Mengintegrasikan MISP dengan Google SecOps
Dokumen ini menjelaskan cara mengintegrasikan MISP dengan Google Security Operations.
Kasus penggunaan
Integrasi MISP menggunakan kemampuan Google SecOps untuk mendukung kasus penggunaan berikut:
Memperkaya indikator gangguan: Secara otomatis mengambil konteks untuk URL, nama host, alamat IP, dan hash file dari instance MISP Anda untuk mengidentifikasi pelaku berbahaya yang diketahui.
Mengotomatiskan pembuatan dan berbagi peristiwa: Buat peristiwa MISP baru langsung dari playbook dan publikasikan ke grup berbagi untuk memberi tahu komunitas keamanan Anda tentang ancaman baru.
Mengelola klasifikasi peristiwa: Tambahkan atau hapus tag dari peristiwa dan atribut secara dinamis untuk mempertahankan lanskap ancaman yang akurat dan terbaru.
Menyelidiki ancaman terkait: Telusuri dan ambil informasi tentang peristiwa yang terkait dengan entitas tertentu untuk memahami cakupan yang lebih luas dari penyelidikan yang sedang berlangsung.
Menganalisis file mencurigakan: Upload file ke peristiwa MISP untuk analisis kolaboratif atau download lampiran peristiwa yang ada untuk evaluasi sandbox internal.
Sebelum memulai
Sebelum mengonfigurasi integrasi di platform Google SecOps, pastikan Anda telah memenuhi persyaratan berikut di lingkungan MISP Anda:
Kunci API MISP: Anda harus memiliki kunci otomatisasi yang valid untuk mengautentikasi koneksi. Anda bisa mendapatkannya dari menu tindakan peristiwa dalam UI MISP Anda. Untuk mengetahui informasi selengkapnya, lihat Automation and MISP API.
Alamat root API: Pastikan Anda memiliki alamat IP atau nama host instance MISP yang tersedia untuk konfigurasi.
Opsional: Sertifikat CA: Jika lingkungan Anda memerlukan verifikasi SSL menggunakan sertifikat tertentu, pastikan Anda memiliki file sertifikat CA. Anda harus memberikan nilai ini sebagai string berenkode Base64 selama konfigurasi.
Versi integrasi: Pastikan Anda menjalankan versi terbaru integrasi MISP untuk memastikan semua tindakan dan parameter didukung.
Parameter integrasi
Gunakan parameter berikut untuk mengonfigurasi integrasi:
| Nama Tampilan Parameter | Jenis | Nilai Default | Wajib | Deskripsi |
|---|---|---|---|---|
| Root API | String | https://<IP> | Ya | Alamat instance MISP. |
| Kunci API | String | T/A | Ya | Dibuat di konsol MISP. |
| Use SSL | Kotak centang | Tidak dicentang | Tidak | Gunakan kotak centang ini jika koneksi MISP Anda memerlukan verifikasi SSL (tidak dicentang secara default). |
| Menjalankan dari Jarak Jauh | Kotak centang | Tidak dicentang | Tidak | Centang kolom untuk menjalankan integrasi yang dikonfigurasi dari jarak jauh. Setelah dicentang, opsi akan muncul untuk memilih pengguna jarak jauh (agen). |
Untuk mengetahui petunjuk tentang cara mengonfigurasi integrasi di Google SecOps, lihat Mengonfigurasi integrasi.
Anda dapat melakukan perubahan di tahap selanjutnya, jika diperlukan. Setelah mengonfigurasi instance integrasi, Anda dapat menggunakannya dalam playbook. Untuk mengetahui informasi selengkapnya tentang cara mengonfigurasi dan mendukung beberapa instance, lihat Mendukung beberapa instance.
Tindakan
Untuk mengetahui informasi selengkapnya tentang tindakan, lihat Merespons tindakan tertunda dari Ruang Kerja Anda dan Melakukan tindakan manual.
Tambahkan Atribut
Menambahkan entity sebagai atribut ke peristiwa MISP.
Parameter
| Nama Tampilan Parameter | Jenis | Nilai Default | Wajib | Deskripsi |
|---|---|---|---|---|
| ID Peristiwa | String | T/A | Ya | ID acara. |
| Kategori | String | Analisis eksternal | Tidak | Kategori atribut. Default: Analisis eksternal. |
| Distribusi | String | 1 | Tidak | Distribusi atribut. Default: 1. |
| Untuk Intrusion Detection System | Kotak centang | Tidak dicentang | Tidak | Apakah atribut digunakan untuk Intrusion Detection System. Default: false. |
| Komentar | String | T/A | Tidak | Komentar yang akan ditambahkan ke atribut. |
Kasus penggunaan
T/A
Run On
Tindakan ini berjalan di entity berikut:
- URL
- Hostname
- Alamat IP
- Filehash
Hasil Tindakan
Pengayaan Entity
T/A
Insight
T/A
Hasil Skrip
| Nama Hasil Skrip | Opsi Nilai | Contoh |
|---|---|---|
| berhasil | Benar/Salah | success:False |
Hasil JSON
N/A
Buat Acara
Buat peristiwa MISP baru.
Batasan yang Diketahui
Saat ini, MISP API tidak mengizinkan peristiwa dipublikasikan segera setelah dibuat. Anda harus membuat peristiwa terlebih dahulu, lalu menggunakan tindakan "Publikasikan Peristiwa".
Parameter
| Nama Tampilan Parameter | Jenis | Nilai Default | Wajib | Deskripsi |
|---|---|---|---|---|
| Nama Peristiwa | String | T/A | Ya | Nama acara. |
| Tingkat Ancaman | String | 0 | Tidak | Tingkat ancaman peristiwa. Default: 0. |
| Distribusi | String | 1 | Tidak | Distribusi atribut. Default: 1. |
| Analisis | String | 0 | Tidak | Tingkat analisis peristiwa [0-2]: Default: 0. |
| Publikasikan | Kotak centang | Dicentang | Tidak | Apakah akan memublikasikan acara atau tidak. |
| Komentar | String | T/A | Tidak | Komentar acara. |
Run On
Tindakan ini dijalankan di semua entity.
Hasil Tindakan
Hasil Skrip
| Nama Hasil Skrip | Opsi Nilai | Contoh |
|---|---|---|
| event_id | T/A | T/A |
Menambahkan Tag ke Acara
Menambahkan tag ke tindakan peristiwa memungkinkan pengguna menambahkan tag ke peristiwa tertentu di MISP. Tindakan ini menambahkan klasifikasi ke acara berdasarkan kategori ancaman keamanan yang ditimbulkan oleh IOC yang terkait dengan acara tersebut.
Parameter
| Nama Tampilan Parameter | Jenis | Nilai Default | Wajib | Deskripsi |
|---|---|---|---|---|
| ID Peristiwa | String | T/A | Ya | ID unik yang menentukan peristiwa untuk menambahkan tag. |
| Nama Tag | String | T/A | Ya | Nama tag yang akan ditambahkan ke peristiwa. |
Kasus penggunaan
Mengklasifikasikan acara: Perbarui acara dengan menambahkan tag.
Run On
Tindakan ini dijalankan di semua entity.
Hasil Tindakan
Hasil Skrip
| Nama Hasil Skrip | Opsi Nilai | Contoh |
|---|---|---|
| is_success | Benar/Salah | is_success:False |
Hasil JSON
[
{
"saved": true,
"success": "Tag(s) added.",
"check_publish": true
}
]
Download File
Download file terkait peristiwa di MISP.
Parameter
| Nama Tampilan Parameter | Jenis | Nilai Default | Wajib | Deskripsi |
|---|---|---|---|---|
| ID Peristiwa | String | T/A | Tidak | Tentukan ID atau UUID peristiwa yang filenya ingin Anda download |
| Jalur Folder Download | String | T/A | Tentukan jalur absolut ke folder yang akan menyimpan file. Jika tidak ada yang ditentukan, tindakan akan membuat lampiran. |
|
| Timpa | Kotak centang | Tidak dicentang | Jika diaktifkan, tindakan akan menimpa file yang ada. |
Run On
Tindakan ini dijalankan pada entity Filehash.
Hasil Tindakan
Hasil Skrip
| Nama Hasil Skrip | Opsi Nilai | Contoh |
|---|---|---|
| berhasil | Benar/Salah | success:False |
Hasil JSON
{
"absolute_paths": ["/etc/file1.txt", "/etc/file2.txt"]
}
Repositori Kasus
| Jenis Hasil | Deskripsi Nilai | Jenis |
|---|---|---|
| Pesan output* | Jika berhasil: "Successfully downloaded the following files from the event with {0} {1} in MISP:\n{2}".format(ID/UUID, event_id, result/filename from the response) jika tidak ada file yang ditemukan: "No files were found for the event with {0} {1} in MISP:\n{2}".format(ID/UUID, event_id) if "Download Folder Path" is not specified and some of the files exceeded platform limit for attachments: "Tindakan tidak dapat mendownload file berikut, karena melebihi batas 3 MB: \n {0}. \n Tentukan jalur folder dalam parameter "Jalur Folder Download" untuk mendownloadnya.".(result/filename) Error Kritis (tindakan gagal) "Error saat menjalankan tindakan "Download File". Alasan: {0}".format(stacktrace) ID peristiwa tidak ditemukan (tindakan gagal) "Error saat menjalankan tindakan "Download File". Alasan: Peristiwa dengan {0} {1} tidak ditemukan di MISP".format(ID/UUID, event_id) Jika overwrite bernilai salah dan salah satu file sudah ada: "Error executing action "Download File". Alasan: File berikut sudah ada: {0}. Hapus file tersebut atau tetapkan parameter "Overwrite" ke benar.".format(jalur absolut ke file) |
Umum |
Memperkaya Entitas
Memperkaya entitas berdasarkan atribut di MISP.
Parameter
| Nama Tampilan Parameter | Jenis | Nilai Default | Deskripsi |
|---|---|---|---|
| Jumlah atribut yang akan ditampilkan | String | T/A | Tentukan jumlah atribut yang akan ditampilkan untuk entity. |
| Kondisi pemfilteran | Tentukan kondisi pemfilteran untuk tindakan. Jika "Terakhir" dipilih, tindakan akan menggunakan atribut terlama untuk pengayaan. Jika "Pertama" dipilih, tindakan akan menggunakan atribut terbaru untuk pengayaan. | ||
| Batas Tingkat Ancaman | DDL | Rendah Nilai yang Mungkin: Tinggi Sedang Rendah Belum ditentukan |
Tentukan nilai minimum untuk tingkat ancaman peristiwa, tempat entitas ditemukan. Jika peristiwa terkait melebihi atau cocok dengan nilai minimum, entitas akan ditandai sebagai mencurigakan. |
| Batas Penelusuran Atribut | Bilangan bulat | 50 | Tentukan jumlah atribut yang akan ditelusuri per entitas. Parameter ini berdampak pada atribut mana yang akan dipilih untuk pengayaan. Default: 50. |
Run On
Tindakan ini berjalan di entity berikut:
- URL
- Hostname
- Alamat IP
- Filehash
Hasil Tindakan
Pengayaan Entity
Entitas ditandai sebagai mencurigakan jika tingkat ancaman peristiwa melebihi 0. Jika tidak: Salah
Hasil Skrip
| Nama Hasil Skrip | Opsi Nilai | Contoh |
|---|---|---|
| berhasil | Benar/Salah | success:False |
Hasil JSON
[
{
"EntityResult": [
{
"Event":
{
"orgc_id": "1",
"ShadowAttribute": [],
"id": "3",
"threat_level_id": "3",
"event_creator_email": "john_doe@example.com",
"uuid": "5c5bff1b-a414-4a83-8755-035f0a000016",
"Object": [],
"Orgc": {
"uuid": "5c5ac66e-3884-4031-afd7-46f5bb9ebcaa",
"name": "ORGNAME",
"id": "1"
},
"Org": {
"uuid": "5c5ac66e-3884-4031-afd7-46f5bb9ebcaa",
"name": "ORGNAME",
"id": "1"
},
"RelatedEvent": [],
"sharing_group_id": "0",
"timestamp": "1549533154",
"date": "2019-02-07",
"disable_correlation": "False",
"info": "Test event",
"locked": "False",
"publish_timestamp": "1549533214",
"Attribute": [
{
"category": "Network activity",
"comment": " ",
"uuid": "5c5bffe2-9298-4098-ae31-035d0a000016",
"deleted": "False",
"timestamp": "1549533154",
"to_ids": "False",
"distribution": "3",
"object_id": "0",
"event_id": "3",
"ShadowAttribute": [],
"sharing_group_id": "0",
"value": "1.1.1.1",
"disable_correlation": "False",
"object_relation": "None",
"type": "ip-src",
"id": "1",
"Galaxy": []
}],
"attribute_count": "1",
"org_id": "1",
"analysis": "2",
"extends_uuid": " ",
"published": "True",
"distribution": "3",
"proposal_email_lock": "False",
"Galaxy": []
}}],
"Entity": "1.1.1.1"
}
]
Repositori Kasus
| Jenis Hasil | Deskripsi Nilai | Jenis |
|---|---|---|
| Pesan output* | Untuk atribut yang ditemukan: (is_success=true) "Successfully enriched the following entities using MISP: \n{0}".format(entity.identifier) Untuk atribut yang tidak ditemukan (is_success=true) "Action wasn't able to enrich the following entities using MISP: \n{0}".format(entity.identifier) Jika semua atribut tidak ditemukan (is_success=false) "No entities were enriched using MISP" Jika atribut mencurigakan (is_success=true) "The following attributes were marked as suspicious using MISP: \n {0}".format(entity.identifier) |
Umum |
| Tabel CSV | Kolom Tabel:
|
Mendapatkan Acara Terkait
Mengambil informasi tentang peristiwa yang terkait dengan entitas di MISP.
Parameter
| Nama Tampilan Parameter | Jenis | Nilai Default | Deskripsi |
|---|---|---|---|
| Tandai Sebagai Mencurigakan | Kotak centang | Dicentang | Jika diaktifkan, tindakan akan menandai entity sebagai mencurigakan, jika ada setidaknya satu peristiwa terkait dengannya. |
Run On
Tindakan ini berjalan di entity berikut:
- URL
- Hostname
- Alamat IP
- Filehash
Hasil Tindakan
Pengayaan Entity
Jika catatan peristiwa terkait tersedia, entitas akan ditandai sebagai mencurigakan. Jika tidak: Salah (False).
| Nama Kolom Pengayaan | Logika - Kapan harus diterapkan |
|---|---|
| Acara | Menampilkan apakah ada dalam hasil JSON |
Hasil Skrip
| Nama Hasil Skrip | Opsi Nilai | Contoh |
|---|---|---|
| berhasil | Benar/Salah | success:False |
Hasil JSON
[
{
"EntityResult": [
{
"Event":
{
"orgc_id": "1",
"ShadowAttribute": [],
"id": "3",
"threat_level_id": "3",
"event_creator_email": "john_doe@example.com",
"uuid": "5c5bff1b-a414-4a83-8755-035f0a000016",
"Object": [],
"Orgc": {
"uuid": "5c5ac66e-3884-4031-afd7-46f5bb9ebcaa",
"name": "ORGNAME",
"id": "1"
},
"Org": {
"uuid": "5c5ac66e-3884-4031-afd7-46f5bb9ebcaa",
"name": "ORGNAME",
"id": "1"
},
"RelatedEvent": [],
"sharing_group_id": "0",
"timestamp": "1549533154",
"date": "2019-02-07",
"disable_correlation": "False",
"info": "Test event",
"locked": "False",
"publish_timestamp": "1549533214",
"Attribute": [
{
"category": "Network activity",
"comment": " ",
"uuid": "5c5bffe2-9298-4098-ae31-035d0a000016",
"deleted": "False",
"timestamp": "1549533154",
"to_ids": "False",
"distribution": "3",
"object_id": "0",
"event_id": "3",
"ShadowAttribute": [],
"sharing_group_id": "0",
"value": "1.1.1.1",
"disable_correlation": "False",
"object_relation": "None",
"type": "ip-src",
"id": "1",
"Galaxy": []
}],
"attribute_count": "1",
"org_id": "1",
"analysis": "2",
"extends_uuid": " ",
"published": "True",
"distribution": "3",
"proposal_email_lock": "False",
"Galaxy": []
}}],
"Entity": "1.1.1.1"
}
]
Repositori Kasus
| Jenis Hasil | Deskripsi Nilai | Jenis |
|---|---|---|
| Pesan output* | Jika satu peristiwa ditemukan untuk setidaknya satu entitas: "Successfully retrieved information about the related events for the following entities: \n{0}".format(entity.identifier) Jika tidak ada peristiwa yang ditemukan untuk setidaknya satu entitas: "Action wasn't able to retrieve information about the related events for the following entities: \n{0}".format(entity.identifier Jika tidak ada peristiwa untuk semua: "Tidak ada peristiwa terkait yang ditemukan untuk entitas yang diberikan." |
Umum |
Upload File
Mengupload file ke peristiwa MISP.
Parameter
| Nama | Jenis | Default | Deskripsi |
|---|---|---|---|
| ID Peristiwa | String | T/A | Tentukan ID atau UUID peristiwa yang ingin Anda upload file ini. |
| Jalur File | String | T/A | Tentukan daftar jalur file absolut yang dipisahkan koma dari file yang ingin Anda upload ke MISP. |
| Kategori | Tentukan kategori untuk file yang diupload. Nilai yang mungkin: Analisis Eksternal, Pengiriman Payload, Artefak Dihapus, Penginstalan Payload. | ||
| Distribusi | String | Komunitas | Tentukan distribusi untuk file yang diupload. |
| Tingkat Ancaman | String | Tinggi | Tentukan tingkat ancaman untuk file yang diupload. |
| Analisis | String | Inisial | Tentukan analisis peristiwa. |
| Info | String | T/A | Tentukan info tambahan untuk file yang diupload. |
| Untuk Intrusion Detection System | Kotak centang | Tidak dicentang | Jika diaktifkan, file yang diupload akan digunakan untuk sistem deteksi penyusupan. |
| Komentar | String | T/A | Tentukan komentar tambahan terkait file yang diupload. |
Hasil Tindakan
Hasil Skrip
| Nama Hasil Skrip | Opsi Nilai | Contoh |
|---|---|---|
| is_success | Benar/Salah | is_success:False |
Hasil JSON
{
"Event": {
"id": "106",
"orgc_id": "1",
"org_id": "1",
"date": "2021-01-15",
"threat_level_id": "1",
"info": "vanuhi 1015",
"published": false,
"uuid": "1cd22aa2-57e8-4fc8-bac6-721c1be2c27d",
"attribute_count": "10",
"analysis": "0",
"timestamp": "1610893968",
"distribution": "1",
"proposal_email_lock": false,
"locked": false,
"publish_timestamp": "0",
"sharing_group_id": "0",
"disable_correlation": false,
"extends_uuid": "",
"event_creator_email": "admin@admin.test",
"Org": {
"id": "1",
"name": "ORGNAME",
"uuid": "09b0dde1-2934-4310-a107-74b6f534f041",
"local": true
},
"Orgc": {
"id": "1",
"name": "ORGNAME",
"uuid": "09b0dde1-2934-4310-a107-74b6f534f041",
"local": true
},
"Attribute": [],
"ShadowAttribute": [],
"Object": [
{
"id": "446",
"name": "file",
"meta-category": "file",
"description": "File object describing a file with meta-information",
"template_uuid": "688c46fb-5edb-40a3-8273-1af7923e2215",
"template_version": "20",
"event_id": "106",
"uuid": "0188ba5d-68eb-4b5c-8e05-6fd49f8eee9a",
"timestamp": "1610691647",
"distribution": "1",
"sharing_group_id": "0",
"comment": "",
"deleted": false,
"first_seen": null,
"last_seen": null,
"ObjectReference": [],
"Attribute": [
{
"id": "1859",
"type": "malware-sample",
"category": "External analysis",
"to_ids": true,
"uuid": "7920cd28-5082-47ce-9c3e-3ccbd5dae138",
"event_id": "106",
"distribution": "1",
"timestamp": "1610703650",
"comment": "",
"sharing_group_id": "0",
"deleted": false,
"disable_correlation": false,
"object_id": "446",
"object_relation": "malware-sample",
"first_seen": null,
"last_seen": null,
"value": "vanuhi.txt|7bd55b0a276e076cbaf470e64359adb8",
"Galaxy": [],
"data": "UEsDBAoACQAAAJgyL1Kgt+vZDwAAAAMAAAAgABwAN2JkNTViMGEyNzZlMDc2Y2JhZjQ3MGU2NDM1OWFkYjhVVAkAAz80AWA/NAFgdXgLAAEEIQAAAAQhAAAADCVIVuu0HeIv/PqGdn5EUEsHCKC369kPAAAAAwAAAFBLAwQKAAkAAACYMi9SGoPq+xYAAAAKAAAALQAcADdiZDU1YjBhMjc2ZTA3NmNiYWY0NzBlNjQzNTlhZGI4LmZpbGVuYW1lLnR4dFVUCQADPzQBYD80AWB1eAsAAQQhAAAABCEAAABLQfOZfPB0svIGywREZ5dDLdomR6gPUEsHCBqD6vsWAAAACgAAAFBLAQIeAwoACQAAAJgyL1Kgt+vZDwAAAAMAAAAgABgAAAAAAAEAAACkgQAAAAA3YmQ1NWIwYTI3NmUwNzZjYmFmNDcwZTY0MzU5YWRiOFVUBQADPzQBYHV4CwABBCEAAAAEIQAAAFBLAQIeAwoACQAAAJgyL1Iag+r7FgAAAAoAAAAtABgAAAAAAAEAAACkgXkAAAA3YmQ1NWIwYTI3NmUwNzZjYmFmNDcwZTY0MzU5YWRiOC5maWxlbmFtZS50eHRVVAUAAz80AWB1eAsAAQQhAAAABCEAAABQSwUGAAAAAAIAAgDZAAAABgEAAAAA",
"ShadowAttribute": [],
"Sighting": [
{
"id": "1733",
"attribute_id": "1859",
"event_id": "106",
"org_id": "1",
"date_sighting": "1611207638",
"uuid": "feb085f1-1923-4327-a73d-b60a948377e4",
"source": "",
"type": "0",
"Organisation": {
"id": "1",
"uuid": "09b0dde1-2934-4310-a107-74b6f534f041",
"name": "ORGNAME"
},
"attribute_uuid": "7920cd28-5082-47ce-9c3e-3ccbd5dae138"
}
]
}
}
}
}
Repositori Kasus
| Jenis hasil | Nilai/Deskripsi | Jenis |
|---|---|---|
| Pesan output* | Jika berhasil untuk satu entitas:"Succesfully uploaded the provided files to the event {0} in MISP".format(event_id) Error Kritis (tindakan gagal) "Error saat menjalankan tindakan "Upload File". Alasan: {0}".format(stacktrace) Jika parameter tidak valid ditentukan dalam "Distribusi" (tindakan gagal): "Error saat menjalankan tindakan "Upload File". Alasan: Nilai tidak valid diberikan untuk parameter "Distribusi". Angka yang dapat diterima: 0,1,2,3. String yang dapat diterima: Organisation, Community, Connected, All". Jika parameter tidak valid ditentukan dalam "Tingkat Ancaman" (tindakan gagal): "Error executing action "Upload File". Alasan: Nilai yang tidak valid diberikan untuk parameter "Tingkat Ancaman". Nomor yang dapat diterima: 1,2,3,4. String yang dapat diterima: Tinggi, Sedang, Rendah, Tidak Ditentukan". Jika parameter tidak valid ditentukan dalam "Kategori" (tindakan gagal): "Error saat menjalankan tindakan "Upload File". Alasan: Nilai tidak valid diberikan untuk parameter "Kategori". Nilai yang dapat diterima: Analisis Eksternal, Pengiriman Payload, Artefak Dihapus, Penginstalan Payload". Jika parameter tidak valid ditentukan dalam "Analisis" (tindakan gagal): "Error saat menjalankan tindakan "Upload File". Alasan: Nilai tidak valid diberikan untuk parameter "Analisis". Nomor yang dapat diterima: 0,1,2. String yang dapat diterima: Awal, Berlangsung, Selesai". jika setidaknya salah satu file tidak tersedia "Error saat menjalankan tindakan "Upload File". Alasan: file berikut tidak dapat diakses: \n {0}".format(jalur file, yang tidak dapat diakses.) ID peristiwa tidak ditemukan (tindakan gagal) "Error saat menjalankan tindakan "Upload File". Alasan: Peristiwa dengan {0} {1} tidak ditemukan di MISP".format(ID/UUID, event_id) |
Umum |
Ping
Uji Konektivitas.
Parameter
T/A
Kasus penggunaan
T/A
Run On
Tindakan ini dijalankan di semua entity.
Hasil Tindakan
Pengayaan Entity
T/A
Insight
T/A
Hasil Skrip
| Nama Hasil Skrip | Opsi Nilai | Contoh |
|---|---|---|
| berhasil | Benar/Salah | success:False |
Hasil JSON
N/A
Menghapus Tag dari Acara
Menghapus tag dari peristiwa di MISP.
Parameter
| Nama Tampilan Parameter | Jenis | Nilai Default | Wajib | Deskripsi |
|---|---|---|---|---|
| ID Peristiwa | String | T/A | Ya | Tentukan ID atau UUID peristiwa, yang tagnya ingin Anda hapus. |
| Nama Tag | CSV | T/A | Ya | Tentukan daftar tag yang dipisahkan koma yang ingin Anda hapus dari acara. |
Kasus penggunaan
Mengklasifikasikan ulang peristiwa: Hapus tag untuk mengklasifikasikan ulang.
Hasil Tindakan
Hasil Skrip
| Nama Hasil Skrip | Opsi Nilai | Contoh |
|---|---|---|
| is_success | Benar/Salah | is_success:False |
Hasil JSON
[
{
"saved": true,
"success": "Tag removed.",
"check_publish": true
}
]
Repositori Kasus
| Jenis hasil | Nilai/Deskripsi | Jenis |
|---|---|---|
| Pesan output* | Jika berhasil menghapus semua tag dari suatu peristiwa: "Berhasil menghapus tag berikut dari peristiwa dengan {0} {1} di MISP: {2}".format(ID/UUID, event_id, tags) Jika beberapa tag tidak berhasil dihapus dari suatu peristiwa: "Tindakan tidak dapat menghapus tag berikut dari peristiwa dengan {0} {1} di MISP: {2}.".format(ID/UUID, event_id, tags) Jika tidak berhasil untuk semua: "No tags were removed from the event with {0} {1} in MISP".format(ID/UUID, event_id) Jika setidaknya satu tag tidak ditemukan: "The following tags were not found in MISP: \n{0}".format(list of tags that were not found in MISP) Jika semua tag tidak ditemukan: "None of the provided tags were found in MISP". Error Kritis (gagal melakukan tindakan) "Error saat menjalankan tindakan "Hapus Tag dari Acara". Alasan: {0}".format(stacktrace) ID peristiwa tidak ditemukan (tindakan gagal) "Terjadi error saat menjalankan tindakan "Hapus Tag dari Peristiwa". Alasan: Peristiwa dengan {0} {1} tidak ditemukan di MISP".format(ID/UUID, event_id) |
Umum |
Menambahkan Tag ke Atribut
Tindakan ini memungkinkan pengguna menambahkan tag ke atribut tertentu di MISP. Hal ini menambahkan klasifikasi ke atribut berdasarkan kategori ancaman keamanan yang ditimbulkan oleh IOC dalam atribut.
Parameter
| Nama Tampilan Parameter | Jenis | Nilai Default | Wajib | Deskripsi |
|---|---|---|---|---|
| ID Peristiwa | Bilangan bulat | T/A | Ya | ID peristiwa yang terkait dengan atribut. Contoh: 1. |
| Nama Tag | String | T/A | Ya | Nama tag yang akan ditambahkan ke atribut. |
| Nama Atribut | String | T/A | Ya | ID nama atribut yang akan diberi tag. |
| Kategori | String | T/A | Ya | Kategori tempat atribut berada. Misalnya, Pengiriman Payload. |
| Jenis | String | T/A | Ya | Jenis atribut. Misalnya, nama file. |
| UUID Objek | String | T/A | Tidak | ID unik untuk objek dalam acara. |
Kasus penggunaan
Mengklasifikasikan atribut berdasarkan jenis IOC: Tambahkan tag ke atribut.
Run On
Tindakan ini dijalankan di semua entity.
Hasil Tindakan
Pengayaan Entity
T/A
Insight
T/A
Hasil Skrip
| Nama Hasil Skrip | Opsi Nilai | Contoh |
|---|---|---|
| is_success | Benar/Salah | is_success:False |
Hasil JSON
[
{
"name": "Global tag unique___test(7) successfully attached to Attribute(9).",
"message": "Global tag unique___test(7) successfully attached to Attribute(9).",
"url": "/tags/attachTagToObject"
}
]
Menghapus Tag dari Atribut
Menghapus tag dari atribut di MISP.
Parameter
| Nama Tampilan Parameter | Jenis | Nilai Default | Wajib | Deskripsi |
|---|---|---|---|---|
| ID Peristiwa | String | T/A | Tidak | Tentukan ID atau UUID peristiwa, tempat untuk menelusuri atribut. Parameter ini wajib diisi, jika "Penelusuran Atribut" disetel ke "Peristiwa yang Diberikan". |
| Nama Tag | CSV | T/A | Ya | Tentukan daftar tag yang dipisahkan koma yang ingin Anda hapus dari atribut. |
| Nama Atribut | CSV | T/A | Tidak | Tentukan daftar ID atribut yang dipisahkan koma yang ingin Anda hapus tagnya. |
| Kategori | CSV | T/A | Tidak | Tentukan daftar kategori yang dipisahkan koma. Jika ditentukan, tindakan hanya akan menghapus tag dari atribut yang memiliki kategori yang cocok. Jika tidak ada yang ditentukan, tindakan akan mengabaikan kategori dalam atribut. |
| Jenis | CSV | T/A | Tidak | Tentukan daftar jenis atribut yang dipisahkan koma. Jika ditentukan, tindakan hanya akan menghapus tag dari atribut yang memiliki jenis atribut yang cocok. Jika tidak ada yang ditentukan, tindakan akan mengabaikan jenis dalam atribut. |
| UUID Objek | CSV | T/A | Tentukan UUID objek yang berisi atribut yang diinginkan. | |
| Penelusuran Atribut | DDL | Acara yang Disediakan Nilai yang memungkinkan: Semua Acara Acara yang Disediakan |
Ya | Tentukan tempat tindakan harus menelusuri atribut. Jika "Peristiwa yang Diberikan" dipilih, tindakan hanya akan menelusuri atribut atau UUID atribut dalam peristiwa dengan ID/UUID yang diberikan dalam parameter "ID Peristiwa". Jika "Semua Peristiwa", tindakan akan menelusuri atribut di antara semua peristiwa dan menghapus tag dari semua atribut yang cocok dengan kriteria kami. |
| UUID Atribut | CSV | Tentukan daftar UUID atribut yang dipisahkan koma yang ingin Anda hapus tag barunya. Catatan: Jika "Nama Atribut" dan "UUID Atribut" ditentukan, tindakan akan berfungsi dengan nilai "UUID Atribut". |
Kasus penggunaan
Mengklasifikasikan ulang atribut: Menghapus tag untuk mengklasifikasikan ulang
Run On
Tindakan ini dijalankan di semua entity.
Hasil Tindakan
Hasil Skrip
| Nama Hasil Skrip | Opsi Nilai | Contoh |
|---|---|---|
| is_success | Benar/Salah | is_success:False |
Hasil JSON
[
{
"name": "Tag unique___test(7) successfully removed from Attribute(9).",
"message": "Tag unique___test(7) successfully removed from Attribute(9).",
"url": "/tags/removeTagFromObject"
}
]
Repositori Kasus
| Jenis hasil | Nilai/Deskripsi | Jenis> |
|---|---|---|
| Pesan output* | Jika berhasil menghapus tag dari minimal satu atribut: "Successfully removed tags from the following attributes in MISP:\n{0}".format(attribute name/object UUID) jika tag tidak berhasil dihapus dari setidaknya satu atribut: "Action didn't removed tags from the following attributes in MISP:\n{0}".format(attribute name/object UUID) Jika tidak berhasil untuk semua: "No tags were removed from the provided attributes in MISP" (Tidak ada tag yang dihapus dari atribut yang diberikan di MISP) Jika setidaknya satu tag tidak ditemukan: "The following tags were not found in MISP: \n{0}".format(list of tags that were not found in MISP) Jika semua tag tidak ditemukan: "None of the provided tags were found in MISP". Error Kritis (gagal melakukan tindakan) "Error saat menjalankan tindakan "Hapus Tag dari Atribut". Alasan: {0}".format(stacktrace) Jika parameter tidak valid ditentukan dalam "Kategori" (tindakan gagal): "Error saat menjalankan tindakan "Hapus Tag dari Atribut". Alasan: Nilai tidak valid diberikan untuk parameter "Kategori". Nilai yang dapat diterima: Analisis Eksternal, Pengiriman Payload, Artefak Dihapus, Penginstalan Payload". Jika "Acara yang Disediakan" dipilih, tetapi ID Acara tidak dipilih: "Error saat menjalankan tindakan "Hapus Tag dari Atribut". Alasan: ID Peristiwa harus diberikan, jika "Peristiwa yang Diberikan" dipilih untuk parameter "Penelusuran Atribut". ID peristiwa tidak ditemukan (tindakan gagal) "Terjadi error saat menjalankan tindakan "Hapus Tag dari Atribut". Alasan: Peristiwa dengan {0} {1} tidak ditemukan di MISP".format(ID/UUID, event_id) |
Umum |
Publikasikan Acara
Tindakan ini memungkinkan pengguna memublikasikan acara. Mempublikasikan acara akan membagikannya ke grup berbagi yang dipilih, sehingga acara tersebut dapat dilihat oleh semua anggota.
Parameter
| Nama Tampilan Parameter | Jenis | Nilai Default | Wajib | Deskripsi |
|---|---|---|---|---|
| ID Peristiwa | String | T/A | Ya | Tentukan ID atau UUID peristiwa yang ingin Anda publikasikan. |
Kasus penggunaan
Memublikasikan acara:
- Buat genap
- Menambahkan atribut acara
- Publikasikan acara
Hasil Tindakan
Hasil Skrip
| Nama Hasil Skrip | Opsi Nilai | Contoh |
|---|---|---|
| is_success | Benar/Salah | is_success:False |
Hasil JSON
[
{
"Event": {
"id": "3",
"orgc_id": "1",
"org_id": "1",
"date": "2019-12-27",
"threat_level_id": "1",
"info": "Connection to .ch",
"published": true,
"uuid": "5e05dd29-7b90-474d-b5f6-51ae0a00024b",
"attribute_count": "0",
"analysis": "1",
"timestamp": "1577774920",
"distribution": "3",
"proposal_email_lock": false,
"locked": false,
"publish_timestamp": "1577774846",
"sharing_group_id": "0",
"disable_correlation": false,
"extends_uuid": "5e05db24-1e98-4bb9-bd56-51fd0a00024b",
"event_creator_email": "admin@admin.test",
"Org": {
"id": "1",
"name": "ORGNAME",
"uuid": "5dfc9b8f-c320-4b6d-ac1c-4f4e8bdc3fef",
"local": true
},
"Orgc": {
"id": "1",
"name": "ORGNAME",
"uuid": "5dfc9b8f-c320-4b6d-ac1c-4f4e8bdc3fef",
"local": true
},
"Attribute": [],
"ShadowAttribute": [],
"RelatedEvent": [],
"Galaxy": [],
"Object": [],
"Tag": [
{
"id": "7",
"name": "unique___test",
"colour": "#9648c4",
"exportable": true,
"user_id": "0",
"hide_tag": false,
"numerical_value": null,
"local": 0
}
]
}
}
]
Repositori Kasus
| Jenis hasil | Nilai/Deskripsi | Jenis |
|---|---|---|
| Pesan output* | Jika berhasil: "Successfully published event with {0} {1} in MISP.".format(ID/UUID, event_id) Jika tidak berhasil: "Event with {0} {1} was not published in MISP".format(ID/UUID, event_id) Error Kritis (gagal melakukan tindakan) "Error saat menjalankan tindakan "Publish Event". Alasan: {0}".format(stacktrace) ID acara tidak ditemukan (tindakan gagal) "Terjadi error saat menjalankan tindakan "Publikasikan Acara". Alasan: Peristiwa dengan {0} {1} tidak ditemukan di MISP".format(ID/UUID, event_id) |
Umum |
Membatalkan Publikasi Acara
Tindakan ini memungkinkan pengguna membatalkan publikasi acara. Membatalkan publikasi acara akan mencegah acara tersebut terlihat oleh grup yang diajak berbagi.
Parameter
| Nama Tampilan Parameter | Jenis | Nilai Default | Wajib | Deskripsi |
|---|---|---|---|---|
| ID Peristiwa | String | T/A | Ya | Tentukan ID atau UUID peristiwa yang ingin Anda batalkan publikasinya. |
Hasil Tindakan
Hasil Skrip
| Nama Hasil Skrip | Opsi Nilai | Contoh |
|---|---|---|
| is_success | Benar/Salah | is_success:False |
Hasil JSON
[
{
"Event": {
"id": "3",
"orgc_id": "1",
"org_id": "1",
"date": "2019-12-27",
"threat_level_id": "1",
"info": "Connection to .ch",
"published": false,
"uuid": "5e05dd29-7b90-474d-b5f6-51ae0a00024b",
"attribute_count": "0",
"analysis": "1",
"timestamp": "1577774920",
"distribution": "3",
"proposal_email_lock": false,
"locked": false,
"publish_timestamp": "1577774846",
"sharing_group_id": "0",
"disable_correlation": false,
"extends_uuid": "5e05db24-1e98-4bb9-bd56-51fd0a00024b",
"event_creator_email": "admin@admin.test",
"Org": {
"id": "1",
"name": "ORGNAME",
"uuid": "5dfc9b8f-c320-4b6d-ac1c-4f4e8bdc3fef",
"local": true
},
"Orgc": {
"id": "1",
"name": "ORGNAME",
"uuid": "5dfc9b8f-c320-4b6d-ac1c-4f4e8bdc3fef",
"local": true
},
"Attribute": [],
"ShadowAttribute": [],
"RelatedEvent": [],
"Galaxy": [],
"Object": [],
"Tag": [
{
"id": "7",
"name": "unique___test",
"colour": "#9648c4",
"exportable": true,
"user_id": "0",
"hide_tag": false,
"numerical_value": null,
"local": 0
}
]
}
}
]
Repositori Kasus
| Jenis hasil | Nilai/Deskripsi | Jenis |
|---|---|---|
| Pesan output* | Jika berhasil: "Successfully unpublished event with {0} {1} in MISP.".format(ID/UUID, event_id) Jika tidak berhasil: "Event with {0} {1} was not unpublished in MISP".format(ID/UUID, event_id) Error Kritis (gagal melakukan tindakan) "Terjadi error saat menjalankan tindakan "Batalkan Publikasi Acara". Alasan: {0}".format(stacktrace) ID Acara tidak ditemukan (tindakan gagal) "Error saat menjalankan tindakan "Batalkan Publikasi Acara". Alasan: Peristiwa dengan {0} {1} tidak ditemukan di MISP".format(ID/UUID, event_id) |
Umum |
Menghapus Atribut
Menghapus atribut di MISP. Hash yang didukung: MD5, SHA1, SHA224, SHA256, SHA384, SHA512, SSDeep.
Parameter
| Nama Tampilan Parameter | Jenis | Nilai Default | Wajib | Deskripsi |
|---|---|---|---|---|
| ID Peristiwa | String | T/A | Tidak | Tentukan ID atau UUID peristiwa, tempat untuk menelusuri atribut. Parameter ini wajib diisi, jika "Penelusuran Atribut" disetel ke "Peristiwa yang Diberikan". |
| Nama Atribut | CSV | T/A | Tidak | Tentukan daftar ID atribut yang dipisahkan koma yang ingin Anda hapus. |
| Kategori | CSV | T/A | Tidak | Tentukan daftar kategori yang dipisahkan koma. Jika ditentukan, tindakan hanya akan menghapus atribut yang memiliki kategori yang cocok. Jika tidak ada yang ditentukan, tindakan akan mengabaikan kategori dalam atribut. |
| Jenis | CSV | T/A | Tidak | Tentukan daftar jenis atribut yang dipisahkan koma. Jika ditentukan, tindakan hanya akan menghapus atribut yang memiliki jenis atribut yang cocok. Jika tidak ada yang ditentukan, tindakan akan mengabaikan jenis dalam atribut. |
| UUID Objek | String | T/A | Tidak | ID unik untuk objek dalam acara. |
| Penelusuran Atribut | DDL | Acara yang Disediakan Nilai yang memungkinkan: Semua Acara Acara yang Disediakan |
Ya | Tentukan tempat tindakan harus menelusuri atribut. Jika "Peristiwa yang Diberikan" dipilih, tindakan hanya akan menelusuri atribut atau UUID atribut dalam peristiwa dengan ID/UUID yang diberikan dalam parameter "ID Peristiwa". Jika "Semua Peristiwa", tindakan akan menelusuri atribut di antara semua peristiwa dan menghapus semua atribut yang cocok dengan kriteria kami. |
| UUID Atribut | CSV | Tentukan daftar UUID atribut yang dipisahkan koma yang ingin Anda hapus. |
Kasus penggunaan
Menghapus atribut dari acara.
Run On
Tindakan ini dijalankan di semua entity.
Hasil Tindakan
Hasil Skrip
| Nama Hasil Skrip | Opsi Nilai | Contoh |
|---|---|---|
| is_success | Benar/Salah | is_success:False |
Hasil JSON
[
{
"message": "Attribute deleted."
}
]
Repositori Kasus
| Jenis Hasil | Deskripsi Nilai | Jenis |
|---|---|---|
| Pesan output* | Jika berhasil menambahkan Penampakan ke setidaknya satu atribut: "Successfully deleted the following attributes in MISP:\n{0}".format(attribute name/object UUID) jika tidak berhasil menambahkan Penampakan ke setidaknya satu atribut: "Action didn't delete the following attributes in MISP:\n{0}".format(attribute name/object UUID) Jika tidak berhasil untuk semua: "No attributes were deleted in MISP" (Tidak ada atribut yang dihapus di MISP) Error Kritis (gagal melakukan tindakan) "Error saat menjalankan tindakan "Hapus Atribut". Alasan: {0}".format(stacktrace) Jika parameter tidak valid ditentukan dalam "Kategori" (tindakan gagal): "Error saat menjalankan tindakan "Hapus Atribut". Alasan: Nilai tidak valid diberikan untuk parameter "Kategori". Nilai yang dapat diterima: Analisis Eksternal, Pengiriman Payload, Artefak Dihapus, Penginstalan Payload". Jika "Acara yang Disediakan" dipilih, tetapi ID Acara tidak dipilih: "Terjadi error saat menjalankan tindakan "Hapus Atribut". Alasan: ID Peristiwa harus diberikan, jika "Peristiwa yang Diberikan" dipilih untuk parameter "Penelusuran Atribut". ID Acara tidak ditemukan (tindakan gagal) "Terjadi error saat menjalankan tindakan "Hapus Atribut". Alasan: Peristiwa dengan {0} {1} tidak ditemukan di MISP".format(ID/UUID, event_id) |
Umum |
Menghapus Acara
Menghapus peristiwa di MISP.
Parameter
| Nama Tampilan Parameter | Jenis | Nilai Default | Wajib | Deskripsi |
|---|---|---|---|---|
| ID Peristiwa | String | T/A | Ya | Tentukan ID atau UUID acara yang ingin Anda hapus. |
Kasus penggunaan
Menghapus acara secara permanen.
Run On
Tindakan ini berjalan di entity Pengguna.
Hasil Tindakan
Hasil Skrip
| Nama Hasil Skrip | Opsi Nilai | Contoh |
|---|---|---|
| is_success | Benar/Salah | is_success:False |
Hasil JSON
[
{
"name": "Event deleted.",
"message": "Event deleted.",
"url": "/events/delete/4"
}
]
Repositori Kasus
| Jenis Hasil | Deskripsi Nilai | Jenis |
|---|---|---|
| Pesan output* | Jika berhasil: "Successfully deleted event with {0} {1} in MISP".format(ID/UUID, event_id) Error Kritis (tindakan gagal) "Terjadi error saat menjalankan tindakan "Hapus Acara". Alasan: {0}".format(traceback) ID Acara tidak ditemukan (tindakan gagal) "Terjadi error saat menjalankan tindakan "Hapus Acara". Alasan: Peristiwa dengan {0} {1} tidak ditemukan di MISP".format(ID/UUID, event_id) |
Umum |
Membuat Objek Misp File
Tindakan ini memungkinkan pengguna mengatur atribut file yang terkait dengan suatu peristiwa dalam satu objek yang menjelaskan file dengan informasi metanya. Objek dengan atribut kemudian dilampirkan ke peristiwa tertentu.
Parameter
| Nama Tampilan Parameter | Jenis | Nilai Default | Wajib | Deskripsi |
|---|---|---|---|---|
| ID Peristiwa | String | T/A | Ya | ID unik peristiwa untuk menambahkan objek. Contoh: 1 |
| Nama file | String | T/A | Tidak | Nama file. |
| MD5 | String | T/A | Tidak | Nilai hash md5 file. |
| SHA1 | String | T/A | Tidak | Nilai hash sha1 file. |
| SHA256 | String | T/A | Tidak | Nilai hash sha256 file. |
| SSDEEP | String | T/A | Tidak | Nilai ssdeep file Contoh: 96:p5aAS1tN0M3t9AnTNuG6TNOt5PR1TNZdkljOXTNSnKTF3X7KsTFW+kLtW6K8i7bI:p5mb4rgQhRp7GljCbF3LKqFjkwxtU |
| Imphash | String | T/A | Tidak | Nilai hash MD5 yang dihitung dari tabel yang diimpor. |
Kasus penggunaan
T/A
Run On
Tindakan ini dijalankan di semua entity.
Hasil Tindakan
Pengayaan Entity
T/A
Insight
T/A
Hasil Skrip
| Nama Hasil Skrip | Opsi Nilai | Contoh |
|---|---|---|
| is_success | Benar/Salah | is_success:False |
Hasil JSON
N/A
Membuat Objek Misp IP-Port
Tindakan ini memungkinkan pengguna mengatur atribut IP-port yang terkait dengan peristiwa dalam satu objek yang menjelaskan alamat IP (atau domain atau nama host) dan port yang terlihat sebagai tuple (atau sebagai triple) dalam jangka waktu tertentu . Objek dengan atribut kemudian dilampirkan ke peristiwa tertentu.
Parameter
| Nama Tampilan Parameter | Jenis | Nilai Default | Wajib | Deskripsi |
|---|---|---|---|---|
| ID Peristiwa | String | T/A | Ya | ID unik peristiwa untuk menambahkan objek. Contoh: 1 |
| Dst-port | String | T/A | Tidak | Port tujuan. |
| Src-port | String | T/A | Tidak | Port sumber. |
| Domain | String | T/A | Tidak | Domain. |
| Hostname | String | T/A | Tidak | Nama host. |
| IP-Src | String | T/A | Tidak | Alamat IP Sumber. |
| IP-Dst | String | T/A | Tidak | Alamat IP Tujuan. |
Kasus penggunaan
T/A
Run On
Tindakan ini dijalankan di semua entity.
Hasil Tindakan
Pengayaan Entity
T/A
Insight
T/A
Hasil Skrip
| Nama Hasil Skrip | Opsi Nilai | Contoh |
|---|---|---|
| is_success | Benar/Salah | is_success:False |
Hasil JSON
N/A
Membuat Objek Misp network-connection
Buat Objek network-connection di MISP. Memerlukan salah satu hal berikut: Dst-port, Src-port, IP-Src, IP-Dst untuk diberikan atau parameter "Use Entities" ditetapkan ke benar (true).
Parameter
| Nama Tampilan Parameter | Jenis | Nilai Default | Wajib | Deskripsi |
|---|---|---|---|---|
| ID Peristiwa | String | T/A | Ya | Tentukan ID atau UUID acara yang ingin Anda tambahi objek koneksi jaringan. |
| Dst-port | String | T/A | Tidak | Tentukan port tujuan yang ingin Anda tambahkan ke acara. |
| Src-port | String | T/A | Tidak | Tentukan port sumber, yang ingin Anda tambahkan ke acara. |
| Hostname-dst | String | T/A | Tidak | Tentukan tujuan sumber, yang ingin Anda tambahkan ke acara. |
| Hostname-src | String | T/A | Tidak | Tentukan nama host sumber, yang ingin Anda tambahkan ke peristiwa. |
| IP-Src | String | T/A | Tidak | Tentukan IP sumber yang ingin Anda tambahkan ke peristiwa. |
| IP-Dst | String | T/A | Tidak | Tentukan IP tujuan yang ingin Anda tambahkan ke acara. |
| Layer3-protocol | String | T/A | Tidak | Tentukan protokol layer 3 terkait yang ingin Anda tambahkan ke peristiwa. |
| Layer4-protocol | String | T/A | Tidak | Tentukan protokol layer 4 terkait, yang ingin Anda tambahkan ke acara. |
| Layer7-protocol | String | T/A | Tidak | Tentukan protokol layer 7 terkait, yang ingin Anda tambahkan ke peristiwa. |
| Menggunakan Entitas | Kotak centang | Tidak dicentang | Tidak | Jika diaktifkan, tindakan akan menggunakan entity untuk membuat objek. Entitas yang didukung: Alamat IP. "Gunakan Entitas" memiliki prioritas atas parameter lainnya. |
| Jenis IP | DDL | IP Sumber Nilai yang memungkinkan: IP Sumber IP tujuan |
Tentukan jenis atribut yang harus digunakan dengan entity IP. |
Run On
Tindakan ini dijalankan di semua entity.
Hasil Tindakan
Hasil Skrip
| Nama Hasil Skrip | Opsi Nilai | Contoh |
|---|---|---|
| is_success | Benar/Salah | is_success:False |
Hasil JSON
N/A
Repositori Kasus
| Jenis Hasil | Deskripsi Nilai | Jenis |
|---|---|---|
| Pesan output* | Jika berhasil dan "Use Entities" tidak benar: "Successfully created new network-connection object for event with {0} {1} in MISP.".format(ID/UUID, event_id) Jika tidak berhasil dan "Gunakan Entitas" tidak benar: "Action wasn't able to created new network-connection object for event with {0} {1} in MISP. Alasan: {2}".format(ID/UUID) Jika berhasil untuk satu dan "Gunakan Entitas" bernilai benar (true): "Successfully created new network-connection objects for event with {0} {1} in MISP based on the following entities: \n{0}".format(ID/UUID, event_id, entity.identifiers) Jika tidak berhasil untuk satu dan "Gunakan Entitas" benar: "Action wasn't able to create new network-connection objects for event with {0} {1} in MISP based on the following entities: \n{0}".format(ID/UUID, event_id, entity.identifiers) Jika tidak berhasil untuk semua dan "Gunakan Entitas" benar (true): "Action wasn't able to create new network-connection objects for event with {0} {1} in MISP based on the provided entities.".format(ID/UUID, event_id) Error Kritis (tindakan gagal) "Error executing action "Create network-connection Misp Object". Alasan: {0}".format(stacktrace) ID peristiwa tidak ditemukan (tindakan gagal) "Error executing action "Create network-connection Misp Object". Alasan: Peristiwa dengan {0} {1} tidak ditemukan di MISP".format(ID/UUID, event_id) Jika tidak ada Dst-port, Src-port, IP-Src, IP-Dst yang diberikan dan "Use Entities" == false: "Error executing action "Create network-connection Misp Object". Alasan: Salah satu dari: "Dst-port", "Src-port", "IP-Src", "IP-Dst" harus diberikan atau parameter "Use Entities" ditetapkan ke benar". |
Umum |
Membuat Objek Misp URL
Buat Objek URL di MISP. Memerlukan "URL" untuk diberikan atau parameter "Gunakan Entitas" ditetapkan ke benar (true).
Parameter
| Nama Tampilan Parameter | Jenis | Nilai Default | Wajib | Deskripsi |
|---|---|---|---|---|
| ID Peristiwa | String | T/A | Ya | Tentukan ID atau UUID acara yang ingin Anda tambahi objek URL. |
| URL | String | T/A | Tidak | Tentukan URL yang ingin Anda tambahkan ke acara. |
| Port | String | T/A | Tidak | Tentukan port yang ingin Anda tambahkan ke acara. |
| Pertama terlihat | String | T/A | Tidak | Tentukan kapan URL pertama kali terlihat. |
| Terakhir terlihat | String | T/A | Tidak | Tentukan kapan URL terakhir terlihat. |
| Domain | String | T/A | Tidak | Tentukan domain yang ingin Anda tambahkan ke acara. |
| Teks | String | T/A | Tidak | Tentukan teks tambahan yang ingin Anda tambahkan ke acara. |
| IP | String | T/A | Tidak | Tentukan IP yang ingin Anda tambahkan ke acara. |
| Host | String | T/A | Tidak | Tentukan Host yang ingin Anda tambahkan ke acara. |
| Menggunakan Entitas | Kotak centang | Tidak dicentang | Jika diaktifkan, tindakan akan menggunakan entity untuk membuat objek. Entitas yang didukung: URL. "Gunakan Entitas" memiliki prioritas atas parameter lainnya. |
Run On
Tindakan ini dijalankan di semua entity.
Hasil Tindakan
Hasil Skrip
| Nama Hasil Skrip | Opsi Nilai | Contoh |
|---|---|---|
| is_success | Benar/Salah | is_success:False |
Hasil JSON
N/A
Repositori Kasus
| Jenis Hasil | Deskripsi Nilai | Jenis |
|---|---|---|
| Pesan output* | Jika berhasil dan "Gunakan Entitas" tidak benar: "Successfully created new URL object for event with {0} {1} in MISP.".format(ID/UUID, event_id) Jika tidak berhasil dan "Gunakan Entitas" tidak benar: "Action wasn't able to created URL object for event with {0} {1} in MISP. Alasan: {2}".format(ID/UUID) Jika berhasil untuk satu dan "Gunakan Entitas" bernilai benar (true): "Successfully created new URL objects for event with {0} {1} in MISP based on the following entities: \n{0}".format(ID/UUID, event_id, entity.identifiers) Jika tidak berhasil untuk satu dan "Gunakan Entitas" bernilai benar: "Action wasn't able to create new URL objects for event with {0} {1} in MISP based on the following entities: \n{0}".format(ID/UUID, event_id, entity.identifiers) Jika tidak berhasil untuk semua dan "Gunakan Entitas" benar: "Action wasn't able to create new URL objects for event with {0} {1} in MISP based on the provided entities.".format(ID/UUID, event_id) Error Kritis (gagal melakukan tindakan) "Error saat menjalankan tindakan "Create Url Misp Object". Alasan: {0}".format(stacktrace) ID peristiwa tidak ditemukan (tindakan gagal) "Error saat menjalankan tindakan "Create Url Misp Object". Alasan: Peristiwa dengan {0} {1} tidak ditemukan di MISP".format(ID/UUID, event_id) Jika tidak ada URL yang diberikan dan "Use Entities" == false: "Error executing action "Create Url Misp Object". Alasan: "URL" harus diberikan atau parameter "Gunakan Entitas" ditetapkan ke benar". |
Umum |
Membuat Objek Virustotal-Report
Buat Objek Virustotal-Report di MISP.
Parameter
| Nama Tampilan Parameter | Jenis | Nilai Default | Wajib | Deskripsi |
|---|---|---|---|---|
| ID Peristiwa | String | T/A | Ya | Tentukan ID atau UUID acara yang ingin Anda tambahi objek URL. |
| Permalink | String | T/A | Ya | Tentukan link ke laporan VirusTotal yang ingin Anda tambahkan ke acara. |
| Komentar | String | T/A | Tidak | Tentukan komentar yang ingin Anda tambahkan ke acara. |
| Rasio Deteksi | String | T/A | Tidak | Tentukan rasio deteksi yang ingin Anda tambahkan ke peristiwa. |
| Skor Komunitas | String | T/A | Tidak | Tentukan skor komunitas yang ingin Anda tambahkan ke acara. |
| Pengiriman Pertama | String | T/A | Tidak | Tentukan pengiriman pertama acara. |
| Pengiriman Terakhir | String | T/A | Tidak | Tentukan pengiriman terakhir peristiwa. |
Run On
Tindakan ini dijalankan di semua entity.
Hasil Tindakan
Hasil Skrip
| Nama Hasil Skrip | Opsi Nilai | Contoh |
|---|---|---|
| is_success | Benar/Salah | is_success:False |
Repositori Kasus
| Jenis Hasil | Deskripsi Nilai | Jenis |
|---|---|---|
| Pesan output* | Jika berhasil : "Successfully created new Virustotal-Report object for event with {0} {1} in MISP.".format(ID/UUID, event_id) Jika tidak berhasil : "Action wasn't able to created Virustotal-Report object for event with {0} {1} in MISP. Alasan: {2}".format(ID/UUID) Error Kritis (gagal melakukan tindakan) "Error executing action "Create Virustotal-Report Misp Object". Alasan: {0}".format(stacktrace) ID Acara tidak ditemukan (gagal melakukan tindakan) "Error executing action "Create Virustotal-Report Misp Object". Alasan: Peristiwa dengan {0} {1} tidak ditemukan di MISP".format(ID/UUID, event_id) |
Umum |
Mencantumkan Objek Acara
Mengambil informasi tentang objek yang tersedia dalam peristiwa MISP.
Parameter
| Nama Tampilan Parameter | Jenis | Nilai Default | Wajib | Deskripsi |
|---|---|---|---|---|
| ID Peristiwa | String | T/A | Ya | Tentukan daftar ID dan UUID peristiwa yang dipisahkan koma, yang detailnya ingin Anda ambil. |
| Jumlah Maksimum Objek yang Akan Ditampilkan | Bilangan bulat | 50 | Tidak | Tentukan jumlah objek yang akan ditampilkan. |
Run On
Tindakan ini tidak dijalankan pada entitas.
Hasil Tindakan
Hasil Skrip
| Nama Hasil Skrip | Opsi Nilai | Contoh |
|---|---|---|
| is_success | Benar/Salah | is_success:False |
Hasil JSON
"Object": [
{
"id": "1",
"name": "ftm-Associate",
"meta-category": "followthemoney",
"description": "Non-family association between two people",
"template_uuid": "6119ecb3-dedd-44b6-b88f-174585b0b1bf",
"template_version": "1",
"event_id": "1",
"uuid": "2a3e260f-d3b2-4164-b2b1-2f6f5b559970",
"timestamp": "1594632232",
"distribution": "5",
"sharing_group_id": "0",
"comment": "",
"deleted": false,
"first_seen": null,
"last_seen": null,
"ObjectReference": [],
},
{
"id": "2",
"name": "ftm-Associate",
"meta-category": "followthemoney",
"description": "Non-family association between two people",
"template_uuid": "6119ecb3-dedd-44b6-b88f-174585b0b1bf",
"template_version": "1",
"event_id": "1",
"uuid": "800d8634-175a-4bc2-a4d7-aca200c8c132",
"timestamp": "1594632463",
"distribution": "5",
"sharing_group_id": "0",
"comment": "",
"deleted": false,
"first_seen": null,
"last_seen": null,
"ObjectReference": [],
}
Repositori Kasus
| Jenis Hasil | Deskripsi Nilai | Jenis |
|---|---|---|
| Pesan output* | Tindakan tidak boleh gagal atau menghentikan eksekusi playbook: Jika setidaknya satu objek ditemukan untuk 1 peristiwa: "Successfully listed objects for the following events: \n{0}".format(event_ids) Jika acara dengan ID yang ditentukan tidak ditemukan (is_success = false): Jika tidak ada objek yang ditemukan untuk 1 peristiwa: "Tindakan tidak dapat menemukan objek untuk peristiwa berikut:\n {0}".format(event_ids) Jika tidak ada objek yang ditemukan untuk semua peristiwa: "No objects were found for the provided events". Tindakan akan gagal dan menghentikan eksekusi playbook: jika error fatal, seperti kredensial salah, tidak ada koneksi ke server, atau error lainnya: print "Error executing action "List Event Objects". Reason: {0}''.format(error.Stacktrace) |
Umum |
| Tabel CSV | Nama tabel: Objek Peristiwa {0} Kolom Tabel:
|
Mendapatkan Detail Acara
Mengambil detail tentang peristiwa di MISP.
Parameter
| Nama Tampilan Parameter | Jenis | Wajib | Deskripsi |
|---|---|---|---|
| ID Peristiwa | String | Ya | Tentukan daftar ID atau UUID peristiwa yang dipisahkan koma yang detailnya ingin Anda ambil. |
| Mengembalikan Info Atribut | Kotak centang | Dicentang | Jika diaktifkan, tindakan akan membuat tabel dinding kasus untuk semua atribut yang merupakan bagian dari peristiwa. |
Run On
Tindakan ini tidak dijalankan pada entitas.
Hasil Tindakan
Hasil Skrip
| Nama Hasil Skrip | Opsi Nilai | Contoh |
|---|---|---|
| is_success | Benar/Salah | is_success:False |
Repositori Kasus
| Jenis Hasil | Deskripsi Nilai | Jenis |
|---|---|---|
| Pesan output* | Tindakan tidak boleh gagal atau menghentikan eksekusi playbook: Jika tindakan berhasil diselesaikan untuk setidaknya salah satu ID yang diberikan: Cetak "Successfully retrieved information for the following events: <>" Jika tindakan gagal dijalankan untuk setidaknya salah satu ID insiden yang diberikan: Mencetak "Gagal mengambil informasi untuk acara berikut: <> Tindakan harus gagal dan menghentikan eksekusi playbook: Tindakan akan gagal dan menghentikan eksekusi playbook: jika error fatal, seperti kredensial salah, tidak ada koneksi ke server, atau error lainnya: print "Error executing action "List Event Objects". Reason: {0}''.format(error.Stacktrace) |
Umum |
| Tabel CSV | Nama Tabel: Event {0} Attributes Details".format(event_id) Kolom:
|
Mencantumkan Penampakan Atribut
Mencantumkan penampakan yang tersedia untuk atribut di MISP.
Parameter
search| Nama Parameter | Jenis | Nilai Default | Wajib | Deskripsi |
|---|---|---|---|---|
| Nama Atribut | CSV | Tidak | Tentukan daftar ID atribut yang dipisahkan koma yang ingin Anda cantumkan penemuannya. Catatan: Jika "Nama Atribut" dan "UUID Atribut" ditentukan, tindakan akan berfungsi dengan nilai "UUID Atribut". | |
| ID Peristiwa | String | Tidak | Tentukan ID atau UUID peristiwa, tempat untuk menelusuri atribut. Parameter ini wajib diisi, jika "Penelusuran Atribut" disetel ke "Peristiwa yang Diberikan". | |
| Kategori | CSV | Tidak | Tentukan daftar kategori yang dipisahkan koma. Jika ditentukan, tindakan hanya akan mencantumkan penampakan untuk atribut yang memiliki kategori yang cocok. Jika tidak ada yang ditentukan, tindakan akan mengabaikan kategori dalam atribut. Nilai yang mungkin: Analisis Eksternal, Pengiriman Payload, Artefak Dihapus, Penginstalan Payload. | |
| Jenis | CSV | Tidak | Tentukan daftar jenis atribut yang dipisahkan koma. Jika ditentukan, tindakan hanya akan mencantumkan penampakan untuk atribut yang memiliki jenis atribut yang cocok. Jika tidak ada yang ditentukan, tindakan akan mengabaikan jenis dalam atribut. Contoh nilai: md5, sha1, ip-src, ip-dst | |
| Penelusuran Atribut | DDL | Acara yang Disediakan Nilai yang memungkinkan: Semua Acara |
Ya | Tentukan tempat tindakan harus menelusuri atribut. Jika "Peristiwa yang Diberikan" dipilih, tindakan hanya akan menelusuri atribut atau UUID atribut dalam peristiwa dengan ID/UUID yang diberikan dalam parameter "ID Peristiwa". Jika "Semua Peristiwa", tindakan akan menelusuri atribut di antara semua peristiwa dan mencantumkan penemuan untuk semua atribut yang cocok dengan kriteria kami. |
| UUID Atribut | CSV | Tidak | Tentukan daftar UUID atribut yang dipisahkan koma yang ingin Anda cantumkan penemuannya. Catatan: Jika "Nama Atribut" dan "UUID Atribut" ditentukan, tindakan akan berfungsi dengan nilai "UUID Atribut". |
Hasil Tindakan
Hasil Skrip
| Nama Hasil Skrip | Opsi Nilai | Contoh |
|---|---|---|
| is_success | Benar/Salah | is_success:False |
Repositori Kasus
| Jenis hasil | Nilai/Deskripsi | Jenis |
|---|---|---|
| Pesan output* | Jika berhasil mencantumkan penampakan ke setidaknya satu atribut: "Successfully listed sightings for the following attributes in MISP:\n{0}".format(attribute name/attribute UUID) jika tidak berhasil mencantumkan penampakan untuk setidaknya satu atribut: "Action didn't list sightings for the following attributes in MISP:\n{0}".format(attribute name/attribute UUID) Jika tidak berhasil untuk semua atau tidak ada penampakan untuk semua atribut: "No sightings were found for the provided attributes in MISP" (Tidak ada penampakan yang ditemukan untuk atribut yang diberikan di MISP) Error Kritis (tindakan gagal) "Error saat menjalankan tindakan "Mencantumkan Penampakan Atribut". Alasan: {0}".format(stacktrace) Jika parameter tidak valid ditentukan dalam "Kategori" (tindakan gagal): "Error executing action "List Sightings of an Attribute". Alasan: Nilai tidak valid diberikan untuk parameter "Kategori". Nilai yang dapat diterima: Analisis Eksternal, Pengiriman Payload, Artefak Dihapus, Penginstalan Payload". Jika "Acara yang Disediakan" dipilih, tetapi ID Acara tidak dipilih: "Error saat menjalankan tindakan "Mencantumkan Penampakan Atribut". Alasan: ID Peristiwa harus diberikan, jika "Peristiwa yang Diberikan" dipilih untuk parameter "Penelusuran Atribut". |
Umum |
Menetapkan Flag IDS untuk Atribut
Tetapkan tanda IDS untuk atribut di MISP.
Parameter
penelusuranpenelusuran| Nama Parameter | Jenis | Nilai Default | Wajib | Deskripsi |
|---|---|---|---|---|
| Nama Atribut | CSV | Tidak | Tentukan daftar ID atribut yang dipisahkan koma yang ingin Anda tetapkan tanda IDS-nya. Catatan: Jika "Nama Atribut" dan "UUID Atribut" ditentukan, tindakan akan berfungsi dengan nilai "UUID Atribut". | |
| ID Peristiwa | String | Tidak | Tentukan ID atau UUID peristiwa, tempat untuk menelusuri atribut. Parameter ini wajib diisi, jika "Penelusuran Atribut" disetel ke "Peristiwa yang Diberikan". | |
| Kategori | CSV | Tidak | Tentukan daftar kategori yang dipisahkan koma. Jika ditentukan, tindakan hanya akan menetapkan tanda IDS untuk atribut yang memiliki kategori yang cocok. Jika tidak ada yang ditentukan, tindakan akan mengabaikan kategori dalam atribut. Nilai yang mungkin: Analisis Eksternal, Pengiriman Payload, Artefak Dihapus, Penginstalan Payload. | |
| Jenis | CSV | Tidak | Tentukan daftar jenis atribut yang dipisahkan koma. Jika ditentukan, tindakan hanya akan menetapkan tanda IDS untuk atribut yang memiliki jenis atribut yang cocok. Jika tidak ada yang ditentukan, tindakan akan mengabaikan jenis dalam atribut. Contoh nilai: md5, sha1, ip-src, ip-dst | |
| Penelusuran Atribut | DDL | Acara yang Disediakan Nilai yang memungkinkan: Semua Acara |
Ya | Tentukan tempat tindakan harus menelusuri atribut. Jika "Peristiwa yang Diberikan" dipilih, tindakan hanya akan menelusuri atribut atau UUID atribut dalam peristiwa dengan ID/UUID yang diberikan dalam parameter "ID Peristiwa". Jika "Semua Peristiwa", tindakan akan menelusuri atribut di antara semua peristiwa dan menyetel tanda IDS untuk semua atribut yang cocok dengan kriteria kami. |
| UUID Atribut | CSV | Tidak | Tentukan daftar UUID atribut yang dipisahkan koma yang ingin Anda tetapkan tanda IDS-nya. |
Hasil Tindakan
Hasil Skrip
| Nama Hasil Skrip | Opsi Nilai | Contoh |
|---|---|---|
| berhasil | Benar/Salah | success:False |
Repositori Kasus
| Jenis Hasil | Deskripsi Nilai | Jenis |
|---|---|---|
| Pesan output* | Jika berhasil menambahkan tanda IDS ke setidaknya satu atribut: "Successfully set IDS flag for the following attributes in MISP:\n{0}".format(attribute name/object UUID) jika tidak berhasil menambahkan tanda IDS ke setidaknya satu atribut: "Action didn't set IDS flag for the following attributes in MISP:\n{0}".format(attribute name/object UUID) Jika tidak berhasil untuk semua: "IDS flag was not set for the provided attributes in MISP" (Flag IDS tidak ditetapkan untuk atribut yang diberikan di MISP) Error Kritis (gagal melakukan tindakan) "Error saat menjalankan tindakan "Setel Flag IDS untuk Atribut". Alasan: {0}".format(stacktrace) Jika parameter tidak valid ditentukan dalam "Kategori" (tindakan gagal): "Error saat menjalankan tindakan "Tetapkan Flag IDS untuk Atribut". Alasan: Nilai tidak valid diberikan untuk parameter "Kategori". Nilai yang dapat diterima: Analisis Eksternal, Pengiriman Payload, Artefak Dihapus, Penginstalan Payload". Jika "Peristiwa yang Disediakan" dipilih, tetapi ID Peristiwa tidak dipilih: "Error saat menjalankan tindakan "Setel Flag IDS untuk Atribut". Alasan: ID Peristiwa harus diberikan, jika "Peristiwa yang Diberikan" dipilih untuk parameter "Penelusuran Atribut". ID Acara tidak ditemukan (tindakan gagal) "Error saat menjalankan tindakan "Setel Flag IDS untuk Atribut". Alasan: Peristiwa dengan {0} {1} tidak ditemukan di MISP".format(ID/UUID, event_id) |
Umum |
Membatalkan Setelan Flag IDS untuk Atribut
Membatalkan setelan tanda IDS untuk atribut di MISP.
Parameter
| Nama | Jenis | Nilai Default | Wajib | Deskripsi |
|---|---|---|---|---|
| Nama Atribut | CSV | Tidak | Tentukan daftar ID atribut yang dipisahkan koma yang ingin Anda hapus setelan tanda IDS-nya. |
|
| ID Peristiwa | String | Tidak | Tentukan ID atau UUID peristiwa, tempat untuk menelusuri atribut. Parameter ini wajib diisi, jika "Penelusuran Atribut" disetel ke "Peristiwa yang Diberikan". | |
| Kategori | CSV | Tidak | Tentukan daftar kategori yang dipisahkan koma. Jika ditentukan, tindakan hanya akan membatalkan setelan flag IDS untuk atribut yang memiliki kategori yang cocok. Jika tidak ada yang ditentukan, tindakan akan mengabaikan kategori dalam atribut. Nilai yang mungkin: Analisis Eksternal, Pengiriman Payload, Artefak Dihapus, Penginstalan Payload. | |
| Jenis | CSV | Tidak | Tentukan daftar jenis atribut yang dipisahkan koma. Jika ditentukan, tindakan hanya akan membatalkan setelan flag IDS untuk atribut yang memiliki jenis atribut yang cocok. Jika tidak ada yang ditentukan, tindakan akan mengabaikan jenis dalam atribut. Contoh nilai: md5, sha1, ip-src, ip-dst | |
| Penelusuran Atribut | DDL | Acara yang Disediakan Nilai yang memungkinkan: Semua Acara |
Benar | Tentukan tempat tindakan harus menelusuri atribut. Jika "Peristiwa yang Diberikan" dipilih, tindakan hanya akan menelusuri atribut atau UUID atribut dalam peristiwa dengan ID/UUID yang diberikan dalam parameter "ID Peristiwa". Jika "Semua Peristiwa", tindakan akan menelusuri atribut di antara semua peristiwa dan membatalkan setelan tanda IDS untuk semua atribut yang cocok dengan kriteria kami. |
| UUID Atribut | CSV | Tidak | Tentukan daftar UUID atribut yang dipisahkan koma yang ingin Anda hapus setelan flag IDS-nya. Catatan: Jika "Nama Atribut" dan "UUID Atribut" ditentukan, tindakan akan berfungsi dengan nilai "UUID Atribut". |
Hasil Tindakan
Hasil Skrip
| Nama Hasil Skrip | Opsi Nilai | Contoh |
|---|---|---|
| berhasil | Benar/Salah | success:False |
Repositori Kasus
| Jenis Hasil | Deskripsi Nilai | Jenis |
|---|---|---|
| Pesan output* | Jika berhasil menghapus tanda IDS ke setidaknya satu atribut: "Successfully unset IDS flag for the following attributes in MISP:\n{0}".format(attribute name/object UUID) jika tanda IDS tidak berhasil dihapus dari setidaknya satu atribut: "Action didn't unset IDS flag for the following attributes in MISP:\n{0}".format(attribute name/object UUID) Jika tidak berhasil untuk semua: "IDS flag was not unset for the provided attributes in MISP" (Flag IDS tidak dibatalkan untuk atribut yang diberikan di MISP) Error Kritis (tindakan gagal) "Error executing action "Unset IDS Flag for an Attribute". Alasan: {0}".format(stacktrace) Jika parameter tidak valid ditentukan dalam "Kategori" (tindakan gagal): "Error saat menjalankan tindakan "Hapus Setelan Flag IDS untuk Atribut". Alasan: Nilai tidak valid diberikan untuk parameter "Kategori". Nilai yang dapat diterima: Analisis Eksternal, Pengiriman Payload, Artefak Dihapus, Penginstalan Payload". Jika "Peristiwa yang Diberikan" dipilih, tetapi ID Peristiwa tidak dipilih: "Error saat menjalankan tindakan "Hapus Setelan Flag IDS untuk Atribut". Alasan: ID Peristiwa harus diberikan, jika "Peristiwa yang Diberikan" dipilih untuk parameter "Penelusuran Atribut". ID peristiwa tidak ditemukan (tindakan gagal) "Error saat menjalankan tindakan "Hapus Setelan Flag IDS untuk Atribut". Alasan: Peristiwa dengan {0} {1} tidak ditemukan di MISP".format(ID/UUID, event_id) |
Umum |
Konektor
Untuk mempelajari lebih lanjut cara mengonfigurasi konektor di Google SecOps, lihat Menyerap data Anda (konektor).
MISP - Attributes Connector
Tarik atribut dari MISP.
Mengonfigurasi MISP - Attributes Connector di Google SecOps
Untuk mendapatkan petunjuk mendetail tentang cara mengonfigurasi konektor di Google SecOps, lihat Mengonfigurasi konektor.
Parameter konektor
Gunakan parameter berikut untuk mengonfigurasi konektor:
| Nama Parameter | Jenis | Nilai Default | Wajib | Deskripsi |
|---|---|---|---|---|
| DeviceProductField | String | Nama Produk | Ya | Masukkan nama kolom sumber untuk mengambil nama Kolom Produk. |
| EventClassId | String | alertType | Ya | Masukkan nama kolom sumber untuk mengambil nama Kolom Peristiwa. |
| PythonProcessTimeout | Bilangan bulat | 180 | Ya | Batas waktu untuk proses python yang menjalankan skrip saat ini. |
| Root API | String | T/A | Ya | Root API untuk akun MISP. |
| Kunci API | Sandi | Ya | Kunci API akun MISP. | |
| Mengambil Mundur Jam Maksimum | Bilangan bulat | 1 | Tidak | Jumlah jam dari tempat pengambilan atribut. |
| Atribut Maksimum Per Siklus | Bilangan bulat | 50 | Ya | Jumlah atribut yang akan diproses per satu iterasi konektor. |
| Tingkat Ancaman Terendah yang Akan Diambil | Bilangan bulat | 1 | Ya | Tingkat keparahan terendah yang akan digunakan untuk mengambil pemberitahuan. Nilai yang mungkin: 1-4. |
| Filter Jenis Atribut | String | Tidak | Filter atribut menurut jenisnya, dipisahkan dengan koma. Jika disediakan, hanya atribut dengan jenis yang diizinkan yang akan diproses. | |
| Filter Kategori | String | Tidak | Memfilter atribut menurut kategorinya, dipisahkan dengan koma. Jika diberikan, hanya atribut dengan kategori yang diizinkan yang akan diproses. | |
| Filter Galaksi | String | Tidak | Memfilter atribut menurut galaksi peristiwa induknya, dipisahkan dengan koma. Jika disediakan, hanya atribut yang termasuk dalam peristiwa dengan galaksi yang diizinkan yang akan diproses. | |
| Verifikasi SSL | Kotak centang | Ya | Jika diaktifkan, verifikasi bahwa sertifikat SSL untuk koneksi ke server CheckPoint Cloud Guard valid. | |
| Nama Kolom Lingkungan | String | Tidak | Mendeskripsikan nama kolom tempat nama lingkungan disimpan. Jika kolom lingkungan tidak ditemukan, lingkungan yang digunakan adalah lingkungan default. | |
| Pola Regex Lingkungan | String | .* | Tidak | Pola regex untuk dijalankan pada nilai yang ditemukan di kolom \"Nama Kolom Lingkungan\". Defaultnya adalah .* untuk mencakup semua dan menampilkan nilai tanpa perubahan. Digunakan untuk mengizinkan pengguna memanipulasi kolom lingkungan melalui logika regex. Jika pola regex adalah null atau kosong, atau nilai lingkungan adalah null, hasil lingkungan akhir adalah lingkungan default. |
| Alamat Server Proxy | String | Tidak | Alamat server proxy yang akan digunakan. | |
| Nama Pengguna Proxy | String | Tidak | Nama pengguna proxy untuk melakukan autentikasi. | |
| Sandi Proxy | Sandi | Tidak | Sandi proxy untuk mengautentikasi. |
Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.