MISP
Versi integrasi: 31.0
Mengonfigurasi Integrasi MISP agar berfungsi dengan Google Security Operations
Mengonfigurasi integrasi MISP dengan sertifikat CA
Anda dapat memverifikasi koneksi dengan file sertifikat CA jika diperlukan.
Sebelum memulai, pastikan Anda memiliki hal berikut:
- File sertifikat CA
- Versi integrasi MISP terbaru
Untuk mengonfigurasi integrasi dengan sertifikat CA, selesaikan langkah-langkah berikut:
- Parse file sertifikat CA Anda ke dalam String Base64.
- Buka halaman parameter konfigurasi integrasi.
- Masukkan string di kolom CA Certificate File.
- Untuk menguji bahwa integrasi berhasil dikonfigurasi, centang kotak Verifikasi SSL, lalu klik Uji.
Kunci Otomatisasi
Autentikasi dilakukan melalui kunci aman yang tersedia di UI MISP. Kunci API tersedia di menu tindakan peristiwa di bagian otomatisasi.
Mengonfigurasi integrasi MISP di Google SecOps
Untuk mendapatkan petunjuk mendetail terkait cara mengonfigurasi integrasi di Google SecOps, lihat Mengonfigurasi integrasi.
Parameter integrasi
Gunakan parameter berikut untuk mengonfigurasi integrasi:
| Nama Tampilan Parameter | Jenis | Nilai Default | Wajib | Deskripsi |
|---|---|---|---|---|
| Nama Instance | String | T/A | Tidak | Nama Instance yang ingin Anda konfigurasi integrasinya. |
| Deskripsi | String | T/A | Tidak | Deskripsi Instance. |
| Root API | https://<IP> | Ya | Alamat instance MISP. | |
| Kunci API | String | T/A | Ya | Dibuat di konsol MISP. |
| Use SSL | Kotak centang | Tidak dicentang | Tidak | Gunakan kotak centang ini jika koneksi MISP Anda memerlukan verifikasi SSL (tidak dicentang secara default). |
| Menjalankan dari Jarak Jauh | Kotak centang | Tidak dicentang | Tidak | Centang kolom untuk menjalankan integrasi yang dikonfigurasi dari jarak jauh. Setelah dicentang, opsi akan muncul untuk memilih pengguna jarak jauh (agen). |
Tindakan
Tambahkan Atribut
Deskripsi
Menambahkan entity sebagai atribut ke peristiwa MISP.
Parameter
| Nama Tampilan Parameter | Jenis | Nilai Default | Wajib | Deskripsi |
|---|---|---|---|---|
| ID acara | String | T/A | Ya | ID acara. |
| Kategori | String | Analisis eksternal | Tidak | Kategori atribut. Default: Analisis eksternal. |
| Distribusi | String | 1 | Tidak | Distribusi atribut. Default: 1. |
| Untuk Intrusion Detection System | Kotak centang | Tidak dicentang | Tidak | Apakah atribut digunakan untuk Intrusion Detection System. Default: false. |
| Komentar | String | T/A | Tidak | Komentar yang akan ditambahkan ke atribut. |
Kasus penggunaan
T/A
Run On
Tindakan ini berjalan di entity berikut:
- URL
- Hostname
- Alamat IP
- Filehash
Hasil Tindakan
Pengayaan Entity
T/A
Insight
T/A
Hasil Skrip
| Nama Hasil Skrip | Opsi Nilai | Contoh |
|---|---|---|
| berhasil | Benar/Salah | success:False |
Hasil JSON
N/A
Buat Acara
Deskripsi
Buat peristiwa MISP baru.
Batasan yang Diketahui
Saat ini, MISP API tidak mengizinkan peristiwa dipublikasikan segera setelah dibuat. Anda harus membuat peristiwa terlebih dahulu, lalu menggunakan tindakan "Publikasikan Peristiwa".
Parameter
| Nama Tampilan Parameter | Jenis | Nilai Default | Wajib | Deskripsi |
|---|---|---|---|---|
| Nama Peristiwa | String | T/A | Ya | Nama acara. |
| Tingkat Ancaman | String | 0 | Tidak | Tingkat ancaman peristiwa. Default: 0. |
| Distribusi | String | 1 | Tidak | Distribusi atribut. Default: 1. |
| Analisis | String | 0 | Tidak | Tingkat analisis peristiwa [0-2]: Default: 0. |
| Publikasikan | Kotak centang | Dicentang | Tidak | Apakah akan memublikasikan acara atau tidak. |
| Komentar | String | T/A | Tidak | Komentar acara. |
Run On
Tindakan ini dijalankan di semua entity.
Hasil Tindakan
Hasil Skrip
| Nama Hasil Skrip | Opsi Nilai | Contoh |
|---|---|---|
| event_id | T/A | T/A |
Menambahkan Tag ke Acara
Deskripsi
Menambahkan tag ke tindakan peristiwa memungkinkan pengguna menambahkan tag ke peristiwa tertentu di MISP. Tindakan ini menambahkan klasifikasi ke peristiwa berdasarkan kategori ancaman keamanan yang ditimbulkan oleh IOC yang terkait dengan peristiwa tersebut.
Parameter
| Nama Tampilan Parameter | Jenis | Nilai Default | Wajib | Deskripsi |
|---|---|---|---|---|
| ID acara | String | T/A | Ya | ID unik yang menentukan peristiwa untuk ditambahkan tag. |
| Nama Tag | String | T/A | Ya | Nama tag yang akan ditambahkan ke peristiwa. |
Kasus penggunaan
Mengklasifikasikan acara: Perbarui acara dengan menambahkan tag.
Run On
Tindakan ini dijalankan di semua entity.
Hasil Tindakan
Hasil Skrip
| Nama Hasil Skrip | Opsi Nilai | Contoh |
|---|---|---|
| is_success | Benar/Salah | is_success:False |
Hasil JSON
[
{
"saved": true,
"success": "Tag(s) added.",
"check_publish": true
}
]
Download File
Deskripsi
Download file terkait peristiwa di MISP.
Parameter
| Nama Tampilan Parameter | Jenis | Nilai Default | Wajib | Deskripsi |
|---|---|---|---|---|
| ID acara | String | T/A | Tidak | Tentukan ID atau UUID peristiwa yang filenya ingin Anda download |
| Jalur Folder Download | String | T/A | Tentukan jalur absolut ke folder yang akan menyimpan file. Jika tidak ada yang ditentukan, tindakan akan membuat lampiran. |
|
| Timpa | Kotak centang | Tidak dicentang | Jika diaktifkan, tindakan akan menimpa file yang ada. |
Run On
Tindakan ini dijalankan pada entity Filehash.
Hasil Tindakan
Hasil Skrip
| Nama Hasil Skrip | Opsi Nilai | Contoh |
|---|---|---|
| berhasil | Benar/Salah | success:False |
Hasil JSON
{
"absolute_paths": ["/etc/file1.txt", "/etc/file2.txt"]
}
Repositori Kasus
| Jenis Hasil | Deskripsi Nilai | Jenis |
|---|---|---|
| Pesan output* | Jika berhasil: "Successfully downloaded the following files from the event with {0} {1} in MISP:\n{2}".format(ID/UUID, event_id, result/filename from the response) jika tidak ada file yang ditemukan: "No files were found for the event with {0} {1} in MISP:\n{2}".format(ID/UUID, event_id) if "Download Folder Path" is not specified and some of the files exceeded platform limit for attachments: "Tindakan tidak dapat mendownload file berikut, karena melebihi batas 3 MB: \n {0}. \n Tentukan jalur folder dalam parameter "Jalur Folder Download" untuk mendownloadnya.".(result/filename) Error Kritis (tindakan gagal) "Error saat menjalankan tindakan "Download File". Alasan: {0}".format(stacktrace) ID peristiwa tidak ditemukan (tindakan gagal) "Error saat menjalankan tindakan "Download File". Alasan: Peristiwa dengan {0} {1} tidak ditemukan di MISP".format(ID/UUID, event_id) Jika overwrite bernilai salah dan salah satu file sudah ada: "Error saat menjalankan tindakan "Download File". Alasan: File berikut sudah ada: {0}. Hapus file tersebut atau tetapkan parameter "Overwrite" ke benar.".format(jalur absolut ke file) |
Umum |
Memperkaya Entitas
Deskripsi
Memperkaya entitas berdasarkan atribut di MISP.
Parameter
| Nama Tampilan Parameter | Jenis | Nilai Default | Deskripsi |
|---|---|---|---|
| Jumlah atribut yang akan ditampilkan | String | T/A | Tentukan jumlah atribut yang akan ditampilkan untuk entity. |
| Kondisi pemfilteran | Tentukan kondisi pemfilteran untuk tindakan. Jika "Terakhir" dipilih, tindakan akan menggunakan atribut terlama untuk pengayaan. Jika "Pertama" dipilih, tindakan akan menggunakan atribut terbaru untuk pengayaan. | ||
| Batas Tingkat Ancaman | DDL | Rendah Nilai yang Mungkin: Tinggi Sedang Rendah Belum ditentukan |
Tentukan ambang batas tingkat ancaman untuk peristiwa, tempat entitas ditemukan. Jika peristiwa terkait melebihi atau cocok dengan nilai minimum, entitas akan ditandai sebagai mencurigakan. |
| Batas Penelusuran Atribut | Bilangan bulat | 50 | Tentukan jumlah atribut yang akan ditelusuri per entitas. Parameter ini berdampak pada atribut mana yang akan dipilih untuk pengayaan. Default: 50. |
Run On
Tindakan ini berjalan di entity berikut:
- URL
- Hostname
- Alamat IP
- Filehash
Hasil Tindakan
Pengayaan Entity
Entitas ditandai sebagai mencurigakan jika tingkat ancaman peristiwa melebihi 0. Jika tidak: Salah
Hasil Skrip
| Nama Hasil Skrip | Opsi Nilai | Contoh |
|---|---|---|
| berhasil | Benar/Salah | success:False |
Hasil JSON
[
{
"EntityResult": [
{
"Event":
{
"orgc_id": "1",
"ShadowAttribute": [],
"id": "3",
"threat_level_id": "3",
"event_creator_email": "john_doe@example.com",
"uuid": "5c5bff1b-a414-4a83-8755-035f0a000016",
"Object": [],
"Orgc": {
"uuid": "5c5ac66e-3884-4031-afd7-46f5bb9ebcaa",
"name": "ORGNAME",
"id": "1"
},
"Org": {
"uuid": "5c5ac66e-3884-4031-afd7-46f5bb9ebcaa",
"name": "ORGNAME",
"id": "1"
},
"RelatedEvent": [],
"sharing_group_id": "0",
"timestamp": "1549533154",
"date": "2019-02-07",
"disable_correlation": "False",
"info": "Test event",
"locked": "False",
"publish_timestamp": "1549533214",
"Attribute": [
{
"category": "Network activity",
"comment": " ",
"uuid": "5c5bffe2-9298-4098-ae31-035d0a000016",
"deleted": "False",
"timestamp": "1549533154",
"to_ids": "False",
"distribution": "3",
"object_id": "0",
"event_id": "3",
"ShadowAttribute": [],
"sharing_group_id": "0",
"value": "1.1.1.1",
"disable_correlation": "False",
"object_relation": "None",
"type": "ip-src",
"id": "1",
"Galaxy": []
}],
"attribute_count": "1",
"org_id": "1",
"analysis": "2",
"extends_uuid": " ",
"published": "True",
"distribution": "3",
"proposal_email_lock": "False",
"Galaxy": []
}}],
"Entity": "1.1.1.1"
}
]
Repositori Kasus
| Jenis Hasil | Deskripsi Nilai | Jenis |
|---|---|---|
| Pesan output* | Untuk atribut yang ditemukan: (is_success=true) "Berhasil memperkaya entitas berikut menggunakan MISP: \n{0}".format(entity.identifier) Untuk atribut yang tidak ditemukan (is_success=true) "Tindakan tidak dapat memperkaya entitas berikut menggunakan MISP: \n{0}".format(entity.identifier) Jika semua atribut tidak ditemukan (is_success=false) "No entities were enriched using MISP" (Tidak ada entitas yang diperkaya menggunakan MISP) Jika atribut mencurigakan (is_success=true) "Atribut berikut ditandai sebagai mencurigakan menggunakan MISP: \n {0}".format(entity.identifier) |
Umum |
| Tabel CSV | Kolom Tabel:
|
Mendapatkan Acara Terkait
Deskripsi
Mengambil informasi tentang peristiwa yang terkait dengan entitas di MISP.
Parameter
| Nama Tampilan Parameter | Jenis | Nilai Default | Deskripsi |
|---|---|---|---|
| Tandai Sebagai Mencurigakan | Kotak centang | Dicentang | Jika diaktifkan, tindakan akan menandai entitas sebagai mencurigakan, jika ada setidaknya satu peristiwa terkait dengannya. |
Run On
Tindakan ini berjalan di entity berikut:
- URL
- Hostname
- Alamat IP
- Filehash
Hasil Tindakan
Pengayaan Entity
Jika catatan peristiwa terkait tersedia, entitas akan ditandai sebagai mencurigakan. Jika tidak: Salah (False).
| Nama Kolom Pengayaan | Logika - Kapan harus diterapkan |
|---|---|
| Acara | Menampilkan apakah ada di hasil JSON |
Hasil Skrip
| Nama Hasil Skrip | Opsi Nilai | Contoh |
|---|---|---|
| berhasil | Benar/Salah | success:False |
Hasil JSON
[
{
"EntityResult": [
{
"Event":
{
"orgc_id": "1",
"ShadowAttribute": [],
"id": "3",
"threat_level_id": "3",
"event_creator_email": "john_doe@example.com",
"uuid": "5c5bff1b-a414-4a83-8755-035f0a000016",
"Object": [],
"Orgc": {
"uuid": "5c5ac66e-3884-4031-afd7-46f5bb9ebcaa",
"name": "ORGNAME",
"id": "1"
},
"Org": {
"uuid": "5c5ac66e-3884-4031-afd7-46f5bb9ebcaa",
"name": "ORGNAME",
"id": "1"
},
"RelatedEvent": [],
"sharing_group_id": "0",
"timestamp": "1549533154",
"date": "2019-02-07",
"disable_correlation": "False",
"info": "Test event",
"locked": "False",
"publish_timestamp": "1549533214",
"Attribute": [
{
"category": "Network activity",
"comment": " ",
"uuid": "5c5bffe2-9298-4098-ae31-035d0a000016",
"deleted": "False",
"timestamp": "1549533154",
"to_ids": "False",
"distribution": "3",
"object_id": "0",
"event_id": "3",
"ShadowAttribute": [],
"sharing_group_id": "0",
"value": "1.1.1.1",
"disable_correlation": "False",
"object_relation": "None",
"type": "ip-src",
"id": "1",
"Galaxy": []
}],
"attribute_count": "1",
"org_id": "1",
"analysis": "2",
"extends_uuid": " ",
"published": "True",
"distribution": "3",
"proposal_email_lock": "False",
"Galaxy": []
}}],
"Entity": "1.1.1.1"
}
]
Repositori Kasus
| Jenis Hasil | Deskripsi Nilai | Jenis |
|---|---|---|
| Pesan output* | Jika satu peristiwa ditemukan untuk setidaknya satu entitas: "Berhasil mengambil informasi tentang peristiwa terkait untuk entitas berikut: \n{0}".format(entity.identifier) Jika tidak ada peristiwa yang ditemukan untuk setidaknya satu entity: "Tindakan tidak dapat mengambil informasi tentang peristiwa terkait untuk entity berikut: \n{0}".format(entity.identifier Jika tidak ada peristiwa untuk semua: "Tidak ada peristiwa terkait yang ditemukan untuk entitas yang diberikan." |
Umum |
Upload File
Deskripsi
Mengupload file ke peristiwa MISP.
Parameter
| Nama | Jenis | Default | Deskripsi |
|---|---|---|---|
| ID acara | String | T/A | Tentukan ID atau UUID peristiwa yang ingin Anda upload file ini. |
| Jalur File | String | T/A | Tentukan daftar jalur file absolut yang dipisahkan koma dari file yang ingin Anda upload ke MISP. |
| Kategori | Tentukan kategori untuk file yang diupload. Nilai yang mungkin: Analisis Eksternal, Pengiriman Payload, Artefak Dihapus, Penginstalan Payload. | ||
| Distribusi | String | Komunitas | Tentukan distribusi untuk file yang diupload. |
| Tingkat Ancaman | String | Tinggi | Tentukan tingkat ancaman untuk file yang diupload. |
| Analisis | String | Inisial | Tentukan analisis peristiwa. |
| Info | String | T/A | Tentukan info tambahan untuk file yang diupload. |
| Untuk Intrusion Detection System | Kotak centang | Tidak dicentang | Jika diaktifkan, file yang diupload akan digunakan untuk sistem deteksi penyusupan. |
| Komentar | String | T/A | Tentukan komentar tambahan terkait file yang diupload. |
Hasil Tindakan
Hasil Skrip
| Nama Hasil Skrip | Opsi Nilai | Contoh |
|---|---|---|
| is_success | Benar/Salah | is_success:False |
Hasil JSON
{
"Event": {
"id": "106",
"orgc_id": "1",
"org_id": "1",
"date": "2021-01-15",
"threat_level_id": "1",
"info": "vanuhi 1015",
"published": false,
"uuid": "1cd22aa2-57e8-4fc8-bac6-721c1be2c27d",
"attribute_count": "10",
"analysis": "0",
"timestamp": "1610893968",
"distribution": "1",
"proposal_email_lock": false,
"locked": false,
"publish_timestamp": "0",
"sharing_group_id": "0",
"disable_correlation": false,
"extends_uuid": "",
"event_creator_email": "admin@admin.test",
"Org": {
"id": "1",
"name": "ORGNAME",
"uuid": "09b0dde1-2934-4310-a107-74b6f534f041",
"local": true
},
"Orgc": {
"id": "1",
"name": "ORGNAME",
"uuid": "09b0dde1-2934-4310-a107-74b6f534f041",
"local": true
},
"Attribute": [],
"ShadowAttribute": [],
"Object": [
{
"id": "446",
"name": "file",
"meta-category": "file",
"description": "File object describing a file with meta-information",
"template_uuid": "688c46fb-5edb-40a3-8273-1af7923e2215",
"template_version": "20",
"event_id": "106",
"uuid": "0188ba5d-68eb-4b5c-8e05-6fd49f8eee9a",
"timestamp": "1610691647",
"distribution": "1",
"sharing_group_id": "0",
"comment": "",
"deleted": false,
"first_seen": null,
"last_seen": null,
"ObjectReference": [],
"Attribute": [
{
"id": "1859",
"type": "malware-sample",
"category": "External analysis",
"to_ids": true,
"uuid": "7920cd28-5082-47ce-9c3e-3ccbd5dae138",
"event_id": "106",
"distribution": "1",
"timestamp": "1610703650",
"comment": "",
"sharing_group_id": "0",
"deleted": false,
"disable_correlation": false,
"object_id": "446",
"object_relation": "malware-sample",
"first_seen": null,
"last_seen": null,
"value": "vanuhi.txt|7bd55b0a276e076cbaf470e64359adb8",
"Galaxy": [],
"data": "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",
"ShadowAttribute": [],
"Sighting": [
{
"id": "1733",
"attribute_id": "1859",
"event_id": "106",
"org_id": "1",
"date_sighting": "1611207638",
"uuid": "feb085f1-1923-4327-a73d-b60a948377e4",
"source": "",
"type": "0",
"Organisation": {
"id": "1",
"uuid": "09b0dde1-2934-4310-a107-74b6f534f041",
"name": "ORGNAME"
},
"attribute_uuid": "7920cd28-5082-47ce-9c3e-3ccbd5dae138"
}
]
}
}
}
}
Repositori Kasus
| Jenis hasil | Nilai/Deskripsi | Jenis |
|---|---|---|
| Pesan output* | Jika berhasil untuk satu entitas:"Succesfully uploaded the provided files to the event {0} in MISP".format(event_id) Error Kritis (tindakan gagal) "Error saat menjalankan tindakan "Upload File". Alasan: {0}".format(stacktrace) Jika parameter tidak valid ditentukan dalam "Distribusi" (tindakan gagal): "Error saat menjalankan tindakan "Upload File". Alasan: Nilai tidak valid diberikan untuk parameter "Distribusi". Nomor yang dapat diterima: 0,1,2,3. String yang dapat diterima: Organisation, Community, Connected, All". Jika parameter tidak valid ditentukan dalam "Tingkat Ancaman" (tindakan gagal): "Error saat menjalankan tindakan "Upload File". Alasan: Nilai yang tidak valid diberikan untuk parameter "Tingkat Ancaman". Nomor yang dapat diterima: 1,2,3,4. String yang dapat diterima: "Tinggi, Sedang, Rendah, Tidak Ditentukan". Jika parameter tidak valid ditentukan dalam "Kategori" (tindakan gagal): "Error saat menjalankan tindakan "Upload File". Alasan: Nilai tidak valid diberikan untuk parameter "Kategori". Nilai yang dapat diterima: Analisis Eksternal, Pengiriman Payload, Artefak Dihapus, Penginstalan Payload". Jika parameter tidak valid ditentukan dalam "Analisis" (gagal tindakan): "Error saat menjalankan tindakan "Upload File". Alasan: Nilai tidak valid diberikan untuk parameter "Analisis". Nomor yang dapat diterima: 0,1,2. String yang dapat diterima: Awal, Berlangsung, Selesai". jika setidaknya salah satu file tidak tersedia "Error saat menjalankan tindakan "Upload File". Alasan: file berikut tidak dapat diakses: \n {0}".format(jalur file, yang tidak dapat diakses.) ID peristiwa tidak ditemukan (tindakan gagal) "Error saat menjalankan tindakan "Upload File". Alasan: Peristiwa dengan {0} {1} tidak ditemukan di MISP".format(ID/UUID, event_id) |
Umum |
Ping
Deskripsi
Uji Konektivitas.
Parameter
T/A
Kasus penggunaan
T/A
Run On
Tindakan ini dijalankan di semua entity.
Hasil Tindakan
Pengayaan Entity
T/A
Insight
T/A
Hasil Skrip
| Nama Hasil Skrip | Opsi Nilai | Contoh |
|---|---|---|
| berhasil | Benar/Salah | success:False |
Hasil JSON
N/A
Menghapus Tag dari Acara
Deskripsi
Menghapus tag dari peristiwa di MISP.
Parameter
| Nama Tampilan Parameter | Jenis | Nilai Default | Wajib | Deskripsi |
|---|---|---|---|---|
| ID acara | String | T/A | Ya | Tentukan ID atau UUID peristiwa, yang tag-nya ingin Anda hapus. |
| Nama Tag | CSV | T/A | Ya | Tentukan daftar tag yang dipisahkan koma yang ingin Anda hapus dari acara. |
Kasus penggunaan
Mengklasifikasikan ulang peristiwa: Hapus tag untuk mengklasifikasikan ulang.
Hasil Tindakan
Hasil Skrip
| Nama Hasil Skrip | Opsi Nilai | Contoh |
|---|---|---|
| is_success | Benar/Salah | is_success:False |
Hasil JSON
[
{
"saved": true,
"success": "Tag removed.",
"check_publish": true
}
]
Repositori Kasus
| Jenis hasil | Nilai/Deskripsi | Jenis |
|---|---|---|
| Pesan output* | Jika berhasil menghapus semua tag dari suatu peristiwa: "Berhasil menghapus tag berikut dari peristiwa dengan {0} {1} di MISP: {2}".format(ID/UUID, event_id, tags) Jika beberapa tag tidak berhasil dihapus dari acara: "Tindakan tidak dapat menghapus tag berikut dari acara dengan {0} {1} di MISP: {2}".format(ID/UUID, event_id, tags) Jika tidak berhasil untuk semua: "No tags were removed from the event with {0} {1} in MISP".format(ID/UUID, event_id) Jika setidaknya satu tag tidak ditemukan: "The following tags were not found in MISP: \n{0}".format(list of tags that were not found in MISP) Jika semua tag tidak ditemukan: "None of the provided tags were found in MISP." (Tidak ada tag yang diberikan yang ditemukan di MISP.) Error Kritis (gagal melakukan tindakan) "Error saat menjalankan tindakan "Hapus Tag dari Acara". Alasan: {0}".format(stacktrace) ID peristiwa tidak ditemukan (tindakan gagal) "Terjadi error saat menjalankan tindakan "Hapus Tag dari Peristiwa". Alasan: Peristiwa dengan {0} {1} tidak ditemukan di MISP".format(ID/UUID, event_id) |
Umum |
Menambahkan Tag ke Atribut
Deskripsi
Tindakan ini memungkinkan pengguna menambahkan tag ke atribut tertentu di MISP. Hal ini menambahkan klasifikasi ke atribut berdasarkan kategori ancaman keamanan yang ditimbulkan oleh IOC dalam atribut.
Parameter
| Nama Tampilan Parameter | Jenis | Nilai Default | Wajib | Deskripsi |
|---|---|---|---|---|
| ID acara | Bilangan bulat | T/A | Ya | ID acara yang terkait dengan atribut. Contoh: 1. |
| Nama Tag | String | T/A | Ya | Nama tag yang akan ditambahkan ke atribut. |
| Nama Atribut | String | T/A | Ya | ID nama atribut yang akan diberi tag. |
| Kategori | String | T/A | Ya | Kategori tempat atribut berada. Misalnya, Pengiriman Payload. |
| Jenis | String | T/A | Ya | Jenis atribut. Misalnya, nama file. |
| UUID Objek | String | T/A | Tidak | ID unik untuk objek dalam peristiwa. |
Kasus penggunaan
Mengklasifikasikan atribut berdasarkan jenis IOC: Tambahkan tag ke atribut.
Run On
Tindakan ini dijalankan di semua entity.
Hasil Tindakan
Pengayaan Entity
T/A
Insight
T/A
Hasil Skrip
| Nama Hasil Skrip | Opsi Nilai | Contoh |
|---|---|---|
| is_success | Benar/Salah | is_success:False |
Hasil JSON
[
{
"name": "Global tag unique___test(7) successfully attached to Attribute(9).",
"message": "Global tag unique___test(7) successfully attached to Attribute(9).",
"url": "/tags/attachTagToObject"
}
]
Menghapus Tag dari Atribut
Deskripsi
Menghapus tag dari atribut di MISP.
Parameter
| Nama Tampilan Parameter | Jenis | Nilai Default | Wajib | Deskripsi |
|---|---|---|---|---|
| ID acara | String | T/A | Tidak | Tentukan ID atau UUID peristiwa, tempat untuk menelusuri atribut. Parameter ini wajib diisi, jika "Penelusuran Atribut" disetel ke "Peristiwa yang Diberikan". |
| Nama Tag | CSV | T/A | Ya | Tentukan daftar tag yang dipisahkan koma yang ingin Anda hapus dari atribut. |
| Nama Atribut | CSV | T/A | Tidak | Tentukan daftar ID atribut yang dipisahkan koma yang ingin Anda hapus tag-nya. |
| Kategori | CSV | T/A | Tidak | Tentukan daftar kategori yang dipisahkan koma. Jika ditentukan, tindakan hanya akan menghapus tag dari atribut yang memiliki kategori yang cocok. Jika tidak ada yang ditentukan, tindakan akan mengabaikan kategori dalam atribut. |
| Jenis | CSV | T/A | Tidak | Tentukan daftar jenis atribut yang dipisahkan koma. Jika ditentukan, tindakan hanya akan menghapus tag dari atribut yang memiliki jenis atribut yang cocok. Jika tidak ada yang ditentukan, tindakan akan mengabaikan jenis dalam atribut. |
| UUID Objek | CSV | T/A | Tentukan UUID objek yang berisi atribut yang diinginkan. | |
| Penelusuran Atribut | DDL | Acara yang Disediakan Nilai yang memungkinkan: Semua Acara Acara yang Disediakan |
Ya | Tentukan tempat tindakan harus menelusuri atribut. Jika "Peristiwa yang Diberikan" dipilih, tindakan hanya akan menelusuri atribut atau UUID atribut dalam peristiwa dengan ID/UUID yang diberikan dalam parameter "ID Peristiwa". Jika "Semua Peristiwa", tindakan akan menelusuri atribut di antara semua peristiwa dan menghapus tag dari semua atribut yang cocok dengan kriteria kami. |
| UUID Atribut | CSV | Tentukan daftar UUID atribut yang dipisahkan koma yang ingin Anda hapus tag barunya. Catatan: Jika "Nama Atribut" dan "UUID Atribut" ditentukan, tindakan akan berfungsi dengan nilai "UUID Atribut". |
Kasus penggunaan
Mengklasifikasi ulang atribut: Menghapus tag untuk mengklasifikasi ulang
Run On
Tindakan ini dijalankan di semua entity.
Hasil Tindakan
Hasil Skrip
| Nama Hasil Skrip | Opsi Nilai | Contoh |
|---|---|---|
| is_success | Benar/Salah | is_success:False |
Hasil JSON
[
{
"name": "Tag unique___test(7) successfully removed from Attribute(9).",
"message": "Tag unique___test(7) successfully removed from Attribute(9).",
"url": "/tags/removeTagFromObject"
}
]
Repositori Kasus
| Jenis hasil | Nilai/Deskripsi | Jenis> |
|---|---|---|
| Pesan output* | Jika berhasil menghapus tag dari minimal satu atribut: "Successfully removed tags from the following attributes in MISP:\n{0}".format(attribute name/object UUID) if not successfully removed tags from at least one attribute: "Action didn't removed tags from the following attributes in MISP:\n{0}".format(attribute name/object UUID) Jika tidak berhasil untuk semua: "Tidak ada tag yang dihapus dari atribut yang diberikan di MISP" Jika setidaknya satu tag tidak ditemukan: "The following tags were not found in MISP: \n{0}".format(list of tags that were not found in MISP) Jika semua tag tidak ditemukan: "None of the provided tags were found in MISP." (Tidak ada tag yang diberikan yang ditemukan di MISP.) Error Kritis (gagal melakukan tindakan) "Error saat menjalankan tindakan "Hapus Tag dari Atribut". Alasan: {0}".format(stacktrace) Jika parameter tidak valid ditentukan dalam "Kategori" (tindakan gagal): "Error saat menjalankan tindakan "Hapus Tag dari Atribut". Alasan: Nilai tidak valid diberikan untuk parameter "Kategori". Nilai yang dapat diterima: Analisis Eksternal, Pengiriman Payload, Artefak Dihapus, Penginstalan Payload". Jika "Acara yang Disediakan" dipilih, tetapi ID Acara tidak dipilih: "Error saat menjalankan tindakan "Hapus Tag dari Atribut". Alasan: ID Peristiwa harus diberikan, jika "Peristiwa yang Diberikan" dipilih untuk parameter "Penelusuran Atribut". ID peristiwa tidak ditemukan (tindakan gagal) "Terjadi error saat menjalankan tindakan "Hapus Tag dari Atribut". Alasan: Peristiwa dengan {0} {1} tidak ditemukan di MISP".format(ID/UUID, event_id) |
Umum |
Publikasikan Acara
Deskripsi
Tindakan ini memungkinkan pengguna memublikasikan acara. Mempublikasikan acara akan membagikannya ke grup berbagi yang dipilih, sehingga acara tersebut dapat dilihat oleh semua anggota.
Parameter
| Nama Tampilan Parameter | Jenis | Nilai Default | Wajib | Deskripsi |
|---|---|---|---|---|
| ID acara | String | T/A | Ya | Tentukan ID atau UUID peristiwa yang ingin Anda publikasikan. |
Kasus penggunaan
Memublikasikan acara:
- Buat genap
- Menambahkan atribut acara
- Publikasikan acara
Hasil Tindakan
Hasil Skrip
| Nama Hasil Skrip | Opsi Nilai | Contoh |
|---|---|---|
| is_success | Benar/Salah | is_success:False |
Hasil JSON
[
{
"Event": {
"id": "3",
"orgc_id": "1",
"org_id": "1",
"date": "2019-12-27",
"threat_level_id": "1",
"info": "Connection to .ch",
"published": true,
"uuid": "5e05dd29-7b90-474d-b5f6-51ae0a00024b",
"attribute_count": "0",
"analysis": "1",
"timestamp": "1577774920",
"distribution": "3",
"proposal_email_lock": false,
"locked": false,
"publish_timestamp": "1577774846",
"sharing_group_id": "0",
"disable_correlation": false,
"extends_uuid": "5e05db24-1e98-4bb9-bd56-51fd0a00024b",
"event_creator_email": "admin@admin.test",
"Org": {
"id": "1",
"name": "ORGNAME",
"uuid": "5dfc9b8f-c320-4b6d-ac1c-4f4e8bdc3fef",
"local": true
},
"Orgc": {
"id": "1",
"name": "ORGNAME",
"uuid": "5dfc9b8f-c320-4b6d-ac1c-4f4e8bdc3fef",
"local": true
},
"Attribute": [],
"ShadowAttribute": [],
"RelatedEvent": [],
"Galaxy": [],
"Object": [],
"Tag": [
{
"id": "7",
"name": "unique___test",
"colour": "#9648c4",
"exportable": true,
"user_id": "0",
"hide_tag": false,
"numerical_value": null,
"local": 0
}
]
}
}
]
Repositori Kasus
| Jenis hasil | Nilai/Deskripsi | Jenis |
|---|---|---|
| Pesan output* | Jika berhasil: "Successfully published event with {0} {1} in MISP.".format(ID/UUID, event_id) Jika tidak berhasil: "Event dengan {0} {1} tidak dipublikasikan di MISP".format(ID/UUID, event_id) Error Kritis (gagal melakukan tindakan) "Error saat menjalankan tindakan "Publish Event". Alasan: {0}".format(stacktrace) ID acara tidak ditemukan (tindakan gagal) "Terjadi error saat menjalankan tindakan "Publikasikan Acara". Alasan: Peristiwa dengan {0} {1} tidak ditemukan di MISP".format(ID/UUID, event_id) |
Umum |
Membatalkan Publikasi Acara
Deskripsi
Tindakan ini memungkinkan pengguna membatalkan publikasi acara. Membatalkan publikasi acara akan mencegah acara tersebut terlihat oleh grup yang diajak berbagi.
Parameter
| Nama Tampilan Parameter | Jenis | Nilai Default | Wajib | Deskripsi |
|---|---|---|---|---|
| ID acara | String | T/A | Ya | Tentukan ID atau UUID peristiwa yang ingin Anda batalkan publikasinya. |
Hasil Tindakan
Hasil Skrip
| Nama Hasil Skrip | Opsi Nilai | Contoh |
|---|---|---|
| is_success | Benar/Salah | is_success:False |
Hasil JSON
[
{
"Event": {
"id": "3",
"orgc_id": "1",
"org_id": "1",
"date": "2019-12-27",
"threat_level_id": "1",
"info": "Connection to .ch",
"published": false,
"uuid": "5e05dd29-7b90-474d-b5f6-51ae0a00024b",
"attribute_count": "0",
"analysis": "1",
"timestamp": "1577774920",
"distribution": "3",
"proposal_email_lock": false,
"locked": false,
"publish_timestamp": "1577774846",
"sharing_group_id": "0",
"disable_correlation": false,
"extends_uuid": "5e05db24-1e98-4bb9-bd56-51fd0a00024b",
"event_creator_email": "admin@admin.test",
"Org": {
"id": "1",
"name": "ORGNAME",
"uuid": "5dfc9b8f-c320-4b6d-ac1c-4f4e8bdc3fef",
"local": true
},
"Orgc": {
"id": "1",
"name": "ORGNAME",
"uuid": "5dfc9b8f-c320-4b6d-ac1c-4f4e8bdc3fef",
"local": true
},
"Attribute": [],
"ShadowAttribute": [],
"RelatedEvent": [],
"Galaxy": [],
"Object": [],
"Tag": [
{
"id": "7",
"name": "unique___test",
"colour": "#9648c4",
"exportable": true,
"user_id": "0",
"hide_tag": false,
"numerical_value": null,
"local": 0
}
]
}
}
]
Repositori Kasus
| Jenis hasil | Nilai/Deskripsi | Jenis |
|---|---|---|
| Pesan output* | Jika berhasil: "Successfully unpublished event with {0} {1} in MISP.".format(ID/UUID, event_id) Jika tidak berhasil: "Event with {0} {1} was not unpublished in MISP".format(ID/UUID, event_id) Error Kritis (gagal melakukan tindakan) "Terjadi error saat menjalankan tindakan "Batalkan Publikasi Acara". Alasan: {0}".format(stacktrace) ID Acara tidak ditemukan (tindakan gagal) "Terjadi error saat menjalankan tindakan "Batalkan Publikasi Acara". Alasan: Peristiwa dengan {0} {1} tidak ditemukan di MISP".format(ID/UUID, event_id) |
Umum |
Menghapus Atribut
Deskripsi
Menghapus atribut di MISP. Hash yang didukung: MD5, SHA1, SHA224, SHA256, SHA384, SHA512, SSDeep.
Parameter
| Nama Tampilan Parameter | Jenis | Nilai Default | Wajib | Deskripsi |
|---|---|---|---|---|
| ID acara | String | T/A | Tidak | Tentukan ID atau UUID peristiwa, tempat untuk menelusuri atribut. Parameter ini wajib diisi, jika "Penelusuran Atribut" disetel ke "Peristiwa yang Diberikan". |
| Nama Atribut | CSV | T/A | Tidak | Tentukan daftar ID atribut yang dipisahkan koma yang ingin Anda hapus. |
| Kategori | CSV | T/A | Tidak | Tentukan daftar kategori yang dipisahkan koma. Jika ditentukan, tindakan hanya akan menghapus atribut yang memiliki kategori yang cocok. Jika tidak ada yang ditentukan, tindakan akan mengabaikan kategori dalam atribut. |
| Jenis | CSV | T/A | Tidak | Tentukan daftar jenis atribut yang dipisahkan koma. Jika ditentukan, tindakan hanya akan menghapus atribut yang memiliki jenis atribut yang cocok. Jika tidak ada yang ditentukan, tindakan akan mengabaikan jenis dalam atribut. |
| UUID Objek | String | T/A | Tidak | ID unik untuk objek dalam peristiwa. |
| Penelusuran Atribut | DDL | Acara yang Disediakan Nilai yang memungkinkan: Semua Acara Acara yang Disediakan |
Ya | Tentukan tempat tindakan harus menelusuri atribut. Jika "Peristiwa yang Diberikan" dipilih, tindakan hanya akan menelusuri atribut atau UUID atribut dalam peristiwa dengan ID/UUID yang diberikan dalam parameter "ID Peristiwa". Jika "Semua Peristiwa", tindakan akan menelusuri atribut di antara semua peristiwa dan menghapus semua atribut yang cocok dengan kriteria kami. |
| UUID Atribut | CSV | Tentukan daftar UUID atribut yang dipisahkan koma yang ingin Anda hapus. |
Kasus penggunaan
Menghapus atribut dari acara.
Run On
Tindakan ini dijalankan di semua entity.
Hasil Tindakan
Hasil Skrip
| Nama Hasil Skrip | Opsi Nilai | Contoh |
|---|---|---|
| is_success | Benar/Salah | is_success:False |
Hasil JSON
[
{
"message": "Attribute deleted."
}
]
Repositori Kasus
| Jenis Hasil | Deskripsi Nilai | Jenis |
|---|---|---|
| Pesan output* | Jika berhasil menambahkan Penampakan ke setidaknya satu atribut: "Berhasil menghapus atribut berikut di MISP:\n{0}".format(nama atribut/UUID objek) jika Sighting tidak berhasil ditambahkan ke setidaknya satu atribut: "Tindakan tidak menghapus atribut berikut di MISP:\n{0}".format(nama atribut/UUID objek) Jika tidak berhasil untuk semua: "Tidak ada atribut yang dihapus di MISP" Error Kritis (gagal melakukan tindakan) "Error saat menjalankan tindakan "Hapus Atribut". Alasan: {0}".format(stacktrace) Jika parameter tidak valid ditentukan dalam "Kategori" (tindakan gagal): "Error saat menjalankan tindakan "Hapus Atribut". Alasan: Nilai tidak valid diberikan untuk parameter "Kategori". Nilai yang dapat diterima: Analisis Eksternal, Pengiriman Payload, Artefak Dihapus, Penginstalan Payload". Jika "Acara yang Disediakan" dipilih, tetapi ID Acara tidak dipilih: "Terjadi error saat menjalankan tindakan "Hapus Atribut". Alasan: ID Peristiwa harus diberikan, jika "Peristiwa yang Diberikan" dipilih untuk parameter "Penelusuran Atribut". ID Acara tidak ditemukan (tindakan gagal) "Terjadi error saat menjalankan tindakan "Hapus Atribut". Alasan: Peristiwa dengan {0} {1} tidak ditemukan di MISP".format(ID/UUID, event_id) |
Umum |
Menghapus Acara
Deskripsi
Menghapus peristiwa di MISP.
Parameter
| Nama Tampilan Parameter | Jenis | Nilai Default | Wajib | Deskripsi |
|---|---|---|---|---|
| ID acara | String | T/A | Ya | Tentukan ID atau UUID acara yang ingin Anda hapus. |
Kasus penggunaan
Menghapus acara secara permanen.
Run On
Tindakan ini berjalan di entity Pengguna.
Hasil Tindakan
Hasil Skrip
| Nama Hasil Skrip | Opsi Nilai | Contoh |
|---|---|---|
| is_success | Benar/Salah | is_success:False |
Hasil JSON
[
{
"name": "Event deleted.",
"message": "Event deleted.",
"url": "/events/delete/4"
}
]
Repositori Kasus
| Jenis Hasil | Deskripsi Nilai | Jenis |
|---|---|---|
| Pesan output* | Jika berhasil: "Successfully deleted event with {0} {1} in MISP".format(ID/UUID, event_id) Error Kritis (tindakan gagal) "Terjadi error saat menjalankan tindakan "Hapus Acara". Alasan: {0}".format(traceback) ID Acara tidak ditemukan (tindakan gagal) "Terjadi error saat menjalankan tindakan "Hapus Acara". Alasan: Peristiwa dengan {0} {1} tidak ditemukan di MISP".format(ID/UUID, event_id) |
Umum |
Membuat Objek Misp File
Deskripsi
Tindakan ini memungkinkan pengguna mengatur atribut file yang terkait dengan suatu peristiwa dalam satu objek yang menjelaskan file dengan informasi metanya. Objek dengan atribut kemudian dilampirkan ke peristiwa tertentu.
Parameter
| Nama Tampilan Parameter | Jenis | Nilai Default | Wajib | Deskripsi |
|---|---|---|---|---|
| ID acara | String | T/A | Ya | ID unik peristiwa untuk menambahkan objek. Contoh: 1 |
| Nama file | String | T/A | Tidak | Nama file. |
| MD5 | String | T/A | Tidak | Nilai hash md5 file. |
| SHA1 | String | T/A | Tidak | Nilai hash sha1 file. |
| SHA256 | String | T/A | Tidak | Nilai hash sha256 file. |
| SSDEEP | String | T/A | Tidak | Nilai ssdeep file Contoh: 96:p5aAS1tN0M3t9AnTNuG6TNOt5PR1TNZdkljOXTNSnKTF3X7KsTFW+kLtW6K8i7bI:p5mb4rgQhRp7GljCbF3LKqFjkwxtU |
| Imphash | String | T/A | Tidak | Nilai hash MD5 yang dihitung dari tabel yang diimpor. |
Kasus penggunaan
T/A
Run On
Tindakan ini dijalankan di semua entity.
Hasil Tindakan
Pengayaan Entity
T/A
Insight
T/A
Hasil Skrip
| Nama Hasil Skrip | Opsi Nilai | Contoh |
|---|---|---|
| is_success | Benar/Salah | is_success:False |
Hasil JSON
N/A
Membuat Objek Misp IP-Port
Deskripsi
Tindakan ini memungkinkan pengguna mengatur atribut IP-port yang terkait dengan peristiwa dalam satu objek yang menjelaskan alamat IP (atau domain atau nama host) dan port yang terlihat sebagai tuple (atau sebagai triple) dalam jangka waktu tertentu . Objek dengan atribut kemudian dilampirkan ke acara tertentu.
Parameter
| Nama Tampilan Parameter | Jenis | Nilai Default | Wajib | Deskripsi |
|---|---|---|---|---|
| ID acara | String | T/A | Ya | ID unik peristiwa untuk menambahkan objek. Contoh: 1 |
| Dst-port | String | T/A | Tidak | Port tujuan. |
| Src-port | String | T/A | Tidak | Port sumber. |
| Domain | String | T/A | Tidak | Domain. |
| Hostname | String | T/A | Tidak | Nama host. |
| IP-Src | String | T/A | Tidak | Alamat IP Sumber. |
| IP-Dst | String | T/A | Tidak | Alamat IP Tujuan. |
Kasus penggunaan
T/A
Run On
Tindakan ini dijalankan di semua entity.
Hasil Tindakan
Pengayaan Entity
T/A
Insight
T/A
Hasil Skrip
| Nama Hasil Skrip | Opsi Nilai | Contoh |
|---|---|---|
| is_success | Benar/Salah | is_success:False |
Hasil JSON
N/A
Membuat Objek Misp network-connection
Deskripsi
Buat Objek network-connection di MISP. Memerlukan salah satu hal berikut: Dst-port, Src-port, IP-Src, IP-Dst untuk diberikan atau parameter "Use Entities" ditetapkan ke benar (true).
Parameter
| Nama Tampilan Parameter | Jenis | Nilai Default | Wajib | Deskripsi |
|---|---|---|---|---|
| ID acara | String | T/A | Ya | Tentukan ID atau UUID acara yang ingin Anda tambahi objek koneksi jaringan. |
| Dst-port | String | T/A | Tidak | Tentukan port tujuan yang ingin Anda tambahkan ke acara. |
| Src-port | String | T/A | Tidak | Tentukan port sumber, yang ingin Anda tambahkan ke acara. |
| Hostname-dst | String | T/A | Tidak | Tentukan tujuan sumber, yang ingin Anda tambahkan ke acara. |
| Hostname-src | String | T/A | Tidak | Tentukan nama host sumber, yang ingin Anda tambahkan ke peristiwa. |
| IP-Src | String | T/A | Tidak | Tentukan IP sumber yang ingin Anda tambahkan ke peristiwa. |
| IP-Dst | String | T/A | Tidak | Tentukan IP tujuan yang ingin Anda tambahkan ke acara. |
| Layer3-protocol | String | T/A | Tidak | Tentukan protokol layer 3 terkait yang ingin Anda tambahkan ke peristiwa. |
| Layer4-protocol | String | T/A | Tidak | Tentukan protokol layer 4 terkait yang ingin Anda tambahkan ke acara. |
| Layer7-protocol | String | T/A | Tidak | Tentukan protokol layer 7 terkait, yang ingin Anda tambahkan ke peristiwa. |
| Menggunakan Entity | Kotak centang | Tidak dicentang | Tidak | Jika diaktifkan, tindakan akan menggunakan entity untuk membuat objek. Entitas yang didukung: Alamat IP. "Gunakan Entitas" memiliki prioritas atas parameter lainnya. |
| Jenis IP | DDL | IP Sumber Nilai yang memungkinkan: IP Sumber IP tujuan |
Tentukan jenis atribut yang harus digunakan dengan entity IP. |
Run On
Tindakan ini dijalankan di semua entity.
Hasil Tindakan
Hasil Skrip
| Nama Hasil Skrip | Opsi Nilai | Contoh |
|---|---|---|
| is_success | Benar/Salah | is_success:False |
Hasil JSON
N/A
Repositori Kasus
| Jenis Hasil | Deskripsi Nilai | Jenis |
|---|---|---|
| Pesan output* | Jika berhasil dan "Gunakan Entitas" tidak benar: "Berhasil membuat objek koneksi jaringan baru untuk peristiwa dengan {0} {1} di MISP.".format(ID/UUID, event_id) Jika tidak berhasil dan "Gunakan Entitas" tidak benar: "Tindakan tidak dapat membuat objek koneksi jaringan baru untuk peristiwa dengan {0} {1} di MISP. Alasan: {2}".format(ID/UUID) Jika berhasil untuk satu dan "Use Entities" bernilai benar: "Successfully created new network-connection objects for event with {0} {1} in MISP based on the following entities: \n{0}".format(ID/UUID, event_id, entity.identifiers) Jika tidak berhasil untuk satu dan "Gunakan Entitas" benar: "Tindakan tidak dapat membuat objek koneksi jaringan baru untuk peristiwa dengan {0} {1} di MISP berdasarkan entitas berikut: \n{0}".format(ID/UUID, event_id, entity.identifiers) Jika tidak berhasil untuk semua dan "Gunakan Entitas" benar (true): "Tindakan tidak dapat membuat objek koneksi jaringan baru untuk peristiwa dengan {0} {1} di MISP berdasarkan entitas yang diberikan.".format(ID/UUID, event_id) Error Kritis (gagal melakukan tindakan) "Error saat menjalankan tindakan "Buat Objek Misp koneksi jaringan". Alasan: {0}".format(stacktrace) ID Peristiwa tidak ditemukan (tindakan gagal) "Error saat menjalankan tindakan "Buat Objek Misp koneksi jaringan". Alasan: Peristiwa dengan {0} {1} tidak ditemukan di MISP".format(ID/UUID, event_id) Jika Dst-port, Src-port, IP-Src, IP-Dst tidak ada dan "Use Entities" == false: "Error executing action "Create network-connection Misp Object". Alasan: Salah satu dari: "Dst-port", "Src-port", "IP-Src", "IP-Dst" harus diberikan atau parameter "Use Entities" ditetapkan ke benar". |
Umum |
Membuat Objek Misp URL
Deskripsi
Buat Objek URL di MISP. Memerlukan "URL" untuk diberikan atau parameter "Gunakan Entitas" ditetapkan ke benar (true).
Parameter
| Nama Tampilan Parameter | Jenis | Nilai Default | Wajib | Deskripsi |
|---|---|---|---|---|
| ID acara | String | T/A | Ya | Tentukan ID atau UUID acara yang ingin Anda tambahi objek URL. |
| URL | String | T/A | Tidak | Tentukan URL yang ingin Anda tambahkan ke acara. |
| Port | String | T/A | Tidak | Tentukan port yang ingin Anda tambahkan ke acara. |
| Pertama terlihat | String | T/A | Tidak | Tentukan kapan URL pertama kali terlihat. |
| Terakhir terlihat | String | T/A | Tidak | Tentukan kapan URL terakhir terlihat. |
| Domain | String | T/A | Tidak | Tentukan domain yang ingin Anda tambahkan ke acara. |
| Teks | String | T/A | Tidak | Tentukan teks tambahan yang ingin Anda tambahkan ke acara. |
| IP | String | T/A | Tidak | Tentukan IP yang ingin Anda tambahkan ke acara. |
| Host | String | T/A | Tidak | Tentukan Host yang ingin Anda tambahkan ke acara. |
| Menggunakan Entity | Kotak centang | Tidak dicentang | Jika diaktifkan, tindakan akan menggunakan entity untuk membuat objek. Entitas yang didukung: URL. "Gunakan Entitas" memiliki prioritas atas parameter lainnya. |
Run On
Tindakan ini dijalankan di semua entity.
Hasil Tindakan
Hasil Skrip
| Nama Hasil Skrip | Opsi Nilai | Contoh |
|---|---|---|
| is_success | Benar/Salah | is_success:False |
Hasil JSON
N/A
Repositori Kasus
| Jenis Hasil | Deskripsi Nilai | Jenis |
|---|---|---|
| Pesan output* | Jika berhasil dan "Use Entities" tidak benar: "Successfully created new URL object for event with {0} {1} in MISP.".format(ID/UUID, event_id) Jika tidak berhasil dan "Gunakan Entitas" tidak benar: "Tindakan tidak dapat membuat objek URL untuk peristiwa dengan {0} {1} di MISP. Alasan: {2}".format(ID/UUID) Jika berhasil untuk satu dan "Use Entities" bernilai benar (true): "Successfully created new URL objects for event with {0} {1} in MISP based on the following entities: \n{0}".format(ID/UUID, event_id, entity.identifiers) Jika tidak berhasil untuk satu dan "Gunakan Entitas" bernilai benar: "Tindakan tidak dapat membuat objek URL baru untuk peristiwa dengan {0} {1} di MISP berdasarkan entitas berikut: \n{0}".format(ID/UUID, event_id, entity.identifiers) Jika tidak berhasil untuk semua dan "Gunakan Entitas" benar: "Tindakan tidak dapat membuat objek URL baru untuk peristiwa dengan {0} {1} di MISP berdasarkan entitas yang diberikan.".format(ID/UUID, event_id) Error Kritis (gagal melakukan tindakan) "Error saat menjalankan tindakan "Create Url Misp Object". Alasan: {0}".format(stacktrace) ID peristiwa tidak ditemukan (tindakan gagal) "Error saat menjalankan tindakan "Create Url Misp Object". Alasan: Peristiwa dengan {0} {1} tidak ditemukan di MISP".format(ID/UUID, event_id) Jika tidak ada URL yang diberikan dan "Use Entities" == false: "Error executing action "Create Url Misp Object". Alasan: "URL" harus diberikan atau parameter "Gunakan Entitas" ditetapkan ke benar". |
Umum |
Membuat Objek Virustotal-Report
Deskripsi
Buat Objek Virustotal-Report di MISP.
Parameter
| Nama Tampilan Parameter | Jenis | Nilai Default | Wajib | Deskripsi |
|---|---|---|---|---|
| ID acara | String | T/A | Ya | Tentukan ID atau UUID acara yang ingin Anda tambahi objek URL. |
| Permalink | String | T/A | Ya | Tentukan link ke laporan VirusTotal yang ingin Anda tambahkan ke acara. |
| Komentar | String | T/A | Tidak | Tentukan komentar yang ingin Anda tambahkan ke acara. |
| Rasio Deteksi | String | T/A | Tidak | Tentukan rasio deteksi yang ingin Anda tambahkan ke peristiwa. |
| Skor Komunitas | String | T/A | Tidak | Tentukan skor komunitas yang ingin Anda tambahkan ke acara. |
| Pengiriman Pertama | String | T/A | Tidak | Tentukan pengiriman pertama acara. |
| Pengiriman Terakhir | String | T/A | Tidak | Tentukan pengiriman terakhir peristiwa. |
Run On
Tindakan ini dijalankan di semua entity.
Hasil Tindakan
Hasil Skrip
| Nama Hasil Skrip | Opsi Nilai | Contoh |
|---|---|---|
| is_success | Benar/Salah | is_success:False |
Repositori Kasus
| Jenis Hasil | Deskripsi Nilai | Jenis |
|---|---|---|
| Pesan output* | Jika berhasil : "Successfully created new Virustotal-Report object for event with {0} {1} in MISP.".format(ID/UUID, event_id) Jika tidak berhasil : "Action wasn't able to created Virustotal-Report object for event with {0} {1} in MISP. Alasan: {2}".format(ID/UUID) Error Kritis (gagal melakukan tindakan) "Error saat menjalankan tindakan "Create Virustotal-Report Misp Object". Alasan: {0}".format(stacktrace) ID Acara tidak ditemukan (gagal melakukan tindakan) "Error saat menjalankan tindakan "Create Virustotal-Report Misp Object". Alasan: Peristiwa dengan {0} {1} tidak ditemukan di MISP".format(ID/UUID, event_id) |
Umum |
Mencantumkan Objek Acara
Deskripsi
Mengambil informasi tentang objek yang tersedia dalam peristiwa MISP.
Parameter
| Nama Tampilan Parameter | Jenis | Nilai Default | Wajib diisi | Deskripsi |
|---|---|---|---|---|
| ID acara | String | T/A | Ya | Tentukan daftar ID dan UUID peristiwa yang dipisahkan koma, yang detailnya ingin Anda ambil. |
| Jumlah Maksimum Objek yang Akan Ditampilkan | Bilangan bulat | 50 | Tidak | Tentukan jumlah objek yang akan ditampilkan. |
Run On
Tindakan ini tidak dijalankan di entity.
Hasil Tindakan
Hasil Skrip
| Nama Hasil Skrip | Opsi Nilai | Contoh |
|---|---|---|
| is_success | Benar/Salah | is_success:False |
Hasil JSON
"Object": [
{
"id": "1",
"name": "ftm-Associate",
"meta-category": "followthemoney",
"description": "Non-family association between two people",
"template_uuid": "6119ecb3-dedd-44b6-b88f-174585b0b1bf",
"template_version": "1",
"event_id": "1",
"uuid": "2a3e260f-d3b2-4164-b2b1-2f6f5b559970",
"timestamp": "1594632232",
"distribution": "5",
"sharing_group_id": "0",
"comment": "",
"deleted": false,
"first_seen": null,
"last_seen": null,
"ObjectReference": [],
},
{
"id": "2",
"name": "ftm-Associate",
"meta-category": "followthemoney",
"description": "Non-family association between two people",
"template_uuid": "6119ecb3-dedd-44b6-b88f-174585b0b1bf",
"template_version": "1",
"event_id": "1",
"uuid": "800d8634-175a-4bc2-a4d7-aca200c8c132",
"timestamp": "1594632463",
"distribution": "5",
"sharing_group_id": "0",
"comment": "",
"deleted": false,
"first_seen": null,
"last_seen": null,
"ObjectReference": [],
}
Repositori Kasus
| Jenis Hasil | Deskripsi Nilai | Jenis |
|---|---|---|
| Pesan output* | Tindakan tidak boleh gagal atau menghentikan eksekusi playbook: Jika setidaknya satu objek ditemukan untuk 1 peristiwa: "Berhasil mencantumkan objek untuk peristiwa berikut: \n{0}".format(event_ids) Jika acara dengan ID yang ditentukan tidak ditemukan (is_success = false): Jika tidak ada objek yang ditemukan untuk 1 peristiwa: "Tindakan tidak dapat menemukan objek untuk peristiwa berikut:\n {0}".format(event_ids) Jika tidak ada objek yang ditemukan untuk semua peristiwa: "Tidak ada objek yang ditemukan untuk peristiwa yang diberikan." Tindakan akan gagal dan menghentikan eksekusi playbook: jika terjadi error fatal, seperti kredensial salah, tidak ada koneksi ke server, atau lainnya: print "Error executing action "List Event Objects". Alasan: {0}''.format(error.Stacktrace) |
Umum |
| Tabel CSV | Nama tabel: Objek Peristiwa {0} Kolom Tabel:
|
Mendapatkan Detail Acara
Deskripsi
Mengambil detail tentang peristiwa di MISP.
Parameter
| Nama Tampilan Parameter | Jenis | Wajib | Deskripsi |
|---|---|---|---|
| ID acara | String | Ya | Tentukan daftar ID atau UUID peristiwa yang dipisahkan koma yang detailnya ingin Anda ambil. |
| Mengembalikan Info Atribut | Kotak centang | Dicentang | Jika diaktifkan, tindakan akan membuat tabel dinding kasus untuk semua atribut yang merupakan bagian dari peristiwa. |
Run On
Tindakan ini tidak dijalankan di entity.
Hasil Tindakan
Hasil Skrip
| Nama Hasil Skrip | Opsi Nilai | Contoh |
|---|---|---|
| is_success | Benar/Salah | is_success:False |
Repositori Kasus
| Jenis Hasil | Deskripsi Nilai | Jenis |
|---|---|---|
| Pesan output* | Tindakan tidak boleh gagal atau menghentikan eksekusi playbook: Jika tindakan berhasil diselesaikan untuk setidaknya salah satu ID yang diberikan: Mencetak "Successfully retrieved information for the following events: <>" Jika tindakan gagal dijalankan untuk setidaknya salah satu ID insiden yang diberikan: Mencetak "Gagal mengambil informasi untuk acara berikut: <> Tindakan harus gagal dan menghentikan eksekusi playbook: Tindakan akan gagal dan menghentikan eksekusi playbook: jika terjadi error fatal, seperti kredensial salah, tidak ada koneksi ke server, atau lainnya: print "Error executing action "List Event Objects". Alasan: {0}''.format(error.Stacktrace) |
Umum |
| Tabel CSV | Nama Tabel: Event {0} Attributes Details".format(event_id) Kolom:
|
Mencantumkan Penampakan Atribut
Deskripsi
Mencantumkan penampakan yang tersedia untuk atribut di MISP.
Parameter
search| Nama Parameter | Jenis | Nilai Default | Wajib | Deskripsi |
|---|---|---|---|---|
| Nama Atribut | CSV | Tidak | Tentukan daftar ID atribut yang dipisahkan koma yang ingin Anda cantumkan penemuannya. Catatan: Jika "Nama Atribut" dan "UUID Atribut" ditentukan, tindakan akan berfungsi dengan nilai "UUID Atribut". | |
| ID acara | String | Tidak | Tentukan ID atau UUID peristiwa, tempat untuk menelusuri atribut. Parameter ini wajib diisi, jika "Penelusuran Atribut" disetel ke "Peristiwa yang Diberikan". | |
| Kategori | CSV | Tidak | Tentukan daftar kategori yang dipisahkan koma. Jika ditentukan, tindakan hanya akan mencantumkan penampakan untuk atribut yang memiliki kategori yang cocok. Jika tidak ada yang ditentukan, tindakan akan mengabaikan kategori dalam atribut. Nilai yang mungkin: Analisis Eksternal, Pengiriman Payload, Artefak Dihapus, Penginstalan Payload. | |
| Jenis | CSV | Tidak | Tentukan daftar jenis atribut yang dipisahkan koma. Jika ditentukan, tindakan hanya akan mencantumkan penampakan untuk atribut yang memiliki jenis atribut yang cocok. Jika tidak ada yang ditentukan, tindakan akan mengabaikan jenis dalam atribut. Contoh nilai: md5, sha1, ip-src, ip-dst | |
| Penelusuran Atribut | DDL | Acara yang Disediakan Nilai yang memungkinkan: Semua Acara |
Ya | Tentukan tempat tindakan harus menelusuri atribut. Jika "Peristiwa yang Diberikan" dipilih, tindakan hanya akan menelusuri atribut atau UUID atribut dalam peristiwa dengan ID/UUID yang diberikan dalam parameter "ID Peristiwa". Jika "Semua Peristiwa", tindakan akan menelusuri atribut di antara semua peristiwa dan mencantumkan penemuan untuk semua atribut yang cocok dengan kriteria kami. |
| UUID Atribut | CSV | Tidak | Tentukan daftar UUID atribut yang dipisahkan koma yang ingin Anda cantumkan penemuannya. Catatan: Jika "Nama Atribut" dan "UUID Atribut" ditentukan, tindakan akan berfungsi dengan nilai "UUID Atribut". |
Hasil Tindakan
Hasil Skrip
| Nama Hasil Skrip | Opsi Nilai | Contoh |
|---|---|---|
| is_success | Benar/Salah | is_success:False |
Repositori Kasus
| Jenis hasil | Nilai/Deskripsi | Jenis |
|---|---|---|
| Pesan output* | Jika berhasil mencantumkan penampakan ke setidaknya satu atribut: "Successfully listed sightings for the following attributes in MISP:\n{0}".format(attribute name/attribute UUID) jika tidak berhasil mencantumkan penampakan untuk setidaknya satu atribut: "Action didn't list sightings for the following attributes in MISP:\n{0}".format(attribute name/attribute UUID) Jika tidak berhasil untuk semua atau tidak ada penampakan untuk semua atribut: "Tidak ada penampakan yang ditemukan untuk atribut yang diberikan di MISP" Error Kritis (tindakan gagal) "Error saat menjalankan tindakan "Mencantumkan Penampakan Atribut". Alasan: {0}".format(stacktrace) Jika parameter tidak valid ditentukan dalam "Kategori" (tindakan gagal): "Error saat menjalankan tindakan "Mencantumkan Penampakan Atribut". Alasan: Nilai tidak valid diberikan untuk parameter "Kategori". Nilai yang dapat diterima: Analisis Eksternal, Pengiriman Payload, Artefak Dihapus, Penginstalan Payload". Jika "Acara yang Disediakan" dipilih, tetapi ID Acara tidak dipilih: "Error saat menjalankan tindakan "Mencantumkan Penampakan Atribut". Alasan: ID Peristiwa harus diberikan, jika "Peristiwa yang Diberikan" dipilih untuk parameter "Penelusuran Atribut". |
Umum |
Menetapkan Flag IDS untuk Atribut
Deskripsi
Tetapkan tanda IDS untuk atribut di MISP.
Parameter
searchsearch| Nama Parameter | Jenis | Nilai Default | Wajib | Deskripsi |
|---|---|---|---|---|
| Nama Atribut | CSV | Tidak | Tentukan daftar ID atribut yang dipisahkan koma yang ingin Anda tetapkan tanda IDS-nya. Catatan: Jika "Nama Atribut" dan "UUID Atribut" ditentukan, tindakan akan berfungsi dengan nilai "UUID Atribut". | |
| ID acara | String | Tidak | Tentukan ID atau UUID peristiwa, tempat untuk menelusuri atribut. Parameter ini wajib diisi, jika "Penelusuran Atribut" disetel ke "Peristiwa yang Diberikan". | |
| Kategori | CSV | Tidak | Tentukan daftar kategori yang dipisahkan koma. Jika ditentukan, tindakan hanya akan menetapkan tanda IDS untuk atribut yang memiliki kategori yang cocok. Jika tidak ada yang ditentukan, tindakan akan mengabaikan kategori dalam atribut. Nilai yang mungkin: Analisis Eksternal, Pengiriman Payload, Artefak Dihapus, Penginstalan Payload. | |
| Jenis | CSV | Tidak | Tentukan daftar jenis atribut yang dipisahkan koma. Jika ditentukan, tindakan hanya akan menetapkan tanda IDS untuk atribut yang memiliki jenis atribut yang cocok. Jika tidak ada yang ditentukan, tindakan akan mengabaikan jenis dalam atribut. Contoh nilai: md5, sha1, ip-src, ip-dst | |
| Penelusuran Atribut | DDL | Acara yang Disediakan Nilai yang memungkinkan: Semua Acara |
Ya | Tentukan tempat tindakan harus menelusuri atribut. Jika "Peristiwa yang Diberikan" dipilih, tindakan hanya akan menelusuri atribut atau UUID atribut dalam peristiwa dengan ID/UUID yang diberikan dalam parameter "ID Peristiwa". Jika "Semua Peristiwa", tindakan akan menelusuri atribut di antara semua peristiwa dan menyetel tanda IDS untuk semua atribut yang cocok dengan kriteria kami. |
| UUID Atribut | CSV | Tidak | Tentukan daftar UUID atribut yang dipisahkan koma yang ingin Anda tetapkan tanda IDS-nya. |
Hasil Tindakan
Hasil Skrip
| Nama Hasil Skrip | Opsi Nilai | Contoh |
|---|---|---|
| berhasil | Benar/Salah | success:False |
Repositori Kasus
| Jenis Hasil | Deskripsi Nilai | Jenis |
|---|---|---|
| Pesan output* | Jika berhasil menambahkan tanda IDS ke minimal satu atribut: "Successfully set IDS flag for the following attributes in MISP:\n{0}".format(attribute name/object UUID) if not successfully added IDS flag to at least one attribute: "Action didn't set IDS flag for the following attributes in MISP:\n{0}".format(attribute name/object UUID) Jika tidak berhasil untuk semua: "Flag IDS tidak ditetapkan untuk atribut yang diberikan di MISP" Error Kritis (gagal melakukan tindakan) "Error saat menjalankan tindakan "Setel Flag IDS untuk Atribut". Alasan: {0}".format(stacktrace) Jika parameter tidak valid ditentukan dalam "Kategori" (tindakan gagal): "Error saat menjalankan tindakan "Tetapkan Flag IDS untuk Atribut". Alasan: Nilai tidak valid diberikan untuk parameter "Kategori". Nilai yang dapat diterima: Analisis Eksternal, Pengiriman Payload, Artefak Dihapus, Penginstalan Payload". Jika "Peristiwa yang Disediakan" dipilih, tetapi ID Peristiwa tidak dipilih: "Error saat menjalankan tindakan "Setel Flag IDS untuk Atribut". Alasan: ID Peristiwa harus diberikan, jika "Peristiwa yang Diberikan" dipilih untuk parameter "Penelusuran Atribut". ID peristiwa tidak ditemukan (tindakan gagal) "Error saat menjalankan tindakan "Setel Flag IDS untuk Atribut". Alasan: Peristiwa dengan {0} {1} tidak ditemukan di MISP".format(ID/UUID, event_id) |
Umum |
Membatalkan Setelan Flag IDS untuk Atribut
Deskripsi
Membatalkan setelan tanda IDS untuk atribut di MISP.
Parameter
| Nama | Jenis | Nilai Default | Wajib | Deskripsi |
|---|---|---|---|---|
| Nama Atribut | CSV | Tidak | Tentukan daftar ID atribut yang dipisahkan koma yang ingin Anda batalkan setelan flag IDS-nya. |
|
| ID acara | String | Tidak | Tentukan ID atau UUID peristiwa, tempat untuk menelusuri atribut. Parameter ini wajib diisi, jika "Penelusuran Atribut" disetel ke "Peristiwa yang Diberikan". | |
| Kategori | CSV | Tidak | Tentukan daftar kategori yang dipisahkan koma. Jika ditentukan, tindakan hanya akan membatalkan setelan flag IDS untuk atribut yang memiliki kategori yang cocok. Jika tidak ada yang ditentukan, tindakan akan mengabaikan kategori dalam atribut. Nilai yang mungkin: Analisis Eksternal, Pengiriman Payload, Artefak Dihapus, Penginstalan Payload. | |
| Jenis | CSV | Tidak | Tentukan daftar jenis atribut yang dipisahkan koma. Jika ditentukan, tindakan hanya akan membatalkan setelan flag IDS untuk atribut yang memiliki jenis atribut yang cocok. Jika tidak ada yang ditentukan, tindakan akan mengabaikan jenis dalam atribut. Contoh nilai: md5, sha1, ip-src, ip-dst | |
| Penelusuran Atribut | DDL | Acara yang Disediakan Nilai yang memungkinkan: Semua Acara |
Benar | Tentukan tempat tindakan harus menelusuri atribut. Jika "Peristiwa yang Diberikan" dipilih, tindakan hanya akan menelusuri atribut atau UUID atribut dalam peristiwa dengan ID/UUID yang diberikan dalam parameter "ID Peristiwa". Jika "Semua Peristiwa", tindakan akan menelusuri atribut di antara semua peristiwa dan membatalkan setelan tanda IDS untuk semua atribut yang cocok dengan kriteria kami. |
| UUID Atribut | CSV | Tidak | Tentukan daftar UUID atribut yang dipisahkan koma yang ingin Anda batalkan setelan flag IDS-nya. Catatan: Jika "Nama Atribut" dan "UUID Atribut" ditentukan, tindakan akan berfungsi dengan nilai "UUID Atribut". |
Hasil Tindakan
Hasil Skrip
| Nama Hasil Skrip | Opsi Nilai | Contoh |
|---|---|---|
| berhasil | Benar/Salah | success:False |
Repositori Kasus
| Jenis Hasil | Deskripsi Nilai | Jenis |
|---|---|---|
| Pesan output* | Jika berhasil menghapus tanda IDS ke setidaknya satu atribut: "Berhasil menghapus tanda IDS untuk atribut berikut di MISP:\n{0}".format(nama atribut/UUID objek) jika tidak berhasil menghapus tanda IDS ke setidaknya satu atribut: "Action didn't unset IDS flag for the following attributes in MISP:\n{0}".format(attribute name/object UUID) Jika tidak berhasil untuk semua: "Bendera IDS tidak dibatalkan untuk atribut yang diberikan di MISP" Error Kritis (gagal melakukan tindakan) "Error saat menjalankan tindakan "Hapus Setelan Flag IDS untuk Atribut". Alasan: {0}".format(stacktrace) Jika parameter tidak valid ditentukan dalam "Kategori" (tindakan gagal): "Error saat menjalankan tindakan "Hapus Setelan Flag IDS untuk Atribut". Alasan: Nilai tidak valid diberikan untuk parameter "Kategori". Nilai yang dapat diterima: Analisis Eksternal, Pengiriman Payload, Artefak Dihapus, Penginstalan Payload". Jika "Peristiwa yang Diberikan" dipilih, tetapi ID Peristiwa tidak dipilih: "Error saat menjalankan tindakan "Hapus Setelan Flag IDS untuk Atribut". Alasan: ID Peristiwa harus diberikan, jika "Peristiwa yang Diberikan" dipilih untuk parameter "Penelusuran Atribut". ID peristiwa tidak ditemukan (tindakan gagal) "Error saat menjalankan tindakan "Unset IDS Flag for an Attribute". Alasan: Peristiwa dengan {0} {1} tidak ditemukan di MISP".format(ID/UUID, event_id) |
Umum |
Konektor
MISP - Attributes Connector
Deskripsi
Tarik atribut dari MISP.
Mengonfigurasi MISP - Attributes Connector di Google SecOps
Untuk mendapatkan petunjuk mendetail tentang cara mengonfigurasi konektor di Google SecOps, lihat Mengonfigurasi konektor.
Parameter konektor
Gunakan parameter berikut untuk mengonfigurasi konektor:
| Nama Parameter | Jenis | Nilai Default | Wajib | Deskripsi |
|---|---|---|---|---|
| DeviceProductField | String | Nama Produk | Ya | Masukkan nama kolom sumber untuk mengambil nama Kolom Produk. |
| EventClassId | String | alertType | Ya | Masukkan nama kolom sumber untuk mengambil nama Kolom Peristiwa. |
| PythonProcessTimeout | Bilangan bulat | 180 | Ya | Batas waktu untuk proses python yang menjalankan skrip saat ini. |
| Root API | String | T/A | Ya | Root API untuk akun MISP. |
| Kunci API | Sandi | Ya | Kunci API akun MISP. | |
| Mengambil Mundur Jam Maksimum | Bilangan bulat | 1 | Tidak | Jumlah jam dari tempat pengambilan atribut. |
| Atribut Maksimum Per Siklus | Bilangan bulat | 50 | Ya | Jumlah atribut yang akan diproses per satu iterasi konektor. |
| Tingkat Ancaman Terendah yang Akan Diambil | Bilangan bulat | 1 | Ya | Tingkat keparahan terendah yang akan digunakan untuk mengambil pemberitahuan. Nilai yang mungkin: 1-4. |
| Filter Jenis Atribut | String | Tidak | Filter atribut menurut jenisnya, dipisahkan dengan koma. Jika disediakan, hanya atribut dengan jenis yang diizinkan yang akan diproses. | |
| Filter Kategori | String | Tidak | Memfilter atribut menurut kategorinya, dipisahkan dengan koma. Jika disediakan, hanya atribut dengan kategori yang disetujui yang akan diproses. | |
| Filter Galaksi | String | Tidak | Memfilter atribut menurut galaksi peristiwa induknya, dipisahkan dengan koma. Jika disediakan, hanya atribut yang termasuk dalam acara dengan galaksi yang diizinkan yang akan diproses. | |
| Verifikasi SSL | Kotak centang | Ya | Jika diaktifkan, verifikasi bahwa sertifikat SSL untuk koneksi ke server CheckPoint Cloud Guard valid. | |
| Nama Kolom Lingkungan | String | Tidak | Mendeskripsikan nama kolom tempat nama lingkungan disimpan. Jika kolom lingkungan tidak ditemukan, lingkungan yang digunakan adalah lingkungan default. | |
| Pola Regex Lingkungan | String | .* | Tidak | Pola regex untuk dijalankan pada nilai yang ditemukan di kolom \"Nama Kolom Lingkungan\". Defaultnya adalah .* untuk mencakup semua dan menampilkan nilai tanpa perubahan. Digunakan untuk mengizinkan pengguna memanipulasi kolom lingkungan melalui logika regex. Jika pola regex adalah null atau kosong, atau nilai lingkungan adalah null, hasil lingkungan akhir adalah lingkungan default. |
| Alamat Server Proxy | String | Tidak | Alamat server proxy yang akan digunakan. | |
| Nama Pengguna Proxy | String | Tidak | Nama pengguna proxy untuk melakukan autentikasi. | |
| Sandi Proxy | Sandi | Tidak | Sandi proxy untuk mengautentikasi. |
Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.