MISP
통합 버전: 31.0
Google Security Operations와 함께 작동하도록 MISP 통합 구성
CA 인증서로 MISP 통합 구성
필요한 경우 CA 인증서 파일로 연결을 확인할 수 있습니다.
시작하기 전에 다음 사항을 확인하세요.
- CA 인증서 파일
- 최신 MISP 통합 버전
CA 인증서와의 통합을 구성하려면 다음 단계를 완료하세요.
- CA 인증서 파일을 Base64 문자열로 파싱합니다.
- 통합 구성 매개변수 페이지를 엽니다.
- CA 인증서 파일 필드에 문자열을 삽입합니다.
- 통합이 성공적으로 구성되었는지 테스트하려면 SSL 확인 체크박스를 선택하고 테스트를 클릭합니다.
자동화 키
인증은 MISP UI에서 사용할 수 있는 보안 키를 통해 실행됩니다. API 키는 자동화의 이벤트 작업 메뉴에서 확인할 수 있습니다.
Google SecOps에서 MISP 통합 구성
Google SecOps에서 통합을 구성하는 방법에 대한 자세한 내용은 통합 구성을 참고하세요.
통합 매개변수
다음 매개변수를 사용하여 통합을 구성합니다.
| 매개변수 표시 이름 | 유형 | 기본값 | 필수 항목 | 설명 |
|---|---|---|---|---|
| 인스턴스 이름 | 문자열 | 해당 사항 없음 | No | 통합을 구성할 인스턴스의 이름입니다. |
| 설명 | 문자열 | 해당 사항 없음 | No | 인스턴스에 대한 설명입니다. |
| API 루트 | https://<IP> | 예 | MISP 인스턴스의 주소입니다. | |
| API 키 | 문자열 | 해당 사항 없음 | 예 | MISP 콘솔에서 생성됩니다. |
| Use SSL | 체크박스 | 선택 해제 | 아니요 | MISP 연결에 SSL 확인이 필요한 경우 이 체크박스를 사용합니다 (기본적으로 선택 해제됨). |
| 원격 실행 | 체크박스 | 선택 해제 | No | 구성된 통합을 원격으로 실행하려면 필드를 선택합니다. 선택하면 원격 사용자(에이전트)를 선택하는 옵션이 나타납니다. |
작업
속성 추가
설명
MISP 이벤트에 속성으로 항목을 추가합니다.
매개변수
| 매개변수 표시 이름 | 유형 | 기본값 | 필수 항목 | 설명 |
|---|---|---|---|---|
| 이벤트 ID | 문자열 | 해당 사항 없음 | 예 | 이벤트 ID입니다. |
| 카테고리 | 문자열 | 외부 분석 | 아니요 | 속성의 카테고리입니다. 기본값: 외부 분석 |
| 분포 | 문자열 | 1 | 아니요 | 속성의 분포입니다. 기본값: 1 |
| 침입 감지 시스템 | 체크박스 | 선택 해제 | 아니요 | 속성이 침입 감지 시스템에 사용되는지 여부입니다. 기본값: false. |
| 댓글 | 문자열 | 해당 사항 없음 | 아니요 | 속성에 추가할 댓글입니다. |
사용 사례
해당 사항 없음
실행
이 작업은 다음 항목에서 실행됩니다.
- URL
- 호스트 이름
- IP 주소
- Filehash
작업 결과
항목 보강
해당 사항 없음
통계
해당 사항 없음
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 | 예 |
|---|---|---|
| 성공 | True/False | success:False |
JSON 결과
N/A
이벤트 만들기
설명
새 MISP 이벤트를 만듭니다.
알려진 제한사항
현재 MISP API에서는 생성 시 이벤트가 즉시 게시되지 않습니다. 먼저 이벤트를 만든 다음 '이벤트 게시' 작업을 사용해야 합니다.
매개변수
| 매개변수 표시 이름 | 유형 | 기본값 | 필수 항목 | 설명 |
|---|---|---|---|---|
| 이벤트 이름 | 문자열 | 해당 사항 없음 | 예 | 이벤트 이름입니다. |
| 위협 수준 | 문자열 | 0 | 아니요 | 이벤트의 위협 수준입니다. 기본값: 0 |
| 분포 | 문자열 | 1 | 아니요 | 속성의 분포입니다. 기본값: 1 |
| 분석 | 문자열 | 0 | 아니요 | 이벤트의 분석 수준[0~2]: 기본값: 0 |
| 게시 | 체크박스 | 선택 | 아니요 | 이벤트를 게시할지 여부입니다. |
| 댓글 | 문자열 | 해당 사항 없음 | 아니요 | 이벤트의 댓글입니다. |
실행
이 작업은 모든 항목에서 실행됩니다.
작업 결과
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 | 예 |
|---|---|---|
| event_id | 해당 사항 없음 | 해당 사항 없음 |
이벤트에 태그 추가
설명
이벤트 작업에 태그를 추가하면 사용자가 MISP의 특정 이벤트에 태그를 추가할 수 있습니다. 이렇게 하면 이벤트와 연결된 IOC가 제기하는 보안 위협의 카테고리를 기반으로 이벤트에 분류가 추가됩니다.
매개변수
| 매개변수 표시 이름 | 유형 | 기본값 | 필수 항목 | 설명 |
|---|---|---|---|---|
| 이벤트 ID | 문자열 | 해당 사항 없음 | 예 | 태그를 추가할 이벤트를 지정하는 고유 식별자입니다. |
| 태그 이름 | 문자열 | 해당 사항 없음 | 예 | 이벤트에 추가할 태그의 이름입니다. |
사용 사례
이벤트 분류: 태그를 추가하여 이벤트를 업데이트합니다.
실행
이 작업은 모든 항목에서 실행됩니다.
작업 결과
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 | 예 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 결과
[
{
"saved": true,
"success": "Tag(s) added.",
"check_publish": true
}
]
파일 다운로드
설명
MISP에서 이벤트와 관련된 파일을 다운로드합니다.
매개변수
| 매개변수 표시 이름 | 유형 | 기본값 | 필수 항목 | 설명 |
|---|---|---|---|---|
| 이벤트 ID | 문자열 | 해당 사항 없음 | 아니요 | 파일을 다운로드할 이벤트의 ID 또는 UUID를 지정합니다. |
| 다운로드 폴더 경로 | 문자열 | 해당 사항 없음 | 파일을 저장할 폴더의 절대 경로를 지정합니다. 아무것도 지정하지 않으면 작업에서 대신 첨부파일을 만듭니다. |
|
| 덮어쓰기 | 체크박스 | 선택 해제 | 사용 설정하면 작업에서 기존 파일을 덮어씁니다. |
실행
이 작업은 Filehash 항목에서 실행됩니다.
작업 결과
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 | 예 |
|---|---|---|
| 성공 | True/False | success:False |
JSON 결과
{
"absolute_paths": ["/etc/file1.txt", "/etc/file2.txt"]
}
케이스 월
| 결과 유형 | 값 설명 | 유형 |
|---|---|---|
| 출력 메시지* | 성공한 경우: 'MISP에서 {0} {1}이(가) 있는 이벤트에서 다음 파일을 다운로드했습니다.\n{2}'.format(ID/UUID, event_id, 응답의 결과/파일 이름) 파일이 없는 경우: 'MISP에서 {0} {1}이(가) 있는 이벤트에 대한 파일을 찾을 수 없습니다.\n{2}'.format(ID/UUID, event_id) '다운로드 폴더 경로'가 지정되지 않았고 일부 파일이 첨부파일의 플랫폼 한도를 초과하는 경우: '다음 파일이 3MB 한도를 초과하여 다운로드할 수 없습니다.\n {0}. \n 다운로드하려면 '다운로드 폴더 경로' 매개변수에 폴더 경로를 지정하세요.'(result/filename) 심각한 오류 (작업 실패) ''파일 다운로드' 작업 실행 중에 오류가 발생했습니다. 이유: {0}".format(stacktrace) 이벤트 ID를 찾을 수 없음 (작업 실패) ''파일 다운로드' 작업을 실행하는 동안 오류가 발생했습니다. 이유: MISP에서 {0} {1} 이벤트가 발견되지 않음'.format(ID/UUID, event_id) 덮어쓰기가 false이고 파일 중 하나가 이미 있는 경우: ''파일 다운로드' 작업 실행 중에 오류가 발생했습니다. 이유: 다음 파일이 이미 있습니다. {0} 파일을 삭제하거나 '덮어쓰기' 매개변수를 true로 설정하세요.'.format(파일의 절대 경로) |
일반 |
항목 보강
설명
MISP의 속성을 기반으로 항목을 보강합니다.
매개변수
| 매개변수 표시 이름 | 유형 | 기본값 | 설명 |
|---|---|---|---|
| 반환할 속성 수 | 문자열 | 해당 사항 없음 | 항목에 대해 반환할 속성 수를 지정합니다. |
| 필터링 조건 | 작업의 필터링 조건을 지정합니다. '마지막'을 선택하면 작업에서 가장 오래된 속성을 사용하여 보강하고, '첫 번째'를 선택하면 작업에서 가장 최신 속성을 사용하여 보강합니다. | ||
| 위협 수준 기준점 | DDL | 낮음 가능한 값은 다음과 같습니다. 높음 보통 낮음 정의되지 않음 |
엔티티가 발견된 이벤트의 위협 수준 기준을 지정합니다. 관련 이벤트가 임곗값을 초과하거나 임곗값과 일치하면 항목이 의심스러운 것으로 표시됩니다. |
| 속성 검색 한도 | 정수 | 50 | 항목당 검색할 속성 수를 지정합니다. 이 매개변수는 개선을 위해 선택되는 속성에 영향을 미칩니다. 기본값: 50 |
실행
이 작업은 다음 항목에서 실행됩니다.
- URL
- 호스트 이름
- IP 주소
- Filehash
작업 결과
항목 보강
이벤트의 위협 수준이 0을 초과하면 항목이 의심스러운 것으로 표시됩니다. 그 외의 경우: False
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 | 예 |
|---|---|---|
| 성공 | True/False | success:False |
JSON 결과
[
{
"EntityResult": [
{
"Event":
{
"orgc_id": "1",
"ShadowAttribute": [],
"id": "3",
"threat_level_id": "3",
"event_creator_email": "john_doe@example.com",
"uuid": "5c5bff1b-a414-4a83-8755-035f0a000016",
"Object": [],
"Orgc": {
"uuid": "5c5ac66e-3884-4031-afd7-46f5bb9ebcaa",
"name": "ORGNAME",
"id": "1"
},
"Org": {
"uuid": "5c5ac66e-3884-4031-afd7-46f5bb9ebcaa",
"name": "ORGNAME",
"id": "1"
},
"RelatedEvent": [],
"sharing_group_id": "0",
"timestamp": "1549533154",
"date": "2019-02-07",
"disable_correlation": "False",
"info": "Test event",
"locked": "False",
"publish_timestamp": "1549533214",
"Attribute": [
{
"category": "Network activity",
"comment": " ",
"uuid": "5c5bffe2-9298-4098-ae31-035d0a000016",
"deleted": "False",
"timestamp": "1549533154",
"to_ids": "False",
"distribution": "3",
"object_id": "0",
"event_id": "3",
"ShadowAttribute": [],
"sharing_group_id": "0",
"value": "1.1.1.1",
"disable_correlation": "False",
"object_relation": "None",
"type": "ip-src",
"id": "1",
"Galaxy": []
}],
"attribute_count": "1",
"org_id": "1",
"analysis": "2",
"extends_uuid": " ",
"published": "True",
"distribution": "3",
"proposal_email_lock": "False",
"Galaxy": []
}}],
"Entity": "1.1.1.1"
}
]
케이스 월
| 결과 유형 | 값 설명 | 유형 |
|---|---|---|
| 출력 메시지* | 발견된 속성의 경우(is_success=true) 'MISP를 사용하여 다음 항목을 성공적으로 보강했습니다.\n{0}'.format(entity.identifier) 찾을 수 없는 속성의 경우 (is_success=true) '작업에서 MISP를 사용하여 다음 항목을 보강할 수 없습니다.\n{0}'.format(entity.identifier) 모든 속성을 찾을 수 없는 경우 (is_success=false) 'MISP를 사용하여 보강된 항목이 없습니다.' 속성이 의심스러운 경우 (is_success=true) '다음 속성이 MISP를 사용하여 의심스러운 것으로 표시되었습니다.\n {0}'.format(entity.identifier) |
일반 |
| CSV 표 | 테이블 열:
|
관련 이벤트 가져오기
설명
MISP의 항목과 관련된 이벤트에 관한 정보를 가져옵니다.
매개변수
| 매개변수 표시 이름 | 유형 | 기본값 | 설명 |
|---|---|---|---|
| 의심스러운 케이스로 표시 | 체크박스 | 선택됨 | 사용 설정된 경우 작업은 관련 이벤트가 하나 이상 있는 경우 항목을 의심스러운 것으로 표시합니다. |
실행
이 작업은 다음 항목에서 실행됩니다.
- URL
- 호스트 이름
- IP 주소
- Filehash
작업 결과
항목 보강
관련 이벤트 기록이 있으면 엔티티가 의심스러운 것으로 표시됩니다. 그렇지 않으면 False입니다.
| 보강 필드 이름 | 로직 - 적용 시기 |
|---|---|
| 이벤트 | JSON 결과에 존재하는 경우에 반환 |
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 | 예 |
|---|---|---|
| 성공 | True/False | success:False |
JSON 결과
[
{
"EntityResult": [
{
"Event":
{
"orgc_id": "1",
"ShadowAttribute": [],
"id": "3",
"threat_level_id": "3",
"event_creator_email": "john_doe@example.com",
"uuid": "5c5bff1b-a414-4a83-8755-035f0a000016",
"Object": [],
"Orgc": {
"uuid": "5c5ac66e-3884-4031-afd7-46f5bb9ebcaa",
"name": "ORGNAME",
"id": "1"
},
"Org": {
"uuid": "5c5ac66e-3884-4031-afd7-46f5bb9ebcaa",
"name": "ORGNAME",
"id": "1"
},
"RelatedEvent": [],
"sharing_group_id": "0",
"timestamp": "1549533154",
"date": "2019-02-07",
"disable_correlation": "False",
"info": "Test event",
"locked": "False",
"publish_timestamp": "1549533214",
"Attribute": [
{
"category": "Network activity",
"comment": " ",
"uuid": "5c5bffe2-9298-4098-ae31-035d0a000016",
"deleted": "False",
"timestamp": "1549533154",
"to_ids": "False",
"distribution": "3",
"object_id": "0",
"event_id": "3",
"ShadowAttribute": [],
"sharing_group_id": "0",
"value": "1.1.1.1",
"disable_correlation": "False",
"object_relation": "None",
"type": "ip-src",
"id": "1",
"Galaxy": []
}],
"attribute_count": "1",
"org_id": "1",
"analysis": "2",
"extends_uuid": " ",
"published": "True",
"distribution": "3",
"proposal_email_lock": "False",
"Galaxy": []
}}],
"Entity": "1.1.1.1"
}
]
케이스 월
| 결과 유형 | 값 설명 | 유형 |
|---|---|---|
| 출력 메시지* | 하나 이상의 항목에 대해 이벤트가 하나 이상 발견된 경우: '다음 항목의 관련 이벤트에 대한 정보를 가져왔습니다.\n{0}'.format(entity.identifier) 하나 이상의 항목에 대한 이벤트가 없는 경우: '작업에서 다음 항목의 관련 이벤트에 대한 정보를 가져올 수 없습니다.\n{0}'.format(entity.identifier 모든 항목에 이벤트가 없는 경우: '제공된 항목에 관련된 이벤트가 없습니다.' |
일반 |
파일 업로드
설명
MISP 이벤트에 파일을 업로드합니다.
매개변수
| 이름 | 유형 | 기본값 | 설명 |
|---|---|---|---|
| 이벤트 ID | 문자열 | 해당 사항 없음 | 이 파일을 업로드할 이벤트의 ID 또는 UUID를 지정합니다. |
| 파일 경로 | 문자열 | 해당 사항 없음 | MISP에 업로드할 파일의 절대 파일 경로를 쉼표로 구분하여 지정합니다. |
| 카테고리 | 업로드된 파일의 카테고리를 지정합니다. 가능한 값: 외부 분석, 페이로드 전송, 아티팩트 삭제, 페이로드 설치 | ||
| 분포 | 문자열 | 커뮤니티 | 업로드된 파일의 배포를 지정합니다. |
| 위협 수준 | 문자열 | 높음 | 업로드된 파일의 위협 수준을 지정합니다. |
| 분석 | 문자열 | 초기 | 이벤트 분석을 지정합니다. |
| 정보 | 문자열 | 해당 사항 없음 | 업로드된 파일에 대한 추가 정보를 지정합니다. |
| 침입 감지 시스템 | 체크박스 | 선택 해제 | 사용 설정하면 업로드된 파일이 침입 감지 시스템에 사용됩니다. |
| 댓글 | 문자열 | 해당 사항 없음 | 업로드된 파일과 관련된 추가 의견을 지정합니다. |
작업 결과
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 | 예 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 결과
{
"Event": {
"id": "106",
"orgc_id": "1",
"org_id": "1",
"date": "2021-01-15",
"threat_level_id": "1",
"info": "vanuhi 1015",
"published": false,
"uuid": "1cd22aa2-57e8-4fc8-bac6-721c1be2c27d",
"attribute_count": "10",
"analysis": "0",
"timestamp": "1610893968",
"distribution": "1",
"proposal_email_lock": false,
"locked": false,
"publish_timestamp": "0",
"sharing_group_id": "0",
"disable_correlation": false,
"extends_uuid": "",
"event_creator_email": "admin@admin.test",
"Org": {
"id": "1",
"name": "ORGNAME",
"uuid": "09b0dde1-2934-4310-a107-74b6f534f041",
"local": true
},
"Orgc": {
"id": "1",
"name": "ORGNAME",
"uuid": "09b0dde1-2934-4310-a107-74b6f534f041",
"local": true
},
"Attribute": [],
"ShadowAttribute": [],
"Object": [
{
"id": "446",
"name": "file",
"meta-category": "file",
"description": "File object describing a file with meta-information",
"template_uuid": "688c46fb-5edb-40a3-8273-1af7923e2215",
"template_version": "20",
"event_id": "106",
"uuid": "0188ba5d-68eb-4b5c-8e05-6fd49f8eee9a",
"timestamp": "1610691647",
"distribution": "1",
"sharing_group_id": "0",
"comment": "",
"deleted": false,
"first_seen": null,
"last_seen": null,
"ObjectReference": [],
"Attribute": [
{
"id": "1859",
"type": "malware-sample",
"category": "External analysis",
"to_ids": true,
"uuid": "7920cd28-5082-47ce-9c3e-3ccbd5dae138",
"event_id": "106",
"distribution": "1",
"timestamp": "1610703650",
"comment": "",
"sharing_group_id": "0",
"deleted": false,
"disable_correlation": false,
"object_id": "446",
"object_relation": "malware-sample",
"first_seen": null,
"last_seen": null,
"value": "vanuhi.txt|7bd55b0a276e076cbaf470e64359adb8",
"Galaxy": [],
"data": "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",
"ShadowAttribute": [],
"Sighting": [
{
"id": "1733",
"attribute_id": "1859",
"event_id": "106",
"org_id": "1",
"date_sighting": "1611207638",
"uuid": "feb085f1-1923-4327-a73d-b60a948377e4",
"source": "",
"type": "0",
"Organisation": {
"id": "1",
"uuid": "09b0dde1-2934-4310-a107-74b6f534f041",
"name": "ORGNAME"
},
"attribute_uuid": "7920cd28-5082-47ce-9c3e-3ccbd5dae138"
}
]
}
}
}
}
케이스 월
| 결과 유형 | 값/설명 | 유형 |
|---|---|---|
| 출력 메시지* | 하나의 항목에 성공한 경우: '제공된 파일을 MISP의 이벤트 {0}에 업로드했습니다.'.format(event_id) 심각한 오류 (작업 실패) ''파일 업로드' 작업 실행 중에 오류가 발생했습니다. 이유: {0}".format(stacktrace) '배포'에 잘못된 매개변수가 지정된 경우(작업 실패): ''파일 업로드' 작업 실행 중에 오류가 발생했습니다. 이유: 'Distribution' 매개변수에 잘못된 값이 제공되었습니다. 허용되는 숫자: 0,1,2,3 허용되는 문자열: Organisation, Community, Connected, All'. '위협 수준'에 잘못된 매개변수가 지정된 경우(작업 실패): ''파일 업로드' 작업을 실행하는 중에 오류가 발생했습니다. 이유: '위협 수준' 매개변수에 잘못된 값이 제공되었습니다. 허용되는 번호: 1,2,3,4 허용되는 문자열: High, Medium, Low, Undefined'. '카테고리'에 잘못된 매개변수가 지정된 경우(작업 실패): ''파일 업로드' 작업을 실행하는 중에 오류가 발생했습니다. 이유: '카테고리' 매개변수에 잘못된 값이 제공되었습니다. 허용되는 값: '외부 분석', '페이로드 전달', '아티팩트 삭제됨', '페이로드 설치' '분석'에 잘못된 매개변수가 지정된 경우(작업 실패): ''파일 업로드' 작업을 실행하는 중에 오류가 발생했습니다. 이유: '분석' 매개변수에 잘못된 값이 제공되었습니다. 허용되는 숫자: 0,1,2 허용되는 문자열: Initial, Ongoing, Completed' 파일 중 하나 이상을 사용할 수 없는 경우 ''파일 업로드' 작업을 실행하는 중에 오류가 발생했습니다. 이유: 다음 파일에 액세스할 수 없습니다. \n {0}".format(액세스할 수 없는 파일 경로) 이벤트 ID를 찾을 수 없음 (작업 실패) ''파일 업로드' 작업을 실행하는 동안 오류가 발생했습니다. 이유: MISP에서 {0} {1} 이벤트가 발견되지 않음'.format(ID/UUID, event_id) |
일반 |
핑
설명
연결을 테스트합니다.
매개변수
해당 사항 없음
사용 사례
해당 사항 없음
실행
이 작업은 모든 항목에서 실행됩니다.
작업 결과
항목 보강
해당 사항 없음
통계
해당 사항 없음
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 | 예 |
|---|---|---|
| 성공 | True/False | success:False |
JSON 결과
N/A
이벤트에서 태그 삭제
설명
MISP에서 이벤트의 태그를 삭제합니다.
매개변수
| 매개변수 표시 이름 | 유형 | 기본값 | 필수 항목 | 설명 |
|---|---|---|---|---|
| 이벤트 ID | 문자열 | 해당 사항 없음 | 예 | 태그를 삭제할 이벤트의 ID 또는 UUID를 지정합니다. |
| 태그 이름 | CSV | 해당 사항 없음 | 예 | 이벤트에서 삭제할 태그의 쉼표로 구분된 목록을 지정합니다. |
사용 사례
이벤트 재분류: 재분류를 위해 태그를 삭제합니다.
작업 결과
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 | 예 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 결과
[
{
"saved": true,
"success": "Tag removed.",
"check_publish": true
}
]
케이스 월
| 결과 유형 | 값/설명 | 유형 |
|---|---|---|
| 출력 메시지* | 이벤트에서 모든 태그를 삭제한 경우: 'MISP에서 {0} {1}이(가) 있는 이벤트에서 다음 태그를 삭제했습니다. {2}'.format(ID/UUID, event_id, tags) 이벤트에서 일부 태그를 삭제하지 못한 경우: 'MISP에서 {0} {1}이(가) 있는 이벤트에서 다음 태그를 삭제할 수 없습니다: {2}.'.format(ID/UUID, event_id, tags) 모두 성공하지 못한 경우: 'MISP에서 {0} {1}인 이벤트에서 태그가 삭제되지 않았습니다.'.format(ID/UUID, event_id) 태그를 하나 이상 찾을 수 없는 경우: 'MISP에서 다음 태그를 찾을 수 없습니다.\n{0}'.format(MISP에서 찾을 수 없는 태그 목록) 모든 태그를 찾을 수 없는 경우: '제공된 태그를 MISP에서 찾을 수 없습니다.' 심각한 오류 (작업 실패) ''이벤트에서 태그 삭제' 작업을 실행하는 동안 오류가 발생했습니다. 이유: {0}".format(stacktrace) 이벤트 ID를 찾을 수 없음 (작업 실패) "Error executing action "Remove Tag from an Event". 이유: MISP에서 {0} {1} 이벤트가 발견되지 않음'.format(ID/UUID, event_id) |
일반 |
속성에 태그 추가
설명
이 작업을 통해 사용자는 MISP의 특정 속성에 태그를 추가할 수 있습니다. 이렇게 하면 속성의 IOC가 제기하는 보안 위협의 카테고리를 기반으로 속성에 분류가 추가됩니다.
매개변수
| 매개변수 표시 이름 | 유형 | 기본값 | 필수 항목 | 설명 |
|---|---|---|---|---|
| 이벤트 ID | 정수 | 해당 사항 없음 | 예 | 속성이 연결된 이벤트의 식별자입니다. 예: 1. |
| 태그 이름 | 문자열 | 해당 사항 없음 | 예 | 속성에 추가할 태그의 이름입니다. |
| 속성 이름 | 문자열 | 해당 사항 없음 | 예 | 태그할 속성의 이름 식별자입니다. |
| 카테고리 | 문자열 | 해당 사항 없음 | 예 | 속성이 속한 카테고리입니다(예: 페이로드 전송). |
| 유형 | 문자열 | 해당 사항 없음 | 예 | 속성의 유형입니다(예: 파일 이름). |
| 객체 UUID | 문자열 | 해당 사항 없음 | 아니요 | 이벤트에 있는 객체의 고유 식별자입니다. |
사용 사례
IOC 유형에 따라 속성 분류: 속성에 태그를 추가합니다.
실행
이 작업은 모든 항목에서 실행됩니다.
작업 결과
항목 보강
해당 사항 없음
통계
해당 사항 없음
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 | 예 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 결과
[
{
"name": "Global tag unique___test(7) successfully attached to Attribute(9).",
"message": "Global tag unique___test(7) successfully attached to Attribute(9).",
"url": "/tags/attachTagToObject"
}
]
속성에서 태그 삭제
설명
MISP의 속성에서 태그를 삭제합니다.
매개변수
| 매개변수 표시 이름 | 유형 | 기본값 | 필수 항목 | 설명 |
|---|---|---|---|---|
| 이벤트 ID | 문자열 | 해당 사항 없음 | 아니요 | 속성을 검색할 이벤트의 ID 또는 UUID를 지정합니다. '속성 검색'이 '제공된 이벤트'로 설정된 경우 이 매개변수는 필수입니다. |
| 태그 이름 | CSV | 해당 사항 없음 | 예 | 속성에서 삭제할 태그를 쉼표로 구분하여 지정합니다. |
| 속성 이름 | CSV | 해당 사항 없음 | 아니요 | 태그를 삭제할 속성 식별자를 쉼표로 구분하여 지정합니다. |
| 카테고리 | CSV | 해당 사항 없음 | 아니요 | 쉼표로 구분된 카테고리 목록을 지정합니다. 지정된 경우 작업은 일치하는 카테고리가 있는 속성에서만 태그를 삭제합니다. 아무것도 지정하지 않으면 작업에서 속성의 카테고리를 무시합니다. |
| 유형 | CSV | 해당 사항 없음 | 아니요 | 쉼표로 구분된 속성 유형 목록을 지정합니다. 지정된 경우 작업은 일치하는 속성 유형이 있는 속성에서만 태그를 삭제합니다. 아무것도 지정하지 않으면 작업에서 속성의 유형을 무시합니다. |
| 객체 UUID | CSV | 해당 사항 없음 | 원하는 속성이 포함된 객체의 UUID를 지정합니다. | |
| 속성 검색 | DDL | 제공된 이벤트 가능한 값은 다음과 같습니다. 모든 일정 제공된 이벤트 |
예 | 작업이 속성을 검색해야 하는 위치를 지정합니다. '제공된 이벤트'를 선택하면 작업에서 '이벤트 ID' 매개변수에 제공된 ID/UUID가 있는 이벤트의 속성 또는 속성 UUID만 검색합니다. '모든 이벤트'를 선택하면 모든 이벤트에서 속성을 검색하고 Google의 기준과 일치하는 모든 속성에서 태그를 삭제합니다. |
| 속성 UUID | CSV | 새 태그를 삭제할 속성 UUID를 쉼표로 구분하여 지정합니다. 참고: '속성 이름'과 '속성 UUID'가 모두 지정된 경우 작업은 '속성 UUID' 값으로 작동합니다. |
사용 사례
속성 재분류: 재분류를 위한 태그 삭제
실행
이 작업은 모든 항목에서 실행됩니다.
작업 결과
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 | 예 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 결과
[
{
"name": "Tag unique___test(7) successfully removed from Attribute(9).",
"message": "Tag unique___test(7) successfully removed from Attribute(9).",
"url": "/tags/removeTagFromObject"
}
]
케이스 월
| 결과 유형 | 값/설명 | Type> |
|---|---|---|
| 출력 메시지* | 하나 이상의 속성에서 태그를 성공적으로 삭제한 경우: 'MISP:\n{0}의 다음 속성에서 태그를 삭제했습니다.'.format(속성 이름/객체 UUID) 하나 이상의 속성에서 태그가 성공적으로 삭제되지 않은 경우: '작업이 MISP:\n{0}의 다음 속성에서 태그를 삭제하지 않았습니다.'.format(속성 이름/객체 UUID) 모두 성공하지 못한 경우: 'MISP의 제공된 속성에서 태그가 삭제되지 않았습니다.' 태그를 하나 이상 찾을 수 없는 경우: 'MISP에서 다음 태그를 찾을 수 없습니다.\n{0}'.format(MISP에서 찾을 수 없는 태그 목록) 모든 태그를 찾을 수 없는 경우: '제공된 태그를 MISP에서 찾을 수 없습니다.' 심각한 오류 (작업 실패) '속성에서 태그 삭제' 작업을 실행하는 동안 오류가 발생했습니다. 이유: {0}".format(stacktrace) '카테고리'에 잘못된 매개변수가 지정된 경우(작업 실패): ''속성에서 태그 삭제' 작업을 실행하는 중에 오류가 발생했습니다. 이유: '카테고리' 매개변수에 잘못된 값이 제공되었습니다. 허용되는 값: '외부 분석', '페이로드 전달', '아티팩트 삭제됨', '페이로드 설치' '제공된 이벤트'를 선택했지만 이벤트 ID를 선택하지 않은 경우: '속성에서 태그 삭제' 작업을 실행하는 중에 오류가 발생했습니다. 이유: '속성 검색' 매개변수에 '제공된 이벤트'가 선택된 경우 이벤트 ID가 제공되어야 합니다. 이벤트 ID를 찾을 수 없음 (작업 실패) "Error executing action "Remove Tag from an Attribute". 이유: MISP에서 {0} {1} 이벤트가 발견되지 않음'.format(ID/UUID, event_id) |
일반 |
이벤트 게시
설명
이 작업을 통해 사용자는 이벤트를 게시할 수 있습니다. 이벤트를 게시하면 선택한 공유 그룹에 공유되어 모든 회원에게 표시됩니다.
매개변수
| 매개변수 표시 이름 | 유형 | 기본값 | 필수 항목 | 설명 |
|---|---|---|---|---|
| 이벤트 ID | 문자열 | 해당 사항 없음 | 예 | 게시하려는 이벤트의 ID 또는 UUID를 지정합니다. |
사용 사례
이벤트 게시:
- 짝수 만들기
- 이벤트 속성 추가
- 이벤트 게시
작업 결과
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 | 예 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 결과
[
{
"Event": {
"id": "3",
"orgc_id": "1",
"org_id": "1",
"date": "2019-12-27",
"threat_level_id": "1",
"info": "Connection to .ch",
"published": true,
"uuid": "5e05dd29-7b90-474d-b5f6-51ae0a00024b",
"attribute_count": "0",
"analysis": "1",
"timestamp": "1577774920",
"distribution": "3",
"proposal_email_lock": false,
"locked": false,
"publish_timestamp": "1577774846",
"sharing_group_id": "0",
"disable_correlation": false,
"extends_uuid": "5e05db24-1e98-4bb9-bd56-51fd0a00024b",
"event_creator_email": "admin@admin.test",
"Org": {
"id": "1",
"name": "ORGNAME",
"uuid": "5dfc9b8f-c320-4b6d-ac1c-4f4e8bdc3fef",
"local": true
},
"Orgc": {
"id": "1",
"name": "ORGNAME",
"uuid": "5dfc9b8f-c320-4b6d-ac1c-4f4e8bdc3fef",
"local": true
},
"Attribute": [],
"ShadowAttribute": [],
"RelatedEvent": [],
"Galaxy": [],
"Object": [],
"Tag": [
{
"id": "7",
"name": "unique___test",
"colour": "#9648c4",
"exportable": true,
"user_id": "0",
"hide_tag": false,
"numerical_value": null,
"local": 0
}
]
}
}
]
케이스 월
| 결과 유형 | 값/설명 | 유형 |
|---|---|---|
| 출력 메시지* | 성공한 경우: 'MISP에서 {0} {1}을 사용하여 이벤트를 게시했습니다.'.format(ID/UUID, event_id) 성공하지 못한 경우: '{0} {1}이(가) 포함된 이벤트가 MISP에 게시되지 않았습니다.'.format(ID/UUID, event_id) 심각한 오류 (작업 실패) ''이벤트 게시' 작업을 실행하는 동안 오류가 발생했습니다. 이유: {0}".format(stacktrace) 이벤트 ID를 찾을 수 없음 (작업 실패) '이벤트 게시' 작업을 실행하는 동안 오류가 발생했습니다. 이유: MISP에서 {0} {1} 이벤트가 발견되지 않음'.format(ID/UUID, event_id) |
일반 |
이벤트 게시 취소
설명
이 작업을 통해 사용자는 이벤트를 게시 취소할 수 있습니다. 이벤트를 게시 취소하면 공유 그룹에 표시되지 않습니다.
매개변수
| 매개변수 표시 이름 | 유형 | 기본값 | 필수 항목 | 설명 |
|---|---|---|---|---|
| 이벤트 ID | 문자열 | 해당 사항 없음 | 예 | 게시 취소하려는 이벤트의 ID 또는 UUID를 지정합니다. |
작업 결과
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 | 예 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 결과
[
{
"Event": {
"id": "3",
"orgc_id": "1",
"org_id": "1",
"date": "2019-12-27",
"threat_level_id": "1",
"info": "Connection to .ch",
"published": false,
"uuid": "5e05dd29-7b90-474d-b5f6-51ae0a00024b",
"attribute_count": "0",
"analysis": "1",
"timestamp": "1577774920",
"distribution": "3",
"proposal_email_lock": false,
"locked": false,
"publish_timestamp": "1577774846",
"sharing_group_id": "0",
"disable_correlation": false,
"extends_uuid": "5e05db24-1e98-4bb9-bd56-51fd0a00024b",
"event_creator_email": "admin@admin.test",
"Org": {
"id": "1",
"name": "ORGNAME",
"uuid": "5dfc9b8f-c320-4b6d-ac1c-4f4e8bdc3fef",
"local": true
},
"Orgc": {
"id": "1",
"name": "ORGNAME",
"uuid": "5dfc9b8f-c320-4b6d-ac1c-4f4e8bdc3fef",
"local": true
},
"Attribute": [],
"ShadowAttribute": [],
"RelatedEvent": [],
"Galaxy": [],
"Object": [],
"Tag": [
{
"id": "7",
"name": "unique___test",
"colour": "#9648c4",
"exportable": true,
"user_id": "0",
"hide_tag": false,
"numerical_value": null,
"local": 0
}
]
}
}
]
케이스 월
| 결과 유형 | 값/설명 | 유형 |
|---|---|---|
| 출력 메시지* | 성공한 경우: 'MISP에서 {0} {1} 이벤트가 게시 취소되었습니다.'.format(ID/UUID, event_id) 성공하지 못한 경우: '{0} {1}이(가) MISP에서 게시 취소되지 않았습니다.'.format(ID/UUID, event_id) 심각한 오류 (작업 실패) ''이벤트 게시 취소' 작업을 실행하는 동안 오류가 발생했습니다. 이유: {0}".format(stacktrace) 이벤트 ID를 찾을 수 없음 (작업 실패) '이벤트 게시 취소' 작업을 실행하는 동안 오류가 발생했습니다. 이유: MISP에서 {0} {1} 이벤트가 발견되지 않음'.format(ID/UUID, event_id) |
일반 |
속성 삭제
설명
MISP에서 속성을 삭제합니다. 지원되는 해시: MD5, SHA1, SHA224, SHA256, SHA384, SHA512, SSDeep
매개변수
| 매개변수 표시 이름 | 유형 | 기본값 | 필수 항목 | 설명 |
|---|---|---|---|---|
| 이벤트 ID | 문자열 | 해당 사항 없음 | 아니요 | 속성을 검색할 이벤트의 ID 또는 UUID를 지정합니다. '속성 검색'이 '제공된 이벤트'로 설정된 경우 이 매개변수는 필수입니다. |
| 속성 이름 | CSV | 해당 사항 없음 | 아니요 | 삭제할 속성 식별자를 쉼표로 구분하여 지정합니다. |
| 카테고리 | CSV | 해당 사항 없음 | 아니요 | 쉼표로 구분된 카테고리 목록을 지정합니다. 지정된 경우 작업은 일치하는 카테고리가 있는 속성만 삭제합니다. 아무것도 지정하지 않으면 작업에서 속성의 카테고리를 무시합니다. |
| 유형 | CSV | 해당 사항 없음 | 아니요 | 쉼표로 구분된 속성 유형 목록을 지정합니다. 지정된 경우 작업은 일치하는 속성 유형이 있는 속성만 삭제합니다. 아무것도 지정하지 않으면 작업에서 속성의 유형을 무시합니다. |
| 객체 UUID | 문자열 | 해당 사항 없음 | 아니요 | 이벤트에 있는 객체의 고유 식별자입니다. |
| 속성 검색 | DDL | 제공된 이벤트 가능한 값은 다음과 같습니다. 모든 일정 제공된 이벤트 |
예 | 작업이 속성을 검색해야 하는 위치를 지정합니다. '제공된 이벤트'를 선택하면 작업에서 '이벤트 ID' 매개변수에 제공된 ID/UUID가 있는 이벤트의 속성 또는 속성 UUID만 검색합니다. '모든 이벤트'를 선택하면 모든 이벤트에서 속성을 검색하고 Google의 기준과 일치하는 모든 속성을 삭제합니다. |
| 속성 UUID | CSV | 삭제할 속성 UUID를 쉼표로 구분하여 지정합니다. |
사용 사례
일정에서 속성을 삭제합니다.
실행
이 작업은 모든 항목에서 실행됩니다.
작업 결과
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 | 예 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 결과
[
{
"message": "Attribute deleted."
}
]
케이스 월
| 결과 유형 | 값 설명 | 유형 |
|---|---|---|
| 출력 메시지* | 하나 이상의 속성에 Sighting이 성공적으로 추가된 경우: 'MISP에서 다음 속성을 삭제했습니다.\n{0}'.format(속성 이름/객체 UUID) 하나 이상의 속성에 Sighting을 추가하지 못한 경우: '작업이 MISP에서 다음 속성을 삭제하지 않았습니다.\n{0}'.format(attribute name/object UUID) 모두 성공하지 않은 경우: 'MISP에서 삭제된 속성이 없습니다' 심각한 오류 (작업 실패) ''속성 삭제' 작업을 실행하는 동안 오류가 발생했습니다. 이유: {0}".format(stacktrace) '카테고리'에 잘못된 매개변수가 지정된 경우(작업 실패): ''속성 삭제' 작업 실행 중에 오류가 발생했습니다. 이유: '카테고리' 매개변수에 잘못된 값이 제공되었습니다. 허용되는 값: '외부 분석', '페이로드 전달', '아티팩트 삭제됨', '페이로드 설치' '제공된 이벤트'를 선택했지만 이벤트 ID를 선택하지 않은 경우: '속성 삭제' 작업을 실행하는 동안 오류가 발생했습니다. 이유: '속성 검색' 매개변수에 '제공된 이벤트'가 선택된 경우 이벤트 ID가 제공되어야 합니다. 이벤트 ID를 찾을 수 없음 (작업 실패) ''속성 삭제' 작업을 실행하는 동안 오류가 발생했습니다. 이유: MISP에서 {0} {1} 이벤트가 발견되지 않음'.format(ID/UUID, event_id) |
일반 |
이벤트 삭제
설명
MISP에서 이벤트 삭제
매개변수
| 매개변수 표시 이름 | 유형 | 기본값 | 필수 항목 | 설명 |
|---|---|---|---|---|
| 이벤트 ID | 문자열 | 해당 사항 없음 | 예 | 삭제할 이벤트의 ID 또는 UUID를 지정합니다. |
사용 사례
일정을 영구적으로 삭제합니다.
실행
이 작업은 사용자 항목에서 실행됩니다.
작업 결과
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 | 예 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 결과
[
{
"name": "Event deleted.",
"message": "Event deleted.",
"url": "/events/delete/4"
}
]
케이스 월
| 결과 유형 | 값 설명 | 유형 |
|---|---|---|
| 출력 메시지* | 성공한 경우: 'MISP에서 {0} {1} 이벤트가 삭제됨'.format(ID/UUID, event_id) 심각한 오류 (작업 실패) ''이벤트 삭제' 작업을 실행하는 동안 오류가 발생했습니다. 이유: {0}".format(traceback) 이벤트 ID를 찾을 수 없음 (작업 실패) ''이벤트 삭제' 작업을 실행하는 중에 오류가 발생했습니다. 이유: MISP에서 {0} {1} 이벤트가 발견되지 않음'.format(ID/UUID, event_id) |
일반 |
File Misp 객체 만들기
설명
이 작업을 통해 사용자는 메타 정보가 있는 파일을 설명하는 단일 객체에서 이벤트와 관련된 파일 속성을 정리할 수 있습니다. 그런 다음 속성이 있는 객체가 지정된 이벤트에 연결됩니다.
매개변수
| 매개변수 표시 이름 | 유형 | 기본값 | 필수 항목 | 설명 |
|---|---|---|---|---|
| 이벤트 ID | 문자열 | 해당 사항 없음 | 예 | 객체를 추가할 이벤트의 고유 식별자입니다. 예: 1 |
| 파일 이름 | 문자열 | 해당 사항 없음 | 아니요 | 파일의 파일 이름입니다. |
| MD5 | 문자열 | 해당 사항 없음 | 아니요 | 파일의 md5 해시 값입니다. |
| SHA1 | 문자열 | 해당 사항 없음 | 아니요 | 파일의 sha1 해시 값입니다. |
| SHA256 | 문자열 | 해당 사항 없음 | 아니요 | 파일의 sha256 해시 값입니다. |
| SSDEEP | 문자열 | 해당 사항 없음 | 아니요 | 파일의 ssdeep 값입니다. 예: 96:p5aAS1tN0M3t9AnTNuG6TNOt5PR1TNZdkljOXTNSnKTF3X7KsTFW+kLtW6K8i7bI:p5mb4rgQhRp7GljCbF3LKqFjkwxtU |
| Imphash | 문자열 | 해당 사항 없음 | 아니요 | 가져온 테이블에서 계산된 MD5 해시 값입니다. |
사용 사례
해당 사항 없음
실행
이 작업은 모든 항목에서 실행됩니다.
작업 결과
항목 보강
해당 사항 없음
통계
해당 사항 없음
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 | 예 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 결과
N/A
IP-Port Misp 객체 만들기
설명
이 작업을 통해 사용자는 특정 시간 프레임에서 튜플 (또는 트리플)로 표시되는 IP 주소 (또는 도메인 또는 호스트 이름)와 포트를 설명하는 단일 객체에서 이벤트와 관련된 IP-포트 속성을 정리할 수 있습니다 . 그런 다음 속성이 있는 객체가 지정된 이벤트에 연결됩니다.
매개변수
| 매개변수 표시 이름 | 유형 | 기본값 | 필수 항목 | 설명 |
|---|---|---|---|---|
| 이벤트 ID | 문자열 | 해당 사항 없음 | 예 | 객체를 추가할 이벤트의 고유 식별자입니다. 예: 1 |
| Dst-port | 문자열 | 해당 사항 없음 | 아니요 | 대상 포트. |
| Src-port | 문자열 | 해당 사항 없음 | 아니요 | 소스 포트. |
| 도메인 | 문자열 | 해당 사항 없음 | 아니요 | Domain을 클릭합니다. |
| 호스트 이름 | 문자열 | 해당 사항 없음 | 아니요 | 호스트 이름입니다. |
| IP-Src | 문자열 | 해당 사항 없음 | 아니요 | 소스 IP 주소입니다. |
| IP-Dst | 문자열 | 해당 사항 없음 | 아니요 | 대상 IP 주소입니다. |
사용 사례
해당 사항 없음
실행
이 작업은 모든 항목에서 실행됩니다.
작업 결과
항목 보강
해당 사항 없음
통계
해당 사항 없음
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 | 예 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 결과
N/A
네트워크 연결 Misp 객체 만들기
설명
MISP에서 network-connection 객체를 만듭니다. Dst-port, Src-port, IP-Src, IP-Dst 중 하나를 제공하거나 'Use Entities' 매개변수를 true로 설정해야 합니다.
매개변수
| 매개변수 표시 이름 | 유형 | 기본값 | 필수 항목 | 설명 |
|---|---|---|---|---|
| 이벤트 ID | 문자열 | 해당 사항 없음 | 예 | 네트워크 연결 객체를 추가할 이벤트의 ID 또는 UUID를 지정합니다. |
| Dst-port | 문자열 | 해당 사항 없음 | 아니요 | 이벤트에 추가할 대상 포트를 지정합니다. |
| Src-port | 문자열 | 해당 사항 없음 | 아니요 | 이벤트에 추가할 소스 포트를 지정합니다. |
| Hostname-dst | 문자열 | 해당 사항 없음 | 아니요 | 이벤트에 추가할 소스 도착 페이지를 지정합니다. |
| Hostname-src | 문자열 | 해당 사항 없음 | 아니요 | 이벤트에 추가할 소스 호스트 이름을 지정합니다. |
| IP-Src | 문자열 | 해당 사항 없음 | 아니요 | 이벤트에 추가할 소스 IP를 지정합니다. |
| IP-Dst | 문자열 | 해당 사항 없음 | 아니요 | 이벤트에 추가할 대상 IP를 지정합니다. |
| Layer3-protocol | 문자열 | 해당 사항 없음 | 아니요 | 이벤트에 추가할 관련 레이어 3 프로토콜을 지정합니다. |
| Layer4-protocol | 문자열 | 해당 사항 없음 | 아니요 | 이벤트에 추가할 관련 레이어 4 프로토콜을 지정합니다. |
| Layer7-protocol | 문자열 | 해당 사항 없음 | 아니요 | 이벤트에 추가할 관련 레이어 7 프로토콜을 지정합니다. |
| 항목 사용 | 체크박스 | 선택 해제 | 아니요 | 사용 설정하면 작업에서 항목을 사용하여 객체를 만듭니다. 지원되는 항목: IP 주소 'Use Entities'는 다른 매개변수보다 우선합니다. |
| IP 유형 | DDL | 소스 IP 가능한 값은 다음과 같습니다. 소스 IP 대상 IP |
IP 항목에 사용할 속성 유형을 지정합니다. |
실행
이 작업은 모든 항목에서 실행됩니다.
작업 결과
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 | 예 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 결과
N/A
케이스 월
| 결과 유형 | 값 설명 | 유형 |
|---|---|---|
| 출력 메시지* | 성공하고 '항목 사용'이 true가 아닌 경우: 'MISP에서 {0} {1}이(가) 있는 이벤트의 새 network-connection 객체를 만들었습니다.'.format(ID/UUID, event_id) 성공하지 않고 'Use Entities'가 true가 아닌 경우: '작업에서 MISP의 {0} {1} 이벤트에 대한 새 network-connection 객체를 만들 수 없습니다. 이유: {2}'.format(ID/UUID) 하나가 성공하고 '항목 사용'이 true인 경우: '다음 항목을 기반으로 MISP에서 {0} {1}이(가) 있는 이벤트의 새 네트워크 연결 객체를 성공적으로 만들었습니다. \n{0}'.format(ID/UUID, event_id, entity.identifiers) 하나의 항목에 대해 성공하지 못하고 '항목 사용'이 true인 경우: '다음 항목을 기반으로 MISP에서 {0} {1}이(가) 포함된 이벤트의 새 network-connection 객체를 만들 수 없습니다.\n{0}'.format(ID/UUID, event_id, entity.identifiers) 모두 성공하지 않고 '항목 사용'이 true인 경우: '제공된 항목을 기반으로 MISP에서 {0} {1}이(가) 있는 이벤트의 새 network-connection 객체를 만들 수 없습니다.'.format(ID/UUID, event_id) 심각한 오류 (작업 실패) ''네트워크 연결 Misp 객체 만들기' 작업을 실행하는 중에 오류가 발생했습니다. 이유: {0}".format(stacktrace) 이벤트 ID를 찾을 수 없음 (작업 실패) "'네트워크 연결 Misp 객체 만들기' 작업을 실행하는 동안 오류가 발생했습니다. 이유: MISP에서 {0} {1} 이벤트가 발견되지 않음'.format(ID/UUID, event_id) Dst-port, Src-port, IP-Src, IP-Dst가 제공되지 않고 'Use Entities' == false인 경우: ''네트워크 연결 Misp 객체 만들기' 작업을 실행하는 중에 오류가 발생했습니다. 이유: 'Dst-port', 'Src-port', 'IP-Src', 'IP-Dst' 중 하나를 제공하거나 'Use Entities' 매개변수를 true로 설정해야 합니다. |
일반 |
URL Misp 객체 만들기
설명
MISP에서 URL 객체를 만듭니다. 'URL'이 제공되거나 '엔티티 사용' 매개변수가 true로 설정되어야 합니다.
매개변수
| 매개변수 표시 이름 | 유형 | 기본값 | 필수 항목 | 설명 |
|---|---|---|---|---|
| 이벤트 ID | 문자열 | 해당 사항 없음 | 예 | URL 객체를 추가할 이벤트의 ID 또는 UUID를 지정합니다. |
| URL | 문자열 | 해당 사항 없음 | 아니요 | 일정에 추가할 URL을 지정합니다. |
| 포트 | 문자열 | 해당 사항 없음 | 아니요 | 이벤트에 추가할 포트를 지정합니다. |
| 최초 발생 시간 | 문자열 | 해당 사항 없음 | 아니요 | URL이 처음 발견된 시점을 지정합니다. |
| 최근 발생 시간 | 문자열 | 해당 사항 없음 | 아니요 | URL을 마지막으로 본 시간을 지정합니다. |
| 도메인 | 문자열 | 해당 사항 없음 | 아니요 | 일정에 추가할 도메인을 지정합니다. |
| 텍스트 | 문자열 | 해당 사항 없음 | 아니요 | 일정에 추가할 추가 텍스트를 지정합니다. |
| IP | 문자열 | 해당 사항 없음 | 아니요 | 이벤트에 추가할 IP를 지정합니다. |
| 호스트 | 문자열 | 해당 사항 없음 | 아니요 | 일정에 추가할 호스트를 지정합니다. |
| 항목 사용 | 체크박스 | 선택 해제 | 사용 설정하면 작업에서 항목을 사용하여 객체를 만듭니다. 지원되는 항목: URL 'Use Entities'는 다른 매개변수보다 우선합니다. |
실행
이 작업은 모든 항목에서 실행됩니다.
작업 결과
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 | 예 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 결과
N/A
케이스 월
| 결과 유형 | 값 설명 | 유형 |
|---|---|---|
| 출력 메시지* | 성공하고 '항목 사용'이 true가 아닌 경우: 'MISP에서 {0} {1}이(가) 있는 이벤트의 새 URL 객체를 만들었습니다.'.format(ID/UUID, event_id) 성공하지 않았고 '엔티티 사용'이 true가 아닌 경우: 'MISP에서 {0} {1}이(가) 있는 이벤트의 URL 객체를 생성할 수 없습니다. 이유: {2}'.format(ID/UUID) 하나가 성공하고 '항목 사용'이 true인 경우: '다음 항목을 기반으로 MISP에서 {0} {1}이(가) 있는 이벤트의 새 URL 객체를 성공적으로 만들었습니다. \n{0}'.format(ID/UUID, event_id, entity.identifiers) 하나의 항목에 대해 성공하지 못하고 '항목 사용'이 true인 경우: '다음 항목을 기반으로 MISP에서 {0} {1}이(가) 있는 이벤트의 새 URL 객체를 만들 수 없습니다.\n{0}'.format(ID/UUID, event_id, entity.identifiers) 모두 성공하지 않고 '항목 사용'이 true인 경우: '제공된 항목을 기반으로 MISP에서 {0} {1}이(가) 있는 이벤트의 새 URL 객체를 만들 수 없습니다.'.format(ID/UUID, event_id) 심각한 오류 (작업 실패) 'Error executing action "Create Url Misp Object". 이유: {0}".format(stacktrace) 이벤트 ID를 찾을 수 없음 (작업 실패) "Error executing action "Create Url Misp Object". 이유: MISP에서 {0} {1} 이벤트가 발견되지 않음'.format(ID/UUID, event_id) URL이 제공되지 않고 '항목 사용' == false인 경우: 'URL Misp 객체 만들기' 작업을 실행하는 중에 오류가 발생했습니다. 이유: 'URL'을 제공하거나 '엔티티 사용' 매개변수를 true로 설정해야 합니다. |
일반 |
Virustotal-Report 객체 만들기
설명
MISP에서 Virustotal-Report 객체를 만듭니다.
매개변수
| 매개변수 표시 이름 | 유형 | 기본값 | 필수 항목 | 설명 |
|---|---|---|---|---|
| 이벤트 ID | 문자열 | 해당 사항 없음 | 예 | URL 객체를 추가할 이벤트의 ID 또는 UUID를 지정합니다. |
| 퍼머링크 | 문자열 | 해당 사항 없음 | 예 | 이벤트에 추가할 VirusTotal 보고서의 링크를 지정합니다. |
| 댓글 | 문자열 | 해당 사항 없음 | 아니요 | 일정에 추가할 댓글을 지정합니다. |
| 감지 비율 | 문자열 | 해당 사항 없음 | 아니요 | 이벤트에 추가할 감지 비율을 지정합니다. |
| 커뮤니티 점수 | 문자열 | 해당 사항 없음 | 아니요 | 이벤트에 추가할 커뮤니티 점수를 지정합니다. |
| 첫 번째 제출 | 문자열 | 해당 사항 없음 | 아니요 | 이벤트의 첫 번째 제출을 지정합니다. |
| 마지막 제출 | 문자열 | 해당 사항 없음 | 아니요 | 이벤트의 마지막 제출을 지정합니다. |
실행
이 작업은 모든 항목에서 실행됩니다.
작업 결과
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 | 예 |
|---|---|---|
| is_success | True/False | is_success:False |
케이스 월
| 결과 유형 | 값 설명 | 유형 |
|---|---|---|
| 출력 메시지* | 성공한 경우 : 'MISP에서 {0} {1}이(가) 있는 이벤트의 새 Virustotal-Report 객체를 만들었습니다.'.format(ID/UUID, event_id) 성공하지 못한 경우 : 'MISP에서 {0} {1}이(가) 있는 이벤트의 Virustotal-Report 객체를 생성할 수 없습니다. 이유: {2}'.format(ID/UUID) 심각한 오류 (작업 실패) 'Error executing action "Create Virustotal-Report Misp Object". 이유: {0}".format(stacktrace) 이벤트 ID를 찾을 수 없음 (작업 실패) "Error executing action "Create Virustotal-Report Misp Object". 이유: MISP에서 {0} {1} 이벤트가 발견되지 않음'.format(ID/UUID, event_id) |
일반 |
이벤트 객체 나열
설명
MISP 이벤트에서 사용 가능한 객체에 관한 정보를 가져옵니다.
매개변수
| 매개변수 표시 이름 | 유형 | 기본값 | 필수 항목 | 설명 |
|---|---|---|---|---|
| 이벤트 ID | 문자열 | 해당 사항 없음 | 예 | 세부정보를 가져올 이벤트의 ID 및 UUID를 쉼표로 구분한 목록을 지정합니다. |
| 반환할 최대 객체 수 | 정수 | 50 | 아니요 | 반환할 객체 수를 지정합니다. |
실행
이 작업은 항목에서 실행되지 않습니다.
작업 결과
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 | 예 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 결과
"Object": [
{
"id": "1",
"name": "ftm-Associate",
"meta-category": "followthemoney",
"description": "Non-family association between two people",
"template_uuid": "6119ecb3-dedd-44b6-b88f-174585b0b1bf",
"template_version": "1",
"event_id": "1",
"uuid": "2a3e260f-d3b2-4164-b2b1-2f6f5b559970",
"timestamp": "1594632232",
"distribution": "5",
"sharing_group_id": "0",
"comment": "",
"deleted": false,
"first_seen": null,
"last_seen": null,
"ObjectReference": [],
},
{
"id": "2",
"name": "ftm-Associate",
"meta-category": "followthemoney",
"description": "Non-family association between two people",
"template_uuid": "6119ecb3-dedd-44b6-b88f-174585b0b1bf",
"template_version": "1",
"event_id": "1",
"uuid": "800d8634-175a-4bc2-a4d7-aca200c8c132",
"timestamp": "1594632463",
"distribution": "5",
"sharing_group_id": "0",
"comment": "",
"deleted": false,
"first_seen": null,
"last_seen": null,
"ObjectReference": [],
}
케이스 월
| 결과 유형 | 값 설명 | 유형 |
|---|---|---|
| 출력 메시지* | 작업이 실패하거나 플레이북 실행을 중지하지 않습니다. 이벤트에 대해 하나 이상의 객체가 발견된 경우: '다음 이벤트의 객체를 나열했습니다.\n{0}'.format(event_ids) 지정된 ID의 이벤트를 찾을 수 없는 경우 (is_success = false): 이벤트 1개에 대해 객체를 찾을 수 없는 경우: '작업이 다음 이벤트의 객체를 찾을 수 없습니다.\n {0}'.format(event_ids) 모든 이벤트에 대해 객체를 찾을 수 없는 경우: "제공된 이벤트에 대해 객체를 찾을 수 없습니다.' 작업이 실패하고 플레이북 실행을 중지합니다. 잘못된 사용자 인증 정보, 서버 연결 없음 등 치명적인 오류인 경우: 'Error executing action "List Event Objects". 이유: {0}'.format(error.Stacktrace) |
일반 |
| CSV 표 | 표 이름: 이벤트 {0} 객체 테이블 열:
|
이벤트 세부정보 가져오기
설명
MISP의 이벤트에 관한 세부정보를 가져옵니다.
매개변수
| 매개변수 표시 이름 | 유형 | 필수 항목 | 설명 |
|---|---|---|---|
| 이벤트 ID | 문자열 | 예 | 세부정보를 가져올 이벤트의 ID 또는 UUID를 쉼표로 구분한 목록을 지정합니다. |
| 속성 정보 반환 | 체크박스 | 선택됨 | 사용 설정하면 작업에서 이벤트에 포함된 모든 속성에 대한 케이스 월 테이블을 만듭니다. |
실행
이 작업은 항목에서 실행되지 않습니다.
작업 결과
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 | 예 |
|---|---|---|
| is_success | True/False | is_success:False |
케이스 월
| 결과 유형 | 값 설명 | 유형 |
|---|---|---|
| 출력 메시지* | 작업이 실패하거나 플레이북 실행을 중지하지 않습니다. 제공된 ID 중 하나 이상에 대해 작업이 성공적으로 완료된 경우: '다음 이벤트의 정보를 가져왔습니다: <>'를 출력합니다. 제공된 인시던트 ID 중 하나 이상에 대해 작업을 실행할 수 없는 경우: '다음 이벤트의 정보를 가져오지 못했습니다. <> 작업이 실패하고 플레이북 실행을 중지해야 합니다. 작업이 실패하고 플레이북 실행을 중지합니다. 잘못된 사용자 인증 정보, 서버 연결 없음 등 치명적인 오류인 경우: 'Error executing action "List Event Objects". 이유: {0}'.format(error.Stacktrace) |
일반 |
| CSV 표 | 표 이름: Event {0} Attributes Details'.format(event_id) 열:
|
속성의 출현 목록
설명
MISP의 속성에 대해 사용 가능한 목격 정보를 나열합니다.
매개변수
검색| 파라미터 이름 | 유형 | 기본값 | 필수 | 설명 |
|---|---|---|---|---|
| 속성 이름 | CSV | 아니요 | 노출을 나열할 속성 식별자를 쉼표로 구분된 목록으로 지정합니다. 참고: '속성 이름'과 '속성 UUID'가 모두 지정된 경우 작업은 '속성 UUID' 값으로 작동합니다. | |
| 이벤트 ID | 문자열 | 아니요 | 속성을 검색할 이벤트의 ID 또는 UUID를 지정합니다. '속성 검색'이 '제공된 이벤트'로 설정된 경우 이 매개변수는 필수입니다. | |
| 카테고리 | CSV | 아니요 | 쉼표로 구분된 카테고리 목록을 지정합니다. 지정된 경우 작업은 일치하는 카테고리가 있는 속성의 발견 정보만 나열합니다. 아무것도 지정하지 않으면 작업에서 속성의 카테고리를 무시합니다. 가능한 값: 외부 분석, 페이로드 전송, 아티팩트 삭제, 페이로드 설치 | |
| 유형 | CSV | 아니요 | 쉼표로 구분된 속성 유형 목록을 지정합니다. 지정된 경우 작업은 일치하는 속성 유형이 있는 속성의 발견 항목만 나열합니다. 아무것도 지정하지 않으면 작업에서 속성의 유형을 무시합니다. 예시 값: md5, sha1, ip-src, ip-dst | |
| 속성 검색 | DDL | 제공된 이벤트 가능한 값은 다음과 같습니다. 모든 일정 |
예 | 작업이 속성을 검색해야 하는 위치를 지정합니다. '제공된 이벤트'를 선택하면 작업에서 '이벤트 ID' 매개변수에 제공된 ID/UUID가 있는 이벤트의 속성 또는 속성 UUID만 검색합니다. '모든 이벤트'를 선택하면 모든 이벤트에서 속성을 검색하고 Google의 기준과 일치하는 모든 속성의 목격 정보를 나열합니다. |
| 속성 UUID | CSV | 아니요 | 노출을 나열할 속성 UUID를 쉼표로 구분하여 지정합니다. 참고: '속성 이름'과 '속성 UUID'가 모두 지정된 경우 작업은 '속성 UUID' 값으로 작동합니다. |
작업 결과
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 | 예 |
|---|---|---|
| is_success | True/False | is_success:False |
케이스 월
| 결과 유형 | 값/설명 | 유형 |
|---|---|---|
| 출력 메시지* | 하나 이상의 속성에 대해 목격 정보를 성공적으로 나열한 경우: 'MISP:\n{0}에서 다음 속성의 목격 정보를 성공적으로 나열했습니다.'.format(속성 이름/속성 UUID) 하나 이상의 속성에 대해 목격 정보를 나열하지 못한 경우: '작업이 MISP에서 다음 속성의 목격 정보를 나열하지 못했습니다.\n{0}'.format(attribute name/attribute UUID) 모든 속성에 대해 성공하지 않았거나 목격 정보가 없는 경우: 'MISP에서 제공된 속성에 대한 목격 정보를 찾을 수 없습니다.' 심각한 오류 (작업 실패) ''속성의 발견 목록' 작업을 실행하는 동안 오류가 발생했습니다. 이유: {0}".format(stacktrace) '카테고리'에 잘못된 매개변수가 지정된 경우(작업 실패): ''속성의 발견 목록' 작업을 실행하는 중에 오류가 발생했습니다. 이유: '카테고리' 매개변수에 잘못된 값이 제공되었습니다. 허용되는 값: '외부 분석', '페이로드 전달', '아티팩트 삭제됨', '페이로드 설치' '제공된 이벤트'를 선택했지만 이벤트 ID를 선택하지 않은 경우: '속성의 목격 목록' 작업을 실행하는 동안 오류가 발생했습니다. 이유: '속성 검색' 매개변수에 '제공된 이벤트'가 선택된 경우 이벤트 ID가 제공되어야 합니다. |
일반 |
속성의 IDS 플래그 설정
설명
MISP의 속성에 IDS 플래그를 설정합니다.
매개변수
searchsearch| 파라미터 이름 | 유형 | 기본값 | 필수 | 설명 |
|---|---|---|---|---|
| 속성 이름 | CSV | 아니요 | IDS 플래그를 설정할 속성 식별자를 쉼표로 구분된 목록으로 지정합니다. 참고: '속성 이름'과 '속성 UUID'가 모두 지정된 경우 작업은 '속성 UUID' 값으로 작동합니다. | |
| 이벤트 ID | 문자열 | 아니요 | 속성을 검색할 이벤트의 ID 또는 UUID를 지정합니다. '속성 검색'이 '제공된 이벤트'로 설정된 경우 이 매개변수는 필수입니다. | |
| 카테고리 | CSV | 아니요 | 쉼표로 구분된 카테고리 목록을 지정합니다. 지정된 경우 작업은 일치하는 카테고리가 있는 속성에 대해서만 IDS 플래그를 설정합니다. 아무것도 지정하지 않으면 작업에서 속성의 카테고리를 무시합니다. 가능한 값: 외부 분석, 페이로드 전송, 아티팩트 삭제, 페이로드 설치 | |
| 유형 | CSV | 아니요 | 쉼표로 구분된 속성 유형 목록을 지정합니다. 지정된 경우 작업은 일치하는 속성 유형이 있는 속성에 대해서만 IDS 플래그를 설정합니다. 아무것도 지정하지 않으면 작업에서 속성의 유형을 무시합니다. 예시 값: md5, sha1, ip-src, ip-dst | |
| 속성 검색 | DDL | 제공된 이벤트 가능한 값은 다음과 같습니다. 모든 일정 |
예 | 작업이 속성을 검색해야 하는 위치를 지정합니다. '제공된 이벤트'를 선택하면 작업에서 '이벤트 ID' 매개변수에 제공된 ID/UUID가 있는 이벤트의 속성 또는 속성 UUID만 검색합니다. '모든 이벤트'를 선택하면 작업에서 모든 이벤트 중에서 속성을 검색하고 기준과 일치하는 모든 속성에 대해 IDS 플래그를 설정합니다. |
| 속성 UUID | CSV | 아니요 | IDS 플래그를 설정할 속성 UUID를 쉼표로 구분한 목록을 지정합니다. |
작업 결과
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 | 예 |
|---|---|---|
| 성공 | True/False | success:False |
케이스 월
| 결과 유형 | 값 설명 | 유형 |
|---|---|---|
| 출력 메시지* | 하나 이상의 속성에 IDS 플래그가 추가된 경우: 'MISP에서 다음 속성에 IDS 플래그를 설정했습니다.\n{0}'.format(속성 이름/객체 UUID) 하나 이상의 속성에 IDS 플래그가 추가되지 않은 경우: 'MISP에서 다음 속성에 IDS 플래그가 설정되지 않았습니다.\n{0}'.format(속성 이름/객체 UUID) 모두 성공하지 못한 경우: 'MISP에서 제공된 속성에 IDS 플래그가 설정되지 않았습니다.' 심각한 오류 (작업 실패) ''속성의 IDS 플래그 설정' 작업을 실행하는 동안 오류가 발생했습니다. 이유: {0}".format(stacktrace) '카테고리'에 잘못된 매개변수가 지정된 경우(작업 실패): ''속성의 IDS 플래그 설정' 작업을 실행하는 중에 오류가 발생했습니다. 이유: '카테고리' 매개변수에 잘못된 값이 제공되었습니다. 허용되는 값: '외부 분석', '페이로드 전달', '아티팩트 삭제됨', '페이로드 설치' '제공된 이벤트'를 선택했지만 이벤트 ID를 선택하지 않은 경우: '속성의 IDS 플래그 설정' 작업을 실행하는 동안 오류가 발생했습니다. 이유: '속성 검색' 매개변수에 '제공된 이벤트'가 선택된 경우 이벤트 ID가 제공되어야 합니다. 이벤트 ID를 찾을 수 없음 (작업 실패) "Error executing action "Set IDS Flag for an Attribute". 이유: MISP에서 {0} {1} 이벤트가 발견되지 않음'.format(ID/UUID, event_id) |
일반 |
속성의 IDS 플래그를 설정 해제
설명
MISP의 속성에 대해 IDS 플래그를 설정 해제합니다.
매개변수
| 이름 | 유형 | 기본값 | 필수 | 설명 |
|---|---|---|---|---|
| 속성 이름 | CSV | 아니요 | IDS 플래그를 설정 해제할 속성 식별자를 쉼표로 구분된 목록으로 지정합니다. |
|
| 이벤트 ID | 문자열 | 아니요 | 속성을 검색할 이벤트의 ID 또는 UUID를 지정합니다. '속성 검색'이 '제공된 이벤트'로 설정된 경우 이 매개변수는 필수입니다. | |
| 카테고리 | CSV | 아니요 | 쉼표로 구분된 카테고리 목록을 지정합니다. 지정된 경우 작업은 일치하는 카테고리가 있는 속성의 IDS 플래그만 설정 해제합니다. 아무것도 지정하지 않으면 작업에서 속성의 카테고리를 무시합니다. 가능한 값: 외부 분석, 페이로드 전송, 아티팩트 삭제, 페이로드 설치 | |
| 유형 | CSV | 아니요 | 쉼표로 구분된 속성 유형 목록을 지정합니다. 지정된 경우 작업은 일치하는 속성 유형이 있는 속성의 IDS 플래그만 설정 해제합니다. 아무것도 지정하지 않으면 작업에서 속성의 유형을 무시합니다. 예시 값: md5, sha1, ip-src, ip-dst | |
| 속성 검색 | DDL | 제공된 이벤트 가능한 값은 다음과 같습니다. 모든 일정 |
참 | 작업이 속성을 검색해야 하는 위치를 지정합니다. '제공된 이벤트'를 선택하면 작업에서 '이벤트 ID' 매개변수에 제공된 ID/UUID가 있는 이벤트의 속성 또는 속성 UUID만 검색합니다. '모든 이벤트'를 선택하면 모든 이벤트에서 속성을 검색하고 기준과 일치하는 모든 속성의 IDS 플래그를 설정 해제합니다. |
| 속성 UUID | CSV | 아니요 | IDS 플래그를 설정 해제할 속성 UUID를 쉼표로 구분하여 지정합니다. 참고: '속성 이름'과 '속성 UUID'가 모두 지정된 경우 작업은 '속성 UUID' 값으로 작동합니다. |
작업 결과
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 | 예 |
|---|---|---|
| 성공 | True/False | success:False |
케이스 월
| 결과 유형 | 값 설명 | 유형 |
|---|---|---|
| 출력 메시지* | 하나 이상의 속성에서 IDS 플래그를 성공적으로 삭제한 경우: 'MISP에서 다음 속성의 IDS 플래그를 성공적으로 설정 해제했습니다.\n{0}'.format(속성 이름/객체 UUID) 하나 이상의 속성에서 IDS 플래그를 삭제하지 못한 경우: 'MISP에서 다음 속성의 IDS 플래그를 설정 해제하지 못했습니다.\n{0}'.format(attribute name/object UUID) 모두 성공하지 못한 경우: 'MISP에서 제공된 속성의 IDS 플래그가 설정 해제되지 않았습니다.' 심각한 오류 (작업 실패) '속성의 IDS 플래그를 설정 해제' 작업을 실행하는 동안 오류가 발생했습니다. 이유: {0}".format(stacktrace) '카테고리'에 잘못된 매개변수가 지정된 경우(작업 실패): ''속성의 IDS 플래그 설정 해제' 작업을 실행하는 중에 오류가 발생했습니다. 이유: '카테고리' 매개변수에 잘못된 값이 제공되었습니다. 허용되는 값: '외부 분석', '페이로드 전달', '아티팩트 삭제됨', '페이로드 설치' '제공된 이벤트'를 선택했지만 이벤트 ID를 선택하지 않은 경우: '속성의 IDS 플래그 설정 해제' 작업을 실행하는 동안 오류가 발생했습니다. 이유: '속성 검색' 매개변수에 '제공된 이벤트'가 선택된 경우 이벤트 ID가 제공되어야 합니다. 이벤트 ID를 찾을 수 없음 (작업 실패) '속성의 IDS 플래그를 설정 해제' 작업을 실행하는 동안 오류가 발생했습니다. 이유: MISP에서 {0} {1} 이벤트가 발견되지 않음'.format(ID/UUID, event_id) |
일반 |
커넥터
MISP - 속성 커넥터
설명
MISP에서 속성을 가져옵니다.
Google SecOps에서 MISP - Attributes Connector 구성
Google SecOps에서 커넥터를 구성하는 방법에 대한 자세한 내용은 커넥터 구성을 참고하세요.
커넥터 매개변수
다음 매개변수를 사용하여 커넥터를 구성합니다.
| 매개변수 이름 | 유형 | 기본값 | 필수 항목 | 설명 |
|---|---|---|---|---|
| DeviceProductField | 문자열 | 제품 이름 | 예 | 제품 필드 이름을 가져오려면 소스 필드 이름을 입력합니다. |
| EventClassId | 문자열 | alertType | 예 | 이벤트 필드 이름을 가져오려면 소스 필드 이름을 입력합니다. |
| PythonProcessTimeout | 정수 | 180 | 예 | 현재 스크립트를 실행하는 Python 프로세스의 제한 시간 한도입니다. |
| API 루트 | 문자열 | 해당 사항 없음 | 예 | MISP 계정의 API 루트입니다. |
| API 키 | 비밀번호 | 예 | MISP 계정의 API 키입니다. | |
| 최대 시간을 뒤로 가져오기 | 정수 | 1 | 아니요 | 속성을 가져올 위치의 시간입니다. |
| 주기당 최대 속성 수 | 정수 | 50 | 예 | 커넥터 반복당 처리할 속성 수입니다. |
| 가져올 가장 낮은 위협 수준 | 정수 | 1 | 예 | 알림을 가져오는 데 사용할 가장 낮은 심각도입니다. 가능한 값: 1~4 |
| 속성 유형 필터 | 문자열 | 아니요 | 쉼표로 구분된 유형별 필터 속성입니다. 제공된 경우 허용된 유형의 속성만 처리됩니다. | |
| 카테고리 필터 | 문자열 | 아니요 | 카테고리별로 속성을 필터링합니다(쉼표로 구분). 제공된 경우 허용된 카테고리가 있는 속성만 처리됩니다. | |
| 갤럭시 필터 | 문자열 | 아니요 | 상위 이벤트의 은하계로 속성을 필터링합니다(쉼표로 구분). 제공된 경우 허용 목록에 추가된 은하가 있는 이벤트에 속한 속성만 처리됩니다. | |
| SSL 확인 | 체크박스 | 예 | 사용 설정하면 CheckPoint Cloud Guard 서버 연결에 대한 SSL 인증서가 유효한지 확인합니다. | |
| 환경 필드 이름 | 문자열 | 아니요 | 환경 이름이 저장된 필드의 이름을 설명합니다. 환경 필드를 찾을 수 없으면 환경이 기본 환경입니다. | |
| 환경 정규식 패턴 | 문자열 | .* | 아니요 | '환경 필드 이름' 필드에 있는 값에서 실행할 정규식 패턴입니다. 기본값은 .*로서 모두 포착하고 변경되지 않은 값을 반환합니다. 사용자가 정규식 로직을 통해 환경 필드를 조작할 수 있도록 허용하는 데 사용됩니다. 정규식 패턴이 null이거나 비어 있거나 환경 값이 null인 경우 최종 환경 결과는 기본 환경입니다. |
| 프록시 서버 주소 | 문자열 | 아니요 | 사용할 프록시 서버의 주소입니다. | |
| 프록시 사용자 이름 | 문자열 | 아니요 | 인증할 프록시 사용자 이름입니다. | |
| 프록시 비밀번호 | 비밀번호 | 아니요 | 인증할 프록시 비밀번호입니다. |
도움이 더 필요하신가요? 커뮤니티 회원 및 Google SecOps 전문가로부터 답변을 받으세요.