MISP

Versão da integração: 31.0

Configurar a integração do MISP para trabalhar com o Google Security Operations

Configurar a integração do MISP com um certificado de CA

Se necessário, verifique sua conexão com um arquivo de certificado de CA.

Antes de começar, verifique se você tem o seguinte:

  • O arquivo de certificado de CA
  • A versão mais recente da integração do MISP

Para configurar a integração com um certificado da CA, siga estas etapas:

  1. Analise o arquivo de certificado da CA em uma string Base64.
  2. Abra a página de parâmetros de configuração da integração.
  3. Insira a string no campo Arquivo de certificado da CA.
  4. Para testar se a integração foi configurada corretamente, marque a caixa de seleção Verificar SSL e clique em Testar.

Chave de automação

A autenticação é feita com uma chave segura disponível na interface do MISP. A chave de API está disponível no menu de ações de eventos em "Automação".

Configurar a integração do MISP no Google SecOps

Para instruções detalhadas sobre como configurar uma integração no Google SecOps, consulte Configurar integrações.

Parâmetros de integração

Use os seguintes parâmetros para configurar a integração:

Nome de exibição do parâmetro Tipo Valor padrão É obrigatório Descrição
Nome da instância String N/A Não Nome da instância em que você pretende configurar a integração.
Descrição String N/A Não Descrição da instância.
Raiz da API https://<IP> Sim Endereço da instância do MISP.
Chave de API String N/A Sim Gerado no console do MISP.
Usar SSL Caixa de seleção Desmarcado Não Use esta caixa de seleção se a conexão do MISP exigir uma verificação SSL (desmarcada por padrão).
Executar remotamente Caixa de seleção Desmarcado Não Marque a caixa para executar a integração configurada remotamente. Depois de marcada, a opção aparece para selecionar o usuário remoto (agente).

Ações

Adicionar atributo

Descrição

Adicione uma entidade como um atributo a um evento do MISP.

Parâmetros

Nome de exibição do parâmetro Tipo Valor padrão É obrigatório Descrição
ID do evento String N/A Sim O ID do evento.
Categoria String Análise externa Não A categoria do atributo. Padrão: análise externa.
Distribuição String 1 Não A distribuição do atributo. Padrão: 1;
Para o sistema de detecção de intrusões Caixa de seleção Desmarcado Não Indica se o atributo é usado para Sistema de detecção de intrusões. Padrão: false.
Comentário String N/A Não O comentário a ser adicionado ao atributo.

Casos de uso

N/A

Executar em

Essa ação é executada nas seguintes entidades:

  • URL
  • Nome do host
  • Endereço IP
  • Filehash

Resultados da ação

Enriquecimento de entidades

N/A

Insights

N/A

Resultado do script
Nome do resultado do script Opções de valor Exemplo
sucesso Verdadeiro/Falso success:False
Resultado do JSON
N/A

Criar evento

Descrição

Crie um evento do MISP.

Limitação conhecida

No momento, a API MISP não permite que um evento seja publicado imediatamente após a criação. Primeiro, crie um evento e use a ação "Publicar evento".

Parâmetros

Nome de exibição do parâmetro Tipo Valor padrão É obrigatório Descrição
Nome do evento String N/A Sim O nome do evento.
Nível de ameaça String 0 Não O nível de ameaça do evento. Padrão: 0.
Distribuição String 1 Não A distribuição do atributo. Padrão: 1;
Análise String 0 Não O nível de análise do evento [0-2]. Padrão: 0.
Publicar Caixa de seleção Selecionado Não Se o evento será publicado ou não.
Comentário String N/A Não O comentário do evento.

Executar em

Essa ação é executada em todas as entidades.

Resultados da ação

Resultado do script
Nome do resultado do script Opções de valor Exemplo
event_id N/A N/A

Adicionar uma tag a um evento

Descrição

Adicionar uma tag a uma ação de evento permite que um usuário adicione uma tag a um evento específico no MISP. Isso adiciona uma classificação ao evento com base na categoria da ameaça à segurança representada pelo IOC associado a ele.

Parâmetros

Nome de exibição do parâmetro Tipo Valor padrão É obrigatório Descrição
ID do evento String N/A Sim O identificador exclusivo que especifica o evento a que a tag será adicionada.
Nome da tag String N/A Sim O nome da tag a ser adicionada a um evento.

Casos de uso

Classificar um evento:atualize o evento adicionando uma tag.

Executar em

Essa ação é executada em todas as entidades.

Resultados da ação

Resultado do script
Nome do resultado do script Opções de valor Exemplo
is_success Verdadeiro/Falso is_success:False
Resultado do JSON
[
    {
        "saved": true,
        "success": "Tag(s) added.",
        "check_publish": true
    }
]

Baixar o arquivo

Descrição

Faça o download dos arquivos relacionados ao evento no MISP.

Parâmetros

Nome de exibição do parâmetro Tipo Valor padrão É obrigatório Descrição
ID do evento String N/A Não Especifique o ID ou UUID do evento de que você quer baixar arquivos.
Caminho da pasta de download String N/A

Especifique o caminho absoluto para a pasta que vai armazenar os arquivos. Se nada for especificado, a ação vai criar um anexo.
Observação: o resultado JSON só estará disponível quando você fornecer o valor adequado para esse parâmetro.
Substituir Caixa de seleção Desmarcado Se ativada, a ação vai substituir os arquivos atuais.

Executar em

Essa ação é executada na entidade "Filehash".

Resultados da ação
Resultado do script
Nome do resultado do script Opções de valor Exemplo
sucesso Verdadeiro/Falso success:False
Resultado do JSON
{

"absolute_paths": ["/etc/file1.txt", "/etc/file2.txt"]

}
Painel de casos
Tipo de resultado Descrição do valor Tipo
Mensagem de saída*

Se for bem-sucedido: "Os seguintes arquivos foram baixados do evento com {0} {1} no MISP:\n{2}".format(ID/UUID, event_id, result/filename from the response)

se nenhum arquivo for encontrado: "Nenhum arquivo foi encontrado para o evento com {0} {1} no MISP:\n{2}".format(ID/UUID, event_id)

Se o "Caminho da pasta de download" não for especificado e alguns dos arquivos excederem o limite da plataforma para anexos: "Não foi possível baixar os seguintes arquivos porque eles excederam o limite de 3 MB: \n {0}. \n Especifique um caminho de pasta no parâmetro "Caminho da pasta de download" para fazer o download deles.".(result/filename)

Erro crítico (ação de falha) "Erro ao executar a ação "Fazer o download do arquivo". Motivo: {0}".format(stacktrace)

O ID do evento não foi encontrado (ação de falha) "Erro ao executar a ação "Fazer o download do arquivo". Motivo: o evento com {0} {1} não foi encontrado no MISP".format(ID/UUID, event_id)

Se "overwrite" for falso e um dos arquivos já existir: "Erro ao executar a ação "Fazer o download do arquivo". Motivo: os seguintes arquivos já existem: {0}. Remova-os ou defina o parâmetro "Overwrite" como true.".format(caminho absoluto para o arquivo)

 Geral

Enriquecer entidades

Descrição

Enriquecer entidades com base nos atributos do MISP.

Parâmetros

Nome de exibição do parâmetro Tipo Valor padrão Descrição
Número de atributos a serem retornados String N/A Especifique quantos atributos retornar para as entidades.
Condição de filtragem Especifique a condição de filtragem da ação. Se "Último" for selecionado, a ação usará o atributo mais antigo para enriquecimento. Se "Primeiro" for selecionado, a ação usará o atributo mais recente para enriquecimento.
Limite do nível de ameaça DDL

Baixo

Valores possíveis:

Alta

Médio

Baixo

Indefinido

 Especifique qual deve ser o limite para o nível de ameaça do evento em que a entidade foi encontrada. Se o evento relacionado exceder ou corresponder ao limite, a entidade será marcada como suspeita.
Limite de pesquisa de atributos Número inteiro 50 Especifique quantos atributos pesquisar por entidade. Esse parâmetro afeta qual atributo será selecionado para enriquecimento. Padrão: 50.

Executar em

Essa ação é executada nas seguintes entidades:

  • URL
  • Nome do host
  • Endereço IP
  • Filehash
Resultados da ação
Enriquecimento de entidades

As entidades são marcadas como suspeitas se o nível de ameaça do evento for maior que 0. Caso contrário: False

Resultado do script
Nome do resultado do script Opções de valor Exemplo
sucesso Verdadeiro/Falso success:False
Resultado do JSON
[
    {
        "EntityResult": [
            {
                "Event":
                {
                    "orgc_id": "1",
                    "ShadowAttribute": [],
                    "id": "3",
                    "threat_level_id": "3",
                    "event_creator_email": "john_doe@example.com",
                    "uuid": "5c5bff1b-a414-4a83-8755-035f0a000016",
                    "Object": [],
                    "Orgc": {
                        "uuid": "5c5ac66e-3884-4031-afd7-46f5bb9ebcaa",
                        "name": "ORGNAME",
                        "id": "1"
                    },
                    "Org": {
                        "uuid": "5c5ac66e-3884-4031-afd7-46f5bb9ebcaa",
                        "name": "ORGNAME",
                        "id": "1"
                    },
                    "RelatedEvent": [],
                    "sharing_group_id": "0",
                    "timestamp": "1549533154",
                    "date": "2019-02-07",
                    "disable_correlation": "False",
                    "info": "Test event",
                    "locked": "False",
                    "publish_timestamp": "1549533214",
                    "Attribute": [
                        {
                            "category": "Network activity",
                            "comment": " ",
                            "uuid": "5c5bffe2-9298-4098-ae31-035d0a000016",
                            "deleted": "False",
                            "timestamp": "1549533154",
                            "to_ids": "False",
                            "distribution": "3",
                            "object_id": "0",
                            "event_id": "3",
                            "ShadowAttribute": [],
                            "sharing_group_id": "0",
                            "value": "1.1.1.1",
                            "disable_correlation": "False",
                            "object_relation": "None",
                            "type": "ip-src",
                            "id": "1",
                            "Galaxy": []
                        }],
                    "attribute_count": "1",
                    "org_id": "1",
                    "analysis": "2",
                    "extends_uuid": " ",
                    "published": "True",
                    "distribution": "3",
                    "proposal_email_lock": "False",
                    "Galaxy": []
                }}],
        "Entity": "1.1.1.1"
    }
]
Painel de casos
Tipo de resultado Descrição do valor Tipo
Mensagem de saída*

Para atributos encontrados: (is_success=true) "Enriquecimento das seguintes entidades usando o MISP: \n{0}".format(entity.identifier)

Para atributos que não foram encontrados (is_success=true): "Não foi possível enriquecer as seguintes entidades usando o MISP: \n{0}".format(entity.identifier)

Se todos os atributos não foram encontrados (is_success=false) "Nenhuma entidade foi enriquecida usando o MISP"

Se os atributos forem suspeitos (is_success=true) "Os seguintes atributos foram marcados como suspeitos usando o MISP: \n {0}".format(entity.identifier)

 Geral
Tabela CSV

Colunas da tabela:

  • ID
  • ID do evento
  • Categoria
  • Tipo
  • UUID
  • Carimbo de data/hora
  • Distribuição
  • IDS

Descrição

Recupera informações sobre eventos relacionados a entidades no MISP.

Parâmetros

Nome de exibição do parâmetro Tipo Valor padrão Descrição
Marcar como suspeito Caixa de seleção Selecionado Se ativada, a ação vai marcar a entidade como suspeita se houver pelo menos um evento relacionado a ela.

Executar em

Essa ação é executada nas seguintes entidades:

  • URL
  • Nome do host
  • Endereço IP
  • Filehash

Resultados da ação

Enriquecimento de entidades

Se os registros de eventos relacionados estiverem disponíveis, as entidades serão marcadas como suspeitas. Caso contrário, o valor será "False".

Nome do campo de enriquecimento Lógica: quando aplicar
Evento Retorna se ele existe no resultado JSON
Resultado do script
Nome do resultado do script Opções de valor Exemplo
sucesso Verdadeiro/Falso success:False
Resultado do JSON
[
    {
        "EntityResult": [
            {
                "Event":
                {
                    "orgc_id": "1",
                    "ShadowAttribute": [],
                    "id": "3",
                    "threat_level_id": "3",
                    "event_creator_email": "john_doe@example.com",
                    "uuid": "5c5bff1b-a414-4a83-8755-035f0a000016",
                    "Object": [],
                    "Orgc": {
                        "uuid": "5c5ac66e-3884-4031-afd7-46f5bb9ebcaa",
                        "name": "ORGNAME",
                        "id": "1"
                    },
                    "Org": {
                        "uuid": "5c5ac66e-3884-4031-afd7-46f5bb9ebcaa",
                        "name": "ORGNAME",
                        "id": "1"
                    },
                    "RelatedEvent": [],
                    "sharing_group_id": "0",
                    "timestamp": "1549533154",
                    "date": "2019-02-07",
                    "disable_correlation": "False",
                    "info": "Test event",
                    "locked": "False",
                    "publish_timestamp": "1549533214",
                    "Attribute": [
                        {
                            "category": "Network activity",
                            "comment": " ",
                            "uuid": "5c5bffe2-9298-4098-ae31-035d0a000016",
                            "deleted": "False",
                            "timestamp": "1549533154",
                            "to_ids": "False",
                            "distribution": "3",
                            "object_id": "0",
                            "event_id": "3",
                            "ShadowAttribute": [],
                            "sharing_group_id": "0",
                            "value": "1.1.1.1",
                            "disable_correlation": "False",
                            "object_relation": "None",
                            "type": "ip-src",
                            "id": "1",
                            "Galaxy": []
                        }],
                    "attribute_count": "1",
                    "org_id": "1",
                    "analysis": "2",
                    "extends_uuid": " ",
                    "published": "True",
                    "distribution": "3",
                    "proposal_email_lock": "False",
                    "Galaxy": []
                }}],
        "Entity": "1.1.1.1"
    }
]
Painel de casos
Tipo de resultado Descrição do valor Tipo
Mensagem de saída*

Se um evento for encontrado para pelo menos uma entidade: "As informações sobre os eventos relacionados às seguintes entidades foram recuperadas: \n{0}".format(entity.identifier)

Se nenhum evento for encontrado para pelo menos uma entidade: "Não foi possível recuperar informações sobre os eventos relacionados para as seguintes entidades: \n{0}".format(entity.identifier

Se não houver eventos para todos: "Nenhum evento relacionado foi encontrado para as entidades fornecidas".

 Geral

Fazer upload do arquivo

Descrição

Faça upload de um arquivo para um evento do MISP.

Parâmetros

Nome Tipo Padrão Descrição
ID do evento String N/A Especifique o ID ou UUID do evento para o qual você quer fazer upload deste arquivo.
Caminho do arquivo String N/A Especifique uma lista separada por vírgulas de caminhos absolutos dos arquivos que você quer enviar para o MISP.
Categoria Especifique a categoria do arquivo enviado. Valores possíveis: External Analysis, Payload Delivery, Artifacts Dropped, Payload Installation.
Distribuição String Comunidade

Especifique a distribuição do arquivo enviado.
Valores possíveis: 0 - Organização, 1 - Comunidade, 2 - Conectado, 3 - Todos. Você pode fornecer um número ou uma string.
Nível de ameaça String Alta

Especifique o nível de ameaça do arquivo enviado.
Valores possíveis: 1 (Alto), 2 (Médio), 3 (Baixo), 4 (Indefinido). Você pode fornecer um número ou uma string.
Análise String Inicial

Especifique a análise do evento.
Valores possíveis: 0 (Inicial), 1 (Em andamento) e 2 (Concluído). Você pode fornecer um número ou uma string.
Informações String N/A Especifique informações adicionais para o arquivo enviado.
Para o sistema de detecção de intrusões Caixa de seleção Desmarcado Se ativado, o arquivo enviado será usado para sistemas de detecção de intrusões.
Comentário String N/A Especifique outros comentários relacionados ao arquivo enviado.
Resultados da ação
Resultado do script
Nome do resultado do script Opções de valor Exemplo
is_success Verdadeiro/Falso is_success:False
Resultado do JSON
{
    "Event": {
        "id": "106",
        "orgc_id": "1",
        "org_id": "1",
        "date": "2021-01-15",
        "threat_level_id": "1",
        "info": "vanuhi 1015",
        "published": false,
        "uuid": "1cd22aa2-57e8-4fc8-bac6-721c1be2c27d",
        "attribute_count": "10",
        "analysis": "0",
        "timestamp": "1610893968",
        "distribution": "1",
        "proposal_email_lock": false,
        "locked": false,
        "publish_timestamp": "0",
        "sharing_group_id": "0",
        "disable_correlation": false,
        "extends_uuid": "",
        "event_creator_email": "admin@admin.test",
        "Org": {
            "id": "1",
            "name": "ORGNAME",
            "uuid": "09b0dde1-2934-4310-a107-74b6f534f041",
            "local": true
        },
        "Orgc": {
            "id": "1",
            "name": "ORGNAME",
            "uuid": "09b0dde1-2934-4310-a107-74b6f534f041",
            "local": true
        },
        "Attribute": [],
        "ShadowAttribute": [],
"Object": [
            {
                "id": "446",
                "name": "file",
                "meta-category": "file",
                "description": "File object describing a file with meta-information",
                "template_uuid": "688c46fb-5edb-40a3-8273-1af7923e2215",
                "template_version": "20",
                "event_id": "106",
                "uuid": "0188ba5d-68eb-4b5c-8e05-6fd49f8eee9a",
                "timestamp": "1610691647",
                "distribution": "1",
                "sharing_group_id": "0",
                "comment": "",
                "deleted": false,
                "first_seen": null,
                "last_seen": null,
                "ObjectReference": [],
                "Attribute": [
                    {
                        "id": "1859",
                        "type": "malware-sample",
                        "category": "External analysis",
                        "to_ids": true,
                        "uuid": "7920cd28-5082-47ce-9c3e-3ccbd5dae138",
                        "event_id": "106",
                        "distribution": "1",
                        "timestamp": "1610703650",
                        "comment": "",
                        "sharing_group_id": "0",
                        "deleted": false,
                        "disable_correlation": false,
                        "object_id": "446",
                        "object_relation": "malware-sample",
                        "first_seen": null,
                        "last_seen": null,
                        "value": "vanuhi.txt|7bd55b0a276e076cbaf470e64359adb8",
                        "Galaxy": [],
                        "data": "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",
                        "ShadowAttribute": [],
                        "Sighting": [
                            {
                                "id": "1733",
                                "attribute_id": "1859",
                                "event_id": "106",
                                "org_id": "1",
                                "date_sighting": "1611207638",
                                "uuid": "feb085f1-1923-4327-a73d-b60a948377e4",
                                "source": "",
                                "type": "0",
                                "Organisation": {
                                    "id": "1",
                                    "uuid": "09b0dde1-2934-4310-a107-74b6f534f041",
                                    "name": "ORGNAME"
                                },
                                "attribute_uuid": "7920cd28-5082-47ce-9c3e-3ccbd5dae138"
                            }
                        ]
                    }
            }
    }
}
Painel de casos
Tipo de resultado Valor/descrição Tipo
Mensagem de saída*

Se for bem-sucedido para uma entidade: "Os arquivos fornecidos foram enviados com sucesso para o evento {0} no MISP".format(event_id)

Erro crítico (ação de falha) "Erro ao executar a ação "Fazer upload do arquivo". Motivo: {0}".format(stacktrace)

Se um parâmetro inválido for especificado em "Distribuição" (ação de falha):

"Erro ao executar a ação "Fazer upload do arquivo". Motivo: um valor inválido foi fornecido para o parâmetro "Distribution". Números aceitos: 0,1,2,3. Strings aceitas: Organisation, Community, Connected, All".

Se um parâmetro inválido for especificado em "Nível de ameaça" (ação de falha): "Erro ao executar a ação "Fazer upload do arquivo". Motivo: um valor inválido foi fornecido para o parâmetro "Nível de ameaça". Números aceitos: 1,2,3,4. Strings aceitáveis: "High", "Medium", "Low", "Undefined".

Se um parâmetro inválido for especificado em "Categoria" (ação de falha): "Erro ao executar a ação "Fazer upload do arquivo". Motivo: um valor inválido foi fornecido para o parâmetro "Category". Valores aceitos: External Analysis, Payload Delivery, Artifacts Dropped, Payload Installation".

Se um parâmetro inválido for especificado em "Análise" (ação de falha): "Erro ao executar a ação "Fazer upload do arquivo". Motivo: um valor inválido foi fornecido para o parâmetro "Análise". Números aceitáveis: 0,1,2. Strings aceitas: Initial, Ongoing, Completed".

se pelo menos um dos arquivos não estiver disponível "Erro ao executar a ação "Fazer upload de arquivo". Motivo: os seguintes arquivos não estavam acessíveis: \n {0}".format(file paths, that were not accessible.)

O ID do evento não foi encontrado (ação de falha) "Erro ao executar a ação "Fazer upload do arquivo". Motivo: o evento com {0} {1} não foi encontrado no MISP".format(ID/UUID, event_id)

 Geral

Ping

Descrição

Teste a conectividade.

Parâmetros

N/A

Casos de uso

N/A

Executar em

Essa ação é executada em todas as entidades.

Resultados da ação

Enriquecimento de entidades

N/A

Insights

N/A

Resultado do script
Nome do resultado do script Opções de valor Exemplo
sucesso Verdadeiro/Falso success:False
Resultado do JSON
N/A

Remover uma tag de um evento

Descrição

Remova as tags do evento no MISP.

Parâmetros

Nome de exibição do parâmetro Tipo Valor padrão É obrigatório Descrição
ID do evento String N/A Sim Especifique o ID ou UUID do evento de que você quer remover tags.
Nome da tag CSV N/A Sim Especifique uma lista separada por vírgulas de tags que você quer remover dos eventos.

Casos de uso

Reclassificar evento:remova a tag para reclassificação.

Resultados da ação

Resultado do script
Nome do resultado do script Opções de valor Exemplo
is_success Verdadeiro/Falso is_success:False
Resultado do JSON
[
    {
        "saved": true,
        "success": "Tag removed.",
        "check_publish": true
    }
]
Painel de casos
Tipo de resultado Valor/descrição Tipo
Mensagem de saída*

Se todas as tags de um evento forem removidas: "As seguintes tags foram removidas do evento com {0} {1} no MISP: {2}.".format(ID/UUID, event_id, tags)

Se algumas tags não forem removidas de um evento: "Não foi possível remover as seguintes tags do evento com {0} {1} no MISP: {2}.".format(ID/UUID, event_id, tags)

Se não for possível para todos: "Nenhuma tag foi removida do evento com {0} {1} no MISP".format(ID/UUID, event_id)

Se pelo menos uma tag não foi encontrada: "As seguintes tags não foram encontradas no MISP: \n{0}".format(lista de tags que não foram encontradas no MISP)

Se todas as tags não forem encontradas: "Nenhuma das tags fornecidas foi encontrada no MISP".

Erro crítico (ação de falha) "Erro ao executar a ação "Remover tag de um evento". Motivo: {0}".format(stacktrace)

O ID do evento não foi encontrado (ação de falha) "Erro ao executar a ação "Remover tag de um evento". Motivo: o evento com {0} {1} não foi encontrado no MISP".format(ID/UUID, event_id)

 Geral

Adicionar uma tag a um atributo

Descrição

Essa ação permite que um usuário adicione uma tag a um atributo específico no MISP. Isso adiciona uma classificação ao atributo com base na categoria de uma ameaça à segurança representada pelo IOC no atributo.

Parâmetros

Nome de exibição do parâmetro Tipo Valor padrão É obrigatório Descrição
ID do evento Número inteiro N/A Sim O identificador do evento a que o atributo está associado. Exemplo: 1.
Nome da tag String N/A Sim O nome da tag a ser adicionada a um atributo.
Nome do atributo String N/A Sim O identificador de nome do atributo a ser rotulado.
Categoria String N/A Sim A categoria a que o atributo pertence, por exemplo, "Entrega de payload".
Tipo String N/A Sim O tipo do atributo, por exemplo, "filename".
UUID do objeto String N/A Não O identificador exclusivo de um objeto no evento.

Casos de uso

Classificar atributo com base no tipo de IOC:adicione uma tag ao atributo.

Executar em

Essa ação é executada em todas as entidades.

Resultados da ação

Enriquecimento de entidades

N/A

Insights

N/A

Resultado do script
Nome do resultado do script Opções de valor Exemplo
is_success Verdadeiro/Falso is_success:False
Resultado do JSON
[
    {
        "name": "Global tag unique___test(7) successfully attached to Attribute(9).",
        "message": "Global tag unique___test(7) successfully attached to Attribute(9).",
        "url": "/tags/attachTagToObject"
    }
]

Remover uma tag de um atributo

Descrição

Remova tags dos atributos no MISP.

Parâmetros

Nome de exibição do parâmetro Tipo Valor padrão É obrigatório Descrição
ID do evento String N/A Não Especifique o ID ou UUID do evento e onde pesquisar atributos. Esse parâmetro é obrigatório se a "Pesquisa por atributo" estiver definida como "Evento fornecido".
Nome da tag CSV N/A Sim Especifique uma lista separada por vírgulas de tags que você quer remover dos atributos.
Nome do atributo CSV N/A Não

Especifique uma lista separada por vírgulas de identificadores de atributos de que você quer remover tags.
Observação: se "Nome do atributo" e "UUID do atributo" forem especificados, a ação vai funcionar com os valores de "UUID do atributo".
Categoria CSV N/A Não

Especifique uma lista de categorias separadas por vírgulas. Se especificado, a ação vai remover tags apenas de atributos que tenham uma categoria correspondente. Se nada for especificado, a ação vai ignorar as categorias nos atributos.
Valores possíveis: análise externa, entrega de payload, remoção de artefatos, instalação de payload.
Tipo CSV N/A Não

Especifique uma lista separada por vírgulas de tipos de atributos. Se especificado, a ação vai remover apenas tags de atributos que tenham o tipo de atributo correspondente. Se nada for especificado, a ação vai ignorar os tipos nos atributos.
Exemplos de valores: md5, sha1, ip-src, ip-dst
UUID do objeto CSV N/A Especifique o UUID do objeto que contém o atributo desejado.
Pesquisa de atributos DDL

Evento fornecido

Valores possíveis:

Todos os eventos

Evento fornecido

 Sim Especifique onde a ação deve procurar atributos. Se a opção "Evento fornecido" estiver selecionada, a ação só vai procurar atributos ou UUIDs de atributo no evento com o ID/UUID fornecido no parâmetro "ID do evento". Se for "Todos os eventos", a ação vai procurar atributos em todos os eventos e remover tags de todos os atributos que corresponderem aos nossos critérios.
UUID do atributo CSV Especifique uma lista separada por vírgulas de UUIDs de atributos de que você quer remover novas tags. Observação: se "Nome do atributo" e "UUID do atributo" forem especificados, a ação vai funcionar com os valores de "UUID do atributo".

Casos de uso

Reclassificar atributo:remover tag para reclassificação

Executar em

Essa ação é executada em todas as entidades.

Resultados da ação

Resultado do script
Nome do resultado do script Opções de valor Exemplo
is_success Verdadeiro/Falso is_success:False
Resultado do JSON
[
    {
        "name": "Tag unique___test(7) successfully removed from Attribute(9).",
        "message": "Tag unique___test(7) successfully removed from Attribute(9).",
        "url": "/tags/removeTagFromObject"
    }
]
Painel de casos
Tipo de resultado Valor/descrição Type>
Mensagem de saída*

Se as tags forem removidas de pelo menos um atributo: "As tags foram removidas dos seguintes atributos no MISP:\n{0}".format(nome do atributo/UUID do objeto)

se não for possível remover tags de pelo menos um atributo: "A ação não removeu tags dos seguintes atributos no MISP:\n{0}".format(nome do atributo/UUID do objeto)

Se não for concluída para todos: "Nenhuma tag foi removida dos atributos fornecidos no MISP"

Se pelo menos uma tag não foi encontrada: "As seguintes tags não foram encontradas no MISP: \n{0}".format(lista de tags que não foram encontradas no MISP)

Se todas as tags não forem encontradas: "Nenhuma das tags fornecidas foi encontrada no MISP".

Erro crítico (ação de falha) "Erro ao executar a ação "Remover tag de um atributo". Motivo: {0}".format(stacktrace)

Se um parâmetro inválido for especificado em "Categoria" (ação de falha): "Erro ao executar a ação "Remover tag de um atributo". Motivo: um valor inválido foi fornecido para o parâmetro "Category". Valores aceitos: External Analysis, Payload Delivery, Artifacts Dropped, Payload Installation".

Se "Evento fornecido" estiver selecionado, mas o ID do evento não estiver: "Erro ao executar a ação "Remover tag de um atributo". Motivo: o ID do evento precisa ser fornecido se "Evento fornecido" estiver selecionado para o parâmetro "Pesquisa por atributo".

O ID do evento não foi encontrado (ação de falha) "Erro ao executar a ação "Remover tag de um atributo". Motivo: o evento com {0} {1} não foi encontrado no MISP".format(ID/UUID, event_id)

 Geral

Publicar evento

Descrição

A ação permite que o usuário publique um evento. Ao publicar um evento, ele é compartilhado com o grupo selecionado e fica visível para todos os participantes.

Parâmetros

Nome de exibição do parâmetro Tipo Valor padrão É obrigatório Descrição
ID do evento String N/A Sim Especifique o ID ou UUID do evento que você quer publicar.

Casos de uso

Publicar um evento:

  1. Criar par
  2. Adicionar atributos do evento
  3. Publicar evento

Resultados da ação

Resultado do script
Nome do resultado do script Opções de valor Exemplo
is_success Verdadeiro/Falso is_success:False
Resultado do JSON
[
    {
        "Event": {
            "id": "3",
            "orgc_id": "1",
            "org_id": "1",
            "date": "2019-12-27",
            "threat_level_id": "1",
            "info": "Connection to .ch",
            "published": true,
            "uuid": "5e05dd29-7b90-474d-b5f6-51ae0a00024b",
            "attribute_count": "0",
            "analysis": "1",
            "timestamp": "1577774920",
            "distribution": "3",
            "proposal_email_lock": false,
            "locked": false,
            "publish_timestamp": "1577774846",
            "sharing_group_id": "0",
            "disable_correlation": false,
            "extends_uuid": "5e05db24-1e98-4bb9-bd56-51fd0a00024b",
            "event_creator_email": "admin@admin.test",
            "Org": {
                "id": "1",
                "name": "ORGNAME",
                "uuid": "5dfc9b8f-c320-4b6d-ac1c-4f4e8bdc3fef",
                "local": true
            },
            "Orgc": {
                "id": "1",
                "name": "ORGNAME",
                "uuid": "5dfc9b8f-c320-4b6d-ac1c-4f4e8bdc3fef",
                "local": true
            },
            "Attribute": [],
            "ShadowAttribute": [],
            "RelatedEvent": [],
            "Galaxy": [],
            "Object": [],
            "Tag": [
                {
                    "id": "7",
                    "name": "unique___test",
                    "colour": "#9648c4",
                    "exportable": true,
                    "user_id": "0",
                    "hide_tag": false,
                    "numerical_value": null,
                    "local": 0
                }
            ]
        }
    }
]
Painel de casos
Tipo de resultado Valor/descrição Tipo
Mensagem de saída*

Se for bem-sucedido: "Evento publicado com sucesso com {0} {1} no MISP".format(ID/UUID, event_id)

Se não for bem-sucedido: "O evento com {0} {1} não foi publicado no MISP".format(ID/UUID, event_id)

Erro crítico (ação de falha): "Erro ao executar a ação "Publicar evento". Motivo: {0}".format(stacktrace)

O ID do evento não foi encontrado (ação de falha) "Erro ao executar a ação "Publicar evento". Motivo: o evento com {0} {1} não foi encontrado no MISP".format(ID/UUID, event_id)

 Geral

Cancelar a publicação do evento

Descrição

A ação permite que o usuário cancele a publicação de um evento. Ao cancelar a publicação de um evento, ele não fica mais visível para os grupos compartilhados.

Parâmetros

Nome de exibição do parâmetro Tipo Valor padrão É obrigatório Descrição
ID do evento String N/A Sim Especifique o ID ou UUID do evento que você quer cancelar a publicação.
Resultados da ação
Resultado do script
Nome do resultado do script Opções de valor Exemplo
is_success Verdadeiro/Falso is_success:False
Resultado do JSON
[
    {
        "Event": {
            "id": "3",
            "orgc_id": "1",
            "org_id": "1",
            "date": "2019-12-27",
            "threat_level_id": "1",
            "info": "Connection to .ch",
            "published": false,
            "uuid": "5e05dd29-7b90-474d-b5f6-51ae0a00024b",
            "attribute_count": "0",
            "analysis": "1",
            "timestamp": "1577774920",
            "distribution": "3",
            "proposal_email_lock": false,
            "locked": false,
            "publish_timestamp": "1577774846",
            "sharing_group_id": "0",
            "disable_correlation": false,
            "extends_uuid": "5e05db24-1e98-4bb9-bd56-51fd0a00024b",
            "event_creator_email": "admin@admin.test",
            "Org": {
                "id": "1",
                "name": "ORGNAME",
                "uuid": "5dfc9b8f-c320-4b6d-ac1c-4f4e8bdc3fef",
                "local": true
            },
            "Orgc": {
                "id": "1",
                "name": "ORGNAME",
                "uuid": "5dfc9b8f-c320-4b6d-ac1c-4f4e8bdc3fef",
                "local": true
            },
            "Attribute": [],
            "ShadowAttribute": [],
            "RelatedEvent": [],
            "Galaxy": [],
            "Object": [],
            "Tag": [
                {
                    "id": "7",
                    "name": "unique___test",
                    "colour": "#9648c4",
                    "exportable": true,
                    "user_id": "0",
                    "hide_tag": false,
                    "numerical_value": null,
                    "local": 0
                }
            ]
        }
    }
]
Painel de casos
Tipo de resultado Valor/descrição Tipo
Mensagem de saída*

Se for bem-sucedido: "O evento com {0} {1} foi removido do MISP.".format(ID/UUID, event_id)

Se não for possível: "O evento com {0} {1} não foi cancelado no MISP".format(ID/UUID, event_id)

Erro crítico (ação de falha) "Erro ao executar a ação "Cancelar publicação do evento". Motivo: {0}".format(stacktrace)

O ID do evento não foi encontrado (ação de falha) "Erro ao executar a ação "Cancelar publicação do evento". Motivo: o evento com {0} {1} não foi encontrado no MISP".format(ID/UUID, event_id)

 Geral

Excluir um atributo

Descrição

Exclua atributos no MISP. Hashes compatíveis: MD5, SHA1, SHA224, SHA256, SHA384, SHA512 e SSDeep.

Parâmetros

Nome de exibição do parâmetro Tipo Valor padrão É obrigatório Descrição
ID do evento String N/A Não Especifique o ID ou UUID do evento e onde pesquisar atributos. Esse parâmetro é obrigatório se a "Pesquisa por atributo" estiver definida como "Evento fornecido".
Nome do atributo CSV N/A Não

Especifique uma lista separada por vírgulas de identificadores de atributos que você quer excluir.
Observação: se "Nome do atributo" e "UUID do atributo" forem especificados, a ação vai funcionar com os valores de "UUID do atributo".
Categoria CSV N/A Não

Especifique uma lista de categorias separadas por vírgulas. Se especificado, a ação vai excluir apenas os atributos que têm uma categoria correspondente. Se nada for especificado, a ação vai ignorar as categorias nos atributos.
Valores possíveis: análise externa, entrega de payload, remoção de artefatos, instalação de payload.
Tipo CSV N/A Não

Especifique uma lista separada por vírgulas de tipos de atributos. Se especificado, a ação só vai excluir atributos que tenham o mesmo tipo. Se nada for especificado, a ação vai ignorar os tipos nos atributos.
Exemplos de valores: md5, sha1, ip-src, ip-dst
UUID do objeto String N/A Não O identificador exclusivo de um objeto no evento.
Pesquisa de atributos DDL

Evento fornecido

Valores possíveis:

Todos os eventos

Evento fornecido

 Sim Especifique onde a ação deve procurar atributos. Se a opção "Evento fornecido" estiver selecionada, a ação só vai procurar atributos ou UUIDs de atributo no evento com o ID/UUID fornecido no parâmetro "ID do evento". Se for "Todos os eventos", a ação vai procurar atributos em todos os eventos e excluir aqueles que corresponderem aos nossos critérios.
UUID do atributo CSV

Especifique uma lista separada por vírgulas de UUIDs de atributos que você quer excluir.
Observação: se "Nome do atributo" e "UUID do atributo" forem especificados, a ação vai funcionar com os valores de "UUID do atributo".

Casos de uso

Remove um atributo de um evento.

Executar em

Essa ação é executada em todas as entidades.

Resultados da ação

Resultado do script
Nome do resultado do script Opções de valor Exemplo
is_success Verdadeiro/Falso is_success:False
Resultado do JSON
[
    {
        "message": "Attribute deleted."
    }
]
Painel de casos
Tipo de resultado Descrição do valor Tipo
Mensagem de saída*

Se o avistamento for adicionado a pelo menos um atributo: "Os seguintes atributos foram excluídos do MISP:\n{0}".format(nome do atributo/UUID do objeto)

Se não for possível adicionar a detecção a pelo menos um atributo: "A ação não excluiu os seguintes atributos no MISP:\n{0}".format(nome do atributo/UUID do objeto)

Se não for bem-sucedida para todos: "Nenhum atributo foi excluído no MISP"

Erro crítico (ação de falha) "Erro ao executar a ação "Excluir um atributo". Motivo: {0}".format(stacktrace)

Se um parâmetro inválido for especificado em "Categoria" (ação de falha): "Erro ao executar a ação "Excluir um atributo". Motivo: um valor inválido foi fornecido para o parâmetro "Category". Valores aceitos: External Analysis, Payload Delivery, Artifacts Dropped, Payload Installation".

Se "Evento fornecido" estiver selecionado, mas o ID do evento não estiver: "Erro ao executar a ação "Excluir um atributo". Motivo: o ID do evento precisa ser fornecido se "Evento fornecido" estiver selecionado para o parâmetro "Pesquisa por atributo".

O ID do evento não foi encontrado (ação de falha) "Erro ao executar a ação "Excluir um atributo". Motivo: o evento com {0} {1} não foi encontrado no MISP".format(ID/UUID, event_id)

 Geral

Excluir um evento

Descrição

Excluir evento no MISP.

Parâmetros

Nome de exibição do parâmetro Tipo Valor padrão É obrigatório Descrição
ID do evento String N/A Sim Especifique o ID ou UUID do evento que você quer excluir.

Casos de uso

Excluir um evento permanentemente.

Executar em

Essa ação é executada na entidade "User".

Resultados da ação

Resultado do script
Nome do resultado do script Opções de valor Exemplo
is_success Verdadeiro/Falso is_success:False
Resultado do JSON
[
    {
        "name": "Event deleted.",
        "message": "Event deleted.",
        "url": "/events/delete/4"
    }
]
Painel de casos
Tipo de resultado Descrição do valor Tipo
Mensagem de saída*

Se for bem-sucedido: "Evento excluído com sucesso com {0} {1} no MISP".format(ID/UUID, event_id)

Erro crítico (ação de falha): "Erro ao executar a ação "Excluir um evento". Motivo: {0}".format(traceback)

O ID do evento não foi encontrado (ação de falha) "Erro ao executar a ação "Excluir um evento". Motivo: o evento com {0} {1} não foi encontrado no MISP".format(ID/UUID, event_id)

 Geral

Criar objeto FileMisp

Descrição

A ação permite que o usuário organize atributos de arquivo relacionados a um evento em um único objeto que descreve um arquivo com suas metainformações. O objeto com os atributos é anexado a um evento especificado.

Parâmetros

Nome de exibição do parâmetro Tipo Valor padrão É obrigatório Descrição
ID do evento String N/A Sim O identificador exclusivo do evento para adicionar o objeto. Exemplo: 1
Nome do arquivo String N/A Não O nome do arquivo.
MD5 String N/A Não O valor de hash MD5 do arquivo.
SHA1 String N/A Não O valor de hash sha1 do arquivo.
SHA256 String N/A Não O valor de hash sha256 do arquivo.
SSDEEP String N/A Não O valor ssdeep do arquivo. Exemplo: 96:p5aAS1tN0M3t9AnTNuG6TNOt5PR1TNZdkljOXTNSnKTF3X7KsTFW+kLtW6K8i7bI:p5mb4rgQhRp7GljCbF3LKqFjkwxtU
Imphash String N/A Não O valor de hash MD5 calculado na tabela importada.

Casos de uso

N/A

Executar em

Essa ação é executada em todas as entidades.

Resultados da ação

Enriquecimento de entidades

N/A

Insights

N/A

Resultado do script
Nome do resultado do script Opções de valor Exemplo
is_success Verdadeiro/Falso is_success:False
Resultado do JSON
N/A

Criar objeto de incompatibilidade de porta IP

Descrição

A ação permite que o usuário organize atributos de porta/IP relacionados a um evento em um único objeto que descreve um endereço IP (ou domínio ou nome do host) e uma porta vistos como uma tupla (ou como uma tripla) em um período específico . O objeto com os atributos é anexado a um evento especificado.

Parâmetros

Nome de exibição do parâmetro Tipo Valor padrão É obrigatório Descrição
ID do evento String N/A Sim O identificador exclusivo do evento para adicionar o objeto. Exemplo: 1
Dst-port String N/A Não Porta de destino.
Src-port String N/A Não Porta de origem.
Domínio String N/A Não Domain.
Nome do host String N/A Não Nome do host.
IP-Src String N/A Não Endereço IP de origem.
IP-Dst String N/A Não Endereço IP de destino.

Casos de uso

N/A

Executar em

Essa ação é executada em todas as entidades.

Resultados da ação

Enriquecimento de entidades

N/A

Insights

N/A

Resultado do script
Nome do resultado do script Opções de valor Exemplo
is_success Verdadeiro/Falso is_success:False
Resultado do JSON
N/A

Criar objeto Misp de conexão de rede

Descrição

Crie um objeto de conexão de rede no MISP. Exige que um dos seguintes itens seja fornecido: Dst-port, Src-port, IP-Src, IP-Dst ou que o parâmetro "Use Entities" esteja definido como "true".

Parâmetros

Nome de exibição do parâmetro Tipo Valor padrão É obrigatório Descrição
ID do evento String N/A Sim Especifique o ID ou UUID do evento a que você quer adicionar objetos de conexão de rede.
Dst-port String N/A Não Especifique a porta de destino que você quer adicionar ao evento.
Src-port String N/A Não Especifique a porta de origem que você quer adicionar ao evento.
Hostname-dst String N/A Não Especifique o destino de origem que você quer adicionar ao evento.
Hostname-src String N/A Não Especifique o nome do host de origem que você quer adicionar ao evento.
IP-Src String N/A Não Especifique o IP de origem que você quer adicionar ao evento.
IP-Dst String N/A Não Especifique o IP de destino que você quer adicionar ao evento.
Layer3-protocol String N/A Não Especifique o protocolo relacionado da camada 3 que você quer adicionar ao evento.
Layer4-protocol String N/A Não Especifique o protocolo relacionado da camada 4 que você quer adicionar ao evento.
Layer7-protocol String N/A Não Especifique o protocolo relacionado da camada 7 que você quer adicionar ao evento.
Usar entidades Caixa de seleção Desmarcado Não Se ativada, a ação vai usar entidades para criar objetos. Entidades compatíveis: endereço IP. "Usar entidades" tem prioridade sobre outros parâmetros.
Tipo de IP DDL

IP de origem

Valores possíveis:

IP de origem

IP de destino

 Especifique qual tipo de atributo deve ser usado com entidades de IP.

Executar em

Essa ação é executada em todas as entidades.

Resultados da ação

Resultado do script
Nome do resultado do script Opções de valor Exemplo
is_success Verdadeiro/Falso is_success:False
Resultado do JSON
N/A
Painel de casos
Tipo de resultado Descrição do valor Tipo
Mensagem de saída*

Se o sucesso e "Use Entities" não forem verdadeiros: "Successfully created new network-connection object for event with {0} {1} in MISP.".format(ID/UUID, event_id)

Se não for bem-sucedido e "Use Entities" não for verdadeiro: "Não foi possível criar um novo objeto de conexão de rede para o evento com {0} {1} no MISP. Motivo: {2}".format(ID/UUID)

Se o sucesso for de um e "Use Entities" for verdadeiro: "Successfully created new network-connection objects for event with {0} {1} in MISP based on the following entities: \n{0}".format(ID/UUID, event_id, entity.identifiers)

Se não houver sucesso para um e "Use Entities" for verdadeiro: "Action wasn't able to create new network-connection objects for event with {0} {1} in MISP based on the following entities: \n{0}".format(ID/UUID, event_id, entity.identifiers)

Se não houver sucesso para todos e "Usar entidades" for verdadeiro: "Não foi possível criar novos objetos de conexão de rede para o evento com {0} {1} no MISP com base nas entidades fornecidas.".format(ID/UUID, event_id)

Erro crítico (ação de falha) "Erro ao executar a ação "Criar objeto Misp de conexão de rede". Motivo: {0}".format(stacktrace)

O ID do evento não foi encontrado (ação de falha) "Erro ao executar a ação "Criar objeto Misp de conexão de rede". Motivo: o evento com {0} {1} não foi encontrado no MISP".format(ID/UUID, event_id)

Se nenhum dos campos Dst-port, Src-port, IP-Src, IP-Dst for fornecido e "Use Entities" == false: "Erro ao executar a ação "Criar objeto Misp de conexão de rede". Motivo: um dos seguintes campos precisa ser fornecido: "Dst-port", "Src-port", "IP-Src", "IP-Dst" ou o parâmetro "Use Entities" precisa ser definido como "true".

 Geral

Criar objeto de erro de representação de URL

Descrição

Crie um objeto de URL no MISP. Exige que o "URL" seja fornecido ou que o parâmetro "Usar entidades" seja definido como verdadeiro.

Parâmetros

Nome de exibição do parâmetro Tipo Valor padrão É obrigatório Descrição
ID do evento String N/A Sim Especifique o ID ou UUID do evento ao qual você quer adicionar objetos de URL.
URL String N/A Não Especifique o URL que você quer adicionar ao evento.
Porta String N/A Não Especifique a porta que você quer adicionar ao evento.
Visto pela primeira vez String N/A Não

Especifique quando o URL foi visto pela primeira vez.
Formato: 2020-12-22T13:07:32Z
Visto pela última vez String N/A Não

Especifique quando o URL foi visto pela última vez.
Formato: 2020-12-22T13:07:32Z
Domínio String N/A Não Especifique o domínio que você quer adicionar ao evento.
Texto String N/A Não Especifique o texto adicional que você quer adicionar ao evento.
IP String N/A Não Especifique o IP que você quer adicionar ao evento.
Host String N/A Não Especifique o organizador que você quer adicionar ao evento.
Usar entidades Caixa de seleção Desmarcado Se ativada, a ação vai usar entidades para criar objetos. Entidades compatíveis: URL. "Usar entidades" tem prioridade sobre outros parâmetros.

Executar em

Essa ação é executada em todas as entidades.

Resultados da ação

Resultado do script
Nome do resultado do script Opções de valor Exemplo
is_success Verdadeiro/Falso is_success:False
Resultado do JSON
N/A
Painel de casos
Tipo de resultado Descrição do valor Tipo
Mensagem de saída*

Se o sucesso e "Usar entidades" não forem verdadeiros: "O novo objeto de URL foi criado com sucesso para o evento com {0} {1} no MISP".format(ID/UUID, event_id)

Se não for bem-sucedido e "Use Entities" não for verdadeiro: "Não foi possível criar o objeto de URL para o evento com {0} {1} no MISP. Motivo: {2}".format(ID/UUID)

Se o sucesso for de um e "Use Entities" for verdadeiro: "Successfully created new URL objects for event with {0} {1} in MISP based on the following entities: \n{0}".format(ID/UUID, event_id, entity.identifiers)

Se não houver sucesso para um e "Usar entidades" for verdadeiro: "Não foi possível criar novos objetos de URL para o evento com {0} {1} no MISP com base nas seguintes entidades: \n{0}".format(ID/UUID, event_id, entity.identifiers)

Se não houver sucesso para todos e "Usar entidades" for verdadeiro: "Não foi possível criar novos objetos de URL para o evento com {0} {1} no MISP com base nas entidades fornecidas.".format(ID/UUID, event_id)

Erro crítico (ação de falha) "Erro ao executar a ação "Create Url Misp Object". Motivo: {0}".format(stacktrace)

O ID do evento não foi encontrado (ação de falha) "Erro ao executar a ação "Criar objeto de erro de digitação de URL". Motivo: o evento com {0} {1} não foi encontrado no MISP".format(ID/UUID, event_id)

Se nenhum URL for fornecido e "Use Entities" == false: "Erro ao executar a ação "Create Url Misp Object". Motivo: é necessário fornecer "URL" ou definir o parâmetro "Usar entidades" como "true".

 Geral

Criar objeto de relatório do VirusTotal

Descrição

Crie um objeto Virustotal-Report no MISP.

Parâmetros

Nome de exibição do parâmetro Tipo Valor padrão É obrigatório Descrição
ID do evento String N/A Sim Especifique o ID ou UUID do evento ao qual você quer adicionar objetos de URL.
Link permanente String N/A Sim Especifique o link para o relatório do VirusTotal que você quer adicionar ao evento.
Comentário String N/A Não Especifique o comentário que você quer adicionar ao evento.
Taxa de detecção String N/A Não Especifique a proporção de detecção que você quer adicionar ao evento.
Pontuação da comunidade String N/A Não Especifique a pontuação da comunidade que você quer adicionar ao evento.
Primeiro envio String N/A Não

Especifique o primeiro envio do evento.
Formato: 2020-12-22T13:07:32Z
Último envio String N/A Não

Especifique o último envio do evento.
Formato: 2020-12-22T13:07:32Z

Executar em

Essa ação é executada em todas as entidades.

Resultados da ação

Resultado do script
Nome do resultado do script Opções de valor Exemplo
is_success Verdadeiro/Falso is_success:False
Painel de casos
Tipo de resultado Descrição do valor Tipo
Mensagem de saída*

Se for bem-sucedido: "Successfully created new Virustotal-Report object for event with {0} {1} in MISP.".format(ID/UUID, event_id)

If not success : "Action wasn't able to created Virustotal-Report object for event with {0} {1} in MISP. Motivo: {2}".format(ID/UUID)

Erro crítico (ação de falha) "Erro ao executar a ação "Criar objeto Misp de relatório do VirusTotal". Motivo: {0}".format(stacktrace)

O ID do evento não foi encontrado (ação de falha) "Erro ao executar a ação "Criar objeto Misp de relatório do VirusTotal". Motivo: o evento com {0} {1} não foi encontrado no MISP".format(ID/UUID, event_id)

 Geral

Listar objetos de evento

Descrição

Recupera informações sobre objetos disponíveis em eventos do MISP.

Parâmetros

Nome de exibição do parâmetro Tipo Valor padrão É obrigatório Descrição
ID do evento String N/A Sim Especifique uma lista separada por vírgulas de IDs e UUIDs dos eventos para os quais você quer recuperar detalhes.
Número máximo de objetos a serem retornados Número inteiro 50 Não Especifique quantos objetos retornar.

Executar em

Essa ação não é executada em entidades.

Resultados da ação

Resultado do script
Nome do resultado do script Opções de valor Exemplo
is_success Verdadeiro/Falso is_success:False
Resultado do JSON
"Object": [
    {
        "id": "1",
        "name": "ftm-Associate",
        "meta-category": "followthemoney",
        "description": "Non-family association between two people",
        "template_uuid": "6119ecb3-dedd-44b6-b88f-174585b0b1bf",
        "template_version": "1",
        "event_id": "1",
        "uuid": "2a3e260f-d3b2-4164-b2b1-2f6f5b559970",
        "timestamp": "1594632232",
        "distribution": "5",
        "sharing_group_id": "0",
        "comment": "",
        "deleted": false,
        "first_seen": null,
        "last_seen": null,
        "ObjectReference": [],
    },
    {
        "id": "2",
        "name": "ftm-Associate",
        "meta-category": "followthemoney",
        "description": "Non-family association between two people",
        "template_uuid": "6119ecb3-dedd-44b6-b88f-174585b0b1bf",
        "template_version": "1",
        "event_id": "1",
        "uuid": "800d8634-175a-4bc2-a4d7-aca200c8c132",
        "timestamp": "1594632463",
        "distribution": "5",
        "sharing_group_id": "0",
        "comment": "",
        "deleted": false,
        "first_seen": null,
        "last_seen": null,
        "ObjectReference": [],
    }
Painel de casos
Tipo de resultado Descrição do valor Tipo
Mensagem de saída*

A ação não pode falhar nem interromper a execução de um playbook:

Se pelo menos um objeto for encontrado para um evento: "Objetos listados com sucesso para os seguintes eventos: \n{0}".format(event_ids)

Se o evento com o ID especificado não foi encontrado (is_success = false):
print "Action was not able to list objects. Motivo: o evento com ID {0} não foi encontrado no MISP.".format(event_id)

Se nenhum objeto for encontrado para um evento:

"A ação não conseguiu encontrar objetos para os seguintes eventos:\n {0}".format(event_ids)

Se nenhum objeto for encontrado para todos os eventos: "Nenhum objeto foi encontrado para os eventos fornecidos."

A ação precisa falhar e interromper a execução de um playbook:

Se houver um erro fatal, como credenciais incorretas, falta de conexão com o servidor ou outro:

print "Error executing action "List Event Objects". Motivo: {0}''.format(error.Stacktrace)

 Geral
Tabela CSV

Nome da tabela:objetos do evento {0}

Colunas da tabela:

  • UUID do objeto (mapeado como uuid)
  • Nome (mapeado como nome)
  • Categoria (mapeada como metacategoria)
  • Descrição (mapeada como descrição)
  • Comentário (mapeado como comentário)

Receber detalhes do evento

Descrição

Recupera detalhes sobre eventos no MISP.

Parâmetros

Nome de exibição do parâmetro Tipo É obrigatório Descrição
ID do evento String Sim Especifique uma lista separada por vírgulas de IDs ou UUIDs dos eventos para os quais você quer recuperar detalhes.
Retornar informações de atributos Caixa de seleção Selecionado Se ativada, a ação vai criar uma tabela de parede de casos para todos os atributos que fazem parte do evento.

Executar em

Essa ação não é executada em entidades.

Resultados da ação

Resultado do script
Nome do resultado do script Opções de valor Exemplo
is_success Verdadeiro/Falso is_success:False
Painel de casos
Tipo de resultado Descrição do valor Tipo
Mensagem de saída*

A ação não pode falhar nem interromper a execução de um playbook:

Se a ação for concluída com sucesso para pelo menos um dos IDs fornecidos:

Imprima "As informações dos seguintes eventos foram recuperadas: <>"

Se a ação não foi executada para pelo menos um dos IDs de incidentes fornecidos:

Imprima "Não foi possível recuperar informações para os seguintes eventos: <>

A ação precisa falhar e interromper a execução de um playbook:
se houver um erro fatal ou de SDK, como credenciais incorretas, sem conexão, entre outros
Print "Error executing action "Get Event Details". Motivo: {0}''.format(error.Stacktrace

A ação precisa falhar e interromper a execução de um playbook:

Se houver um erro fatal, como credenciais incorretas, falta de conexão com o servidor ou outro:

print "Error executing action "List Event Objects". Motivo: {0}''.format(error.Stacktrace)

 Geral
Tabela CSV

Nome da tabela: "Detalhes dos atributos do evento {0}".format(event_id)

Colunas:

  1. ID
  2. Valor
  3. Comentário
  4. Tipo
  5. Categoria
  6. UUID
  7. Distribuição
  8. Carimbo de data/hora

Listar avistamentos de um atributo

Descrição

Lista de avistamentos disponíveis para atributos no MISP.

Parâmetros

search
Nome do parâmetro Tipo Valor padrão Obrigatório Descrição
Nome do atributo CSV Não Especifique uma lista separada por vírgulas de identificadores de atributos para os quais você quer listar avistamentos. Observação: se "Nome do atributo" e "UUID do atributo" forem especificados, a ação vai funcionar com os valores de "UUID do atributo".
ID do evento String Não Especifique o ID ou UUID do evento e onde pesquisar atributos. Esse parâmetro é obrigatório se a "Pesquisa por atributo" estiver definida como "Evento fornecido".
Categoria CSV Não Especifique uma lista de categorias separadas por vírgulas. Se especificado, a ação vai listar apenas avistamentos de atributos que têm uma categoria correspondente. Se nada for especificado, a ação vai ignorar as categorias nos atributos. Valores possíveis: External Analysis, Payload Delivery, Artifacts Dropped, Payload Installation.
Tipo CSV Não Especifique uma lista separada por vírgulas de tipos de atributos. Se especificado, a ação vai listar apenas avistamentos de atributos que têm um tipo correspondente. Se nada for especificado, a ação vai ignorar os tipos nos atributos. Exemplos de valores: md5, sha1, ip-src, ip-dst
Pesquisa de atributos DDL

Evento fornecido

Valores possíveis:

Todos os eventos

 Sim Especifique onde a ação deve procurar atributos. Se a opção "Evento fornecido" estiver selecionada, a ação só vai procurar atributos ou UUIDs de atributo no evento com o ID/UUID fornecido no parâmetro "ID do evento". Se for "Todos os eventos", a ação vai pesquisar atributos em todos os eventos e listar as ocorrências de todos os atributos que correspondem aos nossos critérios.
UUID do atributo CSV Não Especifique uma lista separada por vírgulas de UUIDs de atributos para os quais você quer listar avistamentos. Observação: se "Nome do atributo" e "UUID do atributo" forem especificados, a ação vai funcionar com os valores de "UUID do atributo".
Resultados da ação
Resultado do script
Nome do resultado do script Opções de valor Exemplo
is_success Verdadeiro/Falso is_success:False
Painel de casos
Tipo de resultado Valor/descrição Tipo
Mensagem de saída*

Se as detecções foram listadas com sucesso para pelo menos um atributo: "As detecções foram listadas com sucesso para os seguintes atributos no MISP:\n{0}".format(nome do atributo/UUID do atributo)

se não for possível listar avistamentos para pelo menos um atributo: "A ação não listou avistamentos para os seguintes atributos no MISP:\n{0}".format(nome do atributo/UUID do atributo)

Se não houver sucesso para todas ou nenhuma detecção de todos os atributos: "Nenhuma detecção foi encontrada para os atributos fornecidos no MISP"

Erro crítico (ação de falha) "Erro ao executar a ação "List Sightings of an Attribute". Motivo: {0}".format(stacktrace)

Se um parâmetro inválido for especificado em "Categoria" (ação de falha): "Erro ao executar a ação "List Sightings of an Attribute". Motivo: um valor inválido foi fornecido para o parâmetro "Category". Valores aceitos: External Analysis, Payload Delivery, Artifacts Dropped, Payload Installation".

Se "Evento fornecido" estiver selecionado, mas a ID do evento não estiver: "Erro ao executar a ação "Listar avistamentos de um atributo". Motivo: o ID do evento precisa ser fornecido se "Evento fornecido" estiver selecionado para o parâmetro "Pesquisa por atributo".

 Geral

Definir a flag de IDS para um atributo

Descrição

Defina a flag do IDS para atributos no MISP.

Parâmetros

searchsearch
Nome do parâmetro Tipo Valor padrão Obrigatório Descrição
Nome do atributo CSV Não Especifique uma lista separada por vírgulas de identificadores de atributos para os quais você quer definir uma flag do SDI. Observação: se "Nome do atributo" e "UUID do atributo" forem especificados, a ação vai funcionar com os valores de "UUID do atributo".
ID do evento String Não Especifique o ID ou UUID do evento e onde pesquisar atributos. Esse parâmetro é obrigatório se a "Pesquisa por atributo" estiver definida como "Evento fornecido".
Categoria CSV Não Especifique uma lista de categorias separadas por vírgulas. Se especificado, a ação vai definir a flag SDI apenas para atributos que têm uma categoria correspondente. Se nada for especificado, a ação vai ignorar as categorias nos atributos. Valores possíveis: External Analysis, Payload Delivery, Artifacts Dropped, Payload Installation.
Tipo CSV Não Especifique uma lista separada por vírgulas de tipos de atributos. Se especificado, a ação só vai definir a flag SDI para atributos que têm um tipo correspondente. Se nada for especificado, a ação vai ignorar os tipos nos atributos. Exemplos de valores: md5, sha1, ip-src, ip-dst
Pesquisa de atributos DDL

Evento fornecido

Valores possíveis:

Todos os eventos

 Sim Especifique onde a ação deve procurar atributos. Se a opção "Evento fornecido" estiver selecionada, a ação só vai procurar atributos ou UUIDs de atributo no evento com o ID/UUID fornecido no parâmetro "ID do evento". Se for "Todos os eventos", a ação vai pesquisar atributos em todos os eventos e definir a flag SDI para todos os atributos que corresponderem aos nossos critérios.
UUID do atributo CSV Não

Especifique uma lista separada por vírgulas de UUIDs de atributos para os quais você quer definir uma flag do SDI.
Observação: se "Nome do atributo" e "UUID do atributo" forem especificados, a ação vai funcionar com os valores de "UUID do atributo".

Resultados da ação

Resultado do script
Nome do resultado do script Opções de valor Exemplo
sucesso Verdadeiro/Falso success:False
Painel de casos
Tipo de resultado Descrição do valor Tipo
Mensagem de saída*

Se a flag do SDI foi adicionada a pelo menos um atributo: "A flag do SDI foi definida para os seguintes atributos no MISP:\n{0}".format(nome do atributo/UUID do objeto)

se não for possível adicionar a flag SDI a pelo menos um atributo: "A ação não definiu a flag SDI para os seguintes atributos no MISP:\n{0}".format(nome do atributo/UUID do objeto)

Se não for bem-sucedido para todos: "A flag SDI não foi definida para os atributos fornecidos no MISP"

Erro crítico (ação de falha) "Erro ao executar a ação "Definir flag de IDs para um atributo". Motivo: {0}".format(stacktrace)

Se um parâmetro inválido for especificado em "Categoria" (ação de falha): "Erro ao executar a ação "Definir flag de IDS para um atributo". Motivo: um valor inválido foi fornecido para o parâmetro "Category". Valores aceitos: External Analysis, Payload Delivery, Artifacts Dropped, Payload Installation".

Se "Evento fornecido" estiver selecionado, mas o ID do evento não estiver: "Erro ao executar a ação "Definir flag de IDs para um atributo". Motivo: o ID do evento precisa ser fornecido se "Evento fornecido" estiver selecionado para o parâmetro "Pesquisa por atributo".

O ID do evento não foi encontrado (ação de falha) "Erro ao executar a ação "Definir flag de IDs para um atributo". Motivo: o evento com {0} {1} não foi encontrado no MISP".format(ID/UUID, event_id)

 Geral

Remover a flag do IDS de um atributo

Descrição

Cancele a flag do IDS para atributos no MISP.

Parâmetros

Nome Tipo Valor padrão Obrigatório Descrição
Nome do atributo CSV Não

Especifique uma lista separada por vírgulas de identificadores de atributos para os quais você quer cancelar uma flag SDI.
Observação: se "Nome do atributo" e "UUID do atributo" forem especificados, a ação vai funcionar com os valores de "UUID do atributo".
ID do evento String Não Especifique o ID ou UUID do evento e onde pesquisar atributos. Esse parâmetro é obrigatório se a "Pesquisa por atributo" estiver definida como "Evento fornecido".
Categoria CSV Não Especifique uma lista de categorias separadas por vírgulas. Se especificado, a ação vai remover a flag do SDI apenas para atributos que têm uma categoria correspondente. Se nada for especificado, a ação vai ignorar as categorias nos atributos. Valores possíveis: External Analysis, Payload Delivery, Artifacts Dropped, Payload Installation.
Tipo CSV Não Especifique uma lista separada por vírgulas de tipos de atributos. Se especificado, a ação vai remover a flag do SDI apenas para atributos que têm um tipo correspondente. Se nada for especificado, a ação vai ignorar os tipos nos atributos. Exemplos de valores: md5, sha1, ip-src, ip-dst
Pesquisa de atributos DDL

Evento fornecido

Valores possíveis:

Todos os eventos

 Verdadeiro Especifique onde a ação deve procurar atributos. Se a opção "Evento fornecido" estiver selecionada, a ação só vai procurar atributos ou UUIDs de atributo no evento com o ID/UUID fornecido no parâmetro "ID do evento". Se for "Todos os eventos", a ação vai procurar atributos em todos os eventos e desmarcar a flag SDI para todos os atributos que corresponderem aos nossos critérios.
UUID do atributo CSV Não Especifique uma lista separada por vírgulas de UUIDs de atributos para os quais você quer remover uma flag do SDI. Observação: se "Nome do atributo" e "UUID do atributo" forem especificados, a ação vai funcionar com os valores de "UUID do atributo".

Resultados da ação

Resultado do script
Nome do resultado do script Opções de valor Exemplo
sucesso Verdadeiro/Falso success:False
Painel de casos
Tipo de resultado Descrição do valor Tipo
Mensagem de saída*

Se a remoção da flag do SDI em pelo menos um atributo for bem-sucedida: "A flag do SDI foi removida dos seguintes atributos no MISP:\n{0}".format(nome do atributo/UUID do objeto)

se não for possível remover a flag do SDI de pelo menos um atributo: "A ação não removeu a flag do SDI dos seguintes atributos no MISP:\n{0}".format(nome do atributo/UUID do objeto)

Se não for concluída para todos: "A flag do SDI não foi desmarcada para os atributos fornecidos no MISP"

Erro crítico (ação de falha) "Erro ao executar a ação "Remover flag de IDS de um atributo". Motivo: {0}".format(stacktrace)

Se um parâmetro inválido for especificado em "Categoria" (ação de falha): "Erro ao executar a ação "Remover flag de ID para um atributo". Motivo: um valor inválido foi fornecido para o parâmetro "Category". Valores aceitos: External Analysis, Payload Delivery, Artifacts Dropped, Payload Installation".

Se "Evento fornecido" estiver selecionado, mas o ID do evento não estiver: "Erro ao executar a ação "Remover flag de IDs de um atributo". Motivo: o ID do evento precisa ser fornecido se "Evento fornecido" estiver selecionado para o parâmetro "Pesquisa por atributo".

O ID do evento não foi encontrado (ação de falha) "Erro ao executar a ação "Remover flag de IDS de um atributo". Motivo: o evento com {0} {1} não foi encontrado no MISP".format(ID/UUID, event_id)

 Geral

Conector

MISP: conector de atributos

Descrição

Extrair atributos do MISP.

Configurar o conector de atributos do MISP no Google SecOps

Para instruções detalhadas sobre como configurar um conector no Google SecOps, consulte Configurar o conector.

Parâmetros do conector

Use os seguintes parâmetros para configurar o conector:

Nome do parâmetro Tipo Valor padrão É obrigatório Descrição
DeviceProductField String Nome do produto Sim Insira o nome do campo de origem para recuperar o nome do campo do produto.
EventClassId String alertType Sim Insira o nome do campo de origem para recuperar o nome do campo de evento.
PythonProcessTimeout Número inteiro 180 Sim Limite de tempo limite para o processo Python que executa o script atual.
Raiz da API String N/A Sim Raiz da API para conta do MISP.
Chave de API Senha Sim Chave de API da conta do MISP.
Voltar o tempo máximo Número inteiro 1 Não Número de horas de onde buscar atributos.
Número máximo de atributos por ciclo Número inteiro 50 Sim Quantos atributos processar por iteração de um conector.
Nível de ameaça mais baixo a ser buscado Número inteiro 1 Sim A menor gravidade que será usada para buscar alertas. Valores possíveis: 1 a 4.
Filtro por tipo de atributo String Não Filtra atributos por tipo, separados por vírgula. Se fornecido, apenas os atributos com tipo na lista de permissões serão processados.
Filtro de categoria String Não Filtre atributos por categoria, separados por vírgulas. Se fornecido, somente os atributos com categoria na lista de permissões serão processados.
Filtro de galáxia String Não Filtra atributos pela galáxia do evento principal, separados por vírgulas. Se fornecidos, somente os atributos que pertencem a um evento com uma galáxia na lista de permissões serão processados.
Verificar SSL Caixa de seleção Sim Se ativado, verifique se o certificado SSL da conexão com o servidor do CheckPoint Cloud Guard é válido.
Nome do campo de ambiente String Não Descreve o nome do campo em que o nome do ambiente é armazenado. Se o campo de ambiente não for encontrado, o ambiente será o padrão.
Padrão de regex do ambiente String .* Não Um padrão de regex para executar no valor encontrado no campo "Nome do campo de ambiente". O padrão é ".*" para capturar tudo e retornar o valor sem alterações. Usado para permitir que o usuário manipule o campo de ambiente usando a lógica de regex. Se o padrão de regex for nulo ou vazio, ou se o valor do ambiente for nulo, o resultado final será o ambiente padrão.
Endereço do servidor proxy String Não O endereço do servidor proxy a ser usado.
Nome de usuário do proxy String Não O nome de usuário do proxy para autenticação.
Senha do proxy Senha Não A senha do proxy para autenticação.

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.