MISP
集成版本:31.0
配置 MISP 集成以与 Google Security Operations 搭配使用
使用 CA 证书配置 MISP 集成
您可以根据需要使用 CA 证书文件验证连接。
在开始之前,请确保您满足以下条件:
- CA 证书文件
- 最新的 MISP 集成版本
如需配置与 CA 证书的集成,请完成以下步骤:
- 将您的 CA 证书文件解析为 Base64 字符串。
- 打开集成配置参数页面。
- 将该字符串插入到 CA 证书文件字段中。
- 如需测试集成是否已成功配置,请选中验证 SSL 复选框,然后点击测试。
自动化密钥
身份验证通过 MISP 界面中提供的安全密钥执行。您可以在自动化下的活动操作菜单中找到 API 密钥。
在 Google SecOps 中配置 MISP 集成
有关如何在 Google SecOps 中配置集成的详细说明,请参阅配置集成。
集成参数
使用以下参数配置集成:
| 参数显示名称 | 类型 | 默认值 | 是否为必需属性 | 说明 |
|---|---|---|---|---|
| 实例名称 | 字符串 | 不适用 | 否 | 您打算为其配置集成的实例的名称。 |
| 说明 | 字符串 | 不适用 | 否 | 实例的说明。 |
| API 根 | https://<IP> | 是 | MISP 实例的地址。 | |
| API 密钥 | 字符串 | 不适用 | 是 | 在 MISP 的控制台中生成。 |
| Use SSL(使用 SSL) | 复选框 | 尚未核查 | 否 | 如果您的 MISP 连接需要 SSL 验证,请选中此复选框(默认情况下处于未选中状态)。 |
| 远程运行 | 复选框 | 尚未核查 | 否 | 选中此字段,以便远程运行配置的集成。选中后,系统会显示用于选择远程用户(客服人员)的选项。 |
操作
添加特性
说明
将实体作为属性添加到 MISP 事件。
参数
| 参数显示名称 | 类型 | 默认值 | 是否为必需属性 | 说明 |
|---|---|---|---|---|
| 事件 ID | 字符串 | 不适用 | 是 | 活动的 ID。 |
| 类别 | 字符串 | 外部分析 | 否 | 相应属性的类别。默认:外部分析。 |
| 分布 | 字符串 | 1 | 否 | 属性的分布。默认值:1。 |
| 对于入侵检测系统 | 复选框 | 尚未核查 | 否 | 相应属性是否用于 Intrusion Detection System。默认值:false。 |
| 评论 | 字符串 | 不适用 | 否 | 要添加到属性的注释。 |
使用场景
不适用
运行于
此操作适用于以下实体:
- 网址
- 主机名
- IP 地址
- Filehash
操作执行结果
实体扩充
不适用
数据分析
不适用
脚本结果
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| 成功 | True/False | success:False |
JSON 结果
N/A
创建活动
说明
创建新的 MISP 事件。
已知限制
目前,MISP API 不允许在创建事件后立即发布。您需要先创建活动,然后使用“发布活动”操作。
参数
| 参数显示名称 | 类型 | 默认值 | 是否为必需属性 | 说明 |
|---|---|---|---|---|
| 事件名称 | 字符串 | 不适用 | 是 | 事件的名称。 |
| 威胁级别 | 字符串 | 0 | 否 | 事件的威胁级别。默认值:0。 |
| 分布 | 字符串 | 1 | 否 | 属性的分布。默认值:1。 |
| 分析 | 字符串 | 0 | 否 | 事件的分析级别 [0-2]:默认值为 0。 |
| 发布 | 复选框 | 勾选 | 否 | 是否发布活动。 |
| 评论 | 字符串 | 不适用 | 否 | 活动的评论。 |
运行于
此操作会在所有实体上运行。
操作执行结果
脚本结果
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| event_id | 不适用 | 不适用 |
向活动添加标记
说明
向事件操作添加标记可让用户向 MISP 中的特定事件添加标记。这会根据与事件关联的 IOC 所带来的安全威胁类别,为事件添加分类。
参数
| 参数显示名称 | 类型 | 默认值 | 是否为必需属性 | 说明 |
|---|---|---|---|---|
| 事件 ID | 字符串 | 不适用 | 是 | 用于指定要添加标记的事件的唯一标识符。 |
| 标记名称 | 字符串 | 不适用 | 是 | 要添加到事件的代码的名称。 |
使用场景
对活动进行分类:通过添加代码来更新活动。
运行于
此操作会在所有实体上运行。
操作执行结果
脚本结果
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 结果
[
{
"saved": true,
"success": "Tag(s) added.",
"check_publish": true
}
]
下载文件
说明
下载 MISP 中与事件相关的文件。
参数
| 参数显示名称 | 类型 | 默认值 | 是否为必需属性 | 说明 |
|---|---|---|---|---|
| 事件 ID | 字符串 | 不适用 | 否 | 指定要从中下载文件的活动的 ID 或 UUID |
| 下载文件夹路径 | 字符串 | 不适用 | 指定应存储文件的文件夹的绝对路径。如果未指定任何内容,操作将改为创建附件。 |
|
| 覆盖 | 复选框 | 尚未核查 | 如果启用,操作将覆盖现有文件。 |
运行于
此操作在 Filehash 实体上运行。
操作执行结果
脚本结果
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| 成功 | True/False | success:False |
JSON 结果
{
"absolute_paths": ["/etc/file1.txt", "/etc/file2.txt"]
}
案例墙
| 结果类型 | 值的说明 | 类型 |
|---|---|---|
| 输出消息* | 如果成功:“Successfully downloaded the following files from the event with {0} {1} in MISP:\n{2}".format(ID/UUID, event_id, result/filename from the response) 如果未找到任何文件:“No files were found for the event with {0} {1} in MISP:\n{2}".format(ID/UUID, event_id) 如果未指定“下载文件夹路径”,且部分文件超出了平台对附件的限制:“操作无法下载以下文件,因为它们超出了 3 MB 的限制:\n{0}。\n 请在“下载文件夹路径”参数中指定文件夹路径,以便下载这些文件。(result/filename) 严重错误(操作失败)“执行操作‘下载文件’时出错。原因:{0}".format(stacktrace) 找不到事件 ID(操作失败)“执行操作‘下载文件’时出错。原因:在 MISP 中未找到具有 {0} {1} 的事件".format(ID/UUID, event_id) 如果 overwrite 为 false 且其中一个文件已存在:“执行操作‘下载文件’时出错。原因:以下文件已存在:{0}。请移除这些文件或将参数“Overwrite”设置为 true。".format(absolute path to the file) |
常规 |
丰富实体
说明
根据 MISP 中的属性丰富实体。
参数
| 参数显示名称 | 类型 | 默认值 | 说明 |
|---|---|---|---|
| 要返回的属性数量 | 字符串 | 不适用 | 指定要为实体返回多少个属性。 |
| 过滤条件 | 为操作指定过滤条件。如果选择“最后”,操作将使用最旧的属性进行丰富;如果选择“最先”,操作将使用最新的属性进行丰富。 | ||
| 威胁等级阈值 | DDL | 低 可能的值: 高 中 低 未定义 |
指定发现实体的事件的威胁级别阈值。如果相关事件数量超过或达到阈值,实体将被标记为可疑。 |
| 属性搜索限制 | 整数 | 50 | 指定要为每个实体搜索的属性数量。此参数会影响选择哪个属性进行丰富。默认值:50。 |
运行于
此操作适用于以下实体:
- 网址
- 主机名
- IP 地址
- Filehash
操作执行结果
实体扩充
如果事件的威胁级别大于 0,则实体会被标记为可疑。否则:False
脚本结果
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| 成功 | True/False | success:False |
JSON 结果
[
{
"EntityResult": [
{
"Event":
{
"orgc_id": "1",
"ShadowAttribute": [],
"id": "3",
"threat_level_id": "3",
"event_creator_email": "john_doe@example.com",
"uuid": "5c5bff1b-a414-4a83-8755-035f0a000016",
"Object": [],
"Orgc": {
"uuid": "5c5ac66e-3884-4031-afd7-46f5bb9ebcaa",
"name": "ORGNAME",
"id": "1"
},
"Org": {
"uuid": "5c5ac66e-3884-4031-afd7-46f5bb9ebcaa",
"name": "ORGNAME",
"id": "1"
},
"RelatedEvent": [],
"sharing_group_id": "0",
"timestamp": "1549533154",
"date": "2019-02-07",
"disable_correlation": "False",
"info": "Test event",
"locked": "False",
"publish_timestamp": "1549533214",
"Attribute": [
{
"category": "Network activity",
"comment": " ",
"uuid": "5c5bffe2-9298-4098-ae31-035d0a000016",
"deleted": "False",
"timestamp": "1549533154",
"to_ids": "False",
"distribution": "3",
"object_id": "0",
"event_id": "3",
"ShadowAttribute": [],
"sharing_group_id": "0",
"value": "1.1.1.1",
"disable_correlation": "False",
"object_relation": "None",
"type": "ip-src",
"id": "1",
"Galaxy": []
}],
"attribute_count": "1",
"org_id": "1",
"analysis": "2",
"extends_uuid": " ",
"published": "True",
"distribution": "3",
"proposal_email_lock": "False",
"Galaxy": []
}}],
"Entity": "1.1.1.1"
}
]
案例墙
| 结果类型 | 值的说明 | 类型 |
|---|---|---|
| 输出消息* | 对于找到的属性:(is_success=true)“已使用 MISP 成功扩充以下实体:\n{0}”。format(entity.identifier) 对于未找到的属性 (is_success=true)“Action wasn't able to enrich the following entities using MISP: \n{0}".format(entity.identifier) 如果未找到所有属性 (is_success=false)“No entities were enriched using MISP”(未使用 MISP 扩充任何实体) 如果属性可疑 (is_success=true)“以下属性已使用 MISP 标记为可疑:\n {0}”.format(entity.identifier) |
常规 |
| CSV 表格 | 表格列:
|
获取相关活动
说明
检索与 MISP 中的实体相关的事件的信息。
参数
| 参数显示名称 | 类型 | 默认值 | 说明 |
|---|---|---|---|
| 标记为可疑 | 复选框 | 勾选 | 如果启用,则当实体至少有一个相关事件时,该操作会将实体标记为可疑。 |
运行于
此操作适用于以下实体:
- 网址
- 主机名
- IP 地址
- Filehash
操作执行结果
实体扩充
如果存在相关事件的记录,则实体会被标记为可疑;否则为 False。
| 扩充项字段名称 | 逻辑 - 应用场景 |
|---|---|
| 事件 | 返回 JSON 结果中是否存在相应值 |
脚本结果
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| 成功 | True/False | success:False |
JSON 结果
[
{
"EntityResult": [
{
"Event":
{
"orgc_id": "1",
"ShadowAttribute": [],
"id": "3",
"threat_level_id": "3",
"event_creator_email": "john_doe@example.com",
"uuid": "5c5bff1b-a414-4a83-8755-035f0a000016",
"Object": [],
"Orgc": {
"uuid": "5c5ac66e-3884-4031-afd7-46f5bb9ebcaa",
"name": "ORGNAME",
"id": "1"
},
"Org": {
"uuid": "5c5ac66e-3884-4031-afd7-46f5bb9ebcaa",
"name": "ORGNAME",
"id": "1"
},
"RelatedEvent": [],
"sharing_group_id": "0",
"timestamp": "1549533154",
"date": "2019-02-07",
"disable_correlation": "False",
"info": "Test event",
"locked": "False",
"publish_timestamp": "1549533214",
"Attribute": [
{
"category": "Network activity",
"comment": " ",
"uuid": "5c5bffe2-9298-4098-ae31-035d0a000016",
"deleted": "False",
"timestamp": "1549533154",
"to_ids": "False",
"distribution": "3",
"object_id": "0",
"event_id": "3",
"ShadowAttribute": [],
"sharing_group_id": "0",
"value": "1.1.1.1",
"disable_correlation": "False",
"object_relation": "None",
"type": "ip-src",
"id": "1",
"Galaxy": []
}],
"attribute_count": "1",
"org_id": "1",
"analysis": "2",
"extends_uuid": " ",
"published": "True",
"distribution": "3",
"proposal_email_lock": "False",
"Galaxy": []
}}],
"Entity": "1.1.1.1"
}
]
案例墙
| 结果类型 | 值的说明 | 类型 |
|---|---|---|
| 输出消息* | 如果至少为一个实体找到一个事件:“已成功检索到以下实体的相关事件信息:\n{0}”。format(entity.identifier) 如果至少一个实体未找到任何事件:“Action wasn't able to retrieve information about the related events for the following entities: \n{0}".format(entity.identifier 如果所有实体都没有事件:“未找到所提供实体的相关事件。” |
常规 |
上传文件
说明
将文件上传到 MISP 事件。
参数
| 名称 | 类型 | 默认值 | 说明 |
|---|---|---|---|
| 事件 ID | 字符串 | 不适用 | 指定您要将此文件上传到的活动的 ID 或 UUID。 |
| 文件路径 | 字符串 | 不适用 | 指定要上传到 MISP 的文件的绝对文件路径列表(以英文逗号分隔)。 |
| 类别 | 指定上传文件的类别。可能的值:外部分析、载荷交付、工件丢弃、载荷安装。 | ||
| 分布 | 字符串 | 社区 | 指定上传文件的分发。 |
| 威胁级别 | 字符串 | 高 | 指定上传文件的威胁级别。 |
| 分析 | 字符串 | 初始 | 指定事件的分析。 |
| 信息 | 字符串 | 不适用 | 为上传的文件指定其他信息。 |
| 对于入侵检测系统 | 复选框 | 尚未核查 | 如果启用,上传的文件将用于入侵检测系统。 |
| 评论 | 字符串 | 不适用 | 指定与上传的文件相关的其他注释。 |
操作执行结果
脚本结果
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 结果
{
"Event": {
"id": "106",
"orgc_id": "1",
"org_id": "1",
"date": "2021-01-15",
"threat_level_id": "1",
"info": "vanuhi 1015",
"published": false,
"uuid": "1cd22aa2-57e8-4fc8-bac6-721c1be2c27d",
"attribute_count": "10",
"analysis": "0",
"timestamp": "1610893968",
"distribution": "1",
"proposal_email_lock": false,
"locked": false,
"publish_timestamp": "0",
"sharing_group_id": "0",
"disable_correlation": false,
"extends_uuid": "",
"event_creator_email": "admin@admin.test",
"Org": {
"id": "1",
"name": "ORGNAME",
"uuid": "09b0dde1-2934-4310-a107-74b6f534f041",
"local": true
},
"Orgc": {
"id": "1",
"name": "ORGNAME",
"uuid": "09b0dde1-2934-4310-a107-74b6f534f041",
"local": true
},
"Attribute": [],
"ShadowAttribute": [],
"Object": [
{
"id": "446",
"name": "file",
"meta-category": "file",
"description": "File object describing a file with meta-information",
"template_uuid": "688c46fb-5edb-40a3-8273-1af7923e2215",
"template_version": "20",
"event_id": "106",
"uuid": "0188ba5d-68eb-4b5c-8e05-6fd49f8eee9a",
"timestamp": "1610691647",
"distribution": "1",
"sharing_group_id": "0",
"comment": "",
"deleted": false,
"first_seen": null,
"last_seen": null,
"ObjectReference": [],
"Attribute": [
{
"id": "1859",
"type": "malware-sample",
"category": "External analysis",
"to_ids": true,
"uuid": "7920cd28-5082-47ce-9c3e-3ccbd5dae138",
"event_id": "106",
"distribution": "1",
"timestamp": "1610703650",
"comment": "",
"sharing_group_id": "0",
"deleted": false,
"disable_correlation": false,
"object_id": "446",
"object_relation": "malware-sample",
"first_seen": null,
"last_seen": null,
"value": "vanuhi.txt|7bd55b0a276e076cbaf470e64359adb8",
"Galaxy": [],
"data": "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",
"ShadowAttribute": [],
"Sighting": [
{
"id": "1733",
"attribute_id": "1859",
"event_id": "106",
"org_id": "1",
"date_sighting": "1611207638",
"uuid": "feb085f1-1923-4327-a73d-b60a948377e4",
"source": "",
"type": "0",
"Organisation": {
"id": "1",
"uuid": "09b0dde1-2934-4310-a107-74b6f534f041",
"name": "ORGNAME"
},
"attribute_uuid": "7920cd28-5082-47ce-9c3e-3ccbd5dae138"
}
]
}
}
}
}
案例墙
| 结果类型 | 值/说明 | 类型 |
|---|---|---|
| 输出消息* | 如果一个实体的上传成功:“Succesfully uploaded the provided files to the event {0} in MISP”.format(event_id) 严重错误(操作失败)“执行操作‘上传文件’时出错。原因:{0}".format(stacktrace) 如果“Distribution”中指定了无效参数 (失败操作): “执行操作‘上传文件’时出错。原因:为“Distribution”参数提供的值无效。可接受的数字:0、1、2、3。可接受的字符串:组织、社区、关联、全部”。 如果“威胁级别”中指定了无效参数(失败操作):“执行操作‘上传文件’时出错。原因:为“威胁级别”参数提供的值无效。可接受的数字:1、2、3、4。可接受的字符串:High、Medium、Low、Undefined。 如果“类别”中指定了无效参数(失败操作):“执行操作‘上传文件’时出错。原因:为“类别”参数提供的值无效。可接受的值:外部分析、载荷传送、丢弃制品、载荷安装”。 如果在“分析”中指定了无效的参数(失败操作):“执行操作‘上传文件’时出错。原因:为“分析”参数提供的值无效。可接受的数字:0、1、2。可接受的字符串:Initial、Ongoing、Completed”。 如果至少有一个文件不可用“执行操作‘上传文件’时出错。原因:以下文件无法访问:\n {0}".format(file paths, that were not accessible.) 找不到事件 ID(操作失败)“执行操作‘上传文件’时出错。原因:在 MISP 中未找到具有 {0} {1} 的事件".format(ID/UUID, event_id) |
常规 |
Ping
说明
测试连接。
参数
不适用
使用场景
不适用
运行于
此操作会在所有实体上运行。
操作执行结果
实体扩充
不适用
数据分析
不适用
脚本结果
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| 成功 | True/False | success:False |
JSON 结果
N/A
从活动中移除标记
说明
从 MISP 中的事件中移除标记。
参数
| 参数显示名称 | 类型 | 默认值 | 是否为必需属性 | 说明 |
|---|---|---|---|---|
| 事件 ID | 字符串 | 不适用 | 是 | 指定要从中移除标记的活动的 ID 或 UUID。 |
| 标记名称 | CSV | 不适用 | 是 | 指定要从活动中移除的标记的英文逗号分隔列表。 |
使用场景
重新分类活动:移除重新分类标记。
操作执行结果
脚本结果
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 结果
[
{
"saved": true,
"success": "Tag removed.",
"check_publish": true
}
]
案例墙
| 结果类型 | 值/说明 | 类型 |
|---|---|---|
| 输出消息* | 如果成功从活动中移除了所有标记:“Successfully removed the following tags from the event with {0} {1} in MISP: {2}.".format(ID/UUID, event_id, tags) 如果未能成功从事件中移除某些代码:“无法从 MISP 中具有 {0} {1} 的事件中移除以下代码:{2}。”。format(ID/UUID, event_id, tags) 如果并非所有标签都成功移除:“No tags were removed from the event with {0} {1} in MISP”.format(ID/UUID, event_id) 如果至少有一个代码未找到:“以下代码未在 MISP 中找到:\n{0}”。format(未在 MISP 中找到的代码列表) 如果未找到所有代码:“在 MISP 中未找到任何提供的代码。” 严重错误(操作失败)“执行操作‘从活动中移除代码’时出错。原因:{0}".format(stacktrace) 找不到活动 ID(操作失败)“执行操作‘从活动中移除代码’时出错。”原因:在 MISP 中未找到具有 {0} {1} 的事件".format(ID/UUID, event_id) |
常规 |
向属性添加标记
说明
此操作允许用户向 MISP 中的特定属性添加标记。这会根据属性中 IOC 带来的安全威胁类别,为属性添加分类。
参数
| 参数显示名称 | 类型 | 默认值 | 是否为必需属性 | 说明 |
|---|---|---|---|---|
| 事件 ID | 整数 | 不适用 | 是 | 与属性关联的事件的标识符。示例:1. |
| 标记名称 | 字符串 | 不适用 | 是 | 要添加到属性的标记的名称。 |
| 属性名称 | 字符串 | 不适用 | 是 | 要标记的属性的名称标识符。 |
| 类别 | 字符串 | 不适用 | 是 | 相应属性所属的类别,例如“载荷交付”。 |
| 类型 | 字符串 | 不适用 | 是 | 属性的类型,例如文件名。 |
| 对象 UUID | 字符串 | 不适用 | 否 | 相应事件中对象的唯一标识符。 |
使用场景
根据 IOC 类型对属性进行分类:向属性添加标记。
运行于
此操作会在所有实体上运行。
操作执行结果
实体扩充
不适用
数据分析
不适用
脚本结果
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 结果
[
{
"name": "Global tag unique___test(7) successfully attached to Attribute(9).",
"message": "Global tag unique___test(7) successfully attached to Attribute(9).",
"url": "/tags/attachTagToObject"
}
]
从属性中移除标记
说明
从 MISP 中的属性中移除标记。
参数
| 参数显示名称 | 类型 | 默认值 | 是否为必需属性 | 说明 |
|---|---|---|---|---|
| 事件 ID | 字符串 | 不适用 | 否 | 指定事件的 ID 或 UUID,用于搜索属性。如果“属性搜索”设置为“提供的事件”,则此参数是必需的。 |
| 标记名称 | CSV | 不适用 | 是 | 指定要从属性中移除的标记的逗号分隔列表。 |
| 属性名称 | CSV | 不适用 | 否 | 指定要从中移除标记的属性标识符的逗号分隔列表。 |
| 类别 | CSV | 不适用 | 否 | 指定以英文逗号分隔的类别列表。如果指定,操作将仅从具有匹配类别的属性中移除标记。如果未指定任何内容,操作将忽略属性中的类别。 |
| 类型 | CSV | 不适用 | 否 | 指定以英文逗号分隔的属性类型列表。如果指定,操作将仅从具有匹配属性类型的属性中移除标记。如果未指定任何内容,操作将忽略属性中的类型。 |
| 对象 UUID | CSV | 不适用 | 指定包含所需属性的对象的 UUID。 | |
| 属性搜索 | DDL | 提供的活动 可能的值: 所有事件 提供的活动 |
是 | 指定操作应在何处搜索属性。如果选择“提供的事件”,操作将仅在“事件 ID”参数中提供的 ID/UUID 所对应的事件中搜索属性或属性 UUID。如果选择“所有事件”,系统将在所有事件中搜索属性,并从符合我们条件的属性中移除标记。 |
| 属性 UUID | CSV | 指定要从中移除新标记的属性 UUID 的英文逗号分隔列表。注意:如果同时指定了“属性名称”和“属性 UUID”,则操作将使用“属性 UUID”值。 |
使用场景
重新分类属性:移除标记以进行重新分类
运行于
此操作会在所有实体上运行。
操作执行结果
脚本结果
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 结果
[
{
"name": "Tag unique___test(7) successfully removed from Attribute(9).",
"message": "Tag unique___test(7) successfully removed from Attribute(9).",
"url": "/tags/removeTagFromObject"
}
]
案例墙
| 结果类型 | 值/说明 | 类型> |
|---|---|---|
| 输出消息* | 如果成功从至少一个属性中移除了标记:“已成功从 MISP 中的以下属性中移除了标记:\n{0}”。format(属性名称/对象 UUID) 如果未成功从至少一个属性中移除标记:“操作未从 MISP 中的以下属性中移除标记:\n{0}”。format(属性名称/对象 UUID) 如果并非全部成功:“未从 MISP 中提供的属性中移除任何标记” 如果至少有一个代码未找到:“以下代码未在 MISP 中找到:\n{0}”。format(未在 MISP 中找到的代码列表) 如果未找到所有代码:“在 MISP 中未找到任何提供的代码。” 严重错误(操作失败)“执行操作‘从属性中移除标记’时出错。原因:{0}".format(stacktrace) 如果“类别”中指定了无效参数(失败操作):“执行操作‘从属性中移除标记’时出错。”原因:为“类别”参数提供的值无效。可接受的值:外部分析、载荷传送、丢弃制品、载荷安装”。 如果选择了“提供的事件”,但未选择事件 ID:“执行操作‘从属性中移除标记’时出错”。原因:如果为“属性搜索”参数选择了“提供的事件”,则需要提供事件 ID。 找不到事件 ID(操作失败)“执行操作‘从属性中移除代码’时出错。原因:在 MISP 中未找到具有 {0} {1} 的事件".format(ID/UUID, event_id) |
常规 |
发布活动
说明
此操作允许用户发布活动。发布活动会将活动分享给所选的分享群组,让所有成员都能看到。
参数
| 参数显示名称 | 类型 | 默认值 | 是否为必需属性 | 说明 |
|---|---|---|---|---|
| 事件 ID | 字符串 | 不适用 | 是 | 指定要发布的事件的 ID 或 UUID。 |
使用场景
发布活动:
- 创建偶数
- 添加活动属性
- 发布活动
操作执行结果
脚本结果
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 结果
[
{
"Event": {
"id": "3",
"orgc_id": "1",
"org_id": "1",
"date": "2019-12-27",
"threat_level_id": "1",
"info": "Connection to .ch",
"published": true,
"uuid": "5e05dd29-7b90-474d-b5f6-51ae0a00024b",
"attribute_count": "0",
"analysis": "1",
"timestamp": "1577774920",
"distribution": "3",
"proposal_email_lock": false,
"locked": false,
"publish_timestamp": "1577774846",
"sharing_group_id": "0",
"disable_correlation": false,
"extends_uuid": "5e05db24-1e98-4bb9-bd56-51fd0a00024b",
"event_creator_email": "admin@admin.test",
"Org": {
"id": "1",
"name": "ORGNAME",
"uuid": "5dfc9b8f-c320-4b6d-ac1c-4f4e8bdc3fef",
"local": true
},
"Orgc": {
"id": "1",
"name": "ORGNAME",
"uuid": "5dfc9b8f-c320-4b6d-ac1c-4f4e8bdc3fef",
"local": true
},
"Attribute": [],
"ShadowAttribute": [],
"RelatedEvent": [],
"Galaxy": [],
"Object": [],
"Tag": [
{
"id": "7",
"name": "unique___test",
"colour": "#9648c4",
"exportable": true,
"user_id": "0",
"hide_tag": false,
"numerical_value": null,
"local": 0
}
]
}
}
]
案例墙
| 结果类型 | 值/说明 | 类型 |
|---|---|---|
| 输出消息* | 如果成功:“Successfully published event with {0} {1} in MISP.".format(ID/UUID, event_id) 如果不成功:“Event with {0} {1} was not published in MISP”(未在 MISP 中发布具有 {0} {1} 的事件)。format(ID/UUID, event_id) 严重错误(操作失败)“执行操作‘发布事件’时出错。原因:{0}".format(stacktrace) 找不到活动 ID(操作失败)“执行操作‘发布活动’时出错。原因:在 MISP 中未找到具有 {0} {1} 的事件".format(ID/UUID, event_id) |
常规 |
取消发布活动
说明
此操作允许用户取消发布活动。取消发布活动后,共享群组将无法看到该活动。
参数
| 参数显示名称 | 类型 | 默认值 | 是否为必需属性 | 说明 |
|---|---|---|---|---|
| 事件 ID | 字符串 | 不适用 | 是 | 指定要取消发布的活动的 ID 或 UUID。 |
操作执行结果
脚本结果
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 结果
[
{
"Event": {
"id": "3",
"orgc_id": "1",
"org_id": "1",
"date": "2019-12-27",
"threat_level_id": "1",
"info": "Connection to .ch",
"published": false,
"uuid": "5e05dd29-7b90-474d-b5f6-51ae0a00024b",
"attribute_count": "0",
"analysis": "1",
"timestamp": "1577774920",
"distribution": "3",
"proposal_email_lock": false,
"locked": false,
"publish_timestamp": "1577774846",
"sharing_group_id": "0",
"disable_correlation": false,
"extends_uuid": "5e05db24-1e98-4bb9-bd56-51fd0a00024b",
"event_creator_email": "admin@admin.test",
"Org": {
"id": "1",
"name": "ORGNAME",
"uuid": "5dfc9b8f-c320-4b6d-ac1c-4f4e8bdc3fef",
"local": true
},
"Orgc": {
"id": "1",
"name": "ORGNAME",
"uuid": "5dfc9b8f-c320-4b6d-ac1c-4f4e8bdc3fef",
"local": true
},
"Attribute": [],
"ShadowAttribute": [],
"RelatedEvent": [],
"Galaxy": [],
"Object": [],
"Tag": [
{
"id": "7",
"name": "unique___test",
"colour": "#9648c4",
"exportable": true,
"user_id": "0",
"hide_tag": false,
"numerical_value": null,
"local": 0
}
]
}
}
]
案例墙
| 结果类型 | 值/说明 | 类型 |
|---|---|---|
| 输出消息* | 如果成功:“Successfully unpublished event with {0} {1} in MISP.".format(ID/UUID, event_id) 如果不成功:“Event with {0} {1} was not unpublished in MISP”(MISP 中未取消发布 {0} {1} 的事件)。format(ID/UUID, event_id) 严重错误(失败操作)“执行操作‘取消发布活动’时出错。原因:{0}".format(stacktrace) 找不到活动 ID(操作失败)“执行‘取消发布活动’操作时出错。原因:在 MISP 中未找到具有 {0} {1} 的事件".format(ID/UUID, event_id) |
常规 |
删除属性
说明
删除 MISP 中的属性。支持的哈希:MD5、SHA1、SHA224、SHA256、SHA384、SHA512、SSDeep。
参数
| 参数显示名称 | 类型 | 默认值 | 是否为必需属性 | 说明 |
|---|---|---|---|---|
| 事件 ID | 字符串 | 不适用 | 否 | 指定事件的 ID 或 UUID,用于搜索属性。如果“属性搜索”设置为“提供的事件”,则此参数是必需的。 |
| 属性名称 | CSV | 不适用 | 否 | 指定要删除的属性标识符的逗号分隔列表。 |
| 类别 | CSV | 不适用 | 否 | 指定以英文逗号分隔的类别列表。如果指定,操作将仅删除具有匹配类别的属性。如果未指定任何内容,操作将忽略属性中的类别。 |
| 类型 | CSV | 不适用 | 否 | 指定以英文逗号分隔的属性类型列表。如果指定,操作将仅删除具有匹配属性类型的属性。如果未指定任何内容,操作将忽略属性中的类型。 |
| 对象 UUID | 字符串 | 不适用 | 否 | 相应事件中对象的唯一标识符。 |
| 属性搜索 | DDL | 提供的活动 可能的值: 所有事件 提供的活动 |
是 | 指定操作应在何处搜索属性。如果选择“提供的事件”,操作将仅在“事件 ID”参数中提供的 ID/UUID 所对应的事件中搜索属性或属性 UUID。如果选择“所有事件”,系统将在所有事件中搜索属性,并删除符合我们条件的所有属性。 |
| 属性 UUID | CSV | 指定要删除的属性 UUID 的逗号分隔列表。 |
使用场景
从活动中移除属性。
运行于
此操作会在所有实体上运行。
操作执行结果
脚本结果
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 结果
[
{
"message": "Attribute deleted."
}
]
案例墙
| 结果类型 | 值的说明 | 类型 |
|---|---|---|
| 输出消息* | 如果成功将发现信息添加到至少一个属性:“Successfully deleted the following attributes in MISP:\n{0}".format(attribute name/object UUID) 如果未成功向至少一个属性添加发现:“Action didn't delete the following attributes in MISP:\n{0}".format(attribute name/object UUID) 如果并非全部成功:“未在 MISP 中删除任何属性” 严重错误(操作失败)“执行操作‘删除属性’时出错。原因:{0}".format(stacktrace) 如果“类别”中指定了无效参数(失败操作):“执行操作‘删除属性’时出错。原因:为“类别”参数提供的值无效。可接受的值:外部分析、载荷传送、丢弃制品、载荷安装”。 如果选择了“提供的事件”,但未选择事件 ID:“执行操作‘删除属性’时出错。原因:如果为“属性搜索”参数选择了“提供的事件”,则需要提供事件 ID。 找不到活动 ID(失败操作)“执行操作‘删除属性’时出错。原因:在 MISP 中未找到具有 {0} {1} 的事件".format(ID/UUID, event_id) |
常规 |
删除活动
说明
删除 MISP 中的事件。
参数
| 参数显示名称 | 类型 | 默认值 | 是否为必需属性 | 说明 |
|---|---|---|---|---|
| 事件 ID | 字符串 | 不适用 | 是 | 指定要删除的事件的 ID 或 UUID。 |
使用场景
永久删除活动。
运行于
此操作在 User 实体上运行。
操作执行结果
脚本结果
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 结果
[
{
"name": "Event deleted.",
"message": "Event deleted.",
"url": "/events/delete/4"
}
]
案例墙
| 结果类型 | 值的说明 | 类型 |
|---|---|---|
| 输出消息* | 如果成功:“Successfully deleted event with {0} {1} in MISP”.format(ID/UUID, event_id) 严重错误(操作失败)“执行操作‘删除活动’时出错。原因:{0}".format(traceback) 找不到活动 ID(操作失败)“执行操作‘删除活动’时出错。原因:在 MISP 中未找到具有 {0} {1} 的事件".format(ID/UUID, event_id) |
常规 |
创建文件 Misp 对象
说明
该操作允许用户将与事件相关的文件属性整理到一个对象中,该对象描述了文件及其元信息。然后,包含这些属性的对象会附加到指定事件。
参数
| 参数显示名称 | 类型 | 默认值 | 是否为必需属性 | 说明 |
|---|---|---|---|---|
| 事件 ID | 字符串 | 不适用 | 是 | 要添加对象的活动的唯一标识符。示例:1 |
| 文件名 | 字符串 | 不适用 | 否 | 相应文件的文件名。 |
| MD5 | 字符串 | 不适用 | 否 | 文件的 MD5 哈希值。 |
| SHA1 | 字符串 | 不适用 | 否 | 文件的 SHA1 哈希值。 |
| SHA256 | 字符串 | 不适用 | 否 | 文件的 sha256 哈希值。 |
| SSDEEP | 字符串 | 不适用 | 否 | 文件的 ssdeep 值示例:96:p5aAS1tN0M3t9AnTNuG6TNOt5PR1TNZdkljOXTNSnKTF3X7KsTFW+kLtW6K8i7bI:p5mb4rgQhRp7GljCbF3LKqFjkwxtU |
| Imphash | 字符串 | 不适用 | 否 | 根据导入的表格计算出的 MD5 哈希值。 |
使用场景
不适用
运行于
此操作会在所有实体上运行。
操作执行结果
实体扩充
不适用
数据分析
不适用
脚本结果
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 结果
N/A
创建 IP-Port Misp 对象
说明
该操作允许用户在单个对象中整理与事件相关的 IP-端口属性,该对象描述了在特定时间范围内看到的 IP 地址(或网域或主机名)和端口(作为元组或三元组)。然后,包含属性的对象会附加到指定事件。
参数
| 参数显示名称 | 类型 | 默认值 | 是否为必需属性 | 说明 |
|---|---|---|---|---|
| 事件 ID | 字符串 | 不适用 | 是 | 要添加对象的活动的唯一标识符。示例:1 |
| 目标端口 | 字符串 | 不适用 | 否 | 目标端口。 |
| 源端口 | 字符串 | 不适用 | 否 | 来源端口。 |
| 网域 | 字符串 | 不适用 | 否 | Domain(管理域名)。 |
| 主机名 | 字符串 | 不适用 | 否 | 主机名。 |
| IP-Src | 字符串 | 不适用 | 否 | 来源 IP 地址。 |
| IP-Dst | 字符串 | 不适用 | 否 | 目标 IP 地址。 |
使用场景
不适用
运行于
此操作会在所有实体上运行。
操作执行结果
实体扩充
不适用
数据分析
不适用
脚本结果
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 结果
N/A
创建网络连接 Misp 对象
说明
在 MISP 中创建网络连接对象。需要提供以下任一信息:Dst-port、Src-port、IP-Src、IP-Dst,或将“Use Entities”参数设置为 true。
参数
| 参数显示名称 | 类型 | 默认值 | 是否为必需属性 | 说明 |
|---|---|---|---|---|
| 事件 ID | 字符串 | 不适用 | 是 | 指定要向其添加网络连接对象的事件的 ID 或 UUID。 |
| 目标端口 | 字符串 | 不适用 | 否 | 指定要添加到事件中的目标端口。 |
| 源端口 | 字符串 | 不适用 | 否 | 指定要添加到事件中的源端口。 |
| Hostname-dst | 字符串 | 不适用 | 否 | 指定要添加到活动中的来源目的地。 |
| Hostname-src | 字符串 | 不适用 | 否 | 指定要添加到事件中的来源主机名。 |
| IP-Src | 字符串 | 不适用 | 否 | 指定要添加到事件中的来源 IP。 |
| IP-Dst | 字符串 | 不适用 | 否 | 指定要添加到事件中的目标 IP。 |
| Layer3-protocol | 字符串 | 不适用 | 否 | 指定要添加到事件中的相关第 3 层协议。 |
| Layer4-protocol | 字符串 | 不适用 | 否 | 指定要添加到事件中的相关第 4 层协议。 |
| Layer7-protocol | 字符串 | 不适用 | 否 | 指定要添加到事件中的相关第 7 层协议。 |
| 使用实体 | 复选框 | 尚未核查 | 否 | 如果启用,操作将使用实体来创建对象。支持的实体:IP 地址。“使用实体”的优先级高于其他参数。 |
| IP 类型 | DDL | 来源 IP 可能的值: 来源 IP 目标 IP 地址 |
指定应与 IP 实体搭配使用的属性类型。 |
运行于
此操作会在所有实体上运行。
操作执行结果
脚本结果
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 结果
N/A
案例墙
| 结果类型 | 值的说明 | 类型 |
|---|---|---|
| 输出消息* | 如果成功且“Use Entities”不为 true:“Successfully created new network-connection object for event with {0} {1} in MISP.".format(ID/UUID, event_id) 如果未成功且“Use Entities”不为 true:“Action wasn't able to created new network-connection object for event with {0} {1} in MISP. 原因:{2}”。format(ID/UUID) 如果一个成功且“Use Entities”为 true:“Successfully created new network-connection objects for event with {0} {1} in MISP based on the following entities: \n{0}".format(ID/UUID, event_id, entity.identifiers) 如果一个操作未成功,且“Use Entities”为 true:“Action wasn't able to create new network-connection objects for event with {0} {1} in MISP based on the following entities: \n{0}".format(ID/UUID, event_id, entity.identifiers) 如果并非所有操作都成功,且“Use Entities”为 true:“Action wasn't able to create new network-connection objects for event with {0} {1} in MISP based on the provided entities.".format(ID/UUID, event_id) 严重错误(操作失败)“执行操作‘创建网络连接 Misp 对象’时出错。原因:{0}".format(stacktrace) 未找到事件 ID(操作失败)“执行操作‘创建网络连接 Misp 对象’时出错。原因:在 MISP 中未找到具有 {0} {1} 的事件".format(ID/UUID, event_id) 如果未提供 Dst-port、Src-port、IP-Src、IP-Dst,且“Use Entities”== false:“Error executing action "Create network-connection Misp Object"”。原因:应提供“Dst-port”“Src-port”“IP-Src”“IP-Dst”之一,或将“Use Entities”参数设置为 true。 |
常规 |
创建网址误报对象
说明
在 MISP 中创建网址对象。需要提供“网址”,或将“使用实体”参数设置为 true。
参数
| 参数显示名称 | 类型 | 默认值 | 是否为必需属性 | 说明 |
|---|---|---|---|---|
| 事件 ID | 字符串 | 不适用 | 是 | 指定要向其添加网址对象的事件的 ID 或 UUID。 |
| 网址 | 字符串 | 不适用 | 否 | 指定要添加到活动中的网址。 |
| 端口 | 字符串 | 不适用 | 否 | 指定要添加到活动中的港口。 |
| 首次出现时间 | 字符串 | 不适用 | 否 | 指定网址首次被发现的时间。 |
| 上次出现时间 | 字符串 | 不适用 | 否 | 指定网址的上次访问时间。 |
| 网域 | 字符串 | 不适用 | 否 | 指定要添加到活动中的网域。 |
| 文本 | 字符串 | 不适用 | 否 | 指定要添加到活动中的其他文本。 |
| IP | 字符串 | 不适用 | 否 | 指定要添加到活动中的 IP。 |
| 主机 | 字符串 | 不适用 | 否 | 指定要添加到活动中的主持人。 |
| 使用实体 | 复选框 | 尚未核查 | 如果启用,操作将使用实体来创建对象。支持的实体:网址。“使用实体”的优先级高于其他参数。 |
运行于
此操作会在所有实体上运行。
操作执行结果
脚本结果
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 结果
N/A
案例墙
| 结果类型 | 值的说明 | 类型 |
|---|---|---|
| 输出消息* | 如果成功且“Use Entities”不为 true:“Successfully created new 网址 object for event with {0} {1} in MISP.".format(ID/UUID, event_id) 如果未成功且“Use Entities”不为 true:“Action wasn't able to created 网址 object for event with {0} {1} in MISP. 原因:{2}”。format(ID/UUID) 如果一个成功且“Use Entities”为 true:“Successfully created new 网址 objects for event with {0} {1} in MISP based on the following entities: \n{0}".format(ID/UUID, event_id, entity.identifiers) 如果一个事件未成功,且“Use Entities”为 true:“Action wasn't able to create new 网址 objects for event with {0} {1} in MISP based on the following entities: \n{0}".format(ID/UUID, event_id, entity.identifiers) 如果并非所有操作都成功,且“Use Entities”为 true:“Action wasn't able to create new 网址 objects for event with {0} {1} in MISP based on the provided entities.".format(ID/UUID, event_id) 严重错误(失败操作)“执行操作‘创建网址 Misp 对象’时出错。原因:{0}".format(stacktrace) 找不到事件 ID(失败操作)“执行操作‘创建网址 Misp 对象’时出错。原因:在 MISP 中未找到具有 {0} {1} 的事件".format(ID/UUID, event_id) 如果未提供任何网址,且“Use Entities”== false:“执行操作‘创建网址 Misp 对象’时出错。”原因:应提供“网址”,或将“使用实体”参数设置为 true。 |
常规 |
创建 Virustotal 报告对象
说明
在 MISP 中创建 Virustotal-Report 对象。
参数
| 参数显示名称 | 类型 | 默认值 | 是否为必需属性 | 说明 |
|---|---|---|---|---|
| 事件 ID | 字符串 | 不适用 | 是 | 指定要向其添加网址对象的事件的 ID 或 UUID。 |
| 固定链接 | 字符串 | 不适用 | 是 | 指定要添加到事件中的 VirusTotal 报告的链接。 |
| 评论 | 字符串 | 不适用 | 否 | 指定要添加到活动中的注释。 |
| 检出率 | 字符串 | 不适用 | 否 | 指定要添加到活动中的检测比率。 |
| 社区得分 | 字符串 | 不适用 | 否 | 指定要添加到活动的社区得分。 |
| 首次提交 | 字符串 | 不适用 | 否 | 指定事件的首次提交。 |
| 上次提交 | 字符串 | 不适用 | 否 | 指定活动的最后提交时间。 |
运行于
此操作会在所有实体上运行。
操作执行结果
脚本结果
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| is_success | True/False | is_success:False |
案例墙
| 结果类型 | 值的说明 | 类型 |
|---|---|---|
| 输出消息* | 如果成功:“Successfully created new Virustotal-Report object for event with {0} {1} in MISP.".format(ID/UUID, event_id) 如果不成功:“无法在 MISP 中为包含 {0} {1} 的事件创建 Virustotal-Report 对象。原因:{2}”。format(ID/UUID) 严重错误(操作失败)“执行操作‘创建 Virustotal-Report Misp 对象’时出错。原因:{0}".format(stacktrace) 未找到事件 ID(失败操作)“执行操作‘创建 Virustotal 报告 Misp 对象’时出错。原因:在 MISP 中未找到具有 {0} {1} 的事件".format(ID/UUID, event_id) |
常规 |
列出事件对象
说明
检索 MISP 事件中有关可用对象的信息。
参数
| 参数显示名称 | 类型 | 默认值 | 为必需参数 | 说明 |
|---|---|---|---|---|
| 事件 ID | 字符串 | 不适用 | 是 | 指定要检索详细信息的事件的 ID 和 UUID 的逗号分隔列表。 |
| 要返回的对象数上限 | 整数 | 50 | 否 | 指定要返回的对象数量。 |
运行于
此操作不会在实体上运行。
操作执行结果
脚本结果
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 结果
"Object": [
{
"id": "1",
"name": "ftm-Associate",
"meta-category": "followthemoney",
"description": "Non-family association between two people",
"template_uuid": "6119ecb3-dedd-44b6-b88f-174585b0b1bf",
"template_version": "1",
"event_id": "1",
"uuid": "2a3e260f-d3b2-4164-b2b1-2f6f5b559970",
"timestamp": "1594632232",
"distribution": "5",
"sharing_group_id": "0",
"comment": "",
"deleted": false,
"first_seen": null,
"last_seen": null,
"ObjectReference": [],
},
{
"id": "2",
"name": "ftm-Associate",
"meta-category": "followthemoney",
"description": "Non-family association between two people",
"template_uuid": "6119ecb3-dedd-44b6-b88f-174585b0b1bf",
"template_version": "1",
"event_id": "1",
"uuid": "800d8634-175a-4bc2-a4d7-aca200c8c132",
"timestamp": "1594632463",
"distribution": "5",
"sharing_group_id": "0",
"comment": "",
"deleted": false,
"first_seen": null,
"last_seen": null,
"ObjectReference": [],
}
案例墙
| 结果类型 | 值的说明 | 类型 |
|---|---|---|
| 输出消息* | 操作不应失败,也不应停止 playbook 执行: 如果至少找到 1 个事件的对象:“Successfully listed objects for the following events: \n{0}".format(event_ids) 如果未找到具有指定 ID 的活动(is_success = false): 如果找不到 1 个活动的对象: “操作无法找到以下事件的对象:\n {0}”.format(event_ids) 如果所有事件均未找到对象:“未找到所提供事件的对象。” 操作应失败并停止 playbook 执行: 如果出现致命错误(例如凭据错误、无法连接到服务器、其他错误): print "Error executing action "List Event Objects". 原因:{0}''.format(error.Stacktrace) |
常规 |
| CSV 表格 | 表名称:Event {0} Objects 表格列:
|
获取活动详情
说明
检索 MISP 中事件的详细信息。
参数
| 参数显示名称 | 类型 | 是否为必需属性 | 说明 |
|---|---|---|---|
| 事件 ID | 字符串 | 是 | 指定要检索详细信息的事件的 ID 或 UUID 的英文逗号分隔列表。 |
| 返回属性信息 | 复选框 | 勾选 | 如果启用,此操作将为属于事件的所有属性创建案例墙表格。 |
运行于
此操作不会在实体上运行。
操作执行结果
脚本结果
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| is_success | True/False | is_success:False |
案例墙
| 结果类型 | 值的说明 | 类型 |
|---|---|---|
| 输出消息* | 操作不应失败,也不应停止 playbook 执行: 如果至少有一个提供的 ID 对应的操作成功完成: 打印“Successfully retrieved information for the following events: <>”(已成功检索到以下活动的信息:<>) 如果操作未能针对至少一个提供的突发事件 ID 运行: 打印“未能检索到以下活动的信息:<> 操作应失败并停止 playbook 执行: 操作应失败并停止 playbook 执行: 如果出现致命错误(例如凭据错误、无法连接到服务器、其他错误): print "Error executing action "List Event Objects". 原因:{0}''.format(error.Stacktrace) |
常规 |
| CSV 表格 | 表名称:“Event {0} Attributes Details”.format(event_id) 列:
|
列出属性的发现情况
说明
列出 MISP 中属性的可用发现信息。
参数
搜索| 参数名称 | 类型 | 默认值 | 必填 | 说明 |
|---|---|---|---|---|
| 属性名称 | CSV | 否 | 指定以英文逗号分隔的属性标识符列表,您希望列出这些属性的发现情况。注意:如果同时指定了“属性名称”和“属性 UUID”,则操作将使用“属性 UUID”值。 | |
| 事件 ID | 字符串 | 否 | 指定事件的 ID 或 UUID,用于搜索属性。如果“属性搜索”设置为“提供的事件”,则此参数是必需的。 | |
| 类别 | CSV | 否 | 指定以英文逗号分隔的类别列表。如果指定,操作将仅列出具有匹配类别的属性的观测结果。如果未指定任何内容,操作将忽略属性中的类别。可能的值:外部分析、载荷交付、工件丢弃、载荷安装。 | |
| 类型 | CSV | 否 | 指定以英文逗号分隔的属性类型列表。如果指定,操作将仅列出具有匹配属性类型的属性的发现情况。如果未指定任何内容,操作将忽略属性中的类型。示例值:md5、sha1、ip-src、ip-dst | |
| 属性搜索 | DDL | 提供的活动 可能的值: 所有事件 |
是 | 指定操作应在何处搜索属性。如果选择“提供的事件”,操作将仅在“事件 ID”参数中提供的 ID/UUID 所对应的事件中搜索属性或属性 UUID。如果选择“所有事件”,系统将在所有事件中搜索属性,并列出符合我们条件的所有属性的发现情况。 |
| 属性 UUID | CSV | 否 | 指定要列出观测结果的属性 UUID 的英文逗号分隔列表。注意:如果同时指定了“属性名称”和“属性 UUID”,则操作将使用“属性 UUID”值。 |
操作执行结果
脚本结果
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| is_success | True/False | is_success:False |
案例墙
| 结果类型 | 值/说明 | 类型 |
|---|---|---|
| 输出消息* | 如果成功将观测结果列入至少一个属性:“Successfully listed sightings for the following attributes in MISP:\n{0}".format(attribute name/attribute UUID) 如果未成功列出至少一个属性的观测结果:“Action didn't list sightings for the following attributes in MISP:\n{0}".format(attribute name/attribute UUID) 如果所有属性的观测结果都不成功或都没有观测结果:“在 MISP 中未找到所提供属性的观测结果” 严重错误(失败操作) “执行操作‘列出属性的发现情况’时出错。原因:{0}".format(stacktrace) 如果“类别”中指定了无效参数(失败操作):“执行操作‘列出属性的发现情况’时出错。”原因:为“类别”参数提供的值无效。可接受的值:外部分析、载荷传送、丢弃制品、载荷安装”。 如果选择了“提供的事件”,但未选择事件 ID:“执行操作‘列出属性的观测结果’时出错。原因:如果为“属性搜索”参数选择了“提供的事件”,则需要提供事件 ID。 |
常规 |
为属性设置 IDS 标志
说明
为 MISP 中的属性设置 IDS 标志。
参数
searchsearch| 参数名称 | 类型 | 默认值 | 必填 | 说明 |
|---|---|---|---|---|
| 属性名称 | CSV | 否 | 指定您要设置 IDS 标志的属性标识符的逗号分隔列表。注意:如果同时指定了“属性名称”和“属性 UUID”,则操作将使用“属性 UUID”值。 | |
| 事件 ID | 字符串 | 否 | 指定事件的 ID 或 UUID,用于搜索属性。如果“属性搜索”设置为“提供的事件”,则此参数是必需的。 | |
| 类别 | CSV | 否 | 指定以英文逗号分隔的类别列表。如果指定,操作将仅为具有匹配类别的属性设置 IDS 标志。如果未指定任何内容,操作将忽略属性中的类别。可能的值:外部分析、载荷交付、工件丢弃、载荷安装。 | |
| 类型 | CSV | 否 | 指定以英文逗号分隔的属性类型列表。如果指定,操作将仅为具有匹配属性类型的属性设置 IDS 标志。如果未指定任何内容,操作将忽略属性中的类型。示例值:md5、sha1、ip-src、ip-dst | |
| 属性搜索 | DDL | 提供的活动 可能的值: 所有事件 |
是 | 指定操作应在何处搜索属性。如果选择“提供的事件”,操作将仅在“事件 ID”参数中提供的 ID/UUID 所对应的事件中搜索属性或属性 UUID。如果为“所有事件”,则操作会在所有事件中搜索属性,并为符合我们条件的属性设置 IDS 标志。 |
| 属性 UUID | CSV | 否 | 指定要设置 IDS 标志的属性 UUID 的逗号分隔列表。 |
操作执行结果
脚本结果
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| 成功 | True/False | success:False |
案例墙
| 结果类型 | 值的说明 | 类型 |
|---|---|---|
| 输出消息* | 如果成功为至少一个属性添加了 IDS 标志:“Successfully set IDS flag for the following attributes in MISP:\n{0}".format(attribute name/object UUID) 如果未成功向至少一个属性添加 IDS 标志:“Action didn't set IDS flag for the following attributes in MISP:\n{0}".format(attribute name/object UUID) 如果并非所有属性都成功:“未在 MISP 中为所提供的属性设置 IDS 标志” 严重错误(失败操作)“执行操作‘为属性设置 IDS 标志’时出错。原因:{0}".format(stacktrace) 如果在“类别”中指定了无效参数(失败操作):“执行操作‘为属性设置 IDS 标志’时出错。”原因:为“类别”参数提供的值无效。可接受的值:外部分析、载荷传送、丢弃制品、载荷安装”。 如果选择了“提供的事件”,但未选择事件 ID:“执行操作‘为属性设置 IDS 标志’时出错。”原因:如果为“属性搜索”参数选择了“提供的事件”,则需要提供事件 ID。 找不到事件 ID(操作失败)“执行操作‘为属性设置 IDS 标志’时出错。”原因:在 MISP 中未找到具有 {0} {1} 的事件".format(ID/UUID, event_id) |
常规 |
针对属性取消设置 IDS 标志
说明
针对 MISP 中的属性取消设置 IDS 标志。
参数
| 名称 | 类型 | 默认值 | 必填 | 说明 |
|---|---|---|---|---|
| 属性名称 | CSV | 否 | 指定要取消设置 IDS 标志的属性标识符的逗号分隔列表。 |
|
| 事件 ID | 字符串 | 否 | 指定事件的 ID 或 UUID,用于搜索属性。如果“属性搜索”设置为“提供的事件”,则此参数是必需的。 | |
| 类别 | CSV | 否 | 指定以英文逗号分隔的类别列表。如果指定,则操作只会针对具有匹配类别的属性取消设置 IDS 标志。如果未指定任何内容,操作将忽略属性中的类别。可能的值:外部分析、载荷交付、工件丢弃、载荷安装。 | |
| 类型 | CSV | 否 | 指定以英文逗号分隔的属性类型列表。如果指定,操作将仅针对具有匹配属性类型的属性取消设置 IDS 标志。如果未指定任何内容,操作将忽略属性中的类型。示例值:md5、sha1、ip-src、ip-dst | |
| 属性搜索 | DDL | 提供的活动 可能的值: 所有事件 |
正确 | 指定操作应在何处搜索属性。如果选择“提供的事件”,操作将仅在“事件 ID”参数中提供的 ID/UUID 所对应的事件中搜索属性或属性 UUID。如果为“所有事件”,则操作会在所有事件中搜索属性,并针对符合我们条件的所有属性取消设置 IDS 标志。 |
| 属性 UUID | CSV | 否 | 指定要取消设置 IDS 标志的属性 UUID 的逗号分隔列表。注意:如果同时指定了“属性名称”和“属性 UUID”,则操作将使用“属性 UUID”值。 |
操作执行结果
脚本结果
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| 成功 | True/False | success:False |
案例墙
| 结果类型 | 值的说明 | 类型 |
|---|---|---|
| 输出消息* | 如果成功移除了至少一个属性的 IDS 标志:“Successfully unset IDS flag for the following attributes in MISP:\n{0}”(成功移除了 MISP 中以下属性的 IDS 标志:\n{0})。format(attribute name/object UUID) 如果未成功移除至少一个属性的 IDS 标志:“Action didn't unset IDS flag for the following attributes in MISP:\n{0}".format(attribute name/object UUID) 如果并非全部成功:“未在 MISP 中针对所提供的属性取消设置 IDS 标志” 严重错误(操作失败)“执行操作‘针对属性取消设置 IDS 标志’时出错。原因:{0}".format(stacktrace) 如果“类别”中指定了无效参数(失败操作):“执行操作‘针对属性取消设置 IDS 标志’时出错”。原因:为“类别”参数提供的值无效。可接受的值:外部分析、载荷传送、丢弃制品、载荷安装”。 如果选择了“提供的事件”,但未选择事件 ID:“执行操作‘针对属性取消设置 IDS 标志’时出错”。原因:如果为“属性搜索”参数选择了“提供的事件”,则需要提供事件 ID。 找不到事件 ID(失败操作)“执行操作‘针对属性取消设置 IDS 标志’时出错。”原因:在 MISP 中未找到具有 {0} {1} 的事件".format(ID/UUID, event_id) |
常规 |
连接器
MISP - 属性连接器
说明
从 MISP 中提取属性。
在 Google SecOps 上配置 MISP - 属性连接器
有关如何在 Google SecOps 中配置连接器的详细说明,请参阅配置连接器。
连接器参数
使用以下参数配置连接器:
| 参数名称 | 类型 | 默认值 | 是否为必需属性 | 说明 |
|---|---|---|---|---|
| DeviceProductField | 字符串 | 产品名称 | 是 | 输入源字段名称,以便检索产品字段名称。 |
| EventClassId | 字符串 | alertType | 是 | 输入源字段名称,以便检索事件字段名称。 |
| PythonProcessTimeout | 整数 | 180 | 是 | 运行当前脚本的 Python 进程的超时时间限制。 |
| API 根 | 字符串 | 不适用 | 是 | MISP 账号的 API 根。 |
| API 密钥 | 密码 | 是 | MISP 账号的 API 密钥。 | |
| 提取回溯的小时数上限 | 整数 | 1 | 否 | 提取属性的小时数。 |
| 每个周期的属性数上限 | 整数 | 50 | 是 | 每次连接器迭代要处理的属性数量。 |
| 要提取的最低威胁级别 | 整数 | 1 | 是 | 用于提取提醒的最低严重程度。可能的值:1-4。 |
| 属性类型过滤条件 | 字符串 | 否 | 按类型过滤特性,以英文逗号分隔。如果提供,则仅处理具有已列入白名单的类型的属性。 | |
| 类别过滤器 | 字符串 | 否 | 按类别过滤属性,以英文逗号分隔。如果提供,则仅处理具有已列入白名单的类别的属性。 | |
| Galaxy 滤镜 | 字符串 | 否 | 按父事件的星系过滤属性,以英文逗号分隔。如果提供,则仅处理属于已列入白名单的星系的事件的属性。 | |
| 验证 SSL | 复选框 | 是 | 如果已启用,请验证与 CheckPoint Cloud Guard 服务器的连接的 SSL 证书是否有效。 | |
| 环境字段名称 | 字符串 | 否 | 描述存储环境名称的字段的名称。如果找不到环境字段,则环境为默认环境。 | |
| 环境正则表达式模式 | 字符串 | .* | 否 | 要对“环境字段名称”字段中找到的值运行的正则表达式模式。默认值为 .*,用于捕获所有内容并返回未更改的值。用于允许用户通过正则表达式逻辑来操纵环境字段。如果正则表达式模式为 null 或空,或者环境值为 null,则最终环境结果为默认环境。 |
| 代理服务器地址 | 字符串 | 否 | 要使用的代理服务器的地址。 | |
| 代理用户名 | 字符串 | 否 | 用于进行身份验证的代理用户名。 | |
| 代理密码 | 密码 | 否 | 用于进行身份验证的代理密码。 |
需要更多帮助?从社区成员和 Google SecOps 专业人士那里获得解答。