MISP
統合バージョン: 31.0
Google Security Operations と連携するように MISP 統合を構成する
CA 証明書を使用して MISP 統合を構成する
必要に応じて、CA 証明書ファイルを使用して接続を確認できます。
始める前に、次のものが揃っていることを確認してください。
- CA 証明書ファイル
- 最新の MISP 統合バージョン
CA 証明書を使用して統合を構成するには、次の操作を行います。
- CA 証明書ファイルを Base64 文字列に解析します。
- インテグレーション構成パラメータのページを開きます。
- 文字列を [CA 証明書ファイル] フィールドに挿入します。
- 統合が正常に構成されていることをテストするには、[SSL を検証] チェックボックスをオンにして、[テスト] をクリックします。
自動化キー
認証は、MISP UI で利用可能な安全なキーを介して行われます。API キーは、自動化のイベント アクション メニューで確認できます。
Google SecOps で MISP 統合を構成する
Google SecOps で統合を構成する方法について詳しくは、統合を構成するをご覧ください。
統合のパラメータ
次のパラメータを使用して統合を構成します。
| パラメータの表示名 | 種類 | デフォルト値 | 必須 | 説明 |
|---|---|---|---|---|
| インスタンス名 | 文字列 | なし | いいえ | 統合を構成するインスタンスの名前。 |
| 説明 | 文字列 | なし | いいえ | インスタンスの説明。 |
| API ルート | https://<IP> | はい | MISP インスタンスのアドレス。 | |
| API キー | 文字列 | なし | はい | MISP のコンソールで生成されます。 |
| Use SSL | チェックボックス | オフ | いいえ | MISP 接続で SSL の検証が必要な場合は、このチェックボックスをオンにします(デフォルトではオフになっています)。 |
| リモートで実行 | チェックボックス | オフ | いいえ | 構成した統合をリモートで実行するには、フィールドのチェックボックスをオンにします。オンにすると、リモート ユーザー(エージェント)を選択するオプションが表示されます。 |
操作
属性を追加
説明
エンティティを MISP イベントの属性として追加します。
パラメータ
| パラメータの表示名 | 種類 | デフォルト値 | 必須 | 説明 |
|---|---|---|---|---|
| イベント ID | 文字列 | なし | はい | イベントの ID。 |
| カテゴリ | 文字列 | 外部分析 | いいえ | 属性のカテゴリ。デフォルト: 外部分析。 |
| 分布 | 文字列 | 1 | いいえ | 属性の分布。デフォルト: 1。 |
| 侵入検知システムの場合 | チェックボックス | オフ | いいえ | 属性が侵入検知システムに使用されるかどうか。デフォルトは false です。 |
| コメント | 文字列 | なし | いいえ | 属性に追加するコメント。 |
ユースケース
なし
実行
このアクションは次のエンティティに対して実行されます。
- URL
- ホスト名
- IP アドレス
- Filehash
アクションの結果
エンティティ拡充
なし
分析情報
なし
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| success | True/False | success:False |
JSON の結果
N/A
予定を作成
説明
新しい MISP イベントを作成します。
既知の制限事項
現在、MISP API では、イベントの作成時にすぐに公開することはできません。まずイベントを作成してから、[Publish Event] アクションを使用する必要があります。
パラメータ
| パラメータの表示名 | 種類 | デフォルト値 | 必須 | 説明 |
|---|---|---|---|---|
| イベント名 | 文字列 | なし | はい | イベントの名前。 |
| 脅威レベル | 文字列 | 0 | いいえ | イベントの脅威レベル。デフォルト: 0。 |
| 分布 | 文字列 | 1 | いいえ | 属性の分布。デフォルト: 1。 |
| 分析 | 文字列 | 0 | いいえ | イベントの分析レベル [0 ~ 2]。デフォルト: 0。 |
| 公開 | チェックボックス | オン | いいえ | イベントを公開するかどうか。 |
| コメント | 文字列 | なし | いいえ | イベントのコメント。 |
実行
このアクションはすべてのエンティティに対して実行されます。
アクションの結果
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| event_id | なし | なし |
イベントにタグを追加する
説明
イベント アクションにタグを追加すると、ユーザーは MISP の特定のイベントにタグを追加できます。これにより、イベントに関連付けられた IOC によって引き起こされるセキュリティ脅威のカテゴリに基づいて、イベントに分類が追加されます。
パラメータ
| パラメータの表示名 | 種類 | デフォルト値 | 必須 | 説明 |
|---|---|---|---|---|
| イベント ID | 文字列 | なし | はい | タグを追加するイベントを指定する一意の識別子。 |
| タグ名 | 文字列 | なし | はい | イベントに追加するタグの名前。 |
ユースケース
イベントを分類する: タグを追加してイベントを更新します。
実行
このアクションはすべてのエンティティに対して実行されます。
アクションの結果
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON の結果
[
{
"saved": true,
"success": "Tag(s) added.",
"check_publish": true
}
]
ファイルをダウンロード
説明
MISP でイベントに関連するファイルをダウンロードします。
パラメータ
| パラメータの表示名 | 種類 | デフォルト値 | 必須 | 説明 |
|---|---|---|---|---|
| イベント ID | 文字列 | なし | いいえ | ファイルをダウンロードするイベントの ID または UUID を指定します。 |
| ダウンロード フォルダ パス | 文字列 | なし | ファイルを保存するフォルダの絶対パスを指定します。何も指定されていない場合、アクションは代わりに添付ファイルを作成します。 |
|
| 上書き | チェックボックス | オフ | 有効にすると、アクションは既存のファイルを上書きします。 |
実行
このアクションは Filehash エンティティに対して実行されます。
アクションの結果
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| success | True/False | success:False |
JSON の結果
{
"absolute_paths": ["/etc/file1.txt", "/etc/file2.txt"]
}
ケースウォール
| 結果のタイプ | 値の説明 | タイプ |
|---|---|---|
| 出力メッセージ * | 成功した場合: 「MISP の {0} {1} のイベントから次のファイルが正常にダウンロードされました:\n{2}」.format(ID/UUID, event_id, result/filename from the response) ファイルが見つからなかった場合: 「MISP で {0} {1} のイベントのファイルが見つかりませんでした:\n{2}」.format(ID/UUID, event_id) [Download Folder Path] が指定されておらず、一部のファイルが添付ファイルのプラットフォームの上限を超えている場合: 「次のファイルは 3 MB の上限を超えているため、ダウンロードできませんでした: \n {0}。\n ダウンロードするには、パラメータ「ダウンロード フォルダのパス」でフォルダのパスを指定してください。」(result/filename) 重大なエラー(アクションの失敗)「アクション「ファイルをダウンロード」の実行中にエラーが発生しました。理由: {0}」.format(stacktrace) イベント ID が見つからない(アクションが失敗)「"ファイルをダウンロード" アクションの実行中にエラーが発生しました。理由: MISP で {0} {1} のイベントが見つかりませんでした」.format(ID/UUID, event_id) 上書きが false で、ファイルのいずれかがすでに存在する場合: 「"ファイルをダウンロード" アクションの実行中にエラーが発生しました。理由: 次のファイルはすでに存在します: {0}。削除するか、パラメータ「上書き」を true に設定してください。」.format(ファイルの絶対パス) |
全般 |
エンティティの拡充
説明
MISP の属性に基づいてエンティティを拡充します。
パラメータ
| パラメータの表示名 | 種類 | デフォルト値 | 説明 |
|---|---|---|---|
| 返す属性の数 | 文字列 | なし | エンティティに対して返される属性の数を指定します。 |
| フィルタリング条件 | アクションのフィルタリング条件を指定します。[Last] が選択されている場合、アクションでは最も古い属性が拡充に使用されます。[First] が選択されている場合、アクションでは最も新しい属性が拡充に使用されます。 | ||
| 脅威レベルのしきい値 | DDL | 低 有効な値: 高 中 低 未定義 |
エンティティが検出されたイベントの脅威レベルのしきい値を指定します。関連するイベントがしきい値を超えているか、しきい値と一致する場合、エンティティは不審としてマークされます。 |
| 属性検索の上限 | Integer | 50 | エンティティごとに検索する属性の数を指定します。このパラメータは、拡充のために選択される属性に影響します。デフォルト: 50。 |
実行
このアクションは次のエンティティに対して実行されます。
- URL
- ホスト名
- IP アドレス
- Filehash
アクションの結果
エンティティ拡充
イベントの脅威レベルが 0 を超えると、エンティティは不審としてマークされます。それ以外の場合: False
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| success | True/False | success:False |
JSON の結果
[
{
"EntityResult": [
{
"Event":
{
"orgc_id": "1",
"ShadowAttribute": [],
"id": "3",
"threat_level_id": "3",
"event_creator_email": "john_doe@example.com",
"uuid": "5c5bff1b-a414-4a83-8755-035f0a000016",
"Object": [],
"Orgc": {
"uuid": "5c5ac66e-3884-4031-afd7-46f5bb9ebcaa",
"name": "ORGNAME",
"id": "1"
},
"Org": {
"uuid": "5c5ac66e-3884-4031-afd7-46f5bb9ebcaa",
"name": "ORGNAME",
"id": "1"
},
"RelatedEvent": [],
"sharing_group_id": "0",
"timestamp": "1549533154",
"date": "2019-02-07",
"disable_correlation": "False",
"info": "Test event",
"locked": "False",
"publish_timestamp": "1549533214",
"Attribute": [
{
"category": "Network activity",
"comment": " ",
"uuid": "5c5bffe2-9298-4098-ae31-035d0a000016",
"deleted": "False",
"timestamp": "1549533154",
"to_ids": "False",
"distribution": "3",
"object_id": "0",
"event_id": "3",
"ShadowAttribute": [],
"sharing_group_id": "0",
"value": "1.1.1.1",
"disable_correlation": "False",
"object_relation": "None",
"type": "ip-src",
"id": "1",
"Galaxy": []
}],
"attribute_count": "1",
"org_id": "1",
"analysis": "2",
"extends_uuid": " ",
"published": "True",
"distribution": "3",
"proposal_email_lock": "False",
"Galaxy": []
}}],
"Entity": "1.1.1.1"
}
]
ケースウォール
| 結果のタイプ | 値の説明 | タイプ |
|---|---|---|
| 出力メッセージ * | 見つかった属性の場合(is_success=true): 「MISP を使用して次のエンティティを拡充しました: \n{0}」.format(entity.identifier) 見つからなかった属性の場合(is_success=true)「アクションは、MISP を使用して次のエンティティを拡充できませんでした: \n{0}」.format(entity.identifier) すべての属性が見つからなかった場合(is_success=false)「MISP を使用して拡充されたエンティティはありません」 属性が疑わしい場合(is_success=true)「次の属性は MISP を使用して疑わしいとマークされました: \n {0}」.format(entity.identifier) |
全般 |
| CSV テーブル | テーブル列:
|
関連イベントを取得する
説明
MISP のエンティティに関連するイベントに関する情報を取得します。
パラメータ
| パラメータの表示名 | 種類 | デフォルト値 | 説明 |
|---|---|---|---|
| 不審としてマーク | チェックボックス | オン | 有効の場合、関連するイベントが 1 つ以上ある場合に、アクションはエンティティを不審としてマークします。 |
実行
このアクションは次のエンティティに対して実行されます。
- URL
- ホスト名
- IP アドレス
- Filehash
アクションの結果
エンティティ拡充
関連するイベントの記録がある場合は、エンティティが不審としてマークされます。それ以外の場合は False。
| 拡充フィールド名 | ロジック - 適用するタイミング |
|---|---|
| イベント | JSON の結果に存在する場合に返す |
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| success | True/False | success:False |
JSON の結果
[
{
"EntityResult": [
{
"Event":
{
"orgc_id": "1",
"ShadowAttribute": [],
"id": "3",
"threat_level_id": "3",
"event_creator_email": "john_doe@example.com",
"uuid": "5c5bff1b-a414-4a83-8755-035f0a000016",
"Object": [],
"Orgc": {
"uuid": "5c5ac66e-3884-4031-afd7-46f5bb9ebcaa",
"name": "ORGNAME",
"id": "1"
},
"Org": {
"uuid": "5c5ac66e-3884-4031-afd7-46f5bb9ebcaa",
"name": "ORGNAME",
"id": "1"
},
"RelatedEvent": [],
"sharing_group_id": "0",
"timestamp": "1549533154",
"date": "2019-02-07",
"disable_correlation": "False",
"info": "Test event",
"locked": "False",
"publish_timestamp": "1549533214",
"Attribute": [
{
"category": "Network activity",
"comment": " ",
"uuid": "5c5bffe2-9298-4098-ae31-035d0a000016",
"deleted": "False",
"timestamp": "1549533154",
"to_ids": "False",
"distribution": "3",
"object_id": "0",
"event_id": "3",
"ShadowAttribute": [],
"sharing_group_id": "0",
"value": "1.1.1.1",
"disable_correlation": "False",
"object_relation": "None",
"type": "ip-src",
"id": "1",
"Galaxy": []
}],
"attribute_count": "1",
"org_id": "1",
"analysis": "2",
"extends_uuid": " ",
"published": "True",
"distribution": "3",
"proposal_email_lock": "False",
"Galaxy": []
}}],
"Entity": "1.1.1.1"
}
]
ケースウォール
| 結果のタイプ | 値の説明 | タイプ |
|---|---|---|
| 出力メッセージ * | 少なくとも 1 つのエンティティに対して 1 つのイベントが見つかった場合: 「次のエンティティに関連するイベントに関する情報が正常に取得されました: \n{0}」.format(entity.identifier) 少なくとも 1 つのエンティティのイベントが見つからない場合: 「次のエンティティに関連するイベントに関する情報を取得できませんでした: \n{0}」.format(entity.identifier すべてのイベントがない場合: 「指定されたエンティティに関連するイベントが見つかりませんでした。」 |
全般 |
ファイルをアップロード
説明
ファイルを MISP イベントにアップロードします。
パラメータ
| Name | タイプ | デフォルト | 説明 |
|---|---|---|---|
| イベント ID | 文字列 | なし | このファイルをアップロードするイベントの ID または UUID を指定します。 |
| ファイルパス | 文字列 | なし | MISP にアップロードするファイルの絶対パスのカンマ区切りのリストを指定します。 |
| カテゴリ | アップロードしたファイルのカテゴリを指定します。有効な値: External Analysis、Payload Delivery、Artifacts Dropped、Payload Installation。 | ||
| 分布 | 文字列 | コミュニティ | アップロードしたファイルの配信を指定します。 |
| 脅威レベル | 文字列 | 高 | アップロードしたファイルの脅威レベルを指定します。 |
| 分析 | 文字列 | 初期 | イベントの分析を指定します。 |
| 情報 | 文字列 | なし | アップロードされたファイルに関するその他の情報を指定します。 |
| 侵入検知システムの場合 | チェックボックス | オフ | 有効にすると、アップロードされたファイルが侵入検知システムに使用されます。 |
| コメント | 文字列 | なし | アップロードしたファイルに関連する追加のコメントを指定します。 |
アクションの結果
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON の結果
{
"Event": {
"id": "106",
"orgc_id": "1",
"org_id": "1",
"date": "2021-01-15",
"threat_level_id": "1",
"info": "vanuhi 1015",
"published": false,
"uuid": "1cd22aa2-57e8-4fc8-bac6-721c1be2c27d",
"attribute_count": "10",
"analysis": "0",
"timestamp": "1610893968",
"distribution": "1",
"proposal_email_lock": false,
"locked": false,
"publish_timestamp": "0",
"sharing_group_id": "0",
"disable_correlation": false,
"extends_uuid": "",
"event_creator_email": "admin@admin.test",
"Org": {
"id": "1",
"name": "ORGNAME",
"uuid": "09b0dde1-2934-4310-a107-74b6f534f041",
"local": true
},
"Orgc": {
"id": "1",
"name": "ORGNAME",
"uuid": "09b0dde1-2934-4310-a107-74b6f534f041",
"local": true
},
"Attribute": [],
"ShadowAttribute": [],
"Object": [
{
"id": "446",
"name": "file",
"meta-category": "file",
"description": "File object describing a file with meta-information",
"template_uuid": "688c46fb-5edb-40a3-8273-1af7923e2215",
"template_version": "20",
"event_id": "106",
"uuid": "0188ba5d-68eb-4b5c-8e05-6fd49f8eee9a",
"timestamp": "1610691647",
"distribution": "1",
"sharing_group_id": "0",
"comment": "",
"deleted": false,
"first_seen": null,
"last_seen": null,
"ObjectReference": [],
"Attribute": [
{
"id": "1859",
"type": "malware-sample",
"category": "External analysis",
"to_ids": true,
"uuid": "7920cd28-5082-47ce-9c3e-3ccbd5dae138",
"event_id": "106",
"distribution": "1",
"timestamp": "1610703650",
"comment": "",
"sharing_group_id": "0",
"deleted": false,
"disable_correlation": false,
"object_id": "446",
"object_relation": "malware-sample",
"first_seen": null,
"last_seen": null,
"value": "vanuhi.txt|7bd55b0a276e076cbaf470e64359adb8",
"Galaxy": [],
"data": "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",
"ShadowAttribute": [],
"Sighting": [
{
"id": "1733",
"attribute_id": "1859",
"event_id": "106",
"org_id": "1",
"date_sighting": "1611207638",
"uuid": "feb085f1-1923-4327-a73d-b60a948377e4",
"source": "",
"type": "0",
"Organisation": {
"id": "1",
"uuid": "09b0dde1-2934-4310-a107-74b6f534f041",
"name": "ORGNAME"
},
"attribute_uuid": "7920cd28-5082-47ce-9c3e-3ccbd5dae138"
}
]
}
}
}
}
Case Wall
| 結果のタイプ | 値 / 説明 | 種類 |
|---|---|---|
| 出力メッセージ * | 1 つのエンティティで成功した場合:「指定されたファイルが MISP のイベント {0} に正常にアップロードされました」.format(event_id) 重大なエラー(アクションの失敗)「アクション「ファイルをアップロード」の実行中にエラーが発生しました。理由: {0}」.format(stacktrace) 「Distribution」に無効なパラメータが指定されている場合(アクションが失敗します): 「アクション「ファイルをアップロード」の実行中にエラーが発生しました。理由: パラメータ「分布」に無効な値が指定されました。指定できる数値: 0、1、2、3。使用可能な文字列: Organisation、Community、Connected、All」。 「脅威レベル」に無効なパラメータが指定されている場合(アクションが失敗した場合):「アクション「ファイルをアップロード」の実行エラー。理由: パラメータ「脅威レベル」に無効な値が指定されました。使用できる数値: 1、2、3、4。許容される文字列: High、Medium、Low、Undefined。 「カテゴリ」に無効なパラメータが指定されている場合(アクションが失敗する):「アクション「ファイルをアップロード」の実行エラー。理由: パラメータ「カテゴリ」に無効な値が指定されました。許容される値: External Analysis、Payload Delivery、Artifacts Dropped、Payload Installation」。 「分析」で無効なパラメータが指定されている場合(アクションが失敗した場合):「アクション「ファイルをアップロード」の実行エラー。理由: パラメータ「分析」に無効な値が指定されました。指定できる数値は 0、1、2 です。使用可能な文字列: Initial、Ongoing、Completed。 少なくとも 1 つのファイルが利用できない場合 「アクション「ファイルをアップロード」の実行中にエラーが発生しました。理由: 次のファイルにアクセスできませんでした。\n {0}".format(アクセスできなかったファイルパス) イベント ID が見つからない(アクションが失敗)「"ファイルをアップロード" アクションの実行中にエラーが発生しました。理由: MISP で {0} {1} のイベントが見つかりませんでした」.format(ID/UUID, event_id) |
全般 |
Ping
説明
接続をテストします。
パラメータ
なし
ユースケース
なし
実行
このアクションはすべてのエンティティに対して実行されます。
アクションの結果
エンティティ拡充
なし
分析情報
なし
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| success | True/False | success:False |
JSON の結果
N/A
イベントからタグを削除する
説明
MISP のイベントからタグを削除します。
パラメータ
| パラメータの表示名 | 種類 | デフォルト値 | 必須 | 説明 |
|---|---|---|---|---|
| イベント ID | 文字列 | なし | はい | タグを削除するイベントの ID または UUID を指定します。 |
| タグ名 | CSV | なし | はい | イベントから削除するタグのカンマ区切りのリストを指定します。 |
ユースケース
イベントの再分類: 再分類用のタグを削除します。
アクションの結果
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON の結果
[
{
"saved": true,
"success": "Tag removed.",
"check_publish": true
}
]
Case Wall
| 結果のタイプ | 値 / 説明 | 種類 |
|---|---|---|
| 出力メッセージ * | イベントからすべてのタグが正常に削除された場合: 「MISP の {0} {1} を含むイベントから次のタグを正常に削除しました: {2}。」.format(ID/UUID, event_id, tags) イベントから一部のタグを正常に削除できなかった場合: 「アクションは、MISP の {0} {1} のイベントから次のタグを削除できませんでした: {2}。」.format(ID/UUID, event_id, tags) すべてが成功しなかった場合: 「MISP の {0} {1} のイベントからタグは削除されませんでした」.format(ID/UUID, event_id) 少なくとも 1 つのタグが見つからなかった場合: 「次のタグが MISP で見つかりませんでした: \n{0}」.format(MISP で見つからなかったタグのリスト) すべてのタグが見つからなかった場合: 「指定されたタグが MISP で見つかりませんでした。」 重大なエラー(アクションの失敗)「アクション「イベントからタグを削除」の実行エラー。理由: {0}」.format(stacktrace) イベント ID が見つからない(アクションが失敗)「アクション「イベントからタグを削除する」の実行中にエラーが発生しました。理由: MISP で {0} {1} のイベントが見つかりませんでした」.format(ID/UUID, event_id) |
全般 |
属性にタグを追加する
説明
このアクションにより、ユーザーは MISP の特定の属性にタグを追加できます。これにより、属性内の IOC がもたらすセキュリティ脅威のカテゴリに基づいて、属性に分類が追加されます。
パラメータ
| パラメータの表示名 | 種類 | デフォルト値 | 必須 | 説明 |
|---|---|---|---|---|
| イベント ID | Integer | なし | はい | 属性が関連付けられているイベントの識別子。例: 1。 |
| タグ名 | 文字列 | なし | はい | 属性に追加するタグの名前。 |
| 属性名 | 文字列 | なし | はい | タグ付けする属性の名前識別子。 |
| カテゴリ | 文字列 | なし | はい | 属性が属するカテゴリ。例: ペイロード配信。 |
| タイプ | 文字列 | なし | はい | 属性のタイプ(ファイル名など)。 |
| オブジェクト UUID | 文字列 | なし | いいえ | イベント内のオブジェクトの一意の識別子。 |
ユースケース
IOC タイプに基づいて属性を分類する: 属性にタグを追加します。
実行
このアクションはすべてのエンティティに対して実行されます。
アクションの結果
エンティティ拡充
なし
分析情報
なし
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON の結果
[
{
"name": "Global tag unique___test(7) successfully attached to Attribute(9).",
"message": "Global tag unique___test(7) successfully attached to Attribute(9).",
"url": "/tags/attachTagToObject"
}
]
属性からタグを削除する
説明
MISP の属性からタグを削除します。
パラメータ
| パラメータの表示名 | 種類 | デフォルト値 | 必須 | 説明 |
|---|---|---|---|---|
| イベント ID | 文字列 | なし | いいえ | イベントの ID または UUID を指定します。属性を検索する場所を指定します。「属性検索」が「提供されたイベント」に設定されている場合、このパラメータは必須です。 |
| タグ名 | CSV | なし | はい | 属性から削除するタグのカンマ区切りのリストを指定します。 |
| 属性名 | CSV | なし | いいえ | タグを削除する属性 ID のカンマ区切りのリストを指定します。 |
| カテゴリ | CSV | なし | いいえ | カテゴリのカンマ区切りリストを指定します。指定した場合、アクションは一致するカテゴリを持つ属性からのみタグを削除します。何も指定しない場合、アクションは属性のカテゴリを無視します。 |
| タイプ | CSV | なし | いいえ | 属性タイプのカンマ区切りリストを指定します。指定した場合、アクションは一致する属性タイプを持つ属性からのみタグを削除します。何も指定しないと、アクションは属性のタイプを無視します。 |
| オブジェクト UUID | CSV | なし | 目的の属性を含むオブジェクトの UUID を指定します。 | |
| 属性検索 | DDL | 提供されたイベント 値は次のいずれかです。 すべての予定 提供されたイベント |
はい | アクションで属性を検索する場所を指定します。[Provided Event] を選択すると、アクションは [Event ID] パラメータで指定された ID/UUID を持つイベント内の属性または属性 UUID のみを検索します。[すべてのイベント] の場合、アクションはすべてのイベントから属性を検索し、条件に一致するすべての属性からタグを削除します。 |
| 属性 UUID | CSV | 新しいタグを削除する属性 UUID のカンマ区切りのリストを指定します。注: [属性名] と [属性 UUID] の両方が指定されている場合、アクションは [属性 UUID] の値で動作します。 |
ユースケース
属性の再分類: 再分類のタグを削除
実行
このアクションはすべてのエンティティに対して実行されます。
アクションの結果
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON の結果
[
{
"name": "Tag unique___test(7) successfully removed from Attribute(9).",
"message": "Tag unique___test(7) successfully removed from Attribute(9).",
"url": "/tags/removeTagFromObject"
}
]
Case Wall
| 結果のタイプ | 値 / 説明 | Type> |
|---|---|---|
| 出力メッセージ * | 少なくとも 1 つの属性からタグが正常に削除された場合: 「MISP の次の属性からタグが正常に削除されました:\n{0}」.format(属性名/オブジェクト UUID) 少なくとも 1 つの属性からタグが正常に削除されなかった場合: 「アクションでは、MISP の次の属性からタグを削除できませんでした:\n{0}」.format(属性名/オブジェクト UUID) すべてで成功しなかった場合: 「MISP で指定された属性からタグが削除されませんでした」 少なくとも 1 つのタグが見つからなかった場合: 「次のタグが MISP で見つかりませんでした: \n{0}」.format(MISP で見つからなかったタグのリスト) すべてのタグが見つからなかった場合: 「指定されたタグが MISP で見つかりませんでした。」 重大なエラー(アクションの失敗)「アクション「属性からタグを削除」の実行中にエラーが発生しました。理由: {0}」.format(stacktrace) 「カテゴリ」に無効なパラメータが指定されている場合(アクションが失敗した場合):「アクション「属性からタグを削除」の実行エラー。理由: パラメータ「カテゴリ」に無効な値が指定されました。許容される値: External Analysis、Payload Delivery、Artifacts Dropped、Payload Installation」。 [指定されたイベント] が選択されているが、イベント ID が選択されていない場合: 「アクション「属性からタグを削除」の実行エラー。理由: パラメータ「属性検索」で「提供されたイベント」が選択されている場合は、イベント ID を指定する必要があります。 イベント ID が見つからない(アクションが失敗)「アクション「属性からタグを削除」の実行中にエラーが発生しました。理由: MISP で {0} {1} のイベントが見つかりませんでした」.format(ID/UUID, event_id) |
全般 |
イベントを公開する
説明
このアクションを使用すると、ユーザーはイベントを公開できます。イベントを公開すると、選択した共有グループで共有され、すべてのメンバーに表示されます。
パラメータ
| パラメータの表示名 | 種類 | デフォルト値 | 必須 | 説明 |
|---|---|---|---|---|
| イベント ID | 文字列 | なし | はい | 公開するイベントの ID または UUID を指定します。 |
ユースケース
イベントを公開する:
- 偶数を作成
- イベント属性を追加する
- 予定を公開
アクションの結果
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON の結果
[
{
"Event": {
"id": "3",
"orgc_id": "1",
"org_id": "1",
"date": "2019-12-27",
"threat_level_id": "1",
"info": "Connection to .ch",
"published": true,
"uuid": "5e05dd29-7b90-474d-b5f6-51ae0a00024b",
"attribute_count": "0",
"analysis": "1",
"timestamp": "1577774920",
"distribution": "3",
"proposal_email_lock": false,
"locked": false,
"publish_timestamp": "1577774846",
"sharing_group_id": "0",
"disable_correlation": false,
"extends_uuid": "5e05db24-1e98-4bb9-bd56-51fd0a00024b",
"event_creator_email": "admin@admin.test",
"Org": {
"id": "1",
"name": "ORGNAME",
"uuid": "5dfc9b8f-c320-4b6d-ac1c-4f4e8bdc3fef",
"local": true
},
"Orgc": {
"id": "1",
"name": "ORGNAME",
"uuid": "5dfc9b8f-c320-4b6d-ac1c-4f4e8bdc3fef",
"local": true
},
"Attribute": [],
"ShadowAttribute": [],
"RelatedEvent": [],
"Galaxy": [],
"Object": [],
"Tag": [
{
"id": "7",
"name": "unique___test",
"colour": "#9648c4",
"exportable": true,
"user_id": "0",
"hide_tag": false,
"numerical_value": null,
"local": 0
}
]
}
}
]
Case Wall
| 結果のタイプ | 値 / 説明 | 種類 |
|---|---|---|
| 出力メッセージ * | 成功した場合: 「MISP で {0} {1} のイベントが正常に公開されました」.format(ID/UUID, event_id) 成功しなかった場合: 「{0} {1} のイベントは MISP に公開されませんでした」.format(ID/UUID, event_id) 重大なエラー(アクションの失敗) 「アクション「イベントを公開」の実行エラー。理由: {0}」.format(stacktrace) イベント ID が見つからない(アクションが失敗)「"イベントの公開"という操作の実行中にエラーが発生しました。理由: MISP で {0} {1} のイベントが見つかりませんでした」.format(ID/UUID, event_id) |
全般 |
イベントの公開を停止
説明
このアクションを使用すると、ユーザーはイベントの公開を停止できます。イベントの公開を停止すると、共有グループに表示されなくなります。
パラメータ
| パラメータの表示名 | 種類 | デフォルト値 | 必須 | 説明 |
|---|---|---|---|---|
| イベント ID | 文字列 | なし | はい | 非公開にするイベントの ID または UUID を指定します。 |
アクションの結果
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON の結果
[
{
"Event": {
"id": "3",
"orgc_id": "1",
"org_id": "1",
"date": "2019-12-27",
"threat_level_id": "1",
"info": "Connection to .ch",
"published": false,
"uuid": "5e05dd29-7b90-474d-b5f6-51ae0a00024b",
"attribute_count": "0",
"analysis": "1",
"timestamp": "1577774920",
"distribution": "3",
"proposal_email_lock": false,
"locked": false,
"publish_timestamp": "1577774846",
"sharing_group_id": "0",
"disable_correlation": false,
"extends_uuid": "5e05db24-1e98-4bb9-bd56-51fd0a00024b",
"event_creator_email": "admin@admin.test",
"Org": {
"id": "1",
"name": "ORGNAME",
"uuid": "5dfc9b8f-c320-4b6d-ac1c-4f4e8bdc3fef",
"local": true
},
"Orgc": {
"id": "1",
"name": "ORGNAME",
"uuid": "5dfc9b8f-c320-4b6d-ac1c-4f4e8bdc3fef",
"local": true
},
"Attribute": [],
"ShadowAttribute": [],
"RelatedEvent": [],
"Galaxy": [],
"Object": [],
"Tag": [
{
"id": "7",
"name": "unique___test",
"colour": "#9648c4",
"exportable": true,
"user_id": "0",
"hide_tag": false,
"numerical_value": null,
"local": 0
}
]
}
}
]
Case Wall
| 結果のタイプ | 値 / 説明 | 種類 |
|---|---|---|
| 出力メッセージ * | 成功した場合: 「MISP で {0} {1} のイベントの公開を正常に停止しました」.format(ID/UUID, event_id) 成功しなかった場合: 「{0} {1} のイベントは MISP で非公開になりませんでした」.format(ID/UUID, event_id) 重大なエラー(アクションの失敗)「アクション「イベントの非公開」の実行エラー。理由: {0}」.format(stacktrace) イベント ID が見つからない(アクションが失敗)「"イベントの非公開"という操作の実行中にエラーが発生しました。理由: MISP で {0} {1} のイベントが見つかりませんでした」.format(ID/UUID, event_id) |
全般 |
属性を削除する
説明
MISP で属性を削除します。サポートされているハッシュ: MD5、SHA1、SHA224、SHA256、SHA384、SHA512、SSDeep。
パラメータ
| パラメータの表示名 | 種類 | デフォルト値 | 必須 | 説明 |
|---|---|---|---|---|
| イベント ID | 文字列 | なし | いいえ | イベントの ID または UUID を指定します。属性を検索する場所を指定します。「属性検索」が「提供されたイベント」に設定されている場合、このパラメータは必須です。 |
| 属性名 | CSV | なし | いいえ | 削除する属性 ID のカンマ区切りのリストを指定します。 |
| カテゴリ | CSV | なし | いいえ | カテゴリのカンマ区切りリストを指定します。指定した場合、アクションは一致するカテゴリの属性のみを削除します。何も指定しない場合、アクションは属性のカテゴリを無視します。 |
| タイプ | CSV | なし | いいえ | 属性タイプのカンマ区切りリストを指定します。指定した場合、アクションは一致する属性タイプを持つ属性のみを削除します。何も指定しないと、アクションは属性のタイプを無視します。 |
| オブジェクト UUID | 文字列 | なし | いいえ | イベント内のオブジェクトの一意の識別子。 |
| 属性検索 | DDL | 提供されたイベント 値は次のいずれかです。 すべての予定 提供されたイベント |
はい | アクションで属性を検索する場所を指定します。[Provided Event] を選択すると、アクションは [Event ID] パラメータで指定された ID/UUID を持つイベント内の属性または属性 UUID のみを検索します。[すべてのイベント] の場合、アクションはすべてのイベントから属性を検索し、条件に一致するすべての属性を削除します。 |
| 属性 UUID | CSV | 削除する属性 UUID のカンマ区切りのリストを指定します。 |
ユースケース
イベントから属性を削除します。
実行
このアクションはすべてのエンティティに対して実行されます。
アクションの結果
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON の結果
[
{
"message": "Attribute deleted."
}
]
ケースウォール
| 結果のタイプ | 値の説明 | タイプ |
|---|---|---|
| 出力メッセージ * | 少なくとも 1 つの属性に Sighting が正常に追加された場合: 「MISP で次の属性が正常に削除されました:\n{0}」.format(属性名/オブジェクト UUID) 少なくとも 1 つの属性に Sighting を追加できなかった場合: 「アクションは MISP で次の属性を削除しませんでした:\n{0}」.format(属性名/オブジェクト UUID) すべてで成功しなかった場合: 「MISP で属性が削除されませんでした」 重大なエラー(アクションの失敗)「アクション「属性を削除」の実行エラー。理由: {0}」.format(stacktrace) 「カテゴリ」に無効なパラメータが指定されている場合(アクションが失敗した場合):「アクション「属性の削除」の実行エラー。理由: パラメータ「カテゴリ」に無効な値が指定されました。許容される値: External Analysis、Payload Delivery、Artifacts Dropped、Payload Installation」。 [提供されたイベント] が選択されているが、イベント ID が選択されていない場合: 「アクション「属性の削除」の実行エラー。理由: パラメータ「属性検索」で「提供されたイベント」が選択されている場合は、イベント ID を指定する必要があります。 イベント ID が見つからない(アクションが失敗)「アクション「属性の削除」の実行中にエラーが発生しました。理由: MISP で {0} {1} のイベントが見つかりませんでした」.format(ID/UUID, event_id) |
全般 |
イベントを削除する
説明
MISP でイベントを削除します。
パラメータ
| パラメータの表示名 | 種類 | デフォルト値 | 必須 | 説明 |
|---|---|---|---|---|
| イベント ID | 文字列 | なし | はい | 削除するイベントの ID または UUID を指定します。 |
ユースケース
予定を完全に削除します。
実行
このアクションはユーザー エンティティに対して実行されます。
アクションの結果
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON の結果
[
{
"name": "Event deleted.",
"message": "Event deleted.",
"url": "/events/delete/4"
}
]
ケースウォール
| 結果のタイプ | 値の説明 | タイプ |
|---|---|---|
| 出力メッセージ * | 成功した場合: 「MISP で {0} {1} のイベントが正常に削除されました」.format(ID/UUID, event_id) 重大なエラー(アクションの失敗)「アクション「イベントを削除」の実行エラー。理由: {0}」.format(traceback) イベント ID が見つからない(アクションが失敗)「アクション「イベントの削除」の実行中にエラーが発生しました。理由: MISP で {0} {1} のイベントが見つかりませんでした」.format(ID/UUID, event_id) |
全般 |
Create File Misp Object
説明
このアクションを使用すると、ユーザーはイベントに関連するファイル属性を、メタ情報を含むファイルを表す単一のオブジェクトに整理できます。属性を含むオブジェクトは、指定されたイベントに関連付けられます。
パラメータ
| パラメータの表示名 | 種類 | デフォルト値 | 必須 | 説明 |
|---|---|---|---|---|
| イベント ID | 文字列 | なし | はい | オブジェクトを追加するイベントの一意の識別子。例: 1 |
| ファイル名 | 文字列 | なし | いいえ | ファイルのファイル名。 |
| MD5 | 文字列 | なし | いいえ | ファイルの md5 ハッシュ値。 |
| SHA1 | 文字列 | なし | いいえ | ファイルの sha1 ハッシュ値。 |
| SHA256 | 文字列 | なし | いいえ | ファイルの sha256 ハッシュ値。 |
| SSDEEP | 文字列 | なし | いいえ | ファイルの ssdeep 値。例: 96:p5aAS1tN0M3t9AnTNuG6TNOt5PR1TNZdkljOXTNSnKTF3X7KsTFW+kLtW6K8i7bI:p5mb4rgQhRp7GljCbF3LKqFjkwxtU |
| Imphash | 文字列 | なし | いいえ | インポートされたテーブルから計算された MD5 ハッシュ値。 |
ユースケース
なし
実行
このアクションはすべてのエンティティに対して実行されます。
アクションの結果
エンティティ拡充
なし
分析情報
なし
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON の結果
N/A
IP-Port Misp オブジェクトを作成する
説明
このアクションにより、ユーザーはイベントに関連する IP ポート属性を、特定の期間にタプル(またはトリプル)として認識される IP アドレス(またはドメインまたはホスト名)とポートを記述する単一のオブジェクトに整理できます。属性を持つオブジェクトは、指定されたイベントに関連付けられます。
パラメータ
| パラメータの表示名 | 種類 | デフォルト値 | 必須 | 説明 |
|---|---|---|---|---|
| イベント ID | 文字列 | なし | はい | オブジェクトを追加するイベントの一意の識別子。例: 1 |
| 宛先ポート | 文字列 | なし | いいえ | 宛先ポート。 |
| Src-port | 文字列 | なし | いいえ | ソースポート。 |
| ドメイン | 文字列 | なし | いいえ | Domain] をクリックします。 |
| ホスト名 | 文字列 | なし | いいえ | ホスト名。 |
| IP-Src | 文字列 | なし | いいえ | 送信元 IP アドレス。 |
| IP-Dst | 文字列 | なし | いいえ | 宛先 IP アドレス。 |
ユースケース
なし
実行
このアクションはすべてのエンティティに対して実行されます。
アクションの結果
エンティティ拡充
なし
分析情報
なし
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON の結果
N/A
network-connection Misp オブジェクトを作成する
説明
MISP に network-connection オブジェクトを作成します。次のいずれかが必要です。Dst-port、Src-port、IP-Src、IP-Dst のいずれかが指定されているか、Use Entities パラメータが true に設定されている。
パラメータ
| パラメータの表示名 | 種類 | デフォルト値 | 必須 | 説明 |
|---|---|---|---|---|
| イベント ID | 文字列 | なし | はい | ネットワーク接続オブジェクトを追加するイベントの ID または UUID を指定します。 |
| 宛先ポート | 文字列 | なし | いいえ | イベントに追加する宛先ポートを指定します。 |
| Src-port | 文字列 | なし | いいえ | イベントに追加する送信元ポートを指定します。 |
| Hostname-dst | 文字列 | なし | いいえ | イベントに追加する送信元宛先を指定します。 |
| Hostname-src | 文字列 | なし | いいえ | イベントに追加する送信元ホスト名を指定します。 |
| IP-Src | 文字列 | なし | いいえ | イベントに追加する送信元 IP を指定します。 |
| IP-Dst | 文字列 | なし | いいえ | イベントに追加する宛先 IP を指定します。 |
| Layer3-protocol | 文字列 | なし | いいえ | イベントに追加する関連するレイヤ 3 プロトコルを指定します。 |
| Layer4-protocol | 文字列 | なし | いいえ | イベントに追加する関連するレイヤ 4 プロトコルを指定します。 |
| Layer7-protocol | 文字列 | なし | いいえ | イベントに追加する関連するレイヤ 7 プロトコルを指定します。 |
| エンティティを使用する | チェックボックス | オフ | いいえ | 有効にすると、アクションはエンティティを使用してオブジェクトを作成します。サポートされるエンティティ: IP アドレス。[エンティティを使用] は他のパラメータよりも優先されます。 |
| IP タイプ | DDL | ソース IP 値は次のいずれかです。 ソース IP 宛先 IP |
IP エンティティで使用する属性のタイプを指定します。 |
実行
このアクションはすべてのエンティティに対して実行されます。
アクションの結果
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON の結果
N/A
ケースウォール
| 結果のタイプ | 値の説明 | タイプ |
|---|---|---|
| 出力メッセージ * | 成功し、[エンティティを使用] が true でない場合: 「MISP で {0} {1} のイベントの新しいネットワーク接続オブジェクトが正常に作成されました。」.format(ID/UUID, event_id) 成功せず、[Use Entities] が true でない場合: 「アクションは、MISP で {0} {1} を含むイベントの新しいネットワーク接続オブジェクトを作成できませんでした。理由: {2}」.format(ID/UUID) 1 つ成功し、[エンティティを使用] が true の場合: 「次のエンティティに基づいて、MISP で {0} {1} を含むイベントの新しいネットワーク接続オブジェクトが正常に作成されました: \n{0}」.format(ID/UUID、event_id、entity.identifiers) 1 つが成功せず、[Use Entities] が true の場合: 「アクションは、次のエンティティに基づいて、MISP で {0} {1} のイベントの新しいネットワーク接続オブジェクトを作成できませんでした: \n{0}」.format(ID/UUID, event_id, entity.identifiers) すべてが成功せず、[エンティティを使用] が true の場合: 「指定されたエンティティに基づいて、MISP で {0} {1} のイベントの新しいネットワーク接続オブジェクトを作成できませんでした。」.format(ID/UUID, event_id) 重大なエラー(アクションの失敗): 「アクション「ネットワーク接続 Misp オブジェクトを作成」の実行エラー。理由: {0}」.format(stacktrace) イベント ID が見つからない(アクションが失敗する)「アクション「ネットワーク接続 Misp オブジェクトの作成」の実行中にエラーが発生しました。理由: MISP で {0} {1} のイベントが見つかりませんでした」.format(ID/UUID, event_id) Dst-port、Src-port、IP-Src、IP-Dst のいずれも指定されておらず、「Use Entities」== false の場合:「アクション「ネットワーク接続 Misp オブジェクトの作成」の実行エラー。理由: 「宛先ポート」、「送信元ポート」、「送信元 IP」、「宛先 IP」のいずれかを指定するか、「エンティティを使用」パラメータを true に設定する必要があります。 |
全般 |
URL の MISP オブジェクトを作成する
説明
MISP で URL オブジェクトを作成します。「URL」を指定するか、「エンティティを使用」パラメータを true に設定する必要があります。
パラメータ
| パラメータの表示名 | 種類 | デフォルト値 | 必須 | 説明 |
|---|---|---|---|---|
| イベント ID | 文字列 | なし | はい | URL オブジェクトを追加するイベントの ID または UUID を指定します。 |
| URL | 文字列 | なし | いいえ | イベントに追加する URL を指定します。 |
| ポート | 文字列 | なし | いいえ | イベントに追加するポートを指定します。 |
| 初回検知 | 文字列 | なし | いいえ | URL が最初に検出された日時を指定します。 |
| 最終検知 | 文字列 | なし | いいえ | URL が最後に確認された日時を指定します。 |
| ドメイン | 文字列 | なし | いいえ | イベントに追加するドメインを指定します。 |
| テキスト | 文字列 | なし | いいえ | イベントに追加する追加のテキストを指定します。 |
| IP | 文字列 | なし | いいえ | イベントに追加する IP を指定します。 |
| ホスト | 文字列 | なし | いいえ | 予定に追加するホストを指定します。 |
| エンティティを使用する | チェックボックス | オフ | 有効にすると、アクションはエンティティを使用してオブジェクトを作成します。サポートされるエンティティ: URL。[エンティティを使用] は他のパラメータよりも優先されます。 |
実行
このアクションはすべてのエンティティに対して実行されます。
アクションの結果
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON の結果
N/A
ケースウォール
| 結果のタイプ | 値の説明 | タイプ |
|---|---|---|
| 出力メッセージ * | 成功し、[Use Entities] が true でない場合: 「MISP で {0} {1} のイベントの新しい URL オブジェクトが正常に作成されました」.format(ID/UUID, event_id) 成功せず、[Use Entities] が true でない場合: 「アクションは、MISP で {0} {1} のイベントの URL オブジェクトを作成できませんでした。理由: {2}」.format(ID/UUID) 1 つ成功し、[Use Entities] が true の場合: 「次のエンティティに基づいて、MISP で {0} {1} を含むイベントの新しい URL オブジェクトが正常に作成されました: \n{0}」.format(ID/UUID、event_id、entity.identifiers) 1 つが成功せず、[Use Entities] が true の場合: 「アクションは、次のエンティティに基づいて、MISP で {0} {1} のイベントの新しい URL オブジェクトを作成できませんでした: \n{0}」.format(ID/UUID, event_id, entity.identifiers) すべてが成功せず、[エンティティを使用] が true の場合: 「指定されたエンティティに基づいて、MISP で {0} {1} のイベントの新しい URL オブジェクトを作成できませんでした。」.format(ID/UUID, event_id) 重大なエラー(アクションの失敗)「アクション「URL Misp オブジェクトを作成」の実行中にエラーが発生しました。理由: {0}」.format(stacktrace) イベント ID が見つからない(アクションが失敗)「アクション「URL Misp オブジェクトの作成」の実行中にエラーが発生しました。理由: MISP で {0} {1} のイベントが見つかりませんでした」.format(ID/UUID, event_id) URL が指定されておらず、[エンティティを使用] == false の場合: 「アクション「URL Misp オブジェクトの作成」の実行中にエラーが発生しました。理由: 「URL」を指定するか、「エンティティを使用」パラメータを true に設定する必要があります。 |
全般 |
Virustotal-Report オブジェクトを作成する
説明
MISP で Virustotal-Report オブジェクトを作成します。
パラメータ
| パラメータの表示名 | 種類 | デフォルト値 | 必須 | 説明 |
|---|---|---|---|---|
| イベント ID | 文字列 | なし | はい | URL オブジェクトを追加するイベントの ID または UUID を指定します。 |
| パーマリンク | 文字列 | なし | はい | イベントに追加する VirusTotal レポートへのリンクを指定します。 |
| コメント | 文字列 | なし | いいえ | イベントに追加するコメントを指定します。 |
| 検出率 | 文字列 | なし | いいえ | イベントに追加する検出率を指定します。 |
| コミュニティ スコア | 文字列 | なし | いいえ | イベントに追加するコミュニティ スコアを指定します。 |
| 初回提出 | 文字列 | なし | いいえ | イベントの初回送信を指定します。 |
| 最終提出日 | 文字列 | なし | いいえ | イベントの最終送信を指定します。 |
実行
このアクションはすべてのエンティティに対して実行されます。
アクションの結果
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| is_success | True/False | is_success:False |
ケースウォール
| 結果のタイプ | 値の説明 | タイプ |
|---|---|---|
| 出力メッセージ * | 成功した場合 : 「MISP で {0} {1} のイベントの新しい Virustotal-Report オブジェクトが正常に作成されました。」.format(ID/UUID, event_id) 成功しなかった場合 : 「アクションは、MISP で {0} {1} のイベントの Virustotal-Report オブジェクトを作成できませんでした。理由: {2}」.format(ID/UUID) 重大なエラー(アクションの失敗)「アクション「Virustotal-Report Misp オブジェクトを作成」の実行中にエラーが発生しました。理由: {0}」.format(stacktrace) イベント ID が見つからない(アクションが失敗)「アクション「Virustotal-Report Misp オブジェクトの作成」の実行中にエラーが発生しました。理由: MISP で {0} {1} のイベントが見つかりませんでした」.format(ID/UUID, event_id) |
全般 |
イベント オブジェクトのリストを取得する
説明
MISP イベントで使用可能なオブジェクトに関する情報を取得します。
パラメータ
| パラメータの表示名 | 種類 | デフォルト値 | 必須 | 説明 |
|---|---|---|---|---|
| イベント ID | 文字列 | なし | はい | 詳細を取得するイベントの ID と UUID のカンマ区切りのリストを指定します。 |
| 返されるオブジェクトの最大数 | Integer | 50 | いいえ | 返すオブジェクトの数を指定します。 |
実行
このアクションはエンティティに対しては実行されません。
アクションの結果
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON の結果
"Object": [
{
"id": "1",
"name": "ftm-Associate",
"meta-category": "followthemoney",
"description": "Non-family association between two people",
"template_uuid": "6119ecb3-dedd-44b6-b88f-174585b0b1bf",
"template_version": "1",
"event_id": "1",
"uuid": "2a3e260f-d3b2-4164-b2b1-2f6f5b559970",
"timestamp": "1594632232",
"distribution": "5",
"sharing_group_id": "0",
"comment": "",
"deleted": false,
"first_seen": null,
"last_seen": null,
"ObjectReference": [],
},
{
"id": "2",
"name": "ftm-Associate",
"meta-category": "followthemoney",
"description": "Non-family association between two people",
"template_uuid": "6119ecb3-dedd-44b6-b88f-174585b0b1bf",
"template_version": "1",
"event_id": "1",
"uuid": "800d8634-175a-4bc2-a4d7-aca200c8c132",
"timestamp": "1594632463",
"distribution": "5",
"sharing_group_id": "0",
"comment": "",
"deleted": false,
"first_seen": null,
"last_seen": null,
"ObjectReference": [],
}
ケースウォール
| 結果のタイプ | 値の説明 | タイプ |
|---|---|---|
| 出力メッセージ * | アクションが失敗したり、ハンドブックの実行を停止したりすることはありません。 1 つのイベントに対して少なくとも 1 つのオブジェクトが見つかった場合: 「次のイベントのオブジェクトが正常に一覧表示されました: \n{0}」.format(event_ids) 指定された ID のイベントが見つからなかった場合(is_success = false): 1 つのイベントに対してオブジェクトが見つからない場合: 「次のイベントのオブジェクトが見つかりませんでした:\n {0}」.format(event_ids) すべてのイベントでオブジェクトが見つからなかった場合: 「指定されたイベントのオブジェクトが見つかりませんでした。」 アクションが失敗し、ハンドブックの実行が停止します。 認証情報が誤っている、サーバーへの接続がないなど、致命的なエラーの場合、その他: 「エラー実行アクション 「イベント オブジェクトの一覧表示」を印刷します。理由: {0}」.format(error.Stacktrace) |
全般 |
| CSV テーブル | テーブル名: イベント {0} オブジェクト テーブル列:
|
イベントの詳細を取得する
説明
MISP のイベントに関する詳細情報を取得します。
パラメータ
| パラメータの表示名 | 種類 | 必須 | 説明 |
|---|---|---|---|
| イベント ID | 文字列 | はい | 詳細を取得するイベントの ID または UUID のカンマ区切りのリストを指定します。 |
| Return Attributes Info | チェックボックス | オン | 有効にした場合、アクションによって、イベントの一部であるすべての属性のケースウォール テーブルが作成されます。 |
実行
このアクションはエンティティに対しては実行されません。
アクションの結果
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| is_success | True/False | is_success:False |
ケースウォール
| 結果のタイプ | 値の説明 | タイプ |
|---|---|---|
| 出力メッセージ * | アクションが失敗したり、ハンドブックの実行を停止したりすることはありません。 指定された ID の少なくとも 1 つに対してアクションが正常に完了した場合: 「次のイベントの情報を取得しました: <>」と出力します。 指定されたインシデント ID の少なくとも 1 つに対してアクションの実行が失敗した場合: 「次のイベントの情報を取得できませんでした: <>」と出力します。 アクションが失敗し、ハンドブックの実行が停止します: アクションが失敗し、ハンドブックの実行が停止します。 認証情報が誤っている、サーバーへの接続がないなど、致命的なエラーの場合、その他: 「エラー実行アクション 「イベント オブジェクトの一覧表示」を印刷します。理由: {0}」.format(error.Stacktrace) |
全般 |
| CSV テーブル | テーブル名: 「Event {0} Attributes Details」.format(event_id) 列:
|
属性の検出情報を一覧表示する
説明
MISP の属性で使用可能なシグネチャを一覧表示します。
パラメータ
検索| パラメータ名 | 種類 | デフォルト値 | 必須 | 説明 |
|---|---|---|---|---|
| 属性名 | CSV | いいえ | 検出結果を一覧表示する属性 ID のカンマ区切りのリストを指定します。注: [属性名] と [属性 UUID] の両方が指定されている場合、アクションは [属性 UUID] の値で動作します。 | |
| イベント ID | 文字列 | いいえ | イベントの ID または UUID を指定します。属性を検索する場所を指定します。「属性検索」が「提供されたイベント」に設定されている場合、このパラメータは必須です。 | |
| カテゴリ | CSV | いいえ | カテゴリのカンマ区切りリストを指定します。指定した場合、アクションは一致するカテゴリの属性の検出結果のみを一覧表示します。何も指定しない場合、アクションは属性のカテゴリを無視します。有効な値: External Analysis、Payload Delivery、Artifacts Dropped、Payload Installation。 | |
| タイプ | CSV | いいえ | 属性タイプのカンマ区切りリストを指定します。指定した場合、アクションは一致する属性タイプを持つ属性の検出結果のみを一覧表示します。何も指定しないと、アクションは属性のタイプを無視します。値の例: md5、sha1、ip-src、ip-dst | |
| 属性検索 | DDL | 提供されたイベント 値は次のいずれかです。 すべての予定 |
はい | アクションで属性を検索する場所を指定します。[Provided Event] を選択すると、アクションは [Event ID] パラメータで指定された ID/UUID を持つイベント内の属性または属性 UUID のみを検索します。[All Events] の場合、アクションはすべてのイベントから属性を検索し、条件に一致するすべての属性の検出結果を一覧表示します。 |
| 属性 UUID | CSV | いいえ | 検出結果を一覧表示する属性 UUID のカンマ区切りのリストを指定します。注: [属性名] と [属性 UUID] の両方が指定されている場合、アクションは [属性 UUID] の値で動作します。 |
アクションの結果
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| is_success | True/False | is_success:False |
Case Wall
| 結果のタイプ | 値 / 説明 | 種類 |
|---|---|---|
| 出力メッセージ * | 少なくとも 1 つの属性のサイティングが正常に一覧表示された場合: 「MISP で次の属性のサイティングが正常に一覧表示されました:\n{0}」.format(属性名/属性 UUID) 少なくとも 1 つの属性の検出情報を正常に一覧表示できなかった場合: 「アクションでは、MISP で次の属性の検出情報を一覧表示できませんでした:\n{0}」.format(属性名/属性 UUID) すべての属性で成功しなかった場合、またはすべての属性で検出されなかった場合:「MISP で指定された属性の検出結果が見つかりませんでした」 重大なエラー(アクションの失敗) 「アクション「属性の検出結果を一覧表示」の実行エラー。理由: {0}」.format(stacktrace) 「カテゴリ」に無効なパラメータが指定されている場合(アクションが失敗した場合):「アクション「属性の検出結果の一覧表示」の実行エラー。理由: パラメータ「カテゴリ」に無効な値が指定されました。許容される値: External Analysis、Payload Delivery、Artifacts Dropped、Payload Installation」。 [提供されたイベント] が選択されているが、イベント ID が選択されていない場合: 「アクション「属性の検出結果の一覧表示」の実行エラー。理由: パラメータ「属性検索」で「提供されたイベント」が選択されている場合は、イベント ID を指定する必要があります。 |
全般 |
属性の IDS フラグを設定する
説明
MISP の属性に IDS フラグを設定します。
パラメータ
searchsearch| パラメータ名 | 種類 | デフォルト値 | 必須 | 説明 |
|---|---|---|---|---|
| 属性名 | CSV | いいえ | IDS フラグを設定する属性識別子のカンマ区切りのリストを指定します。注: [属性名] と [属性 UUID] の両方が指定されている場合、アクションは [属性 UUID] の値で動作します。 | |
| イベント ID | 文字列 | いいえ | イベントの ID または UUID を指定します。属性を検索する場所を指定します。「属性検索」が「提供されたイベント」に設定されている場合、このパラメータは必須です。 | |
| カテゴリ | CSV | いいえ | カテゴリのカンマ区切りリストを指定します。指定した場合、アクションは一致するカテゴリを持つ属性に対してのみ IDS フラグを設定します。何も指定しない場合、アクションは属性のカテゴリを無視します。有効な値: External Analysis、Payload Delivery、Artifacts Dropped、Payload Installation。 | |
| タイプ | CSV | いいえ | 属性タイプのカンマ区切りリストを指定します。指定した場合、アクションは一致する属性タイプを持つ属性に対してのみ IDS フラグを設定します。何も指定しないと、アクションは属性のタイプを無視します。値の例: md5、sha1、ip-src、ip-dst | |
| 属性検索 | DDL | 提供されたイベント 値は次のいずれかです。 すべての予定 |
はい | アクションで属性を検索する場所を指定します。[Provided Event] を選択すると、アクションは [Event ID] パラメータで指定された ID/UUID を持つイベント内の属性または属性 UUID のみを検索します。「すべてのイベント」の場合、アクションはすべてのイベントから属性を検索し、条件に一致するすべての属性に IDS フラグを設定します。 |
| 属性 UUID | CSV | いいえ | IDS フラグを設定する属性 UUID のカンマ区切りのリストを指定します。 |
アクションの結果
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| success | True/False | success:False |
ケースウォール
| 結果のタイプ | 値の説明 | タイプ |
|---|---|---|
| 出力メッセージ * | 少なくとも 1 つの属性に IDS フラグが正常に追加された場合: 「Successfully set IDS flag for the following attributes in MISP:\n{0}」.format(属性名/オブジェクト UUID) 少なくとも 1 つの属性に IDS フラグが正常に追加されなかった場合: 「MISP で次の属性の IDS フラグを設定できませんでした:\n{0}」.format(属性名/オブジェクト UUID) すべてで成功しなかった場合: 「MISP で指定された属性の IDS フラグが設定されていません」 重大なエラー(アクションの失敗)「アクション「属性の IDS フラグを設定」の実行中にエラーが発生しました。理由: {0}」.format(stacktrace) 「カテゴリ」に無効なパラメータが指定されている場合(アクションが失敗した場合):「アクション「属性の IDS フラグを設定」の実行エラー。理由: パラメータ「カテゴリ」に無効な値が指定されました。許容される値: External Analysis、Payload Delivery、Artifacts Dropped、Payload Installation」。 [Provided Event] が選択されているが、[Event ID] が選択されていない場合: 「アクション「属性の IDS フラグを設定」の実行エラー。理由: パラメータ「属性検索」で「提供されたイベント」が選択されている場合は、イベント ID を指定する必要があります。 イベント ID が見つからない(アクションが失敗)「アクション「属性の IDS フラグを設定」の実行中にエラーが発生しました。理由: MISP で {0} {1} のイベントが見つかりませんでした」.format(ID/UUID, event_id) |
全般 |
属性の IDS フラグを未設定にする
説明
MISP の属性の IDS フラグの設定を解除します。
パラメータ
| Name | タイプ | デフォルト値 | 必須 | 説明 |
|---|---|---|---|---|
| 属性名 | CSV | いいえ | IDS フラグを解除する属性識別子のカンマ区切りリストを指定します。 |
|
| イベント ID | 文字列 | いいえ | イベントの ID または UUID を指定します。属性を検索する場所を指定します。「属性検索」が「提供されたイベント」に設定されている場合、このパラメータは必須です。 | |
| カテゴリ | CSV | いいえ | カテゴリのカンマ区切りリストを指定します。指定した場合、アクションは一致するカテゴリを持つ属性の IDS フラグのみを解除します。何も指定しない場合、アクションは属性のカテゴリを無視します。有効な値: External Analysis、Payload Delivery、Artifacts Dropped、Payload Installation。 | |
| タイプ | CSV | いいえ | 属性タイプのカンマ区切りリストを指定します。指定した場合、アクションは一致する属性タイプを持つ属性の IDS フラグのみを解除します。何も指定しないと、アクションは属性のタイプを無視します。値の例: md5、sha1、ip-src、ip-dst | |
| 属性検索 | DDL | 提供されたイベント 値は次のいずれかです。 すべての予定 |
正しい | アクションで属性を検索する場所を指定します。[Provided Event] を選択すると、アクションは [Event ID] パラメータで指定された ID/UUID を持つイベント内の属性または属性 UUID のみを検索します。[すべてのイベント] の場合、アクションはすべてのイベントから属性を検索し、条件に一致するすべての属性の IDS フラグを解除します。 |
| 属性 UUID | CSV | いいえ | IDS フラグを解除する属性 UUID のカンマ区切りのリストを指定します。注: [属性名] と [属性 UUID] の両方が指定されている場合、アクションは [属性 UUID] の値で動作します。 |
アクションの結果
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| success | True/False | success:False |
ケースウォール
| 結果のタイプ | 値の説明 | タイプ |
|---|---|---|
| 出力メッセージ * | 少なくとも 1 つの属性から IDS フラグが正常に削除された場合: 「MISP の次の属性の IDS フラグが正常に設定解除されました:\n{0}」.format(属性名/オブジェクト UUID) 少なくとも 1 つの属性の IDS フラグが正常に削除されなかった場合: 「MISP で次の属性の IDS フラグが設定解除されませんでした:\n{0}」.format(属性名/オブジェクト UUID) すべてで成功しなかった場合: 「MISP で指定された属性の IDS フラグが設定解除されませんでした」 重大なエラー(アクションの失敗)「アクション「属性の IDS フラグを解除」の実行中にエラーが発生しました。理由: {0}」.format(stacktrace) 「カテゴリ」に無効なパラメータが指定されている場合(アクションが失敗した場合):「アクション「属性の IDS フラグを解除」の実行エラー。理由: パラメータ「カテゴリ」に無効な値が指定されました。許容される値: External Analysis、Payload Delivery、Artifacts Dropped、Payload Installation」。 [提供されたイベント] が選択されているが、イベント ID が選択されていない場合:「アクション「属性の IDS フラグの設定解除」の実行エラー。理由: パラメータ「属性検索」で「提供されたイベント」が選択されている場合は、イベント ID を指定する必要があります。 イベント ID が見つからない(アクションが失敗)「"属性の IDS フラグを解除" という操作の実行中にエラーが発生しました。理由: MISP で {0} {1} のイベントが見つかりませんでした」.format(ID/UUID, event_id) |
全般 |
コネクタ
MISP - Attributes Connector
説明
MISP から属性を取得します。
Google SecOps で MISP - Attributes Connector を構成する
Google SecOps でコネクタを構成する方法の詳細については、コネクタの構成をご覧ください。
コネクタ パラメータ
次のパラメータを使用してコネクタを構成します。
| パラメータ名 | タイプ | デフォルト値 | 必須 | 説明 |
|---|---|---|---|---|
| DeviceProductField | 文字列 | プロダクト名 | ○ | ソース フィールド名を入力してプロダクト フィールド名を取得します。 |
| EventClassId | 文字列 | alertType | ○ | ソース フィールド名を入力してイベント フィールド名を取得します。 |
| PythonProcessTimeout | Integer | 180 | はい | 現在のスクリプトを実行している Python プロセスのタイムアウト上限。 |
| API ルート | 文字列 | なし | はい | MISP アカウントの API ルート。 |
| API キー | パスワード | はい | MISP アカウントの API キー。 | |
| 遡る取得の最大時間数 | 整数 | 1 | いいえ | 属性を取得する時間。 |
| サイクルあたりの最大属性数 | Integer | 50 | はい | 1 回のコネクタのイテレーションで処理する属性の数。 |
| 取得する最も低い脅威レベル | Integer | 1 | はい | アラートの取得に使用される最も低い重大度。可能な値: 1 ~ 4。 |
| 属性タイプ フィルタ | 文字列 | いいえ | 属性をタイプでフィルタします(カンマ区切り)。指定した場合、ホワイトリストに登録されたタイプを持つ属性のみが処理されます。 | |
| カテゴリ フィルタ | 文字列 | いいえ | 属性をカテゴリでフィルタします(カンマ区切り)。指定された場合、ホワイトリストに登録されたカテゴリの属性のみが処理されます。 | |
| Galaxy フィルター | 文字列 | いいえ | 親イベントのギャラクシーで属性をフィルタします(カンマ区切り)。指定した場合、ホワイトリストに登録されたギャラクシーのイベントに属する属性のみが処理されます。 | |
| SSL を確認する | チェックボックス | はい | 有効になっている場合は、CheckPoint Cloud Guard サーバーへの接続用の SSL 証明書が有効であることを確認します。 | |
| 環境フィールド名 | 文字列 | いいえ | 環境名が保存されるフィールドの名前を記述します。環境フィールドがない場合、その環境がデフォルトの環境です。 | |
| 環境の正規表現パターン | 文字列 | .* | いいえ | [環境フィールド名] フィールドで見つかった値に対して実行する正規表現パターン。デフォルトは、すべてキャッチして値を変更せずに返す .* です。ユーザーが正規表現ロジックで環境フィールドを操作できるようにするために使用されます。正規表現パターンが null か空の場合、または環境値が null の場合、最終的な環境の結果はデフォルト環境になります。 |
| プロキシ サーバーのアドレス | 文字列 | いいえ | 使用するプロキシ サーバーのアドレス。 | |
| プロキシのユーザー名 | 文字列 | いいえ | 認証に使用するプロキシのユーザー名。 | |
| プロキシ パスワード | パスワード | いいえ | 認証に使用するプロキシ パスワード。 |
さらにサポートが必要な場合 コミュニティ メンバーや Google SecOps のプロフェッショナルから回答を得ることができます。