MISP
Versione integrazione: 31.0
Configura l'integrazione di MISP in modo che funzioni con Google Security Operations
Configurare l'integrazione di MISP con un certificato CA
Se necessario, puoi verificare la connessione con un file del certificato CA.
Prima di iniziare, assicurati di avere quanto segue:
- Il file del certificato CA
- L'ultima versione dell'integrazione MISP
Per configurare l'integrazione con un certificato CA, completa i seguenti passaggi:
- Analizza il file del certificato CA in una stringa Base64.
- Apri la pagina dei parametri di configurazione dell'integrazione.
- Inserisci la stringa nel campo File certificato CA.
- Per verificare che l'integrazione sia configurata correttamente, seleziona la casella di controllo Verifica SSL e fai clic su Test.
Automation Key
L'autenticazione viene eseguita tramite una chiave sicura disponibile nell'interfaccia utente di MISP. La chiave API è disponibile nel menu delle azioni degli eventi in Automazione.
Configura l'integrazione di MISP in Google SecOps
Per istruzioni dettagliate su come configurare un'integrazione in Google SecOps, vedi Configurare le integrazioni.
Parametri di integrazione
Utilizza i seguenti parametri per configurare l'integrazione:
| Nome visualizzato del parametro | Tipo | Valore predefinito | È obbligatorio | Descrizione |
|---|---|---|---|---|
| Nome istanza | Stringa | N/D | No | Nome dell'istanza per cui intendi configurare l'integrazione. |
| Descrizione | Stringa | N/D | No | Descrizione dell'istanza. |
| Root API | https://<IP> | Sì | L'indirizzo dell'istanza MISP. | |
| Chiave API | Stringa | N/D | Sì | Generato nella console di MISP. |
| Use SSL (Usa SSL) | Casella di controllo | Deselezionata | No | Utilizza questa casella di controllo se la connessione MISP richiede una verifica SSL (non selezionata per impostazione predefinita). |
| Esegui da remoto | Casella di controllo | Deselezionata | No | Seleziona il campo per eseguire l'integrazione configurata da remoto. Una volta selezionata, viene visualizzata l'opzione per selezionare l'utente remoto (agente). |
Azioni
Aggiungi attributo
Descrizione
Aggiungere un'entità come attributo a un evento MISP.
Parametri
| Nome visualizzato del parametro | Tipo | Valore predefinito | È obbligatorio | Descrizione |
|---|---|---|---|---|
| ID evento | Stringa | N/D | Sì | L'ID dell'evento. |
| Categoria | Stringa | Analisi esterna | No | La categoria dell'attributo. Impostazione predefinita: analisi esterna. |
| Distribuzione | Stringa | 1 | No | La distribuzione dell'attributo. Valore predefinito: 1. |
| Per Intrusion Detection System | Casella di controllo | Deselezionata | No | Indica se l'attributo viene utilizzato per Intrusion Detection System. Valore predefinito: false. |
| Commento | Stringa | N/D | No | Il commento da aggiungere all'attributo. |
Casi d'uso
N/D
Run On
Questa azione viene eseguita sulle seguenti entità:
- URL
- Nome host
- Indirizzo IP
- Filehash
Risultati dell'azione
Arricchimento delle entità
N/D
Approfondimenti
N/D
Risultato script
| Nome risultato script | Opzioni di valore | Esempio |
|---|---|---|
| operazione riuscita | Vero/Falso | success:False |
Risultato JSON
N/A
Creazione di un evento
Descrizione
Crea un nuovo evento MISP.
Limitazione nota
Al momento, l'API MISP non consente la pubblicazione immediata dell'evento al momento della creazione. Devi prima creare un evento e poi utilizzare l'azione "Pubblica evento".
Parametri
| Nome visualizzato del parametro | Tipo | Valore predefinito | È obbligatorio | Descrizione |
|---|---|---|---|---|
| Nome evento | Stringa | N/D | Sì | Il nome dell'evento. |
| Livello di minaccia | Stringa | 0 | No | Il livello di minaccia dell'evento. Valore predefinito: 0. |
| Distribuzione | Stringa | 1 | No | La distribuzione dell'attributo. Valore predefinito: 1. |
| Analisi | Stringa | 0 | No | Il livello di analisi dell'evento [0-2]. Valore predefinito: 0. |
| Pubblica | Casella di controllo | Selezionata | No | Se pubblicare o meno l'evento. |
| Commento | Stringa | N/D | No | Il commento dell'evento. |
Run On
Questa azione viene eseguita su tutte le entità.
Risultati dell'azione
Risultato script
| Nome risultato script | Opzioni di valore | Esempio |
|---|---|---|
| event_id | N/D | N/D |
Aggiungere un tag a un evento
Descrizione
L'aggiunta di un tag a un'azione evento consente a un utente di aggiungere un tag a un evento specifico in MISP. In questo modo, all'evento viene aggiunta una classificazione in base alla categoria della minaccia alla sicurezza rappresentata dall'indicatore di compromissione associato all'evento.
Parametri
| Nome visualizzato del parametro | Tipo | Valore predefinito | È obbligatorio | Descrizione |
|---|---|---|---|---|
| ID evento | Stringa | N/D | Sì | L'identificatore univoco che specifica l'evento a cui aggiungere il tag. |
| Nome tag | Stringa | N/D | Sì | Il nome del tag da aggiungere a un evento. |
Casi d'uso
Classifica un evento:aggiorna l'evento aggiungendo un tag.
Run On
Questa azione viene eseguita su tutte le entità.
Risultati dell'azione
Risultato script
| Nome risultato script | Opzioni di valore | Esempio |
|---|---|---|
| is_success | Vero/Falso | is_success:False |
Risultato JSON
[
{
"saved": true,
"success": "Tag(s) added.",
"check_publish": true
}
]
Scarica file
Descrizione
Scarica i file correlati all'evento in MISP.
Parametri
| Nome visualizzato del parametro | Tipo | Valore predefinito | È obbligatorio | Descrizione |
|---|---|---|---|---|
| ID evento | Stringa | N/D | No | Specifica l'ID o l'UUID dell'evento da cui vuoi scaricare i file |
| Percorso cartella di download | Stringa | N/D | Specifica il percorso assoluto della cartella in cui devono essere archiviati i file. Se non viene specificato nulla, l'azione creerà un allegato. |
|
| Sovrascrivi | Casella di controllo | Deselezionata | Se questa opzione è attivata, l'azione sovrascriverà i file esistenti. |
Run On
Questa azione viene eseguita sull'entità Filehash.
Risultati dell'azione
Risultato script
| Nome risultato script | Opzioni di valore | Esempio |
|---|---|---|
| operazione riuscita | Vero/Falso | success:False |
Risultato JSON
{
"absolute_paths": ["/etc/file1.txt", "/etc/file2.txt"]
}
Bacheca casi
| Tipo di risultato | Descrizione del valore | Tipo |
|---|---|---|
| Messaggio di output* | Se l'operazione ha esito positivo: "Successfully downloaded the following files from the event with {0} {1} in MISP:\n{2}".format(ID/UUID, event_id, result/filename from the response) se non sono stati trovati file: "Non sono stati trovati file per l'evento con {0} {1} in MISP:\n{2}".format(ID/UUID, event_id) se "Percorso cartella di download" non è specificato e alcuni file hanno superato il limite della piattaforma per gli allegati: "L'azione non è riuscita a scaricare i seguenti file perché hanno superato il limite di 3 MB: \n {0}. \n Specifica un percorso della cartella nel parametro "Percorso della cartella di download" per scaricarli.".(result/filename) Errore critico (azione non riuscita) "Errore durante l'esecuzione dell'azione "Scarica file". Motivo: {0}".format(stacktrace) Event ID is not found (fail action) "Error executing action "Download File". Motivo: evento con {0} {1} non trovato in MISP".format(ID/UUID, event_id) Se overwrite è false e uno dei file esiste già: "Error executing action "Download File". Motivo: esistono già i seguenti file: {0}. Rimuovili o imposta il parametro "Overwrite" su true.".format(percorso assoluto del file) |
Generale |
Arricchisci entità
Descrizione
Arricchisci le entità in base agli attributi in MISP.
Parametri
| Nome visualizzato del parametro | Tipo | Valore predefinito | Descrizione |
|---|---|---|---|
| Numero di attributi da restituire | Stringa | N/D | Specifica il numero di attributi da restituire per le entità. |
| Condizione di filtro | Specifica la condizione di filtro per l'azione. Se viene selezionato "Ultimo", l'azione utilizzerà l'attributo meno recente per l'arricchimento, mentre se viene selezionato "Primo", l'azione utilizzerà l'attributo più recente per l'arricchimento. | ||
| Soglia del livello di minaccia | DDL | Bassa Valori possibili: Alta Medie Bassa Non definito |
Specifica la soglia per il livello di minaccia dell'evento, in cui è stata trovata l'entità. Se l'evento correlato supera o corrisponde alla soglia, l'entità verrà contrassegnata come sospetta. |
| Limite di ricerca degli attributi | Numero intero | 50 | Specifica il numero di attributi da cercare per entità. Questo parametro influisce sull'attributo che verrà selezionato per l'arricchimento. Valore predefinito: 50. |
Run On
Questa azione viene eseguita sulle seguenti entità:
- URL
- Nome host
- Indirizzo IP
- Filehash
Risultati dell'azione
Arricchimento delle entità
Le entità vengono contrassegnate come sospette se il livello di minaccia dell'evento supera 0. Altrimenti: False
Risultato script
| Nome risultato script | Opzioni di valore | Esempio |
|---|---|---|
| operazione riuscita | Vero/Falso | success:False |
Risultato JSON
[
{
"EntityResult": [
{
"Event":
{
"orgc_id": "1",
"ShadowAttribute": [],
"id": "3",
"threat_level_id": "3",
"event_creator_email": "john_doe@example.com",
"uuid": "5c5bff1b-a414-4a83-8755-035f0a000016",
"Object": [],
"Orgc": {
"uuid": "5c5ac66e-3884-4031-afd7-46f5bb9ebcaa",
"name": "ORGNAME",
"id": "1"
},
"Org": {
"uuid": "5c5ac66e-3884-4031-afd7-46f5bb9ebcaa",
"name": "ORGNAME",
"id": "1"
},
"RelatedEvent": [],
"sharing_group_id": "0",
"timestamp": "1549533154",
"date": "2019-02-07",
"disable_correlation": "False",
"info": "Test event",
"locked": "False",
"publish_timestamp": "1549533214",
"Attribute": [
{
"category": "Network activity",
"comment": " ",
"uuid": "5c5bffe2-9298-4098-ae31-035d0a000016",
"deleted": "False",
"timestamp": "1549533154",
"to_ids": "False",
"distribution": "3",
"object_id": "0",
"event_id": "3",
"ShadowAttribute": [],
"sharing_group_id": "0",
"value": "1.1.1.1",
"disable_correlation": "False",
"object_relation": "None",
"type": "ip-src",
"id": "1",
"Galaxy": []
}],
"attribute_count": "1",
"org_id": "1",
"analysis": "2",
"extends_uuid": " ",
"published": "True",
"distribution": "3",
"proposal_email_lock": "False",
"Galaxy": []
}}],
"Entity": "1.1.1.1"
}
]
Bacheca casi
| Tipo di risultato | Descrizione del valore | Tipo |
|---|---|---|
| Messaggio di output* | Per gli attributi trovati: (is_success=true) "Successfully enriched the following entities using MISP: \n{0}".format(entity.identifier) Per gli attributi non trovati (is_success=true) "L'azione non è riuscita ad arricchire le seguenti entità utilizzando MISP: \n{0}".format(entity.identifier) Se non sono stati trovati tutti gli attributi (is_success=false) "Nessuna entità è stata arricchita utilizzando MISP" Se gli attributi sono sospetti (is_success=true) "I seguenti attributi sono stati contrassegnati come sospetti utilizzando MISP: \n {0}".format(entity.identifier) |
Generale |
| Tabella CSV | Colonne della tabella:
|
Recupera eventi correlati
Descrizione
Recupera informazioni sugli eventi correlati alle entità in MISP.
Parametri
| Nome visualizzato del parametro | Tipo | Valore predefinito | Descrizione |
|---|---|---|---|
| Contrassegna come sospetto | Casella di controllo | Selezionata | Se attivata, l'azione contrassegnerà l'entità come sospetta, se è presente almeno un evento correlato. |
Run On
Questa azione viene eseguita sulle seguenti entità:
- URL
- Nome host
- Indirizzo IP
- Filehash
Risultati dell'azione
Arricchimento delle entità
Se sono disponibili record di eventi correlati, le entità vengono contrassegnate come sospette. Altrimenti: False.
| Nome campo di arricchimento | Logica - Quando applicarla |
|---|---|
| Evento | Restituisce se esiste nel risultato JSON |
Risultato script
| Nome risultato script | Opzioni di valore | Esempio |
|---|---|---|
| operazione riuscita | Vero/Falso | success:False |
Risultato JSON
[
{
"EntityResult": [
{
"Event":
{
"orgc_id": "1",
"ShadowAttribute": [],
"id": "3",
"threat_level_id": "3",
"event_creator_email": "john_doe@example.com",
"uuid": "5c5bff1b-a414-4a83-8755-035f0a000016",
"Object": [],
"Orgc": {
"uuid": "5c5ac66e-3884-4031-afd7-46f5bb9ebcaa",
"name": "ORGNAME",
"id": "1"
},
"Org": {
"uuid": "5c5ac66e-3884-4031-afd7-46f5bb9ebcaa",
"name": "ORGNAME",
"id": "1"
},
"RelatedEvent": [],
"sharing_group_id": "0",
"timestamp": "1549533154",
"date": "2019-02-07",
"disable_correlation": "False",
"info": "Test event",
"locked": "False",
"publish_timestamp": "1549533214",
"Attribute": [
{
"category": "Network activity",
"comment": " ",
"uuid": "5c5bffe2-9298-4098-ae31-035d0a000016",
"deleted": "False",
"timestamp": "1549533154",
"to_ids": "False",
"distribution": "3",
"object_id": "0",
"event_id": "3",
"ShadowAttribute": [],
"sharing_group_id": "0",
"value": "1.1.1.1",
"disable_correlation": "False",
"object_relation": "None",
"type": "ip-src",
"id": "1",
"Galaxy": []
}],
"attribute_count": "1",
"org_id": "1",
"analysis": "2",
"extends_uuid": " ",
"published": "True",
"distribution": "3",
"proposal_email_lock": "False",
"Galaxy": []
}}],
"Entity": "1.1.1.1"
}
]
Bacheca casi
| Tipo di risultato | Descrizione del valore | Tipo |
|---|---|---|
| Messaggio di output* | Se è stato trovato un evento per almeno un'entità: "Recuperate correttamente le informazioni sugli eventi correlati per le seguenti entità: \n{0}".format(entity.identifier) Se non è stato trovato alcun evento per almeno un'entità: "L'azione non è riuscita a recuperare informazioni sugli eventi correlati per le seguenti entità: \n{0}".format(entity.identifier Se non sono presenti eventi per tutti: "Non sono stati trovati eventi correlati per le entità fornite." |
Generale |
Carica file
Descrizione
Carica un file in un evento MISP.
Parametri
| Nome | Tipo | Predefinito | Descrizione |
|---|---|---|---|
| ID evento | Stringa | N/D | Specifica l'ID o l'UUID dell'evento a cui vuoi caricare questo file. |
| Percorso file | Stringa | N/D | Specifica un elenco separato da virgole dei percorsi assoluti dei file che vuoi caricare su MISP. |
| Categoria | Specifica la categoria del file caricato. Valori possibili: External Analysis, Payload Delivery, Artifacts Dropped, Payload Installation. | ||
| Distribuzione | Stringa | Community | Specifica la distribuzione per il file caricato. |
| Livello di minaccia | Stringa | Alta | Specifica il livello di minaccia per il file caricato. |
| Analisi | Stringa | Iniziale | Specifica l'analisi dell'evento. |
| Informazioni | Stringa | N/D | Specifica informazioni aggiuntive per il file caricato. |
| Per Intrusion Detection System | Casella di controllo | Deselezionata | Se attivato, il file caricato verrà utilizzato per i sistemi di rilevamento delle intrusioni. |
| Commento | Stringa | N/D | Specifica commenti aggiuntivi relativi al file caricato. |
Risultati dell'azione
Risultato script
| Nome risultato script | Opzioni di valore | Esempio |
|---|---|---|
| is_success | Vero/Falso | is_success:False |
Risultato JSON
{
"Event": {
"id": "106",
"orgc_id": "1",
"org_id": "1",
"date": "2021-01-15",
"threat_level_id": "1",
"info": "vanuhi 1015",
"published": false,
"uuid": "1cd22aa2-57e8-4fc8-bac6-721c1be2c27d",
"attribute_count": "10",
"analysis": "0",
"timestamp": "1610893968",
"distribution": "1",
"proposal_email_lock": false,
"locked": false,
"publish_timestamp": "0",
"sharing_group_id": "0",
"disable_correlation": false,
"extends_uuid": "",
"event_creator_email": "admin@admin.test",
"Org": {
"id": "1",
"name": "ORGNAME",
"uuid": "09b0dde1-2934-4310-a107-74b6f534f041",
"local": true
},
"Orgc": {
"id": "1",
"name": "ORGNAME",
"uuid": "09b0dde1-2934-4310-a107-74b6f534f041",
"local": true
},
"Attribute": [],
"ShadowAttribute": [],
"Object": [
{
"id": "446",
"name": "file",
"meta-category": "file",
"description": "File object describing a file with meta-information",
"template_uuid": "688c46fb-5edb-40a3-8273-1af7923e2215",
"template_version": "20",
"event_id": "106",
"uuid": "0188ba5d-68eb-4b5c-8e05-6fd49f8eee9a",
"timestamp": "1610691647",
"distribution": "1",
"sharing_group_id": "0",
"comment": "",
"deleted": false,
"first_seen": null,
"last_seen": null,
"ObjectReference": [],
"Attribute": [
{
"id": "1859",
"type": "malware-sample",
"category": "External analysis",
"to_ids": true,
"uuid": "7920cd28-5082-47ce-9c3e-3ccbd5dae138",
"event_id": "106",
"distribution": "1",
"timestamp": "1610703650",
"comment": "",
"sharing_group_id": "0",
"deleted": false,
"disable_correlation": false,
"object_id": "446",
"object_relation": "malware-sample",
"first_seen": null,
"last_seen": null,
"value": "vanuhi.txt|7bd55b0a276e076cbaf470e64359adb8",
"Galaxy": [],
"data": "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",
"ShadowAttribute": [],
"Sighting": [
{
"id": "1733",
"attribute_id": "1859",
"event_id": "106",
"org_id": "1",
"date_sighting": "1611207638",
"uuid": "feb085f1-1923-4327-a73d-b60a948377e4",
"source": "",
"type": "0",
"Organisation": {
"id": "1",
"uuid": "09b0dde1-2934-4310-a107-74b6f534f041",
"name": "ORGNAME"
},
"attribute_uuid": "7920cd28-5082-47ce-9c3e-3ccbd5dae138"
}
]
}
}
}
}
Bacheca casi
| Tipo di risultato | Valore/Descrizione | Tipo |
|---|---|---|
| Messaggio di output* | Se l'operazione va a buon fine per un'entità:"Caricamento riuscito dei file forniti nell'evento {0} in MISP".format(event_id) Errore critico (azione non riuscita) "Errore durante l'esecuzione dell'azione "Carica file". Motivo: {0}".format(stacktrace) Se il parametro non valido è specificato in "Distribuzione" (azione non riuscita): "Errore durante l'esecuzione dell'azione "Carica file". Motivo: è stato fornito un valore non valido per il parametro "Distribuzione". Numeri accettabili: 0,1,2,3. Stringhe accettabili: Organizzazione, Community, Connesso, Tutti". Se il parametro non valido è specificato in "Livello di minaccia" (azione non riuscita): "Errore durante l'esecuzione dell'azione "Carica file". Motivo: è stato fornito un valore non valido per il parametro "Livello di minaccia". Numeri accettabili: 1,2,3,4. Stringhe accettabili: High, Medium, Low, Undefined". Se nel parametro "Categoria" viene specificato un valore non valido (azione non riuscita): "Errore durante l'esecuzione dell'azione "Carica file". Motivo: è stato fornito un valore non valido per il parametro "Categoria". Valori accettabili: External Analysis, Payload Delivery, Artifacts Dropped, Payload Installation". Se nel campo "Analisi" è specificato un parametro non valido (azione non riuscita): "Errore durante l'esecuzione dell'azione "Carica file". Motivo: è stato fornito un valore non valido per il parametro "Analysis". Numeri accettabili: 0,1,2. Stringhe accettabili: Iniziale, In corso, Completato". se almeno uno dei file non è disponibile "Errore durante l'esecuzione dell'azione "Carica file". Motivo: non è stato possibile accedere ai seguenti file: \n {0}".format(file paths, that were not accessible.) Event ID is not found (fail action) "Error executing action "Upload File". Motivo: evento con {0} {1} non trovato in MISP".format(ID/UUID, event_id) |
Generale |
Dindin
Descrizione
Testa la connettività.
Parametri
N/D
Casi d'uso
N/D
Run On
Questa azione viene eseguita su tutte le entità.
Risultati dell'azione
Arricchimento delle entità
N/D
Approfondimenti
N/D
Risultato script
| Nome risultato script | Opzioni di valore | Esempio |
|---|---|---|
| operazione riuscita | Vero/Falso | success:False |
Risultato JSON
N/A
Rimuovere un tag da un evento
Descrizione
Rimuovi i tag dall'evento in MISP.
Parametri
| Nome visualizzato del parametro | Tipo | Valore predefinito | È obbligatorio | Descrizione |
|---|---|---|---|---|
| ID evento | Stringa | N/D | Sì | Specifica l'ID o l'UUID dell'evento da cui vuoi rimuovere i tag. |
| Nome tag | CSV | N/D | Sì | Specifica un elenco separato da virgole di tag da rimuovere dagli eventi. |
Casi d'uso
Riclassifica evento:rimuovi il tag per la riclassificazione.
Risultati dell'azione
Risultato script
| Nome risultato script | Opzioni di valore | Esempio |
|---|---|---|
| is_success | Vero/Falso | is_success:False |
Risultato JSON
[
{
"saved": true,
"success": "Tag removed.",
"check_publish": true
}
]
Bacheca casi
| Tipo di risultato | Valore/Descrizione | Tipo |
|---|---|---|
| Messaggio di output* | Se tutte le tag sono state rimosse correttamente da un evento: "Le seguenti tag sono state rimosse correttamente dall'evento con {0} {1} in MISP: {2}.".format(ID/UUID, event_id, tags) Se alcuni tag non sono stati rimossi da un evento: "L'azione non è riuscita a rimuovere i seguenti tag dall'evento con {0} {1} in MISP: {2}.".format(ID/UUID, event_id, tags) Se l'operazione non va a buon fine per tutti: "Nessun tag è stato rimosso dall'evento con {0} {1} in MISP".format(ID/UUID, event_id) Se non è stato trovato almeno un tag: "I seguenti tag non sono stati trovati in MISP: \n{0}".format(elenco dei tag non trovati in MISP) Se non sono stati trovati tutti i tag: "Nessuno dei tag forniti è stato trovato in MISP." Errore critico (azione non riuscita) "Errore durante l'esecuzione dell'azione "Rimuovi tag da un evento". Motivo: {0}".format(stacktrace) ID evento non trovato (azione non riuscita) "Errore durante l'esecuzione dell'azione "Rimuovi tag da un evento". Motivo: evento con {0} {1} non trovato in MISP".format(ID/UUID, event_id) |
Generale |
Aggiungere un tag a un attributo
Descrizione
Questa azione consente a un utente di aggiungere un tag a un attributo specifico in MISP. In questo modo viene aggiunta una classificazione all'attributo in base alla categoria di una minaccia alla sicurezza rappresentata dall'IOC nell'attributo.
Parametri
| Nome visualizzato del parametro | Tipo | Valore predefinito | È obbligatorio | Descrizione |
|---|---|---|---|---|
| ID evento | Numero intero | N/D | Sì | L'identificatore dell'evento a cui è associato l'attributo. Esempio: 1. |
| Nome tag | Stringa | N/D | Sì | Il nome del tag da aggiungere a un attributo. |
| Nome attributo | Stringa | N/D | Sì | L'identificatore del nome dell'attributo da taggare. |
| Categoria | Stringa | N/D | Sì | La categoria a cui appartiene l'attributo, ad esempio Payload Delivery. |
| Tipo | Stringa | N/D | Sì | Il tipo di attributo, ad es. nome file. |
| UUID oggetto | Stringa | N/D | No | L'identificatore univoco di un oggetto nell'evento. |
Casi d'uso
Classifica l'attributo in base al tipo di IOC:aggiungi il tag all'attributo.
Run On
Questa azione viene eseguita su tutte le entità.
Risultati dell'azione
Arricchimento delle entità
N/D
Approfondimenti
N/D
Risultato script
| Nome risultato script | Opzioni di valore | Esempio |
|---|---|---|
| is_success | Vero/Falso | is_success:False |
Risultato JSON
[
{
"name": "Global tag unique___test(7) successfully attached to Attribute(9).",
"message": "Global tag unique___test(7) successfully attached to Attribute(9).",
"url": "/tags/attachTagToObject"
}
]
Rimuovere un tag da un attributo
Descrizione
Rimuovi i tag dagli attributi in MISP.
Parametri
| Nome visualizzato del parametro | Tipo | Valore predefinito | È obbligatorio | Descrizione |
|---|---|---|---|---|
| ID evento | Stringa | N/D | No | Specifica l'ID o l'UUID dell'evento in cui cercare gli attributi. Questo parametro è obbligatorio se "Ricerca attributi" è impostato su "Evento fornito". |
| Nome tag | CSV | N/D | Sì | Specifica un elenco separato da virgole di tag da rimuovere dagli attributi. |
| Nome attributo | CSV | N/D | No | Specifica un elenco separato da virgole di identificatori di attributi da cui vuoi rimuovere i tag. |
| Categoria | CSV | N/D | No | Specifica un elenco di categorie separate da virgole. Se specificata, l'azione rimuoverà i tag solo dagli attributi con categoria corrispondente. Se non viene specificato nulla, l'azione ignorerà le categorie negli attributi. |
| Tipo | CSV | N/D | No | Specifica un elenco separato da virgole dei tipi di attributo. Se specificata, l'azione rimuoverà i tag solo dagli attributi con un tipo di attributo corrispondente. Se non viene specificato nulla, l'azione ignorerà i tipi negli attributi. |
| UUID oggetto | CSV | N/D | Specifica l'UUID dell'oggetto che contiene l'attributo desiderato. | |
| Ricerca attributi | DDL | Evento fornito Valori possibili: Tutti gli eventi Evento fornito |
Sì | Specifica dove l'azione deve cercare gli attributi. Se è selezionata l'opzione "Evento fornito", l'azione cercherà gli attributi o gli UUID attributo solo nell'evento con ID/UUID fornito nel parametro "ID evento". Se selezioni "Tutti gli eventi", l'azione cercherà gli attributi tra tutti gli eventi e rimuoverà i tag da tutti gli attributi che corrispondono ai nostri criteri. |
| UUID attributo | CSV | Specifica un elenco separato da virgole di UUID degli attributi da cui vuoi rimuovere i nuovi tag. Nota: se vengono specificati sia "Nome attributo" sia "UUID attributo", l'azione funzionerà con i valori di "UUID attributo". |
Casi d'uso
Riclassifica attributo:rimuovi il tag per la riclassificazione
Run On
Questa azione viene eseguita su tutte le entità.
Risultati dell'azione
Risultato script
| Nome risultato script | Opzioni di valore | Esempio |
|---|---|---|
| is_success | Vero/Falso | is_success:False |
Risultato JSON
[
{
"name": "Tag unique___test(7) successfully removed from Attribute(9).",
"message": "Tag unique___test(7) successfully removed from Attribute(9).",
"url": "/tags/removeTagFromObject"
}
]
Bacheca casi
| Tipo di risultato | Valore/Descrizione | Tipo> |
|---|---|---|
| Messaggio di output* | Se i tag sono stati rimossi correttamente da almeno un attributo: "I tag sono stati rimossi correttamente dai seguenti attributi in MISP:\n{0}".format(nome dell'attributo/UUID dell'oggetto) if not successfully removed tags from at least one attribute: "Action didn't removed tags from the following attributes in MISP:\n{0}".format(attribute name/object UUID) Se non è andata a buon fine per tutti: "Nessun tag è stato rimosso dagli attributi forniti in MISP" Se non è stato trovato almeno un tag: "I seguenti tag non sono stati trovati in MISP: \n{0}".format(elenco dei tag non trovati in MISP) Se non sono stati trovati tutti i tag: "Nessuno dei tag forniti è stato trovato in MISP." Errore critico (azione non riuscita) "Errore durante l'esecuzione dell'azione "Rimuovi tag da un attributo". Motivo: {0}".format(stacktrace) Se viene specificato un parametro non valido in "Categoria" (azione non riuscita): "Errore durante l'esecuzione dell'azione "Rimuovi tag da un attributo". Motivo: è stato fornito un valore non valido per il parametro "Categoria". Valori accettabili: External Analysis, Payload Delivery, Artifacts Dropped, Payload Installation". Se è selezionato "Evento fornito", ma non è selezionato l'ID evento: "Errore durante l'esecuzione dell'azione "Rimuovi tag da un attributo". Motivo: l'ID evento deve essere fornito se è selezionato"Evento fornito " per il parametro"Ricerca attributi". ID evento non trovato (azione non riuscita) "Errore durante l'esecuzione dell'azione "Rimuovi tag da un attributo". Motivo: evento con {0} {1} non trovato in MISP".format(ID/UUID, event_id) |
Generale |
Pubblica evento
Descrizione
L'azione consente all'utente di pubblicare un evento. La pubblicazione di un evento lo condivide con il gruppo di condivisione selezionato, rendendolo visibile a tutti i membri.
Parametri
| Nome visualizzato del parametro | Tipo | Valore predefinito | È obbligatorio | Descrizione |
|---|---|---|---|---|
| ID evento | Stringa | N/D | Sì | Specifica l'ID o l'UUID dell'evento che vuoi pubblicare. |
Casi d'uso
Pubblicare un evento:
- Crea legami
- Aggiungere attributi evento
- Pubblica evento
Risultati dell'azione
Risultato script
| Nome risultato script | Opzioni di valore | Esempio |
|---|---|---|
| is_success | Vero/Falso | is_success:False |
Risultato JSON
[
{
"Event": {
"id": "3",
"orgc_id": "1",
"org_id": "1",
"date": "2019-12-27",
"threat_level_id": "1",
"info": "Connection to .ch",
"published": true,
"uuid": "5e05dd29-7b90-474d-b5f6-51ae0a00024b",
"attribute_count": "0",
"analysis": "1",
"timestamp": "1577774920",
"distribution": "3",
"proposal_email_lock": false,
"locked": false,
"publish_timestamp": "1577774846",
"sharing_group_id": "0",
"disable_correlation": false,
"extends_uuid": "5e05db24-1e98-4bb9-bd56-51fd0a00024b",
"event_creator_email": "admin@admin.test",
"Org": {
"id": "1",
"name": "ORGNAME",
"uuid": "5dfc9b8f-c320-4b6d-ac1c-4f4e8bdc3fef",
"local": true
},
"Orgc": {
"id": "1",
"name": "ORGNAME",
"uuid": "5dfc9b8f-c320-4b6d-ac1c-4f4e8bdc3fef",
"local": true
},
"Attribute": [],
"ShadowAttribute": [],
"RelatedEvent": [],
"Galaxy": [],
"Object": [],
"Tag": [
{
"id": "7",
"name": "unique___test",
"colour": "#9648c4",
"exportable": true,
"user_id": "0",
"hide_tag": false,
"numerical_value": null,
"local": 0
}
]
}
}
]
Bacheca casi
| Tipo di risultato | Valore/Descrizione | Tipo |
|---|---|---|
| Messaggio di output* | In caso di esito positivo: "Evento pubblicato correttamente con {0} {1} in MISP.".format(ID/UUID, event_id) Se l'operazione non va a buon fine: "Event with {0} {1} was not published in MISP".format(ID/UUID, event_id) Errore critico (azione non riuscita) "Errore durante l'esecuzione dell'azione "Pubblica evento". Motivo: {0}".format(stacktrace) Event ID is not found (fail action) "Error executing action "Publish Event". Motivo: evento con {0} {1} non trovato in MISP".format(ID/UUID, event_id) |
Generale |
Annulla pubblicazione evento
Descrizione
L'azione consente all'utente di annullare la pubblicazione di un evento. La pubblicazione di un evento impedisce che sia visibile ai gruppi condivisi.
Parametri
| Nome visualizzato del parametro | Tipo | Valore predefinito | È obbligatorio | Descrizione |
|---|---|---|---|---|
| ID evento | Stringa | N/D | Sì | Specifica l'ID o l'UUID dell'evento di cui vuoi annullare la pubblicazione. |
Risultati dell'azione
Risultato script
| Nome risultato script | Opzioni di valore | Esempio |
|---|---|---|
| is_success | Vero/Falso | is_success:False |
Risultato JSON
[
{
"Event": {
"id": "3",
"orgc_id": "1",
"org_id": "1",
"date": "2019-12-27",
"threat_level_id": "1",
"info": "Connection to .ch",
"published": false,
"uuid": "5e05dd29-7b90-474d-b5f6-51ae0a00024b",
"attribute_count": "0",
"analysis": "1",
"timestamp": "1577774920",
"distribution": "3",
"proposal_email_lock": false,
"locked": false,
"publish_timestamp": "1577774846",
"sharing_group_id": "0",
"disable_correlation": false,
"extends_uuid": "5e05db24-1e98-4bb9-bd56-51fd0a00024b",
"event_creator_email": "admin@admin.test",
"Org": {
"id": "1",
"name": "ORGNAME",
"uuid": "5dfc9b8f-c320-4b6d-ac1c-4f4e8bdc3fef",
"local": true
},
"Orgc": {
"id": "1",
"name": "ORGNAME",
"uuid": "5dfc9b8f-c320-4b6d-ac1c-4f4e8bdc3fef",
"local": true
},
"Attribute": [],
"ShadowAttribute": [],
"RelatedEvent": [],
"Galaxy": [],
"Object": [],
"Tag": [
{
"id": "7",
"name": "unique___test",
"colour": "#9648c4",
"exportable": true,
"user_id": "0",
"hide_tag": false,
"numerical_value": null,
"local": 0
}
]
}
}
]
Bacheca casi
| Tipo di risultato | Valore/Descrizione | Tipo |
|---|---|---|
| Messaggio di output* | In caso di esito positivo: "Successfully unpublished event with {0} {1} in MISP.".format(ID/UUID, event_id) In caso di esito negativo: "Event with {0} {1} was not unpublished in MISP".format(ID/UUID, event_id) Errore critico (azione non riuscita) "Errore durante l'esecuzione dell'azione "Annulla pubblicazione evento". Motivo: {0}".format(stacktrace) L'ID evento non è stato trovato (azione non riuscita) "Errore durante l'esecuzione dell'azione "Annulla pubblicazione evento". Motivo: evento con {0} {1} non trovato in MISP".format(ID/UUID, event_id) |
Generale |
Eliminare un attributo
Descrizione
Elimina gli attributi in MISP. Hash supportati: MD5, SHA1, SHA224, SHA256, SHA384, SHA512, SSDeep.
Parametri
| Nome visualizzato del parametro | Tipo | Valore predefinito | È obbligatorio | Descrizione |
|---|---|---|---|---|
| ID evento | Stringa | N/D | No | Specifica l'ID o l'UUID dell'evento in cui cercare gli attributi. Questo parametro è obbligatorio se "Ricerca attributi" è impostato su "Evento fornito". |
| Nome attributo | CSV | N/D | No | Specifica un elenco separato da virgole degli identificatori degli attributi da eliminare. |
| Categoria | CSV | N/D | No | Specifica un elenco di categorie separate da virgole. Se specificata, l'azione eliminerà solo gli attributi che corrispondono alla categoria. Se non viene specificato nulla, l'azione ignorerà le categorie negli attributi. |
| Tipo | CSV | N/D | No | Specifica un elenco separato da virgole dei tipi di attributo. Se specificata, l'azione eliminerà solo gli attributi con tipo di attributo corrispondente. Se non viene specificato nulla, l'azione ignorerà i tipi negli attributi. |
| UUID oggetto | Stringa | N/D | No | L'identificatore univoco di un oggetto nell'evento. |
| Ricerca attributi | DDL | Evento fornito Valori possibili: Tutti gli eventi Evento fornito |
Sì | Specifica dove l'azione deve cercare gli attributi. Se è selezionata l'opzione "Evento fornito", l'azione cercherà gli attributi o gli UUID attributo solo nell'evento con ID/UUID fornito nel parametro "ID evento". Se selezioni "Tutti gli eventi", l'azione cercherà gli attributi tra tutti gli eventi ed eliminerà tutti gli attributi che corrispondono ai nostri criteri. |
| UUID attributo | CSV | Specifica un elenco separato da virgole di UUID degli attributi da eliminare. |
Casi d'uso
Rimuovere un attributo da un evento.
Run On
Questa azione viene eseguita su tutte le entità.
Risultati dell'azione
Risultato script
| Nome risultato script | Opzioni di valore | Esempio |
|---|---|---|
| is_success | Vero/Falso | is_success:False |
Risultato JSON
[
{
"message": "Attribute deleted."
}
]
Bacheca casi
| Tipo di risultato | Descrizione del valore | Tipo |
|---|---|---|
| Messaggio di output* | Se l'avvistamento è stato aggiunto correttamente ad almeno un attributo: "Successfully deleted the following attributes in MISP:\n{0}".format(attribute name/object UUID) se l'avvistamento non è stato aggiunto correttamente ad almeno un attributo: "L'azione non ha eliminato i seguenti attributi in MISP:\n{0}".format(nome attributo/UUID oggetto) Se l'operazione non è riuscita per tutti: "Nessun attributo è stato eliminato in MISP" Errore critico (azione non riuscita) "Errore durante l'esecuzione dell'azione "Elimina un attributo". Motivo: {0}".format(stacktrace) Se viene specificato un parametro non valido in "Categoria" (azione non riuscita): "Errore durante l'esecuzione dell'azione "Elimina un attributo". Motivo: è stato fornito un valore non valido per il parametro "Categoria". Valori accettabili: External Analysis, Payload Delivery, Artifacts Dropped, Payload Installation". Se è selezionato "Evento fornito", ma non è selezionato l'ID evento: "Errore durante l'esecuzione dell'azione "Elimina un attributo". Motivo: l'ID evento deve essere fornito se è selezionato"Evento fornito " per il parametro"Ricerca attributi". ID evento non trovato (azione non riuscita) "Errore durante l'esecuzione dell'azione "Elimina un attributo". Motivo: evento con {0} {1} non trovato in MISP".format(ID/UUID, event_id) |
Generale |
Eliminare un evento
Descrizione
Elimina l'evento in MISP.
Parametri
| Nome visualizzato del parametro | Tipo | Valore predefinito | È obbligatorio | Descrizione |
|---|---|---|---|---|
| ID evento | Stringa | N/D | Sì | Specifica l'ID o l'UUID dell'evento da eliminare. |
Casi d'uso
Eliminare definitivamente un evento.
Run On
Questa azione viene eseguita sull'entità Utente.
Risultati dell'azione
Risultato script
| Nome risultato script | Opzioni di valore | Esempio |
|---|---|---|
| is_success | Vero/Falso | is_success:False |
Risultato JSON
[
{
"name": "Event deleted.",
"message": "Event deleted.",
"url": "/events/delete/4"
}
]
Bacheca casi
| Tipo di risultato | Descrizione del valore | Tipo |
|---|---|---|
| Messaggio di output* | In caso di esito positivo: "Successfully deleted event with {0} {1} in MISP".format(ID/UUID, event_id) Errore critico (azione non riuscita) "Errore durante l'esecuzione dell'azione "Elimina un evento". Motivo: {0}".format(traceback) ID evento non trovato (azione non riuscita) "Errore durante l'esecuzione dell'azione "Elimina un evento". Motivo: evento con {0} {1} non trovato in MISP".format(ID/UUID, event_id) |
Generale |
Crea oggetto File Misp
Descrizione
L'azione consente all'utente di organizzare gli attributi dei file correlati a un evento in un unico oggetto che descrive un file con i relativi metadati. L'oggetto con gli attributi viene quindi allegato a un evento specificato.
Parametri
| Nome visualizzato del parametro | Tipo | Valore predefinito | È obbligatorio | Descrizione |
|---|---|---|---|---|
| ID evento | Stringa | N/D | Sì | L'identificatore univoco dell'evento a cui aggiungere l'oggetto. Esempio: 1 |
| Nome del file | Stringa | N/D | No | Il nome del file. |
| MD5 | Stringa | N/D | No | Il valore hash MD5 del file. |
| SHA1 | Stringa | N/D | No | Il valore hash SHA1 del file. |
| SHA256 | Stringa | N/D | No | Il valore hash SHA256 del file. |
| SSDEEP | Stringa | N/D | No | Il valore ssdeep del file Esempio: 96:p5aAS1tN0M3t9AnTNuG6TNOt5PR1TNZdkljOXTNSnKTF3X7KsTFW+kLtW6K8i7bI:p5mb4rgQhRp7GljCbF3LKqFjkwxtU |
| Imphash | Stringa | N/D | No | Il valore hash MD5 calcolato dalla tabella importata. |
Casi d'uso
N/D
Run On
Questa azione viene eseguita su tutte le entità.
Risultati dell'azione
Arricchimento delle entità
N/D
Approfondimenti
N/D
Risultato script
| Nome risultato script | Opzioni di valore | Esempio |
|---|---|---|
| is_success | Vero/Falso | is_success:False |
Risultato JSON
N/A
Crea oggetto Misp IP-Port
Descrizione
L'azione consente all'utente di organizzare gli attributi IP-porta correlati a un evento in un singolo oggetto che descrive un indirizzo IP (o un dominio o un nome host) e una porta visti come una tupla (o una tripla) in un periodo di tempo specifico . L'oggetto con gli attributi viene quindi allegato a un evento specificato.
Parametri
| Nome visualizzato del parametro | Tipo | Valore predefinito | È obbligatorio | Descrizione |
|---|---|---|---|---|
| ID evento | Stringa | N/D | Sì | L'identificatore univoco dell'evento a cui aggiungere l'oggetto. Esempio: 1 |
| Dst-port | Stringa | N/D | No | Porta di destinazione. |
| Src-port | Stringa | N/D | No | Porta di origine. |
| Dominio | Stringa | N/D | No | Domain (Gestisci dominio). |
| Nome host | Stringa | N/D | No | Nome host. |
| IP-Src | Stringa | N/D | No | Indirizzo IP di origine. |
| IP-Dst | Stringa | N/D | No | Indirizzo IP di destinazione. |
Casi d'uso
N/D
Run On
Questa azione viene eseguita su tutte le entità.
Risultati dell'azione
Arricchimento delle entità
N/D
Approfondimenti
N/D
Risultato script
| Nome risultato script | Opzioni di valore | Esempio |
|---|---|---|
| is_success | Vero/Falso | is_success:False |
Risultato JSON
N/A
Crea un oggetto Misp di connessione di rete
Descrizione
Crea un oggetto di connessione di rete in MISP. Richiede uno dei seguenti elementi: Dst-port, Src-port, IP-Src, IP-Dst da fornire o il parametro "Use Entities" impostato su true.
Parametri
| Nome visualizzato del parametro | Tipo | Valore predefinito | È obbligatorio | Descrizione |
|---|---|---|---|---|
| ID evento | Stringa | N/D | Sì | Specifica l'ID o l'UUID dell'evento a cui vuoi aggiungere oggetti di connessione di rete. |
| Dst-port | Stringa | N/D | No | Specifica la porta di destinazione che vuoi aggiungere all'evento. |
| Src-port | Stringa | N/D | No | Specifica la porta di origine che vuoi aggiungere all'evento. |
| Hostname-dst | Stringa | N/D | No | Specifica la destinazione di origine che vuoi aggiungere all'evento. |
| Hostname-src | Stringa | N/D | No | Specifica il nome host di origine che vuoi aggiungere all'evento. |
| IP-Src | Stringa | N/D | No | Specifica l'IP di origine che vuoi aggiungere all'evento. |
| IP-Dst | Stringa | N/D | No | Specifica l'IP di destinazione che vuoi aggiungere all'evento. |
| Layer3-protocol | Stringa | N/D | No | Specifica il protocollo di livello 3 correlato che vuoi aggiungere all'evento. |
| Layer4-protocol | Stringa | N/D | No | Specifica il protocollo di livello 4 correlato che vuoi aggiungere all'evento. |
| Layer7-protocol | Stringa | N/D | No | Specifica il protocollo di livello 7 correlato che vuoi aggiungere all'evento. |
| Utilizzare le entità | Casella di controllo | Deselezionata | No | Se questa opzione è abilitata, l'azione utilizzerà le entità per creare oggetti. Entità supportate: indirizzo IP. "Utilizza entità" ha la priorità sugli altri parametri. |
| Tipo di IP | DDL | IP di origine Valori possibili: IP di origine IP di destinazione |
Specifica il tipo di attributo da utilizzare con le entità IP. |
Run On
Questa azione viene eseguita su tutte le entità.
Risultati dell'azione
Risultato script
| Nome risultato script | Opzioni di valore | Esempio |
|---|---|---|
| is_success | Vero/Falso | is_success:False |
Risultato JSON
N/A
Bacheca casi
| Tipo di risultato | Descrizione del valore | Tipo |
|---|---|---|
| Messaggio di output* | Se l'operazione va a buon fine e "Use Entities" (Utilizza entità) non è vero: "Successfully created new network-connection object for event with {0} {1} in MISP.".format(ID/UUID, event_id) Se non ha esito positivo e "Use Entities" (Usa entità) non è vero: "Action wasn't able to created new network-connection object for event with {0} {1} in MISP. Motivo: {2}".format(ID/UUID) Se l'operazione è riuscita per uno e "Use Entities" è true: "Successfully created new network-connection objects for event with {0} {1} in MISP based on the following entities: \n{0}".format(ID/UUID, event_id, entity.identifiers) Se non è andato a buon fine per uno e "Use Entities" è true: "Action wasn't able to create new network-connection objects for event with {0} {1} in MISP based on the following entities: \n{0}".format(ID/UUID, event_id, entity.identifiers) Se non è andato a buon fine per tutti e "Use Entities" è true: "Action wasn't able to create new network-connection objects for event with {0} {1} in MISP based on the provided entities.".format(ID/UUID, event_id) Errore critico (azione non riuscita) "Error executing action "Create network-connection Misp Object". Motivo: {0}".format(stacktrace) ID evento non trovato (azione non riuscita) "Errore durante l'esecuzione dell'azione "Crea oggetto Misp di connessione di rete". Motivo: evento con {0} {1} non trovato in MISP".format(ID/UUID, event_id) Se non vengono forniti Dst-port, Src-port, IP-Src, IP-Dst e "Use Entities" == false: "Error executing action "Create network-connection Misp Object". Motivo: deve essere fornito uno dei seguenti parametri: "Dst-port", "Src-port", "IP-Src", "IP-Dst" oppure il parametro "Use Entities" deve essere impostato su true. |
Generale |
Crea oggetto Url Misp
Descrizione
Crea un oggetto URL in MISP. Richiede che venga fornito l'URL o che il parametro "Utilizza entità" sia impostato su true.
Parametri
| Nome visualizzato del parametro | Tipo | Valore predefinito | È obbligatorio | Descrizione |
|---|---|---|---|---|
| ID evento | Stringa | N/D | Sì | Specifica l'ID o l'UUID dell'evento a cui vuoi aggiungere oggetti URL. |
| URL | Stringa | N/D | No | Specifica l'URL che vuoi aggiungere all'evento. |
| Porta | Stringa | N/D | No | Specifica la porta che vuoi aggiungere all'evento. |
| Prima visualizzazione | Stringa | N/D | No | Specifica quando è stato visualizzato per la prima volta l'URL. |
| Ultima visualizzazione | Stringa | N/D | No | Specifica l'ultima volta che è stato visualizzato l'URL. |
| Dominio | Stringa | N/D | No | Specifica il dominio che vuoi aggiungere all'evento. |
| Testo | Stringa | N/D | No | Specifica il testo aggiuntivo che vuoi aggiungere all'evento. |
| IP | Stringa | N/D | No | Specifica l'IP che vuoi aggiungere all'evento. |
| Host | Stringa | N/D | No | Specifica l'host che vuoi aggiungere all'evento. |
| Utilizzare le entità | Casella di controllo | Deselezionata | Se questa opzione è abilitata, l'azione utilizzerà le entità per creare oggetti. Entità supportate: URL. "Utilizza entità" ha la priorità sugli altri parametri. |
Run On
Questa azione viene eseguita su tutte le entità.
Risultati dell'azione
Risultato script
| Nome risultato script | Opzioni di valore | Esempio |
|---|---|---|
| is_success | Vero/Falso | is_success:False |
Risultato JSON
N/A
Bacheca casi
| Tipo di risultato | Descrizione del valore | Tipo |
|---|---|---|
| Messaggio di output* | Se l'operazione è riuscita e "Usa entità" non è vero: "Successfully created new URL object for event with {0} {1} in MISP.".format(ID/UUID, event_id) Se non è andato a buon fine e "Use Entities" (Usa entità) non è true: "Action wasn't able to created URL object for event with {0} {1} in MISP. Motivo: {2}".format(ID/UUID) Se l'operazione ha esito positivo per uno e "Use Entities" (Utilizza entità) è true: "Successfully created new URL objects for event with {0} {1} in MISP based on the following entities: \n{0}".format(ID/UUID, event_id, entity.identifiers) Se non ha esito positivo per uno e "Use Entities" è true: "Action wasn't able to create new URL objects for event with {0} {1} in MISP based on the following entities: \n{0}".format(ID/UUID, event_id, entity.identifiers) Se non è andato a buon fine per tutti e "Use Entities" (Utilizza entità) è true: "Action wasn't able to create new URL objects for event with {0} {1} in MISP based on the provided entities.".format(ID/UUID, event_id) Errore critico (azione non riuscita) "Errore durante l'esecuzione dell'azione "Crea oggetto Misp URL". Motivo: {0}".format(stacktrace) ID evento non trovato (azione non riuscita) "Errore durante l'esecuzione dell'azione "Crea oggetto Misp URL". Motivo: evento con {0} {1} non trovato in MISP".format(ID/UUID, event_id) Se non viene fornito alcun URL e "Use Entities" (Utilizza entità) == false: "Error executing action "Create Url Misp Object". Motivo: è necessario fornire "URL" o impostare il parametro "Usa entità" su true. |
Generale |
Crea oggetto Virustotal-Report
Descrizione
Crea un oggetto report VirusTotal in MISP.
Parametri
| Nome visualizzato del parametro | Tipo | Valore predefinito | È obbligatorio | Descrizione |
|---|---|---|---|---|
| ID evento | Stringa | N/D | Sì | Specifica l'ID o l'UUID dell'evento a cui vuoi aggiungere oggetti URL. |
| Permalink | Stringa | N/D | Sì | Specifica il link al report VirusTotal che vuoi aggiungere all'evento. |
| Commento | Stringa | N/D | No | Specifica il commento che vuoi aggiungere all'evento. |
| Tasso di rilevamento | Stringa | N/D | No | Specifica il rapporto di rilevamento che vuoi aggiungere all'evento. |
| Punteggio della community | Stringa | N/D | No | Specifica il punteggio della community che vuoi aggiungere all'evento. |
| Primo invio | Stringa | N/D | No | Specifica il primo invio dell'evento. |
| Ultimo invio | Stringa | N/D | No | Specifica l'ultima invio dell'evento. |
Run On
Questa azione viene eseguita su tutte le entità.
Risultati dell'azione
Risultato script
| Nome risultato script | Opzioni di valore | Esempio |
|---|---|---|
| is_success | Vero/Falso | is_success:False |
Bacheca casi
| Tipo di risultato | Descrizione del valore | Tipo |
|---|---|---|
| Messaggio di output* | Se l'operazione va a buon fine: "Successfully created new Virustotal-Report object for event with {0} {1} in MISP.".format(ID/UUID, event_id) If not success : "Action wasn't able to created Virustotal-Report object for event with {0} {1} in MISP. Motivo: {2}".format(ID/UUID) Errore critico (azione non riuscita) "Errore durante l'esecuzione dell'azione "Crea oggetto Misp report VirusTotal". Motivo: {0}".format(stacktrace) ID evento non trovato (azione non riuscita) "Errore durante l'esecuzione dell'azione "Crea oggetto Misp report Virustotal". Motivo: evento con {0} {1} non trovato in MISP".format(ID/UUID, event_id) |
Generale |
Elenco degli oggetti evento
Descrizione
Recupera informazioni sugli oggetti disponibili nell'evento MISP.
Parametri
| Nome visualizzato del parametro | Tipo | Valore predefinito | È obbligatorio | Descrizione |
|---|---|---|---|---|
| ID evento | Stringa | N/D | Sì | Specifica un elenco separato da virgole di ID e UUID degli eventi per i quali vuoi recuperare i dettagli. |
| Numero massimo di oggetti da restituire | Numero intero | 50 | No | Specifica il numero di oggetti da restituire. |
Run On
Questa azione non viene eseguita sulle entità.
Risultati dell'azione
Risultato script
| Nome risultato script | Opzioni di valore | Esempio |
|---|---|---|
| is_success | Vero/Falso | is_success:False |
Risultato JSON
"Object": [
{
"id": "1",
"name": "ftm-Associate",
"meta-category": "followthemoney",
"description": "Non-family association between two people",
"template_uuid": "6119ecb3-dedd-44b6-b88f-174585b0b1bf",
"template_version": "1",
"event_id": "1",
"uuid": "2a3e260f-d3b2-4164-b2b1-2f6f5b559970",
"timestamp": "1594632232",
"distribution": "5",
"sharing_group_id": "0",
"comment": "",
"deleted": false,
"first_seen": null,
"last_seen": null,
"ObjectReference": [],
},
{
"id": "2",
"name": "ftm-Associate",
"meta-category": "followthemoney",
"description": "Non-family association between two people",
"template_uuid": "6119ecb3-dedd-44b6-b88f-174585b0b1bf",
"template_version": "1",
"event_id": "1",
"uuid": "800d8634-175a-4bc2-a4d7-aca200c8c132",
"timestamp": "1594632463",
"distribution": "5",
"sharing_group_id": "0",
"comment": "",
"deleted": false,
"first_seen": null,
"last_seen": null,
"ObjectReference": [],
}
Bacheca casi
| Tipo di risultato | Descrizione del valore | Tipo |
|---|---|---|
| Messaggio di output* | L'azione non deve non riuscire né interrompere l'esecuzione di un playbook: Se è stato trovato almeno un oggetto per un evento: "Successfully listed objects for the following events: \n{0}".format(event_ids) Se non è stato trovato l'evento con l'ID specificato (is_success = false): Se non viene trovato alcun oggetto per un evento: "L'azione non è riuscita a trovare oggetti per i seguenti eventi:\n {0}".format(event_ids) Se non viene trovato alcun oggetto per tutti gli eventi: "Non sono stati trovati oggetti per gli eventi forniti". L'azione deve non riuscire e interrompere l'esecuzione di un playbook: if fatal error, like wrong credentials, no connection to server, other: stampa "Error executing action "List Event Objects". Motivo: {0}''.format(error.Stacktrace) |
Generale |
| Tabella CSV | Nome tabella: Oggetti evento {0} Colonne della tabella:
|
Recupera i dettagli dell'evento
Descrizione
Recupera i dettagli sugli eventi in MISP.
Parametri
| Nome visualizzato del parametro | Tipo | È obbligatorio | Descrizione |
|---|---|---|---|
| ID evento | Stringa | Sì | Specifica un elenco separato da virgole di ID o UUID degli eventi per i quali vuoi recuperare i dettagli. |
| Restituisci informazioni sugli attributi | Casella di controllo | Selezionata | Se abilitata, l'azione creerà una tabella della bacheca dei casi per tutti gli attributi che fanno parte dell'evento. |
Run On
Questa azione non viene eseguita sulle entità.
Risultati dell'azione
Risultato script
| Nome risultato script | Opzioni di valore | Esempio |
|---|---|---|
| is_success | Vero/Falso | is_success:False |
Bacheca casi
| Tipo di risultato | Descrizione del valore | Tipo |
|---|---|---|
| Messaggio di output* | L'azione non deve non riuscire né interrompere l'esecuzione di un playbook: Se l'azione è stata completata correttamente per almeno uno degli ID forniti: Stampa "Successfully retrieved information for the following events: <>" (Informazioni recuperate correttamente per i seguenti eventi: <>) Se l'azione non è stata eseguita per almeno uno degli ID incidente forniti: Stampa "Impossibile recuperare le informazioni per i seguenti eventi: <> L'azione deve non riuscire e interrompere l'esecuzione di un playbook: L'azione deve non riuscire e interrompere l'esecuzione di un playbook: if fatal error, like wrong credentials, no connection to server, other: stampa "Error executing action "List Event Objects". Motivo: {0}''.format(error.Stacktrace) |
Generale |
| Tabella CSV | Nome tabella:Dettagli attributi evento {0}".format(event_id) Colonne:
|
Elenca le occorrenze di un attributo
Descrizione
Elenca gli avvistamenti disponibili per gli attributi in MISP.
Parametri
search| Nome parametro | Tipo | Valore predefinito | Obbligatorio | Descrizione |
|---|---|---|---|---|
| Nome attributo | CSV | No | Specifica un elenco separato da virgole di identificatori di attributi per i quali vuoi elencare le visualizzazioni. Nota: se vengono specificati sia "Nome attributo" sia "UUID attributo", l'azione funzionerà con i valori di "UUID attributo". | |
| ID evento | Stringa | No | Specifica l'ID o l'UUID dell'evento in cui cercare gli attributi. Questo parametro è obbligatorio se "Ricerca attributi" è impostato su "Evento fornito". | |
| Categoria | CSV | No | Specifica un elenco di categorie separate da virgole. Se specificata, l'azione elencherà solo gli avvistamenti per gli attributi che hanno una categoria corrispondente. Se non viene specificato nulla, l'azione ignorerà le categorie negli attributi. Valori possibili: External Analysis, Payload Delivery, Artifacts Dropped, Payload Installation. | |
| Tipo | CSV | No | Specifica un elenco separato da virgole dei tipi di attributo. Se specificata, l'azione elencherà solo gli avvistamenti per gli attributi che hanno un tipo di attributo corrispondente. Se non viene specificato nulla, l'azione ignorerà i tipi negli attributi. Valori di esempio: md5, sha1, ip-src, ip-dst | |
| Ricerca attributi | DDL | Evento fornito Valori possibili: Tutti gli eventi |
Sì | Specifica dove l'azione deve cercare gli attributi. Se è selezionata l'opzione "Evento fornito", l'azione cercherà gli attributi o gli UUID attributo solo nell'evento con ID/UUID fornito nel parametro "ID evento". Se selezioni "Tutti gli eventi", l'azione cercherà gli attributi tra tutti gli eventi ed elencherà gli avvistamenti per tutti gli attributi che corrispondono ai nostri criteri. |
| UUID attributo | CSV | No | Specifica un elenco separato da virgole di UUID attributo per i quali vuoi elencare gli avvistamenti. Nota: se vengono specificati sia "Nome attributo" sia "UUID attributo", l'azione funzionerà con i valori di "UUID attributo". |
Risultati dell'azione
Risultato script
| Nome risultato script | Opzioni di valore | Esempio |
|---|---|---|
| is_success | Vero/Falso | is_success:False |
Bacheca casi
| Tipo di risultato | Valore/Descrizione | Tipo |
|---|---|---|
| Messaggio di output* | Se gli avvistamenti sono stati elencati correttamente in almeno un attributo: "Gli avvistamenti sono stati elencati correttamente per i seguenti attributi in MISP:\n{0}".format(nome attributo/UUID attributo) se non sono stati elencati correttamente gli avvistamenti per almeno un attributo: "L'azione non ha elencato gli avvistamenti per i seguenti attributi in MISP:\n{0}".format(nome attributo/UUID attributo) Se non è andata a buon fine per tutti gli avvistamenti o per nessuno degli attributi: "Non sono stati trovati avvistamenti per gli attributi forniti in MISP" Errore critico (azione non riuscita) "Errore durante l'esecuzione dell'azione "Elenca avvistamenti di un attributo". Motivo: {0}".format(stacktrace) Se viene specificato un parametro non valido in "Categoria" (azione non riuscita): "Errore durante l'esecuzione dell'azione "Elenca avvistamenti di un attributo". Motivo: è stato fornito un valore non valido per il parametro "Categoria". Valori accettabili: External Analysis, Payload Delivery, Artifacts Dropped, Payload Installation". Se è selezionato "Evento fornito", ma non è selezionato l'ID evento: "Errore durante l'esecuzione dell'azione "Elenca gli avvistamenti di un attributo". Motivo: l'ID evento deve essere fornito se è selezionato"Evento fornito " per il parametro"Ricerca attributi". |
Generale |
Impostare il flag IDS per un attributo
Descrizione
Imposta il flag IDS per gli attributi in MISP.
Parametri
searchsearch| Nome parametro | Tipo | Valore predefinito | Obbligatorio | Descrizione |
|---|---|---|---|---|
| Nome attributo | CSV | No | Specifica un elenco separato da virgole di identificatori di attributi per i quali vuoi impostare un flag IDS. Nota: se vengono specificati sia "Nome attributo" sia "UUID attributo", l'azione funzionerà con i valori di "UUID attributo". | |
| ID evento | Stringa | No | Specifica l'ID o l'UUID dell'evento in cui cercare gli attributi. Questo parametro è obbligatorio se "Ricerca attributi" è impostato su "Evento fornito". | |
| Categoria | CSV | No | Specifica un elenco di categorie separate da virgole. Se specificata, l'azione imposterà il flag IDS solo per gli attributi con una categoria corrispondente. Se non viene specificato nulla, l'azione ignorerà le categorie negli attributi. Valori possibili: External Analysis, Payload Delivery, Artifacts Dropped, Payload Installation. | |
| Tipo | CSV | No | Specifica un elenco separato da virgole dei tipi di attributo. Se specificata, l'azione imposterà il flag IDS solo per gli attributi che hanno un tipo di attributo corrispondente. Se non viene specificato nulla, l'azione ignorerà i tipi negli attributi. Valori di esempio: md5, sha1, ip-src, ip-dst | |
| Ricerca attributi | DDL | Evento fornito Valori possibili: Tutti gli eventi |
Sì | Specifica dove l'azione deve cercare gli attributi. Se è selezionata l'opzione "Evento fornito", l'azione cercherà gli attributi o gli UUID attributo solo nell'evento con ID/UUID fornito nel parametro "ID evento". Se selezioni "Tutti gli eventi", l'azione cercherà gli attributi tra tutti gli eventi e imposterà il flag IDS per tutti gli attributi che corrispondono ai nostri criteri. |
| UUID attributo | CSV | No | Specifica un elenco separato da virgole di UUID attributo per i quali vuoi impostare un flag IDS. |
Risultati dell'azione
Risultato script
| Nome risultato script | Opzioni di valore | Esempio |
|---|---|---|
| operazione riuscita | Vero/Falso | success:False |
Bacheca casi
| Tipo di risultato | Descrizione del valore | Tipo |
|---|---|---|
| Messaggio di output* | Se il flag IDS è stato aggiunto correttamente ad almeno un attributo: "Il flag IDS è stato impostato correttamente per i seguenti attributi in MISP:\n{0}".format(nome attributo/UUID oggetto) if not successfully added IDS flag to at least one attribute: "Action didn't set IDS flag for the following attributes in MISP:\n{0}".format(attribute name/object UUID) Se non ha esito positivo per tutti: "IDS flag was not set for the provided attributes in MISP" Errore critico (azione non riuscita) "Errore durante l'esecuzione dell'azione "Imposta flag ID per un attributo". Motivo: {0}".format(stacktrace) Se viene specificato un parametro non valido in "Categoria" (azione non riuscita): "Errore durante l'esecuzione dell'azione "Imposta flag ID per un attributo". Motivo: è stato fornito un valore non valido per il parametro "Categoria". Valori accettabili: External Analysis, Payload Delivery, Artifacts Dropped, Payload Installation". Se è selezionato "Evento fornito", ma non è selezionato l'ID evento: "Errore durante l'esecuzione dell'azione "Imposta flag ID per un attributo". Motivo: l'ID evento deve essere fornito se è selezionato"Evento fornito " per il parametro"Ricerca attributi". ID evento non trovato (azione non riuscita) "Errore durante l'esecuzione dell'azione "Imposta flag ID per un attributo". Motivo: evento con {0} {1} non trovato in MISP".format(ID/UUID, event_id) |
Generale |
Annullare il flag IDS per un attributo
Descrizione
Rimuovi il flag IDS per gli attributi in MISP.
Parametri
| Nome | Tipo | Valore predefinito | Obbligatorio | Descrizione |
|---|---|---|---|---|
| Nome attributo | CSV | No | Specifica un elenco separato da virgole di identificatori di attributi per i quali vuoi annullare un flag IDS. |
|
| ID evento | Stringa | No | Specifica l'ID o l'UUID dell'evento in cui cercare gli attributi. Questo parametro è obbligatorio se "Ricerca attributi" è impostato su "Evento fornito". | |
| Categoria | CSV | No | Specifica un elenco di categorie separate da virgole. Se specificata, l'azione annullerà il flag IDS solo per gli attributi che hanno una categoria corrispondente. Se non viene specificato nulla, l'azione ignorerà le categorie negli attributi. Valori possibili: External Analysis, Payload Delivery, Artifacts Dropped, Payload Installation. | |
| Tipo | CSV | No | Specifica un elenco separato da virgole dei tipi di attributo. Se specificata, l'azione annullerà il flag IDS solo per gli attributi che hanno un tipo di attributo corrispondente. Se non viene specificato nulla, l'azione ignorerà i tipi negli attributi. Valori di esempio: md5, sha1, ip-src, ip-dst | |
| Ricerca attributi | DDL | Evento fornito Valori possibili: Tutti gli eventi |
Vero | Specifica dove l'azione deve cercare gli attributi. Se è selezionata l'opzione "Evento fornito", l'azione cercherà gli attributi o gli UUID attributo solo nell'evento con ID/UUID fornito nel parametro "ID evento". Se selezioni "Tutti gli eventi", l'azione cercherà gli attributi tra tutti gli eventi e disattiverà il flag IDS per tutti gli attributi che corrispondono ai nostri criteri. |
| UUID attributo | CSV | No | Specifica un elenco separato da virgole di UUID attributo per i quali vuoi annullare l'impostazione di un flag IDS. Nota: se vengono specificati sia "Nome attributo" sia "UUID attributo", l'azione funzionerà con i valori di "UUID attributo". |
Risultati dell'azione
Risultato script
| Nome risultato script | Opzioni di valore | Esempio |
|---|---|---|
| operazione riuscita | Vero/Falso | success:False |
Bacheca casi
| Tipo di risultato | Descrizione del valore | Tipo |
|---|---|---|
| Messaggio di output* | Se il flag IDS è stato rimosso correttamente da almeno un attributo: "Rimozione riuscita del flag IDS per i seguenti attributi in MISP:\n{0}".format(nome attributo/UUID oggetto) if not successfully removed IDS flag to at least one attribute: "Action didn't unset IDS flag for the following attributes in MISP:\n{0}".format(attribute name/object UUID) Se non ha esito positivo per tutti: "IDS flag was not unset for the provided attributes in MISP" Errore critico (azione non riuscita) "Errore durante l'esecuzione dell'azione "Annulla flag ID per un attributo". Motivo: {0}".format(stacktrace) Se viene specificato un parametro non valido in "Categoria" (azione non riuscita): "Errore durante l'esecuzione dell'azione "Rimuovi flag IDS per un attributo". Motivo: è stato fornito un valore non valido per il parametro "Categoria". Valori accettabili: External Analysis, Payload Delivery, Artifacts Dropped, Payload Installation". Se è selezionato "Evento fornito", ma non è selezionato l'ID evento: "Errore durante l'esecuzione dell'azione "Imposta il flag ID per un attributo". Motivo: l'ID evento deve essere fornito se è selezionato"Evento fornito " per il parametro"Ricerca attributi". ID evento non trovato (azione non riuscita) "Errore durante l'esecuzione dell'azione "Imposta il flag IDS per un attributo". Motivo: evento con {0} {1} non trovato in MISP".format(ID/UUID, event_id) |
Generale |
Connettore
MISP - Attributes Connector
Descrizione
Estrai gli attributi da MISP.
Configura il connettore MISP - Attributes su Google SecOps
Per istruzioni dettagliate su come configurare un connettore in Google SecOps, vedi Configurazione del connettore.
Parametri del connettore
Utilizza i seguenti parametri per configurare il connettore:
| Nome parametro | Tipo | Valore predefinito | È obbligatorio | Descrizione |
|---|---|---|---|---|
| DeviceProductField | Stringa | Nome prodotto | Sì | Inserisci il nome del campo di origine per recuperare il nome del campo prodotto. |
| EventClassId | Stringa | alertType | Sì | Inserisci il nome del campo di origine per recuperare il nome del campo evento. |
| PythonProcessTimeout | Numero intero | 180 | Sì | Limite di timeout per il processo Python che esegue lo script corrente. |
| Root API | Stringa | N/D | Sì | Radice API per l'account MISP. |
| Chiave API | Password | Sì | Chiave API dell'account MISP. | |
| Recupero ore massime a ritroso | Numero intero | 1 | No | Numero di ore da cui recuperare gli attributi. |
| Max Attributes Per Cycle | Numero intero | 50 | Sì | Numero di attributi da elaborare per un'iterazione del connettore. |
| Livello di minaccia più basso da recuperare | Numero intero | 1 | Sì | La gravità minima che verrà utilizzata per recuperare gli avvisi. Valori possibili: 1-4. |
| Filtro del tipo di attributo | Stringa | No | Filtra gli attributi in base al tipo, separati da virgole. Se forniti, verranno elaborati solo gli attributi con tipo consentito. | |
| Filtro per categoria | Stringa | No | Filtra gli attributi in base alla categoria, separati da virgole. Se forniti, verranno elaborati solo gli attributi con la categoria consentita. | |
| Filtro Galaxy | Stringa | No | Filtra gli attributi in base alla galassia dell'evento principale, separati da virgole. Se forniti, verranno elaborati solo gli attributi appartenenti a un evento con una galassia autorizzata. | |
| Verifica SSL | Casella di controllo | Sì | Se abilitato, verifica che il certificato SSL per la connessione al server CheckPoint Cloud Guard sia valido. | |
| Nome campo ambiente | Stringa | No | Descrive il nome del campo in cui è memorizzato il nome dell'ambiente. Se il campo dell'ambiente non viene trovato, l'ambiente è quello predefinito. | |
| Pattern regex ambiente | Stringa | .* | No | Un pattern regex da eseguire sul valore trovato nel campo "Nome campo ambiente". Il valore predefinito è .* per acquisire tutto e restituire il valore invariato. Utilizzato per consentire all'utente di manipolare il campo dell'ambiente tramite la logica delle espressioni regolari. Se il pattern regex è null o vuoto oppure il valore dell'ambiente è null, il risultato finale dell'ambiente è l'ambiente predefinito. |
| Indirizzo del server proxy | Stringa | No | L'indirizzo del server proxy da utilizzare. | |
| Nome utente proxy | Stringa | No | Il nome utente del proxy con cui eseguire l'autenticazione. | |
| Password proxy | Password | No | La password del proxy per l'autenticazione. |
Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.