre	Type	Valeur par défaut	Obligatoire	Description
DeviceProductField	Chaîne	Nom du produit	Oui	Saisissez le nom du champ source pour récupérer le nom du champ produit.
EventClassId	Chaîne	alertType	Oui	Saisissez le nom du champ source pour récupérer le nom du champ d'événement.
PythonProcessTimeout	Integer	180	Oui	Délai avant expiration du processus Python exécutant le script actuel.
Racine de l'API	Chaîne	N/A	Oui	Racine de l'API pour le compte MISP.
Clé API	Mot de passe		Oui	Clé API du compte MISP.
Nombre maximal d'heures en arrière pour la récupération	Integer	1	Non	Nombre d'heures dans le passé à partir desquelles récupérer les attributs.
Nombre maximal d'attributs par cycle	Integer	50	Oui	Nombre d'attributs à traiter par itération de connecteur.
Niveau de menace le plus faible à récupérer	Integer	1	Oui	Niveau de gravité le plus faible utilisé pour récupérer les alertes. Valeurs possibles : de 1 à 4.
Filtre de type d'attribut	Chaîne		Non	Filtrez les attributs par type, en les séparant par une virgule. Si des attributs sont fournis, seuls ceux dont le type est autorisé seront traités.
Filtre par catégorie	Chaîne		Non	Filtrez les attributs par catégorie, séparés par une virgule. Si des attributs sont fournis, seuls ceux dont la catégorie figure sur la liste blanche seront traités.
Filtre Galaxy	Chaîne		Non	Filtrez les attributs par galaxie de l'événement parent, séparés par une virgule. Si des attributs sont fournis, seuls ceux qui appartiennent à un événement avec une galaxie autorisée seront traités.
Vérifier le protocole SSL	Case à cocher		Oui	Si cette option est activée, vérifiez que le certificat SSL de la connexion au serveur CheckPoint Cloud Guard est valide.
Nom du champ d'environnement	Chaîne		Non	Décrit le nom du champ dans lequel le nom de l'environnement est stocké. Si le champ d'environnement n'est pas trouvé, l'environnement est celui par défaut.
Modèle d'expression régulière de l'environnement	Chaîne	.*	Non	Modèle d'expression régulière à exécuter sur la valeur trouvée dans le champ "Nom du champ d'environnement". La valeur par défaut est ".*" pour tout récupérer et renvoyer la valeur inchangée. Permet à l'utilisateur de manipuler le champ "environment" à l'aide d'une logique d'expression régulière. Si le modèle d'expression régulière est nul ou vide, ou si la valeur de l'environnement est nulle, l'environnement final est celui par défaut.
Adresse du serveur proxy	Chaîne		Non	Adresse du serveur proxy à utiliser.
Nom d'utilisateur du proxy	Chaîne		Non	Nom d'utilisateur du proxy pour l'authentification.
Mot de passe du proxy	Mot de passe		Non	Mot de passe du proxy pour l'authentification.

Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.