Esta página foi traduzida pela API Cloud Translation.

MISP

Versão de integração: 31.0

Configure a integração do MISP para funcionar com o Google Security Operations

Configure a integração do MISP com um certificado da AC

Se necessário, pode validar a sua ligação com um ficheiro de certificado de CA.

Antes de começar, certifique-se de que tem o seguinte:

O ficheiro de certificado da AC
A versão de integração do MISP mais recente

Para configurar a integração com um certificado de AC, conclua os seguintes passos:

Analise o ficheiro do certificado da CA numa string Base64.
Abra a página de parâmetros de configuração da integração.
Insira a string no campo Ficheiro de certificado da AC.
Para testar se a integração está configurada com êxito, selecione a caixa de verificação Validar SSL e clique em Testar.

Chave de automatização

A autenticação é realizada através de uma chave segura disponível na IU do MISP. A chave da API está disponível no menu de ações de eventos em automatização.

Configure a integração do MISP no Google SecOps

Para obter instruções detalhadas sobre como configurar uma integração no Google SecOps, consulte o artigo Configure integrações.

Parâmetros de integração

Use os seguintes parâmetros para configurar a integração:

Nome a apresentar do parâmetro	Tipo	Valor predefinido	É obrigatório	Descrição
Nome da instância	String	N/A	Não	Nome da instância para a qual pretende configurar a integração.
Descrição	String	N/A	Não	Descrição da instância.
Raiz da API	https://<IP>	Sim	Endereço da instância do MISP.
Chave de API	String	N/A	Sim	Gerado na consola do MISP.
Usar SSL	Caixa de verificação	Desmarcado	Não	Use esta caixa de verificação se a sua ligação MISP exigir uma validação SSL (desmarcada por predefinição).
Executar remotamente	Caixa de verificação	Desmarcado	Não	Selecione o campo para executar a integração configurada remotamente. Depois de selecionada, a opção aparece para selecionar o utilizador remoto (agente).

Ações

Adicionar atributo

Descrição

Adicione uma entidade como um atributo a um evento MISP.

Parâmetros

Nome a apresentar do parâmetro	Tipo	Valor predefinido	É obrigatório	Descrição
ID do evento	String	N/A	Sim	O ID do evento.
Categoria	String	Análise externa	Não	A categoria do atributo. Predefinição: análise externa.
Distribuição	String	1	Não	A distribuição do atributo. Predefinição: 1.
Para o sistema de deteção de intrusões	Caixa de verificação	Desmarcado	Não	Se o atributo é usado para o sistema de deteção de intrusões. Predefinição: falso.
Comentário	String	N/A	Não	O comentário a adicionar ao atributo.

Exemplos de utilização

N/A

Executar em

Esta ação é executada nas seguintes entidades:

URL
Nome do anfitrião
Endereço IP
Filehash

Resultados da ação

Enriquecimento de entidades

N/A

Estatísticas

N/A

Resultado do script

Nome do resultado do script	Opções de valores	Exemplo
êxito	Verdadeiro/Falso	success:False

Resultado JSON

N/A

Criar evento

Descrição

Crie um novo evento MISP.

Limitação conhecida

Atualmente, a API MISP não permite que os eventos sejam publicados imediatamente após a criação. Primeiro, tem de criar um evento e, em seguida, usar a ação "Publicar evento".

Parâmetros

Nome a apresentar do parâmetro	Tipo	Valor predefinido	É obrigatório	Descrição
Nome do evento	String	N/A	Sim	O nome do evento.
Nível de ameaça	String	0	Não	O nível de ameaça do evento. Predefinição: 0.
Distribuição	String	1	Não	A distribuição do atributo. Predefinição: 1.
Análise	String	0	Não	O nível de análise do evento [0-2]: predefinição: 0.
Publicar	Caixa de verificação	Marcado	Não	Se o evento deve ser publicado ou não.
Comentário	String	N/A	Não	O comentário do evento.

Executar em

Esta ação é executada em todas as entidades.

Resultados da ação

Resultado do script

Nome do resultado do script	Opções de valores	Exemplo
event_id	N/A	N/A

Adicione uma etiqueta a um evento

Descrição

A adição de uma etiqueta a uma ação de evento permite que um utilizador adicione uma etiqueta a um evento específico no MISP. Isto adiciona uma classificação ao evento com base na categoria da ameaça de segurança representada pelo IOC associado ao evento.

Parâmetros

Nome a apresentar do parâmetro	Tipo	Valor predefinido	É obrigatório	Descrição
ID do evento	String	N/A	Sim	O identificador exclusivo que especifica o evento ao qual adicionar a etiqueta.
Nome da etiqueta	String	N/A	Sim	O nome da etiqueta a adicionar a um evento.

Exemplos de utilização

Classifique um evento: atualize o evento adicionando uma etiqueta.

Executar em

Esta ação é executada em todas as entidades.

Resultados da ação

Resultado do script

Nome do resultado do script	Opções de valores	Exemplo
is_success	Verdadeiro/Falso	is_success:False

Resultado JSON

[
    {
        "saved": true,
        "success": "Tag(s) added.",
        "check_publish": true
    }
]

Transferir ficheiro

Descrição

Transfira ficheiros relacionados com o evento no MISP.

Parâmetros

Nome a apresentar do parâmetro	Tipo	Valor predefinido	É obrigatório	Descrição
ID do evento	String	N/A	Não	Especifique o ID ou o UUID do evento a partir do qual quer transferir ficheiros
Caminho da pasta de transferência	String	N/A		Especifique o caminho absoluto para a pasta que deve armazenar os ficheiros. Se nada for especificado, a ação cria um anexo. Nota: o resultado JSON só está disponível quando fornece o valor adequado para este parâmetro.
Substituir	Caixa de verificação	Desmarcado		Se estiver ativada, a ação substitui os ficheiros existentes.

Executar em

Esta ação é executada na entidade Filehash.

Resultados da ação

Resultado do script

Nome do resultado do script	Opções de valores	Exemplo
êxito	Verdadeiro/Falso	success:False

Resultado JSON

{

"absolute_paths": ["/etc/file1.txt", "/etc/file2.txt"]

}

Case Wall

Tipo de resultado	Descrição do valor	Tipo
Mensagem de saída*	Se for bem-sucedido: "Successfully downloaded the following files from the event with {0} {1} in MISP:\n{2}".format(ID/UUID, event_id, result/filename from the response) se não foram encontrados ficheiros: "Não foram encontrados ficheiros para o evento com {0} {1} no MISP:\n{2}".format(ID/UUID, event_id) if "Download Folder Path" is not specified and some of the files exceeded platform limit for attachments: "Action wasn't able to download the following files, because they exceeded the limit of 3 MB: \n {0}. \n Especifique um caminho da pasta no parâmetro "Caminho da pasta de transferência" para os transferir.".(result/filename) Erro crítico (ação falhada) "Erro ao executar a ação "Transferir ficheiro". Motivo: {0}".format(stacktrace) O ID do evento não foi encontrado (ação falhada) "Erro ao executar a ação "Transferir ficheiro". Motivo: não foi encontrado o evento com {0} {1} no MISP".format(ID/UUID, event_id) Se a substituição estiver definida como false e um dos ficheiros já existir: "Erro ao executar a ação "Transferir ficheiro". Motivo: os seguintes ficheiros já existem: {0}. Remova-os ou defina o parâmetro "Overwrite" como verdadeiro.".format(caminho absoluto para o ficheiro)	Geral

Tipo de resultado

Descrição do valor

Tipo

Mensagem de saída*

Se for bem-sucedido: "Successfully downloaded the following files from the event with {0} {1} in MISP:\n{2}".format(ID/UUID, event_id, result/filename from the response)

se não foram encontrados ficheiros: "Não foram encontrados ficheiros para o evento com {0} {1} no MISP:\n{2}".format(ID/UUID, event_id)

if "Download Folder Path" is not specified and some of the files exceeded platform limit for attachments: "Action wasn't able to download the following files, because they exceeded the limit of 3 MB: \n {0}. \n Especifique um caminho da pasta no parâmetro "Caminho da pasta de transferência" para os transferir.".(result/filename)

Erro crítico (ação falhada) "Erro ao executar a ação "Transferir ficheiro". Motivo: {0}".format(stacktrace)

O ID do evento não foi encontrado (ação falhada) "Erro ao executar a ação "Transferir ficheiro". Motivo: não foi encontrado o evento com {0} {1} no MISP".format(ID/UUID, event_id)

Se a substituição estiver definida como false e um dos ficheiros já existir: "Erro ao executar a ação "Transferir ficheiro". Motivo: os seguintes ficheiros já existem: {0}. Remova-os ou defina o parâmetro "Overwrite" como verdadeiro.".format(caminho absoluto para o ficheiro)

Geral

Enriquecer entidades

Descrição

Enriqueça as entidades com base nos atributos no MISP.

Parâmetros

Nome a apresentar do parâmetro	Tipo	Valor predefinido	Descrição
Número de atributos a devolver	String	N/A	Especifique quantos atributos devolver para as entidades.
Condição de filtragem			Especifique a condição de filtragem para a ação. Se for selecionada a opção "Último", a ação usa o atributo mais antigo para o enriquecimento. Se for selecionada a opção "Primeiro", a ação usa o atributo mais recente para o enriquecimento.
Limite do nível de ameaça	LDD	Baixo Valores possíveis: Alto Médio Baixo Não definido	Especifique qual deve ser o limite para o nível de ameaça do evento, onde a entidade foi encontrada. Se o evento relacionado exceder ou corresponder ao limite, a entidade é marcada como suspeita.
Limite de pesquisa de atributos	Número inteiro	50	Especifique quantos atributos pesquisar por entidade. Este parâmetro tem um impacto no atributo que vai ser selecionado para o enriquecimento. Predefinição: 50.

Executar em

Esta ação é executada nas seguintes entidades:

URL
Nome do anfitrião
Endereço IP
Filehash

Resultados da ação

Enriquecimento de entidades

As entidades são marcadas como suspeitas se o nível de ameaça do evento exceder 0. Caso contrário: False

Resultado do script

Nome do resultado do script	Opções de valores	Exemplo
êxito	Verdadeiro/Falso	success:False

Resultado JSON

[
    {
        "EntityResult": [
            {
                "Event":
                {
                    "orgc_id": "1",
                    "ShadowAttribute": [],
                    "id": "3",
                    "threat_level_id": "3",
                    "event_creator_email": "john_doe@example.com",
                    "uuid": "5c5bff1b-a414-4a83-8755-035f0a000016",
                    "Object": [],
                    "Orgc": {
                        "uuid": "5c5ac66e-3884-4031-afd7-46f5bb9ebcaa",
                        "name": "ORGNAME",
                        "id": "1"
                    },
                    "Org": {
                        "uuid": "5c5ac66e-3884-4031-afd7-46f5bb9ebcaa",
                        "name": "ORGNAME",
                        "id": "1"
                    },
                    "RelatedEvent": [],
                    "sharing_group_id": "0",
                    "timestamp": "1549533154",
                    "date": "2019-02-07",
                    "disable_correlation": "False",
                    "info": "Test event",
                    "locked": "False",
                    "publish_timestamp": "1549533214",
                    "Attribute": [
                        {
                            "category": "Network activity",
                            "comment": " ",
                            "uuid": "5c5bffe2-9298-4098-ae31-035d0a000016",
                            "deleted": "False",
                            "timestamp": "1549533154",
                            "to_ids": "False",
                            "distribution": "3",
                            "object_id": "0",
                            "event_id": "3",
                            "ShadowAttribute": [],
                            "sharing_group_id": "0",
                            "value": "1.1.1.1",
                            "disable_correlation": "False",
                            "object_relation": "None",
                            "type": "ip-src",
                            "id": "1",
                            "Galaxy": []
                        }],
                    "attribute_count": "1",
                    "org_id": "1",
                    "analysis": "2",
                    "extends_uuid": " ",
                    "published": "True",
                    "distribution": "3",
                    "proposal_email_lock": "False",
                    "Galaxy": []
                }}],
        "Entity": "1.1.1.1"
    }
]

Case Wall

Tipo de resultado	Descrição do valor	Tipo
Mensagem de saída*	Para atributos encontrados: (is_success=true) "As seguintes entidades foram enriquecidas com êxito através do MISP: \n{0}".format(entity.identifier) Para atributos não encontrados (is_success=true) "Action wasn't able to enrich the following entities using MISP: \n{0}".format(entity.identifier) Se não tiverem sido encontrados todos os atributos (is_success=false) "No entities were enriched using MISP" (Nenhuma entidade foi enriquecida através do MISP) Se os atributos forem suspeitos (is_success=true) "Os seguintes atributos foram marcados como suspeitos através do MISP: \n {0}".format(entity.identifier)	Geral
Tabela CSV	Colunas da tabela: ID ID do evento Categoria Tipo UUID Indicação de tempo Distribuição IDS

Tipo de resultado

Descrição do valor

Tipo

Mensagem de saída*

Para atributos encontrados: (is_success=true) "As seguintes entidades foram enriquecidas com êxito através do MISP: \n{0}".format(entity.identifier)

Para atributos não encontrados (is_success=true) "Action wasn't able to enrich the following entities using MISP: \n{0}".format(entity.identifier)

Se não tiverem sido encontrados todos os atributos (is_success=false) "No entities were enriched using MISP" (Nenhuma entidade foi enriquecida através do MISP)

Se os atributos forem suspeitos (is_success=true) "Os seguintes atributos foram marcados como suspeitos através do MISP: \n {0}".format(entity.identifier)

Geral

Tabela CSV

Colunas da tabela:

ID
ID do evento
Categoria
Tipo
UUID
Indicação de tempo
Distribuição
IDS

Get Related Events

Descrição

Recuperar informações sobre eventos relacionados com entidades no MISP.

Parâmetros

Nome a apresentar do parâmetro	Tipo	Valor predefinido	Descrição
Marcar como suspeito	Caixa de verificação	Marcado	Se estiver ativada, a ação marca a entidade como suspeita se existir, pelo menos, um evento relacionado com a mesma.

Executar em

Esta ação é executada nas seguintes entidades:

URL
Nome do anfitrião
Endereço IP
Filehash

Resultados da ação

Enriquecimento de entidades

Se estiverem disponíveis registos de eventos relacionados, as entidades são marcadas como suspeitas. Caso contrário: False.

Nome do campo de enriquecimento	Lógica: quando aplicar
Evento	Devolve se existir no resultado JSON

Resultado do script

Nome do resultado do script	Opções de valores	Exemplo
êxito	Verdadeiro/Falso	success:False

Resultado JSON

[
    {
        "EntityResult": [
            {
                "Event":
                {
                    "orgc_id": "1",
                    "ShadowAttribute": [],
                    "id": "3",
                    "threat_level_id": "3",
                    "event_creator_email": "john_doe@example.com",
                    "uuid": "5c5bff1b-a414-4a83-8755-035f0a000016",
                    "Object": [],
                    "Orgc": {
                        "uuid": "5c5ac66e-3884-4031-afd7-46f5bb9ebcaa",
                        "name": "ORGNAME",
                        "id": "1"
                    },
                    "Org": {
                        "uuid": "5c5ac66e-3884-4031-afd7-46f5bb9ebcaa",
                        "name": "ORGNAME",
                        "id": "1"
                    },
                    "RelatedEvent": [],
                    "sharing_group_id": "0",
                    "timestamp": "1549533154",
                    "date": "2019-02-07",
                    "disable_correlation": "False",
                    "info": "Test event",
                    "locked": "False",
                    "publish_timestamp": "1549533214",
                    "Attribute": [
                        {
                            "category": "Network activity",
                            "comment": " ",
                            "uuid": "5c5bffe2-9298-4098-ae31-035d0a000016",
                            "deleted": "False",
                            "timestamp": "1549533154",
                            "to_ids": "False",
                            "distribution": "3",
                            "object_id": "0",
                            "event_id": "3",
                            "ShadowAttribute": [],
                            "sharing_group_id": "0",
                            "value": "1.1.1.1",
                            "disable_correlation": "False",
                            "object_relation": "None",
                            "type": "ip-src",
                            "id": "1",
                            "Galaxy": []
                        }],
                    "attribute_count": "1",
                    "org_id": "1",
                    "analysis": "2",
                    "extends_uuid": " ",
                    "published": "True",
                    "distribution": "3",
                    "proposal_email_lock": "False",
                    "Galaxy": []
                }}],
        "Entity": "1.1.1.1"
    }
]

Case Wall

Tipo de resultado	Descrição do valor	Tipo
Mensagem de saída*	Se for encontrado um evento para, pelo menos, uma entidade: "Successfully retrieved information about the related events for the following entities: \n{0}".format(entity.identifier) Se não for encontrado nenhum evento para, pelo menos, uma entidade: "Action wasn't able to retrieve information about the related events for the following entities: \n{0}".format(entity.identifier Se não existirem eventos para todos: "Não foram encontrados eventos relacionados para as entidades fornecidas."	Geral

Tipo de resultado

Descrição do valor

Tipo

Mensagem de saída*

Se for encontrado um evento para, pelo menos, uma entidade: "Successfully retrieved information about the related events for the following entities: \n{0}".format(entity.identifier)

Se não for encontrado nenhum evento para, pelo menos, uma entidade: "Action wasn't able to retrieve information about the related events for the following entities: \n{0}".format(entity.identifier

Se não existirem eventos para todos: "Não foram encontrados eventos relacionados para as entidades fornecidas."

Geral

Carregar ficheiro

Descrição

Carregue um ficheiro para um evento do MISP.

Parâmetros

Nome	Tipo	Predefinição	Descrição
ID do evento	String	N/A	Especifique o ID ou o UUID do evento para o qual quer carregar este ficheiro.
Caminho do ficheiro	String	N/A	Especifique uma lista separada por vírgulas dos caminhos de ficheiros absolutos dos ficheiros que quer carregar para o MISP.
Categoria			Especifique a categoria do ficheiro carregado. Valores possíveis: External Analysis, Payload Delivery, Artifacts Dropped, Payload Installation.
Distribuição	String	Comunidade	Especifique a distribuição do ficheiro carregado. Valores possíveis: 0 – Organização, 1 – Comunidade, 2 – Ligado, 3 – Tudo. Pode fornecer um número ou uma string.
Nível de ameaça	String	Alto	Especifique o nível de ameaça do ficheiro carregado. Valores possíveis: 1 – Alto, 2 – Médio, 3 – Baixo, 4 – Não definido. Pode fornecer um número ou uma string.
Análise	String	Rubricar	Especifica a análise do evento. Valores possíveis: 0 – Inicial, 1 – Em curso, 2 – Concluído. Pode fornecer um número ou uma string.
Informações	String	N/A	Especifique informações adicionais para o ficheiro carregado.
Para o sistema de deteção de intrusões	Caixa de verificação	Desmarcado	Se estiver ativada, o ficheiro carregado é usado para sistemas de deteção de intrusões.
Comentário	String	N/A	Especifique comentários adicionais relacionados com o ficheiro carregado.

Resultados da ação

Resultado do script

Nome do resultado do script	Opções de valores	Exemplo
is_success	Verdadeiro/Falso	is_success:False

Resultado JSON

{
    "Event": {
        "id": "106",
        "orgc_id": "1",
        "org_id": "1",
        "date": "2021-01-15",
        "threat_level_id": "1",
        "info": "vanuhi 1015",
        "published": false,
        "uuid": "1cd22aa2-57e8-4fc8-bac6-721c1be2c27d",
        "attribute_count": "10",
        "analysis": "0",
        "timestamp": "1610893968",
        "distribution": "1",
        "proposal_email_lock": false,
        "locked": false,
        "publish_timestamp": "0",
        "sharing_group_id": "0",
        "disable_correlation": false,
        "extends_uuid": "",
        "event_creator_email": "admin@admin.test",
        "Org": {
            "id": "1",
            "name": "ORGNAME",
            "uuid": "09b0dde1-2934-4310-a107-74b6f534f041",
            "local": true
        },
        "Orgc": {
            "id": "1",
            "name": "ORGNAME",
            "uuid": "09b0dde1-2934-4310-a107-74b6f534f041",
            "local": true
        },
        "Attribute": [],
        "ShadowAttribute": [],
"Object": [
            {
                "id": "446",
                "name": "file",
                "meta-category": "file",
                "description": "File object describing a file with meta-information",
                "template_uuid": "688c46fb-5edb-40a3-8273-1af7923e2215",
                "template_version": "20",
                "event_id": "106",
                "uuid": "0188ba5d-68eb-4b5c-8e05-6fd49f8eee9a",
                "timestamp": "1610691647",
                "distribution": "1",
                "sharing_group_id": "0",
                "comment": "",
                "deleted": false,
                "first_seen": null,
                "last_seen": null,
                "ObjectReference": [],
                "Attribute": [
                    {
                        "id": "1859",
                        "type": "malware-sample",
                        "category": "External analysis",
                        "to_ids": true,
                        "uuid": "7920cd28-5082-47ce-9c3e-3ccbd5dae138",
                        "event_id": "106",
                        "distribution": "1",
                        "timestamp": "1610703650",
                        "comment": "",
                        "sharing_group_id": "0",
                        "deleted": false,
                        "disable_correlation": false,
                        "object_id": "446",
                        "object_relation": "malware-sample",
                        "first_seen": null,
                        "last_seen": null,
                        "value": "vanuhi.txt|7bd55b0a276e076cbaf470e64359adb8",
                        "Galaxy": [],
                        "data": "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",
                        "ShadowAttribute": [],
                        "Sighting": [
                            {
                                "id": "1733",
                                "attribute_id": "1859",
                                "event_id": "106",
                                "org_id": "1",
                                "date_sighting": "1611207638",
                                "uuid": "feb085f1-1923-4327-a73d-b60a948377e4",
                                "source": "",
                                "type": "0",
                                "Organisation": {
                                    "id": "1",
                                    "uuid": "09b0dde1-2934-4310-a107-74b6f534f041",
                                    "name": "ORGNAME"
                                },
                                "attribute_uuid": "7920cd28-5082-47ce-9c3e-3ccbd5dae138"
                            }
                        ]
                    }
            }
    }
}

Case Wall

Tipo de resultado	Valor/descrição	Tipo
Mensagem de saída*	Se for bem-sucedido para uma entidade:"Succesfully uploaded the provided files to the event {0} in MISP".format(event_id) Erro crítico (ação falhada) "Erro ao executar a ação "Carregar ficheiro". Motivo: {0}".format(stacktrace) Se for especificado um parâmetro inválido em "Distribution" (ação falha): "Erro ao executar a ação "Carregar ficheiro". Motivo: foi fornecido um valor inválido para o parâmetro "Distribution". Números aceitáveis: 0,1,2,3. Strings aceitáveis: Organisation, Community, Connected, All". Se for especificado um parâmetro inválido em "Nível de ameaça" (ação falha): "Erro ao executar a ação "Carregar ficheiro". Motivo: foi fornecido um valor inválido para o parâmetro "Nível de ameaça". Números aceitáveis: 1,2,3,4. Strings aceitáveis: High, Medium, Low, Undefined". Se for especificado um parâmetro inválido em "Categoria" (ação falha): "Erro ao executar a ação "Carregar ficheiro". Motivo: foi fornecido um valor inválido para o parâmetro "Category". Valores aceitáveis: External Analysis, Payload Delivery, Artifacts Dropped, Payload Installation". Se for especificado um parâmetro inválido em "Análise" (ação de falha): "Erro ao executar a ação "Carregar ficheiro". Motivo: foi fornecido um valor inválido para o parâmetro "Analysis". Números aceitáveis: 0, 1 e 2. Strings aceitáveis: Initial, Ongoing, Completed". Se, pelo menos, um dos ficheiros não estiver disponível "Erro ao executar a ação "Carregar ficheiro". Motivo: não foi possível aceder aos seguintes ficheiros: \n {0}".format(file paths, that were not accessible.) O ID do evento não foi encontrado (ação falhada) "Erro ao executar a ação "Carregar ficheiro". Motivo: não foi encontrado o evento com {0} {1} no MISP".format(ID/UUID, event_id)	Geral

Tipo de resultado

Valor/descrição

Tipo

Mensagem de saída*

Se for bem-sucedido para uma entidade:"Succesfully uploaded the provided files to the event {0} in MISP".format(event_id)

Erro crítico (ação falhada) "Erro ao executar a ação "Carregar ficheiro". Motivo: {0}".format(stacktrace)

Se for especificado um parâmetro inválido em "Distribution" (ação falha):

"Erro ao executar a ação "Carregar ficheiro". Motivo: foi fornecido um valor inválido para o parâmetro "Distribution". Números aceitáveis: 0,1,2,3. Strings aceitáveis: Organisation, Community, Connected, All".

Se for especificado um parâmetro inválido em "Nível de ameaça" (ação falha): "Erro ao executar a ação "Carregar ficheiro". Motivo: foi fornecido um valor inválido para o parâmetro "Nível de ameaça". Números aceitáveis: 1,2,3,4. Strings aceitáveis: High, Medium, Low, Undefined".

Se for especificado um parâmetro inválido em "Categoria" (ação falha): "Erro ao executar a ação "Carregar ficheiro". Motivo: foi fornecido um valor inválido para o parâmetro "Category". Valores aceitáveis: External Analysis, Payload Delivery, Artifacts Dropped, Payload Installation".

Se for especificado um parâmetro inválido em "Análise" (ação de falha): "Erro ao executar a ação "Carregar ficheiro". Motivo: foi fornecido um valor inválido para o parâmetro "Analysis". Números aceitáveis: 0, 1 e 2. Strings aceitáveis: Initial, Ongoing, Completed".

Se, pelo menos, um dos ficheiros não estiver disponível "Erro ao executar a ação "Carregar ficheiro". Motivo: não foi possível aceder aos seguintes ficheiros: \n {0}".format(file paths, that were not accessible.)

O ID do evento não foi encontrado (ação falhada) "Erro ao executar a ação "Carregar ficheiro". Motivo: não foi encontrado o evento com {0} {1} no MISP".format(ID/UUID, event_id)

Geral

Tchim-tchim

Descrição

Testar conetividade.

Parâmetros

N/A

Exemplos de utilização

N/A

Executar em

Esta ação é executada em todas as entidades.

Resultados da ação

Enriquecimento de entidades

N/A

Estatísticas

N/A

Resultado do script

Nome do resultado do script	Opções de valores	Exemplo
êxito	Verdadeiro/Falso	success:False

Resultado JSON

N/A

Remova uma etiqueta de um evento

Descrição

Remova etiquetas de eventos no MISP.

Parâmetros

Nome a apresentar do parâmetro	Tipo	Valor predefinido	É obrigatório	Descrição
ID do evento	String	N/A	Sim	Especifique o ID ou o UUID do evento do qual quer remover etiquetas.
Nome da etiqueta	CSV	N/A	Sim	Especifique uma lista de etiquetas separadas por vírgulas que quer remover dos eventos.

Exemplos de utilização

Reclassificar evento: remova a etiqueta para reclassificação.

Resultados da ação

Resultado do script

Nome do resultado do script	Opções de valores	Exemplo
is_success	Verdadeiro/Falso	is_success:False

Resultado JSON

[
    {
        "saved": true,
        "success": "Tag removed.",
        "check_publish": true
    }
]

Case Wall

Tipo de resultado	Valor/descrição	Tipo
Mensagem de saída*	Se todas as etiquetas de um evento forem removidas com êxito: "As seguintes etiquetas foram removidas com êxito do evento com {0} {1} no MISP: {2}.".format(ID/UUID, event_id, tags) Se não tiver removido com êxito algumas etiquetas de um evento: "Action wasn't able to remove the following tags from the event with {0} {1} in MISP: {2}.".format(ID/UUID, event_id, tags) Se não for bem-sucedido para todos: "No tags were removed from the event with {0} {1} in MISP".format(ID/UUID, event_id) Se não tiver sido encontrada, pelo menos, uma etiqueta: "The following tags were not found in MISP: \n{0}".format(list of tags that were not found in MISP) Se não foram encontradas todas as etiquetas: "Nenhuma das etiquetas fornecidas foi encontrada no MISP." Erro crítico (ação falhada) "Erro ao executar a ação "Remover etiqueta de um evento". Motivo: {0}".format(stacktrace) Não foi possível encontrar o ID do evento (ação falhada) "Erro ao executar a ação "Remover etiqueta de um evento". Motivo: não foi encontrado o evento com {0} {1} no MISP".format(ID/UUID, event_id)	Geral

Tipo de resultado

Valor/descrição

Tipo

Mensagem de saída*

Se todas as etiquetas de um evento forem removidas com êxito: "As seguintes etiquetas foram removidas com êxito do evento com {0} {1} no MISP: {2}.".format(ID/UUID, event_id, tags)

Se não tiver removido com êxito algumas etiquetas de um evento: "Action wasn't able to remove the following tags from the event with {0} {1} in MISP: {2}.".format(ID/UUID, event_id, tags)

Se não for bem-sucedido para todos: "No tags were removed from the event with {0} {1} in MISP".format(ID/UUID, event_id)

Se não tiver sido encontrada, pelo menos, uma etiqueta: "The following tags were not found in MISP: \n{0}".format(list of tags that were not found in MISP)

Se não foram encontradas todas as etiquetas: "Nenhuma das etiquetas fornecidas foi encontrada no MISP."

Erro crítico (ação falhada) "Erro ao executar a ação "Remover etiqueta de um evento". Motivo: {0}".format(stacktrace)

Não foi possível encontrar o ID do evento (ação falhada) "Erro ao executar a ação "Remover etiqueta de um evento". Motivo: não foi encontrado o evento com {0} {1} no MISP".format(ID/UUID, event_id)

Geral

Adicione uma etiqueta a um atributo

Descrição

Esta ação permite que um utilizador adicione uma etiqueta a um atributo específico no MISP. Isto adiciona uma classificação ao atributo com base na categoria de uma ameaça de segurança representada pelo IOC no atributo.

Parâmetros

Nome a apresentar do parâmetro	Tipo	Valor predefinido	É obrigatório	Descrição
ID do evento	Número inteiro	N/A	Sim	O identificador do evento ao qual o atributo está associado. Exemplo: 1.
Nome da etiqueta	String	N/A	Sim	O nome da etiqueta a adicionar a um atributo.
Nome do atributo	String	N/A	Sim	O identificador de nome do atributo a etiquetar.
Categoria	String	N/A	Sim	A categoria à qual o atributo pertence. Por exemplo, Payload Delivery.
Tipo	String	N/A	Sim	O tipo do atributo. Por exemplo, nome do ficheiro.
UUID do objeto	String	N/A	Não	O identificador exclusivo de um objeto no evento.

Exemplos de utilização

Classifique o atributo com base no tipo de IOC: adicione uma etiqueta ao atributo.

Executar em

Esta ação é executada em todas as entidades.

Resultados da ação

Enriquecimento de entidades

N/A

Estatísticas

N/A

Resultado do script

Nome do resultado do script	Opções de valores	Exemplo
is_success	Verdadeiro/Falso	is_success:False

Resultado JSON

[
    {
        "name": "Global tag unique___test(7) successfully attached to Attribute(9).",
        "message": "Global tag unique___test(7) successfully attached to Attribute(9).",
        "url": "/tags/attachTagToObject"
    }
]

Remova uma etiqueta de um atributo

Descrição

Remova etiquetas de atributos no MISP.

Parâmetros

Nome a apresentar do parâmetro	Tipo	Valor predefinido	É obrigatório	Descrição
ID do evento	String	N/A	Não	Especifique o ID ou o UUID do evento onde pesquisar atributos. Este parâmetro é obrigatório se a "Pesquisa de atributos" estiver definida como "Evento fornecido".
Nome da etiqueta	CSV	N/A	Sim	Especifique uma lista de etiquetas separadas por vírgulas que quer remover dos atributos.
Nome do atributo	CSV	N/A	Não	Especifique uma lista de identificadores de atributos separados por vírgulas dos quais quer remover etiquetas. Nota: se o "Nome do atributo" e o "UUID do atributo" forem especificados, a ação vai funcionar com os valores do "UUID do atributo".
Categoria	CSV	N/A	Não	Especifique uma lista de categorias separada por vírgulas. Se especificado, a ação só remove etiquetas de atributos que tenham uma categoria correspondente. Se nada for especificado, a ação ignora as categorias nos atributos. Valores possíveis: External Analysis, Payload Delivery, Artifacts Dropped, Payload Installation.
Tipo	CSV	N/A	Não	Especifique uma lista de tipos de atributos separados por vírgulas. Se especificado, a ação só remove etiquetas de atributos que tenham um tipo de atributo correspondente. Se não for especificado nada, a ação ignora os tipos nos atributos. Valores de exemplo: md5, sha1, ip-src, ip-dst
UUID do objeto	CSV	N/A		Especifique o UUID do objeto que contém o atributo pretendido.
Pesquisa de atributos	LDD	Evento indicado Valores possíveis: Todos os Eventos Evento indicado	Sim	Especifique onde a ação deve pesquisar atributos. Se selecionar "Evento fornecido", a ação só procura atributos ou UUIDs de atributos no evento com o ID/UUID fornecido no parâmetro "ID do evento". Se selecionar "Todos os eventos", a ação vai procurar atributos entre todos os eventos e remover etiquetas de todos os atributos que correspondam aos nossos critérios.
UUID do atributo	CSV			Especifique uma lista separada por vírgulas de UUIDs de atributos dos quais quer remover novas etiquetas. Nota: se forem especificados o "Nome do atributo" e o "UUID do atributo", a ação funciona com os valores do "UUID do atributo".

Exemplos de utilização

Reclassificar atributo: remova a etiqueta para reclassificação

Executar em

Esta ação é executada em todas as entidades.

Resultados da ação

Resultado do script

Nome do resultado do script	Opções de valores	Exemplo
is_success	Verdadeiro/Falso	is_success:False

Resultado JSON

[
    {
        "name": "Tag unique___test(7) successfully removed from Attribute(9).",
        "message": "Tag unique___test(7) successfully removed from Attribute(9).",
        "url": "/tags/removeTagFromObject"
    }
]

Case Wall

Tipo de resultado	Valor/descrição	Type>
Mensagem de saída*	Se as etiquetas foram removidas com êxito de, pelo menos, um atributo: "As etiquetas foram removidas com êxito dos seguintes atributos no MISP:\n{0}".format(nome do atributo/UUID do objeto) Se não tiver removido com êxito as etiquetas de, pelo menos, um atributo: "Action didn't removed tags from the following attributes in MISP:\n{0}".format(attribute name/object UUID) Se não for bem-sucedida para todos: "Não foram removidas etiquetas dos atributos fornecidos no MISP" Se não tiver sido encontrada, pelo menos, uma etiqueta: "The following tags were not found in MISP: \n{0}".format(list of tags that were not found in MISP) Se não foram encontradas todas as etiquetas: "Nenhuma das etiquetas fornecidas foi encontrada no MISP." Erro crítico (ação falhada) "Erro ao executar a ação "Remover etiqueta de um atributo". Motivo: {0}".format(stacktrace) Se for especificado um parâmetro inválido em "Categoria" (ação de falha): "Erro ao executar a ação "Remover etiqueta de um atributo". Motivo: foi fornecido um valor inválido para o parâmetro "Category". Valores aceitáveis: External Analysis, Payload Delivery, Artifacts Dropped, Payload Installation". Se "Evento fornecido" estiver selecionado, mas o ID do evento não estiver selecionado: "Erro ao executar a ação "Remover etiqueta de um atributo". Motivo: o ID do evento tem de ser fornecido se "Evento fornecido" estiver selecionado para o parâmetro "Pesquisa de atributos". Não foi possível encontrar o ID do evento (ação falhada) "Erro ao executar a ação "Remover etiqueta de um atributo". Motivo: não foi encontrado o evento com {0} {1} no MISP".format(ID/UUID, event_id)	Geral

Tipo de resultado

Valor/descrição

Type>

Mensagem de saída*

Se as etiquetas foram removidas com êxito de, pelo menos, um atributo: "As etiquetas foram removidas com êxito dos seguintes atributos no MISP:\n{0}".format(nome do atributo/UUID do objeto)

Se não tiver removido com êxito as etiquetas de, pelo menos, um atributo: "Action didn't removed tags from the following attributes in MISP:\n{0}".format(attribute name/object UUID)

Se não for bem-sucedida para todos: "Não foram removidas etiquetas dos atributos fornecidos no MISP"

Se não tiver sido encontrada, pelo menos, uma etiqueta: "The following tags were not found in MISP: \n{0}".format(list of tags that were not found in MISP)

Se não foram encontradas todas as etiquetas: "Nenhuma das etiquetas fornecidas foi encontrada no MISP."

Erro crítico (ação falhada) "Erro ao executar a ação "Remover etiqueta de um atributo". Motivo: {0}".format(stacktrace)

Se for especificado um parâmetro inválido em "Categoria" (ação de falha): "Erro ao executar a ação "Remover etiqueta de um atributo". Motivo: foi fornecido um valor inválido para o parâmetro "Category". Valores aceitáveis: External Analysis, Payload Delivery, Artifacts Dropped, Payload Installation".

Se "Evento fornecido" estiver selecionado, mas o ID do evento não estiver selecionado: "Erro ao executar a ação "Remover etiqueta de um atributo". Motivo: o ID do evento tem de ser fornecido se "Evento fornecido" estiver selecionado para o parâmetro "Pesquisa de atributos".

Não foi possível encontrar o ID do evento (ação falhada) "Erro ao executar a ação "Remover etiqueta de um atributo". Motivo: não foi encontrado o evento com {0} {1} no MISP".format(ID/UUID, event_id)

Geral

Publicar evento

Descrição

A ação permite que o utilizador publique um evento. A publicação de um evento partilha-o com o grupo de partilha selecionado, tornando-o visível para todos os membros.

Parâmetros

Nome a apresentar do parâmetro	Tipo	Valor predefinido	É obrigatório	Descrição
ID do evento	String	N/A	Sim	Especifique o ID ou o UUID do evento que quer publicar.

Exemplos de utilização

Publicar um evento:

Crie laços
Adicione atributos de eventos
Publicar evento

Resultados da ação

Resultado do script

Nome do resultado do script	Opções de valores	Exemplo
is_success	Verdadeiro/Falso	is_success:False

Resultado JSON

[
    {
        "Event": {
            "id": "3",
            "orgc_id": "1",
            "org_id": "1",
            "date": "2019-12-27",
            "threat_level_id": "1",
            "info": "Connection to .ch",
            "published": true,
            "uuid": "5e05dd29-7b90-474d-b5f6-51ae0a00024b",
            "attribute_count": "0",
            "analysis": "1",
            "timestamp": "1577774920",
            "distribution": "3",
            "proposal_email_lock": false,
            "locked": false,
            "publish_timestamp": "1577774846",
            "sharing_group_id": "0",
            "disable_correlation": false,
            "extends_uuid": "5e05db24-1e98-4bb9-bd56-51fd0a00024b",
            "event_creator_email": "admin@admin.test",
            "Org": {
                "id": "1",
                "name": "ORGNAME",
                "uuid": "5dfc9b8f-c320-4b6d-ac1c-4f4e8bdc3fef",
                "local": true
            },
            "Orgc": {
                "id": "1",
                "name": "ORGNAME",
                "uuid": "5dfc9b8f-c320-4b6d-ac1c-4f4e8bdc3fef",
                "local": true
            },
            "Attribute": [],
            "ShadowAttribute": [],
            "RelatedEvent": [],
            "Galaxy": [],
            "Object": [],
            "Tag": [
                {
                    "id": "7",
                    "name": "unique___test",
                    "colour": "#9648c4",
                    "exportable": true,
                    "user_id": "0",
                    "hide_tag": false,
                    "numerical_value": null,
                    "local": 0
                }
            ]
        }
    }
]

Case Wall

Tipo de resultado	Valor/descrição	Tipo
Mensagem de saída*	Se tiver êxito: "Successfully published event with {0} {1} in MISP.".format(ID/UUID, event_id) Se não for bem-sucedido: "O evento com {0} {1} não foi publicado no MISP".format(ID/UUID, event_id) Erro crítico (ação falhada) "Erro ao executar a ação "Publicar evento". Motivo: {0}".format(stacktrace) Não foi encontrado o ID do evento (ação falhada) "Erro ao executar a ação "Publicar evento". Motivo: não foi encontrado o evento com {0} {1} no MISP".format(ID/UUID, event_id)	Geral

Tipo de resultado

Valor/descrição

Tipo

Mensagem de saída*

Se tiver êxito: "Successfully published event with {0} {1} in MISP.".format(ID/UUID, event_id)

Se não for bem-sucedido: "O evento com {0} {1} não foi publicado no MISP".format(ID/UUID, event_id)

Erro crítico (ação falhada) "Erro ao executar a ação "Publicar evento". Motivo: {0}".format(stacktrace)

Não foi encontrado o ID do evento (ação falhada) "Erro ao executar a ação "Publicar evento". Motivo: não foi encontrado o evento com {0} {1} no MISP".format(ID/UUID, event_id)

Geral

Anule a publicação do evento

Descrição

A ação permite que o utilizador anule a publicação de um evento. A anulação da publicação de um evento impede que este seja visível para os grupos partilhados.

Parâmetros

Nome a apresentar do parâmetro	Tipo	Valor predefinido	É obrigatório	Descrição
ID do evento	String	N/A	Sim	Especifique o ID ou o UUID do evento que quer anular a publicação.

Resultados da ação

Resultado do script

Nome do resultado do script	Opções de valores	Exemplo
is_success	Verdadeiro/Falso	is_success:False

Resultado JSON

[
    {
        "Event": {
            "id": "3",
            "orgc_id": "1",
            "org_id": "1",
            "date": "2019-12-27",
            "threat_level_id": "1",
            "info": "Connection to .ch",
            "published": false,
            "uuid": "5e05dd29-7b90-474d-b5f6-51ae0a00024b",
            "attribute_count": "0",
            "analysis": "1",
            "timestamp": "1577774920",
            "distribution": "3",
            "proposal_email_lock": false,
            "locked": false,
            "publish_timestamp": "1577774846",
            "sharing_group_id": "0",
            "disable_correlation": false,
            "extends_uuid": "5e05db24-1e98-4bb9-bd56-51fd0a00024b",
            "event_creator_email": "admin@admin.test",
            "Org": {
                "id": "1",
                "name": "ORGNAME",
                "uuid": "5dfc9b8f-c320-4b6d-ac1c-4f4e8bdc3fef",
                "local": true
            },
            "Orgc": {
                "id": "1",
                "name": "ORGNAME",
                "uuid": "5dfc9b8f-c320-4b6d-ac1c-4f4e8bdc3fef",
                "local": true
            },
            "Attribute": [],
            "ShadowAttribute": [],
            "RelatedEvent": [],
            "Galaxy": [],
            "Object": [],
            "Tag": [
                {
                    "id": "7",
                    "name": "unique___test",
                    "colour": "#9648c4",
                    "exportable": true,
                    "user_id": "0",
                    "hide_tag": false,
                    "numerical_value": null,
                    "local": 0
                }
            ]
        }
    }
]

Case Wall

Tipo de resultado	Valor/descrição	Tipo
Mensagem de saída*	Se tiver êxito: "Successfully unpublished event with {0} {1} in MISP.".format(ID/UUID, event_id) Se não for bem-sucedido: "Event with {0} {1} was not unpublished in MISP".format(ID/UUID, event_id) Erro crítico (ação falhada) "Erro ao executar a ação "Anular publicação do evento". Motivo: {0}".format(stacktrace) Não foi possível encontrar o ID do evento (ação falhada) "Erro ao executar a ação "Anular publicação do evento". Motivo: não foi encontrado o evento com {0} {1} no MISP".format(ID/UUID, event_id)	Geral

Tipo de resultado

Valor/descrição

Tipo

Mensagem de saída*

Se tiver êxito: "Successfully unpublished event with {0} {1} in MISP.".format(ID/UUID, event_id)

Se não for bem-sucedido: "Event with {0} {1} was not unpublished in MISP".format(ID/UUID, event_id)

Erro crítico (ação falhada) "Erro ao executar a ação "Anular publicação do evento". Motivo: {0}".format(stacktrace)

Não foi possível encontrar o ID do evento (ação falhada) "Erro ao executar a ação "Anular publicação do evento". Motivo: não foi encontrado o evento com {0} {1} no MISP".format(ID/UUID, event_id)

Geral

Elimine um atributo

Descrição

Elimine atributos no MISP. Hashes suportados: MD5, SHA1, SHA224, SHA256, SHA384, SHA512 e SSDeep.

Parâmetros

Nome a apresentar do parâmetro	Tipo	Valor predefinido	É obrigatório	Descrição
ID do evento	String	N/A	Não	Especifique o ID ou o UUID do evento onde pesquisar atributos. Este parâmetro é obrigatório se a "Pesquisa de atributos" estiver definida como "Evento fornecido".
Nome do atributo	CSV	N/A	Não	Especifique uma lista separada por vírgulas de identificadores de atributos que quer eliminar. Nota: se o "Nome do atributo" e o "UUID do atributo" forem especificados, a ação vai funcionar com os valores do "UUID do atributo".
Categoria	CSV	N/A	Não	Especifique uma lista de categorias separada por vírgulas. Se especificado, a ação só elimina os atributos que tenham uma categoria correspondente. Se nada for especificado, a ação ignora as categorias nos atributos. Valores possíveis: External Analysis, Payload Delivery, Artifacts Dropped, Payload Installation.
Tipo	CSV	N/A	Não	Especifique uma lista de tipos de atributos separados por vírgulas. Se especificado, a ação só elimina os atributos que têm um tipo de atributo correspondente. Se não for especificado nada, a ação ignora os tipos nos atributos. Valores de exemplo: md5, sha1, ip-src, ip-dst
UUID do objeto	String	N/A	Não	O identificador exclusivo de um objeto no evento.
Pesquisa de atributos	LDD	Evento indicado Valores possíveis: Todos os Eventos Evento indicado	Sim	Especifique onde a ação deve pesquisar atributos. Se selecionar "Evento fornecido", a ação só procura atributos ou UUIDs de atributos no evento com o ID/UUID fornecido no parâmetro "ID do evento". Se selecionar "Todos os eventos", a ação vai procurar atributos entre todos os eventos e eliminar todos os atributos que correspondam aos nossos critérios.
UUID do atributo	CSV			Especifique uma lista separada por vírgulas de UUIDs de atributos que quer eliminar. Nota: se o "Nome do atributo" e o "UUID do atributo" forem especificados, a ação vai funcionar com os valores do "UUID do atributo".

Exemplos de utilização

Remova um atributo de um evento.

Executar em

Esta ação é executada em todas as entidades.

Resultados da ação

Resultado do script

Nome do resultado do script	Opções de valores	Exemplo
is_success	Verdadeiro/Falso	is_success:False

Resultado JSON

[
    {
        "message": "Attribute deleted."
    }
]

Case Wall

Tipo de resultado	Descrição do valor	Tipo
Mensagem de saída*	Se a observação foi adicionada com êxito a, pelo menos, um atributo: "Os seguintes atributos foram eliminados com êxito no MISP:\n{0}".format(attribute name/object UUID) Se não for possível adicionar o avistamento a, pelo menos, um atributo: "Action didn't delete the following attributes in MISP:\n{0}".format(attribute name/object UUID) Se não for bem-sucedido para todos: "No attributes were deleted in MISP" (Nenhum atributo foi eliminado no MISP) Erro crítico (ação falhada) "Erro ao executar a ação "Eliminar um atributo". Motivo: {0}".format(stacktrace) Se for especificado um parâmetro inválido em "Categoria" (ação de falha): "Erro ao executar a ação "Eliminar um atributo". Motivo: foi fornecido um valor inválido para o parâmetro "Category". Valores aceitáveis: External Analysis, Payload Delivery, Artifacts Dropped, Payload Installation". Se "Evento fornecido" estiver selecionado, mas o ID do evento não estiver selecionado: "Erro ao executar a ação "Eliminar um atributo". Motivo: o ID do evento tem de ser fornecido se "Evento fornecido" estiver selecionado para o parâmetro "Pesquisa de atributos". Não foi encontrado o ID do evento (ação falhada) "Erro ao executar a ação "Eliminar um atributo". Motivo: não foi encontrado o evento com {0} {1} no MISP".format(ID/UUID, event_id)	Geral

Tipo de resultado

Descrição do valor

Tipo

Mensagem de saída*

Se a observação foi adicionada com êxito a, pelo menos, um atributo: "Os seguintes atributos foram eliminados com êxito no MISP:\n{0}".format(attribute name/object UUID)

Se não for possível adicionar o avistamento a, pelo menos, um atributo: "Action didn't delete the following attributes in MISP:\n{0}".format(attribute name/object UUID)

Se não for bem-sucedido para todos: "No attributes were deleted in MISP" (Nenhum atributo foi eliminado no MISP)

Erro crítico (ação falhada) "Erro ao executar a ação "Eliminar um atributo". Motivo: {0}".format(stacktrace)

Se for especificado um parâmetro inválido em "Categoria" (ação de falha): "Erro ao executar a ação "Eliminar um atributo". Motivo: foi fornecido um valor inválido para o parâmetro "Category". Valores aceitáveis: External Analysis, Payload Delivery, Artifacts Dropped, Payload Installation".

Se "Evento fornecido" estiver selecionado, mas o ID do evento não estiver selecionado: "Erro ao executar a ação "Eliminar um atributo". Motivo: o ID do evento tem de ser fornecido se "Evento fornecido" estiver selecionado para o parâmetro "Pesquisa de atributos".

Não foi encontrado o ID do evento (ação falhada) "Erro ao executar a ação "Eliminar um atributo". Motivo: não foi encontrado o evento com {0} {1} no MISP".format(ID/UUID, event_id)

Geral

Elimine um evento

Descrição

Elimine o evento no MISP.

Parâmetros

Nome a apresentar do parâmetro	Tipo	Valor predefinido	É obrigatório	Descrição
ID do evento	String	N/A	Sim	Especifique o ID ou o UUID do evento que quer eliminar.

Exemplos de utilização

Elimine um evento permanentemente.

Executar em

Esta ação é executada na entidade User.

Resultados da ação

Resultado do script

Nome do resultado do script	Opções de valores	Exemplo
is_success	Verdadeiro/Falso	is_success:False

Resultado JSON

[
    {
        "name": "Event deleted.",
        "message": "Event deleted.",
        "url": "/events/delete/4"
    }
]

Case Wall

Tipo de resultado	Descrição do valor	Tipo
Mensagem de saída*	Se tiver êxito: "Successfully deleted event with {0} {1} in MISP".format(ID/UUID, event_id) Erro crítico (ação falhada) "Erro ao executar a ação "Eliminar um evento". Motivo: {0}".format(traceback) Não foi possível encontrar o ID do evento (ação falhada) "Erro ao executar a ação "Eliminar um evento". Motivo: não foi encontrado o evento com {0} {1} no MISP".format(ID/UUID, event_id)	Geral

Tipo de resultado

Descrição do valor

Tipo

Mensagem de saída*

Se tiver êxito: "Successfully deleted event with {0} {1} in MISP".format(ID/UUID, event_id)

Erro crítico (ação falhada) "Erro ao executar a ação "Eliminar um evento". Motivo: {0}".format(traceback)

Não foi possível encontrar o ID do evento (ação falhada) "Erro ao executar a ação "Eliminar um evento". Motivo: não foi encontrado o evento com {0} {1} no MISP".format(ID/UUID, event_id)

Geral

Crie um objeto Misp de ficheiro

Descrição

A ação permite ao utilizador organizar os atributos de ficheiros relacionados com um evento num único objeto que descreve um ficheiro com as respetivas metainformações. O objeto com os atributos é, em seguida, anexado a um evento especificado.

Parâmetros

Nome a apresentar do parâmetro	Tipo	Valor predefinido	É obrigatório	Descrição
ID do evento	String	N/A	Sim	O identificador exclusivo do evento ao qual adicionar o objeto. Exemplo: 1
Nome do ficheiro	String	N/A	Não	O nome do ficheiro.
MD5	String	N/A	Não	O valor hash MD5 do ficheiro.
SHA1	String	N/A	Não	O valor hash sha1 do ficheiro.
SHA256	String	N/A	Não	O valor hash sha256 do ficheiro.
SSDEEP	String	N/A	Não	O valor ssdeep do ficheiro Exemplo: 96:p5aAS1tN0M3t9AnTNuG6TNOt5PR1TNZdkljOXTNSnKTF3X7KsTFW+kLtW6K8i7bI:p5mb4rgQhRp7GljCbF3LKqFjkwxtU
Imphash	String	N/A	Não	O valor hash MD5 calculado a partir da tabela importada.

Exemplos de utilização

N/A

Executar em

Esta ação é executada em todas as entidades.

Resultados da ação

Enriquecimento de entidades

N/A

Estatísticas

N/A

Resultado do script

Nome do resultado do script	Opções de valores	Exemplo
is_success	Verdadeiro/Falso	is_success:False

Resultado JSON

N/A

Crie um objeto de erro de correspondência de IP e porta

Descrição

A ação permite ao utilizador organizar atributos de porta de IP relacionados com um evento num único objeto que descreve um endereço IP (ou um domínio ou um nome de anfitrião) e uma porta vistos como uma tupla (ou como um triplo) num período específico . O objeto com os atributos é, em seguida, anexado a um evento especificado.

Parâmetros

Nome a apresentar do parâmetro	Tipo	Valor predefinido	É obrigatório	Descrição
ID do evento	String	N/A	Sim	O identificador exclusivo do evento ao qual adicionar o objeto. Exemplo: 1
Dst-port	String	N/A	Não	Porta de destino.
Src-port	String	N/A	Não	Porta de origem.
Domínio	String	N/A	Não	Domínio.
Nome do anfitrião	String	N/A	Não	Nome do anfitrião.
IP-Src	String	N/A	Não	Endereço IP de origem.
IP-Dst	String	N/A	Não	Endereço IP de destino.

Exemplos de utilização

N/A

Executar em

Esta ação é executada em todas as entidades.

Resultados da ação

Enriquecimento de entidades

N/A

Estatísticas

N/A

Resultado do script

Nome do resultado do script	Opções de valores	Exemplo
is_success	Verdadeiro/Falso	is_success:False

Resultado JSON

N/A

Crie um objeto Misp de ligação de rede

Descrição

Crie um objeto de ligação de rede no MISP. Requer um dos seguintes: Dst-port, Src-port, IP-Src, IP-Dst a serem fornecidos ou o parâmetro "Use Entities" definido como verdadeiro.

Parâmetros

Nome a apresentar do parâmetro	Tipo	Valor predefinido	É obrigatório	Descrição
ID do evento	String	N/A	Sim	Especifique o ID ou o UUID do evento ao qual quer adicionar objetos de ligação de rede.
Dst-port	String	N/A	Não	Especifique a porta de destino que quer adicionar ao evento.
Src-port	String	N/A	Não	Especifique a porta de origem que quer adicionar ao evento.
Hostname-dst	String	N/A	Não	Especifique o destino de origem que quer adicionar ao evento.
Hostname-src	String	N/A	Não	Especifique o nome do anfitrião de origem que quer adicionar ao evento.
IP-Src	String	N/A	Não	Especifique o IP de origem que quer adicionar ao evento.
IP-Dst	String	N/A	Não	Especifique o IP de destino que quer adicionar ao evento.
Layer3-protocol	String	N/A	Não	Especifique o protocolo de camada 3 relacionado que quer adicionar ao evento.
Layer4-protocol	String	N/A	Não	Especifique o protocolo de camada 4 relacionado que quer adicionar ao evento.
Layer7-protocol	String	N/A	Não	Especifique o protocolo da camada 7 relacionado que quer adicionar ao evento.
Usar entidades	Caixa de verificação	Desmarcado	Não	Se estiver ativada, a ação usa entidades para criar objetos. Entidades suportadas: endereço IP. "Usar entidades" tem prioridade sobre outros parâmetros.
Tipo de IP	LDD	IP da fonte Valores possíveis: IP da fonte IP de destino		Especifique o tipo de atributo que deve ser usado com entidades de IP.

Executar em

Esta ação é executada em todas as entidades.

Resultados da ação

Resultado do script

Nome do resultado do script	Opções de valores	Exemplo
is_success	Verdadeiro/Falso	is_success:False

Resultado JSON

N/A

Case Wall

Tipo de resultado	Descrição do valor	Tipo
Mensagem de saída*	Se tiver êxito e "Use Entities" não for verdadeiro: "Successfully created new network-connection object for event with {0} {1} in MISP.".format(ID/UUID, event_id) Se não for bem-sucedido e "Use Entities" não for verdadeiro: "Action wasn't able to created new network-connection object for event with {0} {1} in MISP. Motivo: {2}".format(ID/UUID) Se tiver êxito para um e "Use Entities" for verdadeiro: "Successfully created new network-connection objects for event with {0} {1} in MISP based on the following entities: \n{0}".format(ID/UUID, event_id, entity.identifiers) Se não for bem-sucedido para um e "Use Entities" for verdadeiro: "Action wasn't able to create new network-connection objects for event with {0} {1} in MISP based on the following entities: \n{0}".format(ID/UUID, event_id, entity.identifiers) Se não for bem-sucedido para todos e "Use Entities" for verdadeiro: "Action wasn't able to create new network-connection objects for event with {0} {1} in MISP based on the provided entities.".format(ID/UUID, event_id) Erro crítico (ação falhada) "Erro ao executar a ação "Criar objeto Misp de ligação de rede". Motivo: {0}".format(stacktrace) Não foi encontrado o ID do evento (ação falhada) "Erro ao executar a ação "Criar objeto Misp de ligação de rede". Motivo: não foi encontrado o evento com {0} {1} no MISP".format(ID/UUID, event_id) Se nenhum dos Dst-port, Src-port, IP-Src, IP-Dst for fornecido e "Use Entities" == false: "Error executing action "Create network-connection Misp Object". Motivo: tem de indicar "Dst-port", "Src-port", "IP-Src" ou "IP-Dst", ou o parâmetro "Use Entities" tem de estar definido como verdadeiro.	Geral

Tipo de resultado

Descrição do valor

Tipo

Mensagem de saída*

Se tiver êxito e "Use Entities" não for verdadeiro: "Successfully created new network-connection object for event with {0} {1} in MISP.".format(ID/UUID, event_id)

Se não for bem-sucedido e "Use Entities" não for verdadeiro: "Action wasn't able to created new network-connection object for event with {0} {1} in MISP. Motivo: {2}".format(ID/UUID)

Se tiver êxito para um e "Use Entities" for verdadeiro: "Successfully created new network-connection objects for event with {0} {1} in MISP based on the following entities: \n{0}".format(ID/UUID, event_id, entity.identifiers)

Se não for bem-sucedido para um e "Use Entities" for verdadeiro: "Action wasn't able to create new network-connection objects for event with {0} {1} in MISP based on the following entities: \n{0}".format(ID/UUID, event_id, entity.identifiers)

Se não for bem-sucedido para todos e "Use Entities" for verdadeiro: "Action wasn't able to create new network-connection objects for event with {0} {1} in MISP based on the provided entities.".format(ID/UUID, event_id)

Erro crítico (ação falhada) "Erro ao executar a ação "Criar objeto Misp de ligação de rede". Motivo: {0}".format(stacktrace)

Não foi encontrado o ID do evento (ação falhada) "Erro ao executar a ação "Criar objeto Misp de ligação de rede". Motivo: não foi encontrado o evento com {0} {1} no MISP".format(ID/UUID, event_id)

Se nenhum dos Dst-port, Src-port, IP-Src, IP-Dst for fornecido e "Use Entities" == false: "Error executing action "Create network-connection Misp Object". Motivo: tem de indicar "Dst-port", "Src-port", "IP-Src" ou "IP-Dst", ou o parâmetro "Use Entities" tem de estar definido como verdadeiro.

Geral

Crie um objeto Url Misp

Descrição

Crie um objeto de URL no MISP. Requer que o "URL" seja fornecido ou que o parâmetro "Use Entities" seja definido como verdadeiro.

Parâmetros

Nome a apresentar do parâmetro	Tipo	Valor predefinido	É obrigatório	Descrição
ID do evento	String	N/A	Sim	Especifique o ID ou o UUID do evento ao qual quer adicionar objetos URL.
URL	String	N/A	Não	Especifique o URL que quer adicionar ao evento.
Porta	String	N/A	Não	Especifique a porta que quer adicionar ao evento.
Visto pela primeira vez	String	N/A	Não	Especifique quando o URL foi visto pela primeira vez. Formato: 2020-12-22T13:07:32Z
Última visualização	String	N/A	Não	Especifique quando o URL foi visto pela última vez. Formato: 2020-12-22T13:07:32Z
Domínio	String	N/A	Não	Especifique o domínio que quer adicionar ao evento.
Texto	String	N/A	Não	Especifique o texto adicional que quer adicionar ao evento.
PI	String	N/A	Não	Especifique o IP que quer adicionar ao evento.
Anfitrião	String	N/A	Não	Especifique o anfitrião que quer adicionar ao evento.
Usar entidades	Caixa de verificação	Desmarcado		Se estiver ativada, a ação usa entidades para criar objetos. Entidades suportadas: URL. "Usar entidades" tem prioridade sobre outros parâmetros.

Executar em

Esta ação é executada em todas as entidades.

Resultados da ação

Resultado do script

Nome do resultado do script	Opções de valores	Exemplo
is_success	Verdadeiro/Falso	is_success:False

Resultado JSON

N/A

Case Wall

Tipo de resultado

Descrição do valor

Tipo

Mensagem de saída*

If success and "Use Entities" is not true: "Successfully created new URL object for event with {0} {1} in MISP.".format(ID/UUID, event_id)

Se não for bem-sucedido e "Usar entidades" não for verdadeiro: "Não foi possível criar um objeto de URL para o evento com {0} {1} no MISP. Motivo: {2}".format(ID/UUID)

If success for one and "Use Entities" is true: "Successfully created new URL objects for event with {0} {1} in MISP based on the following entities: \n{0}".format(ID/UUID, event_id, entity.identifiers)

Se não for bem-sucedido para um e "Use Entities" for verdadeiro: "Action wasn't able to create new URL objects for event with {0} {1} in MISP based on the following entities: \n{0}".format(ID/UUID, event_id, entity.identifiers)

Se não for bem-sucedido para todos e "Use Entities" for verdadeiro: "Action wasn't able to create new URL objects for event with {0} {1} in MISP based on the provided entities.".format(ID/UUID, event_id)

Erro crítico (ação falhada) "Erro ao executar a ação "Create Url Misp Object". Motivo: {0}".format(stacktrace)

Não foi encontrado o ID do evento (ação falhada) "Erro ao executar a ação "Create Url Misp Object". Motivo: não foi encontrado o evento com {0} {1} no MISP".format(ID/UUID, event_id)

Se não for fornecido nenhum URL e "Use Entities" == false: "Error executing action "Create Url Misp Object". Motivo: tem de indicar o "URL" ou definir o parâmetro "Use Entities" como verdadeiro.

Geral

Crie um objeto Virustotal-Report

Descrição

Crie um objeto de relatório do VirusTotal no MISP.

Parâmetros

Nome a apresentar do parâmetro	Tipo	Valor predefinido	É obrigatório	Descrição
ID do evento	String	N/A	Sim	Especifique o ID ou o UUID do evento ao qual quer adicionar objetos URL.
Link permanente	String	N/A	Sim	Especifique o link para o relatório do VirusTotal que quer adicionar ao evento.
Comentário	String	N/A	Não	Especifique o comentário que quer adicionar ao evento.
Rácio de deteção	String	N/A	Não	Especifique a taxa de deteção que quer adicionar ao evento.
Pontuação da comunidade	String	N/A	Não	Especifique a pontuação da comunidade que quer adicionar ao evento.
Primeiro envio	String	N/A	Não	Especifique o primeiro envio do evento. Formato: 2020-12-22T13:07:32Z
Último envio	String	N/A	Não	Especifique o último envio do evento. Formato: 2020-12-22T13:07:32Z

Executar em

Esta ação é executada em todas as entidades.

Resultados da ação

Resultado do script

Nome do resultado do script	Opções de valores	Exemplo
is_success	Verdadeiro/Falso	is_success:False

Case Wall

Tipo de resultado

Descrição do valor

Tipo

Mensagem de saída*

Se tiver êxito : "Successfully created new Virustotal-Report object for event with {0} {1} in MISP.".format(ID/UUID, event_id)

Se não for bem-sucedido : "Não foi possível criar o objeto Virustotal-Report para o evento com {0} {1} no MISP. Motivo: {2}".format(ID/UUID)

Erro crítico (ação falhada) "Erro ao executar a ação "Create Virustotal-Report Misp Object". Motivo: {0}".format(stacktrace)

Não foi encontrado o ID do evento (ação falhada) "Erro ao executar a ação "Create Virustotal-Report Misp Object". Motivo: não foi encontrado o evento com {0} {1} no MISP".format(ID/UUID, event_id)

Geral

Listar objetos de eventos

Descrição

Recupere informações sobre objetos disponíveis no evento MISP.

Parâmetros

Nome a apresentar do parâmetro	Tipo	Valor predefinido	É obrigatório	Descrição
ID do evento	String	N/A	Sim	Especifique uma lista separada por vírgulas de IDs e UUIDs dos eventos para os quais quer obter detalhes.
Máximo de objetos a devolver	Número inteiro	50	Não	Especifique quantos objetos devolver.

Executar em

Esta ação não é executada em entidades.

Resultados da ação

Resultado do script

Nome do resultado do script	Opções de valores	Exemplo
is_success	Verdadeiro/Falso	is_success:False

Resultado JSON

"Object": [
    {
        "id": "1",
        "name": "ftm-Associate",
        "meta-category": "followthemoney",
        "description": "Non-family association between two people",
        "template_uuid": "6119ecb3-dedd-44b6-b88f-174585b0b1bf",
        "template_version": "1",
        "event_id": "1",
        "uuid": "2a3e260f-d3b2-4164-b2b1-2f6f5b559970",
        "timestamp": "1594632232",
        "distribution": "5",
        "sharing_group_id": "0",
        "comment": "",
        "deleted": false,
        "first_seen": null,
        "last_seen": null,
        "ObjectReference": [],
    },
    {
        "id": "2",
        "name": "ftm-Associate",
        "meta-category": "followthemoney",
        "description": "Non-family association between two people",
        "template_uuid": "6119ecb3-dedd-44b6-b88f-174585b0b1bf",
        "template_version": "1",
        "event_id": "1",
        "uuid": "800d8634-175a-4bc2-a4d7-aca200c8c132",
        "timestamp": "1594632463",
        "distribution": "5",
        "sharing_group_id": "0",
        "comment": "",
        "deleted": false,
        "first_seen": null,
        "last_seen": null,
        "ObjectReference": [],
    }

Case Wall

Tipo de resultado

Descrição do valor

Tipo

Mensagem de saída*

A ação não deve falhar nem parar a execução de um guia interativo:

If at least object found for 1 event: "Successfully listed objects for the following events: \n{0}".format(event_ids)

Se não tiver sido encontrado um evento com o ID especificado (is_success = false):
print "Não foi possível listar objetos. Motivo: não foi encontrado o evento com o ID {0} no MISP.".format(event_id)

Se não for encontrado nenhum objeto para 1 evento:

"Não foi possível encontrar objetos para os seguintes eventos:\n {0}".format(event_ids)

Se não for encontrado nenhum objeto para todos os eventos: "Não foram encontrados objetos para os eventos fornecidos."

A ação deve falhar e parar a execução de um guia interativo:

se erro fatal, como credenciais incorretas, sem ligação ao servidor, outro:

imprime "Error executing action "List Event Objects". Motivo: {0}''.format(error.Stacktrace)

Geral

Tabela CSV

Nome da tabela: objetos de eventos {0}

Colunas da tabela:

UUID do objeto (mapeado como uuid)
Nome (mapeado como nome)
Categoria (mapeada como metacategoria)
Descrição (mapeada como descrição)
Comentário (mapeado como comentário)

Obtenha detalhes do evento

Descrição

Recupere detalhes sobre eventos no MISP.

Parâmetros

Nome a apresentar do parâmetro	Tipo	É obrigatório	Descrição
ID do evento	String	Sim	Especifique uma lista separada por vírgulas de IDs ou UUIDs dos eventos para os quais quer obter detalhes.
Informações dos atributos de retorno	Caixa de verificação	Marcado	Se estiver ativada, a ação cria uma tabela de registo de ocorrências para todos os atributos que fazem parte do evento.

Executar em

Esta ação não é executada em entidades.

Resultados da ação

Resultado do script

Nome do resultado do script	Opções de valores	Exemplo
is_success	Verdadeiro/Falso	is_success:False

Case Wall

Tipo de resultado

Descrição do valor

Tipo

Mensagem de saída*

A ação não deve falhar nem parar a execução de um guia interativo:

Se a ação for concluída com êxito para, pelo menos, um dos IDs fornecidos:

Imprimir "Successfully retrieved information for the following events: <>" (Informações obtidas com êxito para os seguintes eventos: <>)

Se a ação não tiver sido executada para, pelo menos, um dos IDs de incidentes fornecidos:

Imprimir "Não foi possível obter informações para os seguintes eventos: <>

A ação deve falhar e parar a execução de um playbook:
se ocorrer um erro fatal ou um erro do SDK, como credenciais incorretas, sem ligação, entre outros:
Print "Error executing action "Get Event Details". Motivo: {0}''.format(error.Stacktrace

A ação deve falhar e parar a execução de um guia interativo:

se erro fatal, como credenciais incorretas, sem ligação ao servidor, outro:

imprime "Error executing action "List Event Objects". Motivo: {0}''.format(error.Stacktrace)

Geral

Tabela CSV

Nome da tabela: "Detalhes dos atributos do evento {0}".format(event_id)

Colunas:

ID
Valor
Comentário
Tipo
Categoria
UUID
Distribuição
Indicação de tempo

Liste as ocorrências de um atributo

Descrição

Liste as deteções disponíveis para atributos no MISP.

Parâmetros

pesquisa

Nome do parâmetro	Tipo	Valor predefinido	Obrigatório	Descrição
Nome do atributo	CSV		Não	Especifique uma lista de identificadores de atributos separados por vírgulas para os quais quer listar avistamentos. Nota: se forem especificados o "Nome do atributo" e o "UUID do atributo", a ação funciona com os valores do "UUID do atributo".
ID do evento	String		Não	Especifique o ID ou o UUID do evento onde pesquisar atributos. Este parâmetro é obrigatório se a "Pesquisa de atributos" estiver definida como "Evento fornecido".
Categoria	CSV		Não	Especifique uma lista de categorias separada por vírgulas. Se especificado, a ação apenas apresenta avistamentos de atributos que tenham uma categoria correspondente. Se nada for especificado, a ação ignora as categorias nos atributos. Valores possíveis: External Analysis, Payload Delivery, Artifacts Dropped, Payload Installation.
Tipo	CSV		Não	Especifique uma lista de tipos de atributos separados por vírgulas. Se especificado, a ação apenas lista avistamentos para atributos que tenham um tipo de atributo correspondente. Se não for especificado nada, a ação ignora os tipos nos atributos. Valores de exemplo: md5, sha1, ip-src, ip-dst
Pesquisa de atributos	LDD	Evento indicado Valores possíveis: Todos os Eventos	Sim	Especifique onde a ação deve pesquisar atributos. Se selecionar "Evento fornecido", a ação só procura atributos ou UUIDs de atributos no evento com o ID/UUID fornecido no parâmetro "ID do evento". Se selecionar "Todos os eventos", a ação procura atributos entre todos os eventos e apresenta avistamentos de todos os atributos que correspondem aos nossos critérios.
UUID do atributo	CSV		Não	Especifique uma lista separada por vírgulas de UUIDs de atributos para os quais quer listar avistamentos. Nota: se forem especificados o "Nome do atributo" e o "UUID do atributo", a ação funciona com os valores do "UUID do atributo".

Resultados da ação

Resultado do script

Nome do resultado do script	Opções de valores	Exemplo
is_success	Verdadeiro/Falso	is_success:False

Case Wall

Tipo de resultado

Valor/descrição

Tipo

Mensagem de saída*

Se as avistamentos forem listados com êxito para, pelo menos, um atributo: "Successfully listed sightings for the following attributes in MISP:\n{0}".format(attribute name/attribute UUID)

if not successfully listed sightings for at least one attribute: "Action didn't list sightings for the following attributes in MISP:\n{0}".format(attribute name/attribute UUID)

Se não for bem-sucedido para todos os avistamentos ou não houver avistamentos para todos os atributos: "Não foram encontrados avistamentos para os atributos fornecidos no MISP"

Erro crítico (ação falhada) "Erro ao executar a ação "List Sightings of an Attribute". Motivo: {0}".format(stacktrace)

Se for especificado um parâmetro inválido em "Categoria" (ação falhada): "Erro ao executar a ação "List Sightings of an Attribute". Motivo: foi fornecido um valor inválido para o parâmetro "Category". Valores aceitáveis: External Analysis, Payload Delivery, Artifacts Dropped, Payload Installation".

Se "Evento fornecido" estiver selecionado, mas o ID do evento não estiver selecionado: "Erro ao executar a ação "List Sightings of an Attribute". Motivo: o ID do evento tem de ser fornecido se "Evento fornecido" estiver selecionado para o parâmetro "Pesquisa de atributos".

Geral

Defina a sinalização IDS para um atributo

Descrição

Defina a flag IDS para atributos no MISP.

Parâmetros

searchsearch

Nome do parâmetro	Tipo	Valor predefinido	Obrigatório	Descrição
Nome do atributo	CSV		Não	Especifique uma lista de identificadores de atributos separados por vírgulas para os quais quer definir uma flag IDS. Nota: se forem especificados o "Nome do atributo" e o "UUID do atributo", a ação funciona com os valores do "UUID do atributo".
ID do evento	String		Não	Especifique o ID ou o UUID do evento onde pesquisar atributos. Este parâmetro é obrigatório se a "Pesquisa de atributos" estiver definida como "Evento fornecido".
Categoria	CSV		Não	Especifique uma lista de categorias separada por vírgulas. Se for especificado, a ação só define a flag IDS para atributos que tenham uma categoria correspondente. Se nada for especificado, a ação ignora as categorias nos atributos. Valores possíveis: External Analysis, Payload Delivery, Artifacts Dropped, Payload Installation.
Tipo	CSV		Não	Especifique uma lista de tipos de atributos separados por vírgulas. Se especificado, a ação só define a flag IDS para atributos que tenham um tipo de atributo correspondente. Se não for especificado nada, a ação ignora os tipos nos atributos. Valores de exemplo: md5, sha1, ip-src, ip-dst
Pesquisa de atributos	LDD	Evento indicado Valores possíveis: Todos os Eventos	Sim	Especifique onde a ação deve pesquisar atributos. Se selecionar "Evento fornecido", a ação só procura atributos ou UUIDs de atributos no evento com o ID/UUID fornecido no parâmetro "ID do evento". Se selecionar "Todos os eventos", a ação vai procurar atributos entre todos os eventos e definir a flag IDS para todos os atributos que correspondam aos nossos critérios.
UUID do atributo	CSV		Não	Especifique uma lista separada por vírgulas de UUIDs de atributos para os quais quer definir uma flag IDS. Nota: se o "Nome do atributo" e o "UUID do atributo" forem especificados, a ação vai funcionar com os valores do "UUID do atributo".

Resultados da ação

Resultado do script

Nome do resultado do script	Opções de valores	Exemplo
êxito	Verdadeiro/Falso	success:False

Case Wall

Tipo de resultado

Descrição do valor

Tipo

Mensagem de saída*

Se a flag IDS for adicionada com êxito a, pelo menos, um atributo: "Successfully set IDS flag for the following attributes in MISP:\n{0}".format(attribute name/object UUID)

if not successfully added IDS flag to at least one attribute: "Action didn't set IDS flag for the following attributes in MISP:\n{0}".format(attribute name/object UUID)

Se não for bem-sucedido para todos: "O sinalizador IDS não foi definido para os atributos fornecidos no MISP"

Erro crítico (ação falhada) "Erro ao executar a ação "Definir flag de IDS para um atributo". Motivo: {0}".format(stacktrace)

Se for especificado um parâmetro inválido em "Categoria" (ação falhada): "Erro ao executar a ação "Definir flag de IDS para um atributo". Motivo: foi fornecido um valor inválido para o parâmetro "Category". Valores aceitáveis: External Analysis, Payload Delivery, Artifacts Dropped, Payload Installation".

Se "Evento fornecido" estiver selecionado, mas o ID do evento não estiver selecionado: "Erro ao executar a ação "Definir flag de IDS para um atributo". Motivo: o ID do evento tem de ser fornecido se "Evento fornecido" estiver selecionado para o parâmetro "Pesquisa de atributos".

Não foi encontrado o ID do evento (ação falhada) "Erro ao executar a ação "Definir flag de IDS para um atributo". Motivo: não foi encontrado o evento com {0} {1} no MISP".format(ID/UUID, event_id)

Geral

Anule a definição da flag IDS para um atributo

Descrição

Anule a definição da flag IDS para atributos no MISP.

Parâmetros

Nome	Tipo	Valor predefinido	Obrigatório	Descrição
Nome do atributo	CSV		Não	Especifique uma lista de identificadores de atributos separados por vírgulas para os quais quer anular uma flag IDS. Nota: se o "Nome do atributo" e o "UUID do atributo" forem especificados, a ação vai funcionar com os valores do "UUID do atributo".
ID do evento	String		Não	Especifique o ID ou o UUID do evento onde pesquisar atributos. Este parâmetro é obrigatório se a "Pesquisa de atributos" estiver definida como "Evento fornecido".
Categoria	CSV		Não	Especifique uma lista de categorias separada por vírgulas. Se especificado, a ação anula apenas a definição da flag IDS para atributos que tenham uma categoria correspondente. Se nada for especificado, a ação ignora as categorias nos atributos. Valores possíveis: External Analysis, Payload Delivery, Artifacts Dropped, Payload Installation.
Tipo	CSV		Não	Especifique uma lista de tipos de atributos separados por vírgulas. Se especificado, a ação apenas anula a definição da flag IDS para atributos que tenham um tipo de atributo correspondente. Se não for especificado nada, a ação ignora os tipos nos atributos. Valores de exemplo: md5, sha1, ip-src, ip-dst
Pesquisa de atributos	LDD	Evento indicado Valores possíveis: Todos os Eventos	True	Especifique onde a ação deve pesquisar atributos. Se selecionar "Evento fornecido", a ação só procura atributos ou UUIDs de atributos no evento com o ID/UUID fornecido no parâmetro "ID do evento". Se selecionar "Todos os eventos", a ação vai procurar atributos entre todos os eventos e anular a definição da flag IDS para todos os atributos que correspondam aos nossos critérios.
UUID do atributo	CSV		Não	Especifique uma lista separada por vírgulas de UUIDs de atributos para os quais quer anular uma flag de IDS. Nota: se forem especificados o "Nome do atributo" e o "UUID do atributo", a ação funciona com os valores do "UUID do atributo".

Resultados da ação

Resultado do script

Nome do resultado do script	Opções de valores	Exemplo
êxito	Verdadeiro/Falso	success:False

Case Wall

Tipo de resultado

Descrição do valor

Tipo

Mensagem de saída*

Se a remoção da flag de IDS for bem-sucedida para, pelo menos, um atributo: "Successfully unset IDS flag for the following attributes in MISP:\n{0}".format(attribute name/object UUID)

Se não for possível remover o indicador IDS de, pelo menos, um atributo: "Action didn't unset IDS flag for the following attributes in MISP:\n{0}".format(attribute name/object UUID)

Se não for bem-sucedido para todos: "IDS flag was not unset for the provided attributes in MISP" (O indicador IDS não foi anulado para os atributos fornecidos no MISP)

Erro crítico (ação falhada) "Erro ao executar a ação "Anular definição do indicador de IDs para um atributo". Motivo: {0}".format(stacktrace)

Se for especificado um parâmetro inválido em "Categoria" (ação de falha): "Erro ao executar a ação "Anular definição da flag de IDs para um atributo". Motivo: foi fornecido um valor inválido para o parâmetro "Category". Valores aceitáveis: External Analysis, Payload Delivery, Artifacts Dropped, Payload Installation".

Se "Evento fornecido" estiver selecionado, mas o ID do evento não estiver selecionado: "Erro ao executar a ação "Anular definição da flag de IDS para um atributo". Motivo: o ID do evento tem de ser fornecido se "Evento fornecido" estiver selecionado para o parâmetro "Pesquisa de atributos".

Não foi encontrado o ID do evento (ação falhada) "Erro ao executar a ação "Anular definição da flag de IDS para um atributo". Motivo: não foi encontrado o evento com {0} {1} no MISP".format(ID/UUID, event_id)

Geral

Conetor

MISP - Attributes Connector

Descrição

Extraia atributos do MISP.

Configure o conetor de atributos do MISP no Google SecOps

Para ver instruções detalhadas sobre como configurar um conetor no Google SecOps, consulte o artigo Configurar o conetor.

Parâmetros do conetor

Use os seguintes parâmetros para configurar o conector:

Nome do parâmetro	Tipo	Valor predefinido	É obrigatório	Descrição
DeviceProductField	String	Nome do produto	Sim	Introduza o nome do campo de origem para obter o nome do campo do produto.
EventClassId	String	alertType	Sim	Introduza o nome do campo de origem para obter o nome do campo do evento.
PythonProcessTimeout	Número inteiro	180	Sim	Limite de tempo limite para o processo Python que executa o script atual.
Raiz da API	String	N/A	Sim	Raiz da API para a conta do MISP.
Chave de API	Palavra-passe		Sim	Chave da API da conta do MISP.
Fetch Max Hours Backwards	Número inteiro	1	Não	Número de horas a partir das quais obter atributos.
Máximo de atributos por ciclo	Número inteiro	50	Sim	O número de atributos a processar por iteração de um conetor.
Nível de ameaça mais baixo a obter	Número inteiro	1	Sim	Gravidade mais baixa que vai ser usada para obter alertas. Valores possíveis: 1 a 4.
Filtro do tipo de atributo	String		Não	Filtre os atributos pelo respetivo tipo, separados por vírgulas. Se forem fornecidos, apenas os atributos com o tipo na lista de autorizações são processados.
Filtro de categoria	String		Não	Filtre os atributos pela respetiva categoria, separados por vírgulas. Se forem fornecidos, apenas os atributos com a categoria na lista de autorizações são processados.
Filtro Galaxy	String		Não	Filtre os atributos pela galáxia do respetivo evento principal, separados por vírgulas. Se forem fornecidos, apenas são processados os atributos pertencentes a um evento com uma galáxia na lista de autorizações.
Validar SSL	Caixa de verificação		Sim	Se estiver ativado, verifique se o certificado SSL para a ligação ao servidor CheckPoint Cloud Guard é válido.
Nome do campo do ambiente	String		Não	Descreve o nome do campo onde o nome do ambiente está armazenado. Se o campo do ambiente não for encontrado, o ambiente é o ambiente predefinido.
Padrão de regex do ambiente	String	.*	Não	Um padrão de regex a executar no valor encontrado no campo "Nome do campo do ambiente". A predefinição é .* para captar tudo e devolver o valor inalterado. Usado para permitir que o utilizador manipule o campo do ambiente através da lógica de regex. Se o padrão regex for nulo ou estiver vazio, ou o valor do ambiente for nulo, o resultado final do ambiente é o ambiente predefinido.
Endereço do servidor proxy	String		Não	O endereço do servidor proxy a usar.
Nome de utilizador do proxy	String		Não	O nome de utilizador do proxy para autenticação.
Palavra-passe do proxy	Palavra-passe		Não	A palavra-passe do proxy para autenticação.

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais da Google SecOps.