MISP
整合版本:31.0
設定 MISP 整合功能,以便與 Google Security Operations 搭配使用
使用 CA 憑證設定 MISP 整合
如有需要,您可以透過 CA 憑證檔案驗證連線。
開始之前,請確認您具備以下項目:
- CA 憑證檔案
- 最新版 MISP 整合功能
如要設定與 CA 憑證的整合,請完成下列步驟:
- 將 CA 憑證檔案剖析為 Base64 字串。
- 開啟整合設定參數頁面。
- 將字串插入「CA Certificate File」欄位。
- 如要測試整合設定是否成功,請選取「驗證 SSL」核取方塊,然後按一下「測試」。
自動化金鑰
驗證作業會透過 MISP UI 中提供的安全金鑰執行。API 金鑰位於自動化功能下的事件動作選單中。
在 Google SecOps 中設定 MISP 整合
如需在 Google SecOps 中設定整合功能的詳細操作說明,請參閱「設定整合功能」。
整合參數
請使用下列參數設定整合:
| 參數顯示名稱 | 類型 | 預設值 | 為必填項目 | 說明 |
|---|---|---|---|---|
| 執行個體名稱 | 字串 | 不適用 | 否 | 您要設定整合的執行個體名稱。 |
| 說明 | 字串 | 不適用 | 否 | 執行個體的說明。 |
| API 根層級 | https://<IP> | 是 | MISP 執行個體的位址。 | |
| API 金鑰 | 字串 | 不適用 | 是 | 在 MISP 控制台中產生。 |
| 使用 SSL | 核取方塊 | 已取消勾選 | 否 | 如果 MISP 連線需要 SSL 驗證,請勾選這個核取方塊 (預設為取消勾選)。 |
| 遠端執行 | 核取方塊 | 已取消勾選 | 否 | 勾選這個欄位,即可遠端執行設定的整合項目。勾選後,系統會顯示選取遠端使用者 (服務專員) 的選項。 |
動作
新增屬性
說明
將實體新增為 MISP 事件的屬性。
參數
| 參數顯示名稱 | 類型 | 預設值 | 為必填項目 | 說明 |
|---|---|---|---|---|
| 事件 ID | 字串 | 不適用 | 是 | 活動的 ID。 |
| 類別 | 字串 | 外部分析 | 否 | 屬性類別。預設:外部分析。 |
| 分布 | 字串 | 1 | 否 | 屬性的分布情形。預設值為 1。 |
| 適用於入侵偵測系統 | 核取方塊 | 已取消勾選 | 否 | 屬性是否用於入侵偵測系統。預設值為 false。 |
| 註解 | 字串 | 不適用 | 否 | 要新增至屬性的註解。 |
用途
不適用
執行時間
這項動作會對下列實體執行:
- 網址
- 主機名稱
- IP 位址
- Filehash
動作執行結果
實體擴充
不適用
深入分析
不適用
指令碼執行結果
| 指令碼結果名稱 | 值選項 | 範例 |
|---|---|---|
| 成功 | True/False | success:False |
JSON 結果
N/A
建立活動
說明
建立新的 MISP 事件。
已知限制
目前 MISP API 不允許在建立事件後立即發布。您必須先建立活動,然後使用「發布活動」動作。
參數
| 參數顯示名稱 | 類型 | 預設值 | 為必填項目 | 說明 |
|---|---|---|---|---|
| 事件名稱 | 字串 | 不適用 | 是 | 活動名稱。 |
| 威脅等級 | 字串 | 0 | 否 | 事件的威脅等級。預設值為 0。 |
| 分布 | 字串 | 1 | 否 | 屬性的分布情形。預設值為 1。 |
| 分析 | 字串 | 0 | 否 | 事件的分析層級 [0-2]:預設值為 0。 |
| 發布 | 核取方塊 | 已勾選 | 否 | 是否要發布活動。 |
| 註解 | 字串 | 不適用 | 否 | 活動的註解。 |
執行時間
這項操作會對所有實體執行。
動作執行結果
指令碼執行結果
| 指令碼結果名稱 | 值選項 | 範例 |
|---|---|---|
| event_id | 不適用 | 不適用 |
為活動新增標記
說明
使用者可以為 MISP 中的特定事件新增標記。這會根據與事件相關聯的 IOC 所造成的安全威脅類別,為事件新增分類。
參數
| 參數顯示名稱 | 類型 | 預設值 | 為必填項目 | 說明 |
|---|---|---|---|---|
| 事件 ID | 字串 | 不適用 | 是 | 專屬 ID,用於指定要新增代碼的事件。 |
| 標記名稱 | 字串 | 不適用 | 是 | 要新增至事件的代碼名稱。 |
用途
分類活動:新增標記來更新活動。
執行時間
這項操作會對所有實體執行。
動作執行結果
指令碼執行結果
| 指令碼結果名稱 | 值選項 | 範例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 結果
[
{
"saved": true,
"success": "Tag(s) added.",
"check_publish": true
}
]
下載檔案
說明
在 MISP 中下載與事件相關的檔案。
參數
| 參數顯示名稱 | 類型 | 預設值 | 為必填項目 | 說明 |
|---|---|---|---|---|
| 事件 ID | 字串 | 不適用 | 否 | 指定要下載檔案的事件 ID 或 UUID |
| 下載資料夾路徑 | 字串 | 不適用 | 指定資料夾的絕對路徑,該資料夾應儲存檔案。如果未指定任何內容,動作會改為建立附件。 |
|
| 覆寫 | 核取方塊 | 已取消勾選 | 啟用後,這項動作會覆寫現有檔案。 |
執行時間
這項動作會對 Filehash 實體執行。
動作執行結果
指令碼執行結果
| 指令碼結果名稱 | 值選項 | 範例 |
|---|---|---|
| 成功 | True/False | success:False |
JSON 結果
{
"absolute_paths": ["/etc/file1.txt", "/etc/file2.txt"]
}
案件總覽
| 結果類型 | 值說明 | 類型 |
|---|---|---|
| 輸出訊息* | 如果成功:「Successfully downloaded the following files from the event with {0} {1} in MISP:\n{2}」。format(ID/UUID, event_id, result/filename from the response) 如果找不到任何檔案:「No files were found for the event with {0} {1} in MISP:\n{2}」。format(ID/UUID, event_id) 如果未指定「下載資料夾路徑」,且部分檔案超過平台附件大小限制:「動作無法下載下列檔案,因為這些檔案超過 3 MB 的限制:\n {0}。\n Please specify a folder path in the parameter "Download Folder Path" in order to download them.".(result/filename) 重大錯誤 (動作失敗)「執行『下載檔案』動作時發生錯誤。Reason: {0}".format(stacktrace) 找不到事件 ID (動作失敗)「執行『下載檔案』動作時發生錯誤。Reason: Event with {0} {1} was not found in MISP".format(ID/UUID, event_id) 如果覆寫為 false,且其中一個檔案已存在:「Error executing action "Download File"」。原因:下列檔案已存在:{0}。請移除這些檔案,或將「Overwrite」參數設為 true。".format(absolute path to the file) |
一般 |
充實實體
說明
根據 MISP 中的屬性擴充實體。
參數
| 參數顯示名稱 | 類型 | 預設值 | 說明 |
|---|---|---|---|
| 要傳回的屬性數量 | 字串 | 不適用 | 指定要為實體傳回多少屬性。 |
| 篩選條件 | 指定動作的篩選條件。如果選取「最後」,動作會使用最舊的屬性進行擴充;如果選取「第一個」,動作會使用最新的屬性進行擴充。 | ||
| 威脅等級門檻 | DDL | 低 可能的值: 高 中 低 未定義 |
指定實體所在位置的事件威脅等級閾值。如果相關事件超過或符合門檻,實體就會標示為可疑。 |
| 屬性搜尋限制 | 整數 | 50 | 指定每個實體要搜尋的屬性數量。這項參數會影響要選取哪個屬性來進行擴充。預設值為 50。 |
執行時間
這項動作會對下列實體執行:
- 網址
- 主機名稱
- IP 位址
- Filehash
動作執行結果
實體擴充
如果事件的威脅等級超過 0,實體就會標示為可疑。 否則為 False
指令碼執行結果
| 指令碼結果名稱 | 值選項 | 範例 |
|---|---|---|
| 成功 | True/False | success:False |
JSON 結果
[
{
"EntityResult": [
{
"Event":
{
"orgc_id": "1",
"ShadowAttribute": [],
"id": "3",
"threat_level_id": "3",
"event_creator_email": "john_doe@example.com",
"uuid": "5c5bff1b-a414-4a83-8755-035f0a000016",
"Object": [],
"Orgc": {
"uuid": "5c5ac66e-3884-4031-afd7-46f5bb9ebcaa",
"name": "ORGNAME",
"id": "1"
},
"Org": {
"uuid": "5c5ac66e-3884-4031-afd7-46f5bb9ebcaa",
"name": "ORGNAME",
"id": "1"
},
"RelatedEvent": [],
"sharing_group_id": "0",
"timestamp": "1549533154",
"date": "2019-02-07",
"disable_correlation": "False",
"info": "Test event",
"locked": "False",
"publish_timestamp": "1549533214",
"Attribute": [
{
"category": "Network activity",
"comment": " ",
"uuid": "5c5bffe2-9298-4098-ae31-035d0a000016",
"deleted": "False",
"timestamp": "1549533154",
"to_ids": "False",
"distribution": "3",
"object_id": "0",
"event_id": "3",
"ShadowAttribute": [],
"sharing_group_id": "0",
"value": "1.1.1.1",
"disable_correlation": "False",
"object_relation": "None",
"type": "ip-src",
"id": "1",
"Galaxy": []
}],
"attribute_count": "1",
"org_id": "1",
"analysis": "2",
"extends_uuid": " ",
"published": "True",
"distribution": "3",
"proposal_email_lock": "False",
"Galaxy": []
}}],
"Entity": "1.1.1.1"
}
]
案件總覽
| 結果類型 | 值說明 | 類型 |
|---|---|---|
| 輸出訊息* | 對於找到的屬性:(is_success=true) "Successfully enriched the following entities using MISP: \n{0}".format(entity.identifier) 找不到屬性 (is_success=true)「Action wasn't able to enrich the following entities using MISP: \n{0}」。format(entity.identifier) 如果找不到所有屬性 (is_success=false)「No entities were enriched using MISP」(未使用 MISP 擴充任何實體) 如果屬性可疑 (is_success=true)「下列屬性已使用 MISP 標示為可疑:\n {0}」。format(entity.identifier) |
一般 |
| CSV 表格 | 資料表資料欄:
|
取得相關活動
說明
擷取與 MISP 中實體相關的事件資訊。
參數
| 參數顯示名稱 | 類型 | 預設值 | 說明 |
|---|---|---|---|
| 標示為可疑 | 核取方塊 | 已勾選 | 如果啟用這項動作,且實體至少有一個相關事件,系統就會將實體標示為可疑。 |
執行時間
這項動作會對下列實體執行:
- 網址
- 主機名稱
- IP 位址
- Filehash
動作執行結果
實體擴充
如果系統有相關事件的記錄,實體就會標示為可疑,否則為 False。
| 補充資料欄位名稱 | 邏輯 - 應用時機 |
|---|---|
| 事件 | 如果 JSON 結果中存在該值,則傳回該值 |
指令碼執行結果
| 指令碼結果名稱 | 值選項 | 範例 |
|---|---|---|
| 成功 | True/False | success:False |
JSON 結果
[
{
"EntityResult": [
{
"Event":
{
"orgc_id": "1",
"ShadowAttribute": [],
"id": "3",
"threat_level_id": "3",
"event_creator_email": "john_doe@example.com",
"uuid": "5c5bff1b-a414-4a83-8755-035f0a000016",
"Object": [],
"Orgc": {
"uuid": "5c5ac66e-3884-4031-afd7-46f5bb9ebcaa",
"name": "ORGNAME",
"id": "1"
},
"Org": {
"uuid": "5c5ac66e-3884-4031-afd7-46f5bb9ebcaa",
"name": "ORGNAME",
"id": "1"
},
"RelatedEvent": [],
"sharing_group_id": "0",
"timestamp": "1549533154",
"date": "2019-02-07",
"disable_correlation": "False",
"info": "Test event",
"locked": "False",
"publish_timestamp": "1549533214",
"Attribute": [
{
"category": "Network activity",
"comment": " ",
"uuid": "5c5bffe2-9298-4098-ae31-035d0a000016",
"deleted": "False",
"timestamp": "1549533154",
"to_ids": "False",
"distribution": "3",
"object_id": "0",
"event_id": "3",
"ShadowAttribute": [],
"sharing_group_id": "0",
"value": "1.1.1.1",
"disable_correlation": "False",
"object_relation": "None",
"type": "ip-src",
"id": "1",
"Galaxy": []
}],
"attribute_count": "1",
"org_id": "1",
"analysis": "2",
"extends_uuid": " ",
"published": "True",
"distribution": "3",
"proposal_email_lock": "False",
"Galaxy": []
}}],
"Entity": "1.1.1.1"
}
]
案件總覽
| 結果類型 | 值說明 | 類型 |
|---|---|---|
| 輸出訊息* | 如果至少有一個實體找到事件:「已成功擷取下列實體的相關事件資訊:\n{0}」。format(entity.identifier) 如果至少有一個實體找不到事件:「動作無法擷取下列實體的相關事件資訊:\n{0}」。format(entity.identifier 如果沒有任何事件:「找不到所提供實體的相關事件。」 |
一般 |
上傳檔案
說明
將檔案上傳至 MISP 活動。
參數
| 名稱 | 類型 | 預設 | 說明 |
|---|---|---|---|
| 事件 ID | 字串 | 不適用 | 指定要上傳這個檔案的事件 ID 或 UUID。 |
| 檔案路徑 | 字串 | 不適用 | 指定要上傳至 MISP 的檔案絕對路徑清單 (以半形逗號分隔)。 |
| 類別 | 指定上傳檔案的類別。可能的值:外部分析、酬載傳送、捨棄構件、酬載安裝。 | ||
| 分布 | 字串 | 社群 | 為上傳的檔案指定發布方式。 |
| 威脅等級 | 字串 | 高 | 指定上傳檔案的威脅等級。 |
| 分析 | 字串 | 初始 | 指定事件的分析。 |
| 資訊 | 字串 | 不適用 | 為上傳的檔案指定其他資訊。 |
| 適用於入侵偵測系統 | 核取方塊 | 已取消勾選 | 啟用後,上傳的檔案會用於入侵偵測系統。 |
| 註解 | 字串 | 不適用 | 指定與上傳檔案相關的其他註解。 |
動作執行結果
指令碼執行結果
| 指令碼結果名稱 | 值選項 | 範例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 結果
{
"Event": {
"id": "106",
"orgc_id": "1",
"org_id": "1",
"date": "2021-01-15",
"threat_level_id": "1",
"info": "vanuhi 1015",
"published": false,
"uuid": "1cd22aa2-57e8-4fc8-bac6-721c1be2c27d",
"attribute_count": "10",
"analysis": "0",
"timestamp": "1610893968",
"distribution": "1",
"proposal_email_lock": false,
"locked": false,
"publish_timestamp": "0",
"sharing_group_id": "0",
"disable_correlation": false,
"extends_uuid": "",
"event_creator_email": "admin@admin.test",
"Org": {
"id": "1",
"name": "ORGNAME",
"uuid": "09b0dde1-2934-4310-a107-74b6f534f041",
"local": true
},
"Orgc": {
"id": "1",
"name": "ORGNAME",
"uuid": "09b0dde1-2934-4310-a107-74b6f534f041",
"local": true
},
"Attribute": [],
"ShadowAttribute": [],
"Object": [
{
"id": "446",
"name": "file",
"meta-category": "file",
"description": "File object describing a file with meta-information",
"template_uuid": "688c46fb-5edb-40a3-8273-1af7923e2215",
"template_version": "20",
"event_id": "106",
"uuid": "0188ba5d-68eb-4b5c-8e05-6fd49f8eee9a",
"timestamp": "1610691647",
"distribution": "1",
"sharing_group_id": "0",
"comment": "",
"deleted": false,
"first_seen": null,
"last_seen": null,
"ObjectReference": [],
"Attribute": [
{
"id": "1859",
"type": "malware-sample",
"category": "External analysis",
"to_ids": true,
"uuid": "7920cd28-5082-47ce-9c3e-3ccbd5dae138",
"event_id": "106",
"distribution": "1",
"timestamp": "1610703650",
"comment": "",
"sharing_group_id": "0",
"deleted": false,
"disable_correlation": false,
"object_id": "446",
"object_relation": "malware-sample",
"first_seen": null,
"last_seen": null,
"value": "vanuhi.txt|7bd55b0a276e076cbaf470e64359adb8",
"Galaxy": [],
"data": "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",
"ShadowAttribute": [],
"Sighting": [
{
"id": "1733",
"attribute_id": "1859",
"event_id": "106",
"org_id": "1",
"date_sighting": "1611207638",
"uuid": "feb085f1-1923-4327-a73d-b60a948377e4",
"source": "",
"type": "0",
"Organisation": {
"id": "1",
"uuid": "09b0dde1-2934-4310-a107-74b6f534f041",
"name": "ORGNAME"
},
"attribute_uuid": "7920cd28-5082-47ce-9c3e-3ccbd5dae138"
}
]
}
}
}
}
案件總覽
| 結果類型 | 值/說明 | 類型 |
|---|---|---|
| 輸出訊息* | 如果一個實體成功:「Succesfully uploaded the provided files to the event {0} in MISP」。format(event_id) 重大錯誤 (動作失敗):「執行『上傳檔案』動作時發生錯誤。Reason: {0}".format(stacktrace) 如果在「Distribution」中指定無效參數(動作失敗): 「執行『上傳檔案』動作時發生錯誤。原因:參數「Distribution」的值無效。可接受的數字:0、1、2、3。可接受的字串:Organisation、Community、Connected、All。 如果「威脅等級」中指定了無效參數 (動作失敗):「Error executing action "Upload File". 原因:參數「威脅等級」的值無效。可接受的數字:1、2、3、4。可接受的字串:「High」、「Medium」、「Low」、「Undefined」。 如果在「類別」中指定無效參數 (動作失敗):「執行『上傳檔案』動作時發生錯誤。原因:參數「Category」的值無效。可接受的值:「External Analysis」、「Payload Delivery」、「Artifacts Dropped」、「Payload Installation」。 如果在「分析」中指定無效參數 (動作失敗):「執行『上傳檔案』動作時發生錯誤。原因:參數「Analysis」的值無效。可接受的數字:0、1、2。可接受的字串:「Initial」、「Ongoing」、「Completed」。 如果至少有一個檔案無法使用:「執行動作『上傳檔案』時發生錯誤。原因:無法存取下列檔案:\n {0}".format(file paths, that were not accessible.) 找不到事件 ID (動作失敗)「執行『上傳檔案』動作時發生錯誤。Reason: Event with {0} {1} was not found in MISP".format(ID/UUID, event_id) |
一般 |
乒乓
說明
測試連線。
參數
不適用
用途
不適用
執行時間
這項操作會對所有實體執行。
動作執行結果
實體擴充
不適用
深入分析
不適用
指令碼執行結果
| 指令碼結果名稱 | 值選項 | 範例 |
|---|---|---|
| 成功 | True/False | success:False |
JSON 結果
N/A
從活動中移除標記
說明
從 MISP 中的事件移除標記。
參數
| 參數顯示名稱 | 類型 | 預設值 | 為必填項目 | 說明 |
|---|---|---|---|---|
| 事件 ID | 字串 | 不適用 | 是 | 指定要移除代碼的事件 ID 或 UUID。 |
| 標記名稱 | CSV | 不適用 | 是 | 以半形逗號分隔指定要從事件中移除的標記。 |
用途
重新分類活動:移除標記以重新分類。
動作執行結果
指令碼執行結果
| 指令碼結果名稱 | 值選項 | 範例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 結果
[
{
"saved": true,
"success": "Tag removed.",
"check_publish": true
}
]
案件總覽
| 結果類型 | 值/說明 | 類型 |
|---|---|---|
| 輸出訊息* | 如果已從事件中成功移除所有標記:「已從 MISP 中 ID/UUID 為 {0} 的事件移除下列標記:{2}。」.format(ID/UUID, event_id, tags) 如果無法從事件中移除部分標記:「Action wasn't able to remove the following tags from the event with {0} {1} in MISP: {2}.".format(ID/UUID, event_id, tags) 如果並非所有標記都移除成功:「No tags were removed from the event with {0} {1} in MISP」(MISP 中 ID/UUID 為 {0},事件 ID 為 {1} 的事件沒有移除任何標記)。format(ID/UUID, event_id) 如果找不到至少一個標記:「The following tags were not found in MISP: \n{0}」。format(list of tags that were not found in MISP) 如果找不到所有代碼:「MISP 中找不到任何提供的代碼。」 重大錯誤 (動作失敗)「執行動作『從事件中移除代碼』時發生錯誤。Reason: {0}".format(stacktrace) 找不到事件 ID (動作失敗)「執行『從事件中移除代碼』動作時發生錯誤。Reason: Event with {0} {1} was not found in MISP".format(ID/UUID, event_id) |
一般 |
將標記新增至屬性
說明
使用者可透過這項動作,在 MISP 中為特定屬性新增標記。這會根據屬性中 IOC 造成的安全威脅類別,為屬性新增分類。
參數
| 參數顯示名稱 | 類型 | 預設值 | 為必填項目 | 說明 |
|---|---|---|---|---|
| 事件 ID | 整數 | 不適用 | 是 | 屬性相關聯的事件 ID。範例:1. |
| 標記名稱 | 字串 | 不適用 | 是 | 要新增至屬性的標記名稱。 |
| 屬性名稱 | 字串 | 不適用 | 是 | 要標記的屬性名稱 ID。 |
| 類別 | 字串 | 不適用 | 是 | 屬性所屬的類別,例如「酬載傳送」。 |
| 類型 | 字串 | 不適用 | 是 | 屬性類型,例如檔案名稱。 |
| 物件 UUID | 字串 | 不適用 | 否 | 事件中物件的專屬 ID。 |
用途
根據 IOC 類型分類屬性:在屬性中加入標記。
執行時間
這項操作會對所有實體執行。
動作執行結果
實體擴充
不適用
深入分析
不適用
指令碼執行結果
| 指令碼結果名稱 | 值選項 | 範例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 結果
[
{
"name": "Global tag unique___test(7) successfully attached to Attribute(9).",
"message": "Global tag unique___test(7) successfully attached to Attribute(9).",
"url": "/tags/attachTagToObject"
}
]
從屬性中移除標記
說明
從 MISP 的屬性中移除標記。
參數
| 參數顯示名稱 | 類型 | 預設值 | 為必填項目 | 說明 |
|---|---|---|---|---|
| 事件 ID | 字串 | 不適用 | 否 | 指定事件的 ID 或 UUID,以及要搜尋屬性的位置。如果「屬性搜尋」設為「提供的事件」,則必須提供這項參數。 |
| 標記名稱 | CSV | 不適用 | 是 | 指定要從屬性中移除的標記清單 (以半形逗號分隔)。 |
| 屬性名稱 | CSV | 不適用 | 否 | 指定要移除代碼的屬性 ID 清單 (以半形逗號分隔)。 |
| 類別 | CSV | 不適用 | 否 | 指定以逗號分隔的類別清單。如有指定,動作只會從類別相符的屬性中移除標記。如果未指定任何項目,動作會忽略屬性中的類別。 |
| 類型 | CSV | 不適用 | 否 | 指定以半形逗號分隔的屬性類型清單。如果指定,動作只會從屬性類型相符的屬性中移除標記。如未指定任何項目,動作會忽略屬性中的型別。 |
| 物件 UUID | CSV | 不適用 | 指定包含所需屬性的物件 UUID。 | |
| 屬性搜尋 | DDL | 提供的事件 可能的值包括: 所有活動 提供的事件 |
是 | 指定動作應在何處搜尋屬性。如果選取「提供的事件」,動作只會在「事件 ID」參數中提供的 ID/UUID 事件中,搜尋屬性或屬性 UUID。如果是「所有事件」,系統會搜尋所有事件中的屬性,並從符合條件的所有屬性中移除標記。 |
| 屬性 UUID | CSV | 指定要移除新標記的屬性 UUID 清單 (以半形逗號分隔)。注意:如果同時指定「屬性名稱」和「屬性 UUID」,動作會使用「屬性 UUID」值。 |
用途
重新分類屬性:移除標記以重新分類
執行時間
這項操作會對所有實體執行。
動作執行結果
指令碼執行結果
| 指令碼結果名稱 | 值選項 | 範例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 結果
[
{
"name": "Tag unique___test(7) successfully removed from Attribute(9).",
"message": "Tag unique___test(7) successfully removed from Attribute(9).",
"url": "/tags/removeTagFromObject"
}
]
案件總覽
| 結果類型 | 值/說明 | Type> |
|---|---|---|
| 輸出訊息* | 如果已成功從至少一個屬性移除標記:「已成功從 MISP 的下列屬性移除標記:\n{0}」。format(屬性名稱/物件 UUID) 如果無法從至少一個屬性中移除標記:「Action didn't removed tags from the following attributes in MISP:\n{0}」。format(attribute name/object UUID) 如果並非全部成功:「MISP 中提供的屬性未移除任何標記」 如果找不到至少一個標記:「The following tags were not found in MISP: \n{0}」。format(list of tags that were not found in MISP) 如果找不到所有代碼:「MISP 中找不到任何提供的代碼。」 重大錯誤 (動作失敗):「執行『從屬性中移除代碼』動作時發生錯誤。Reason: {0}".format(stacktrace) 如果在「類別」中指定無效參數 (動作失敗):「執行『從屬性中移除代碼』動作時發生錯誤。原因:參數「Category」的值無效。可接受的值:「External Analysis」、「Payload Delivery」、「Artifacts Dropped」、「Payload Installation」。 如果選取「提供的事件」,但未選取事件 ID:「執行『從屬性中移除代碼』動作時發生錯誤。原因:如果為「屬性搜尋」參數選取「提供的事件」,則必須提供事件 ID。 找不到事件 ID (動作失敗)「執行『從屬性中移除代碼』動作時發生錯誤。Reason: Event with {0} {1} was not found in MISP".format(ID/UUID, event_id) |
一般 |
發布活動
說明
使用者可透過這項動作發布活動。發布活動後,活動會分享至所選的分享群組,所有成員都能看到。
參數
| 參數顯示名稱 | 類型 | 預設值 | 為必填項目 | 說明 |
|---|---|---|---|---|
| 事件 ID | 字串 | 不適用 | 是 | 指定要發布的事件 ID 或 UUID。 |
用途
發布活動:
- 建立偶數
- 新增事件屬性
- 發布活動
動作執行結果
指令碼執行結果
| 指令碼結果名稱 | 值選項 | 範例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 結果
[
{
"Event": {
"id": "3",
"orgc_id": "1",
"org_id": "1",
"date": "2019-12-27",
"threat_level_id": "1",
"info": "Connection to .ch",
"published": true,
"uuid": "5e05dd29-7b90-474d-b5f6-51ae0a00024b",
"attribute_count": "0",
"analysis": "1",
"timestamp": "1577774920",
"distribution": "3",
"proposal_email_lock": false,
"locked": false,
"publish_timestamp": "1577774846",
"sharing_group_id": "0",
"disable_correlation": false,
"extends_uuid": "5e05db24-1e98-4bb9-bd56-51fd0a00024b",
"event_creator_email": "admin@admin.test",
"Org": {
"id": "1",
"name": "ORGNAME",
"uuid": "5dfc9b8f-c320-4b6d-ac1c-4f4e8bdc3fef",
"local": true
},
"Orgc": {
"id": "1",
"name": "ORGNAME",
"uuid": "5dfc9b8f-c320-4b6d-ac1c-4f4e8bdc3fef",
"local": true
},
"Attribute": [],
"ShadowAttribute": [],
"RelatedEvent": [],
"Galaxy": [],
"Object": [],
"Tag": [
{
"id": "7",
"name": "unique___test",
"colour": "#9648c4",
"exportable": true,
"user_id": "0",
"hide_tag": false,
"numerical_value": null,
"local": 0
}
]
}
}
]
案件總覽
| 結果類型 | 值/說明 | 類型 |
|---|---|---|
| 輸出訊息* | 如果成功:「Successfully published event with {0} {1} in MISP.」。format(ID/UUID, event_id) 如果未成功:「Event with {0} {1} was not published in MISP」(事件未發布至 MISP)。format(ID/UUID, event_id) 重大錯誤 (動作失敗)「執行動作『發布事件』時發生錯誤。Reason: {0}".format(stacktrace) 找不到活動 ID (動作失敗)「執行『發布活動』動作時發生錯誤。Reason: Event with {0} {1} was not found in MISP".format(ID/UUID, event_id) |
一般 |
取消發布活動
說明
使用者可以透過這項動作取消發布活動。取消發布活動後,共用群組就無法再看到該活動。
參數
| 參數顯示名稱 | 類型 | 預設值 | 為必填項目 | 說明 |
|---|---|---|---|---|
| 事件 ID | 字串 | 不適用 | 是 | 指定要取消發布的事件 ID 或 UUID。 |
動作執行結果
指令碼執行結果
| 指令碼結果名稱 | 值選項 | 範例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 結果
[
{
"Event": {
"id": "3",
"orgc_id": "1",
"org_id": "1",
"date": "2019-12-27",
"threat_level_id": "1",
"info": "Connection to .ch",
"published": false,
"uuid": "5e05dd29-7b90-474d-b5f6-51ae0a00024b",
"attribute_count": "0",
"analysis": "1",
"timestamp": "1577774920",
"distribution": "3",
"proposal_email_lock": false,
"locked": false,
"publish_timestamp": "1577774846",
"sharing_group_id": "0",
"disable_correlation": false,
"extends_uuid": "5e05db24-1e98-4bb9-bd56-51fd0a00024b",
"event_creator_email": "admin@admin.test",
"Org": {
"id": "1",
"name": "ORGNAME",
"uuid": "5dfc9b8f-c320-4b6d-ac1c-4f4e8bdc3fef",
"local": true
},
"Orgc": {
"id": "1",
"name": "ORGNAME",
"uuid": "5dfc9b8f-c320-4b6d-ac1c-4f4e8bdc3fef",
"local": true
},
"Attribute": [],
"ShadowAttribute": [],
"RelatedEvent": [],
"Galaxy": [],
"Object": [],
"Tag": [
{
"id": "7",
"name": "unique___test",
"colour": "#9648c4",
"exportable": true,
"user_id": "0",
"hide_tag": false,
"numerical_value": null,
"local": 0
}
]
}
}
]
案件總覽
| 結果類型 | 值/說明 | 類型 |
|---|---|---|
| 輸出訊息* | 如果成功:「Successfully unpublished event with {0} {1} in MISP.」(已成功在 MISP 中取消發布 ID/UUID 為「{0}」的活動,活動 ID 為「{1}」)。 如果未成功:「Event with {0} {1} was not unpublished in MISP」(MISP 中未取消發布事件,{0} {1} 為 ID/UUID,event_id 為事件 ID) 重大錯誤 (動作失敗):「執行動作『取消發布活動』時發生錯誤。Reason: {0}".format(stacktrace) 找不到活動 ID (動作失敗)「執行『取消發布活動』動作時發生錯誤。Reason: Event with {0} {1} was not found in MISP".format(ID/UUID, event_id) |
一般 |
刪除屬性
說明
在 MISP 中刪除屬性。支援的雜湊:MD5、SHA1、SHA224、SHA256、SHA384、SHA512、SSDeep。
參數
| 參數顯示名稱 | 類型 | 預設值 | 為必填項目 | 說明 |
|---|---|---|---|---|
| 事件 ID | 字串 | 不適用 | 否 | 指定事件的 ID 或 UUID,以及要搜尋屬性的位置。如果「屬性搜尋」設為「提供的事件」,則必須提供這項參數。 |
| 屬性名稱 | CSV | 不適用 | 否 | 指定要刪除的屬性 ID 清單 (以半形逗號分隔)。 |
| 類別 | CSV | 不適用 | 否 | 指定以逗號分隔的類別清單。如有指定,動作只會刪除類別相符的屬性。如果未指定任何項目,動作會忽略屬性中的類別。 |
| 類型 | CSV | 不適用 | 否 | 指定以半形逗號分隔的屬性類型清單。如果指定了屬性類型,動作只會刪除相符的屬性。如未指定任何項目,動作會忽略屬性中的型別。 |
| 物件 UUID | 字串 | 不適用 | 否 | 事件中物件的專屬 ID。 |
| 屬性搜尋 | DDL | 提供的事件 可能的值包括: 所有活動 提供的事件 |
是 | 指定動作應在何處搜尋屬性。如果選取「提供的事件」,動作只會在「事件 ID」參數中提供的 ID/UUID 事件中,搜尋屬性或屬性 UUID。如果是「所有事件」,系統會搜尋所有事件中的屬性,並刪除符合條件的所有屬性。 |
| 屬性 UUID | CSV | 指定要刪除的屬性 UUID 清單,並以半形逗號分隔。 |
用途
從活動中移除屬性。
執行時間
這項操作會對所有實體執行。
動作執行結果
指令碼執行結果
| 指令碼結果名稱 | 值選項 | 範例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 結果
[
{
"message": "Attribute deleted."
}
]
案件總覽
| 結果類型 | 值說明 | 類型 |
|---|---|---|
| 輸出訊息* | 如果已成功將發現項目新增至至少一個屬性:「Successfully deleted the following attributes in MISP:\n{0}」(已成功刪除 MISP 中的下列屬性:\n{0})。format(屬性名稱/物件 UUID) 如果未成功將 Sighting 新增至至少一個屬性:「動作未刪除 MISP 中的下列屬性:\n{0}」。format(屬性名稱/物件 UUID) 如果並非全部成功:「MISP 中未刪除任何屬性」 重大錯誤 (動作失敗):「執行動作『刪除屬性』時發生錯誤。Reason: {0}".format(stacktrace) 如果「類別」中指定了無效參數 (動作失敗):「執行動作『刪除屬性』時發生錯誤。原因:參數「Category」的值無效。可接受的值:「External Analysis」、「Payload Delivery」、「Artifacts Dropped」、「Payload Installation」。 如果選取「提供的事件」,但未選取事件 ID:「執行『刪除屬性』動作時發生錯誤。原因:如果為「屬性搜尋」參數選取「提供的事件」,則必須提供事件 ID。 找不到活動 ID (動作失敗)「執行『刪除屬性』動作時發生錯誤。Reason: Event with {0} {1} was not found in MISP".format(ID/UUID, event_id) |
一般 |
刪除活動
說明
在 MISP 中刪除事件。
參數
| 參數顯示名稱 | 類型 | 預設值 | 為必填項目 | 說明 |
|---|---|---|---|---|
| 事件 ID | 字串 | 不適用 | 是 | 指定要刪除的事件 ID 或 UUID。 |
用途
永久刪除活動。
執行時間
這項動作會對使用者實體執行。
動作執行結果
指令碼執行結果
| 指令碼結果名稱 | 值選項 | 範例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 結果
[
{
"name": "Event deleted.",
"message": "Event deleted.",
"url": "/events/delete/4"
}
]
案件總覽
| 結果類型 | 值說明 | 類型 |
|---|---|---|
| 輸出訊息* | 如果成功:「Successfully deleted event with {0} {1} in MISP」(已成功刪除 MISP 中 ID/UUID 為「{0}」的事件,事件 ID 為「{1}」) 重大錯誤 (動作失敗)「執行動作『刪除活動』時發生錯誤。原因:{0}".format(traceback) 找不到活動 ID (動作失敗)「執行『刪除活動』動作時發生錯誤。Reason: Event with {0} {1} was not found in MISP".format(ID/UUID, event_id) |
一般 |
建立 File Misp 物件
說明
這項動作可讓使用者在單一物件中整理與事件相關的檔案屬性,該物件會說明檔案及其元資訊。然後,將含有屬性的物件附加至指定事件。
參數
| 參數顯示名稱 | 類型 | 預設值 | 為必填項目 | 說明 |
|---|---|---|---|---|
| 事件 ID | 字串 | 不適用 | 是 | 要新增物件的事件專屬 ID。例如:1 |
| 檔案名稱 | 字串 | 不適用 | 否 | 檔案的檔案名稱。 |
| MD5 | 字串 | 不適用 | 否 | 檔案的 MD5 雜湊值。 |
| SHA1 | 字串 | 不適用 | 否 | 檔案的 sha1 雜湊值。 |
| SHA256 | 字串 | 不適用 | 否 | 檔案的 sha256 雜湊值。 |
| SSDEEP | 字串 | 不適用 | 否 | 檔案的 ssdeep 值。範例:96:p5aAS1tN0M3t9AnTNuG6TNOt5PR1TNZdkljOXTNSnKTF3X7KsTFW+kLtW6K8i7bI:p5mb4rgQhRp7GljCbF3LKqFjkwxtU |
| Imphash | 字串 | 不適用 | 否 | 根據匯入的表格計算出的 MD5 雜湊值。 |
用途
不適用
執行時間
這項操作會對所有實體執行。
動作執行結果
實體擴充
不適用
深入分析
不適用
指令碼執行結果
| 指令碼結果名稱 | 值選項 | 範例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 結果
N/A
建立 IP-Port Misp 物件
說明
這項動作可讓使用者在單一物件中整理與事件相關的 IP 連接埠屬性,該物件會說明特定時間範圍內以元組 (或三元組) 形式顯示的 IP 位址 (或網域或主機名稱) 和連接埠。然後,將具有屬性的物件附加至指定事件。
參數
| 參數顯示名稱 | 類型 | 預設值 | 為必填項目 | 說明 |
|---|---|---|---|---|
| 事件 ID | 字串 | 不適用 | 是 | 要新增物件的事件專屬 ID。例如:1 |
| Dst-port | 字串 | 不適用 | 否 | 目的地通訊埠。 |
| Src-port | 字串 | 不適用 | 否 | 來源通訊埠。 |
| 網域 | 字串 | 不適用 | 否 | 。 |
| 主機名稱 | 字串 | 不適用 | 否 | 主機名稱。 |
| IP-Src | 字串 | 不適用 | 否 | 來源 IP 位址。 |
| IP-Dst | 字串 | 不適用 | 否 | 目的地 IP 位址。 |
用途
不適用
執行時間
這項操作會對所有實體執行。
動作執行結果
實體擴充
不適用
深入分析
不適用
指令碼執行結果
| 指令碼結果名稱 | 值選項 | 範例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 結果
N/A
建立網路連線 Misp 物件
說明
在 MISP 中建立網路連線物件。必須提供下列其中一項:Dst-port、Src-port、IP-Src、IP-Dst,或將「Use Entities」參數設為 true。
參數
| 參數顯示名稱 | 類型 | 預設值 | 為必填項目 | 說明 |
|---|---|---|---|---|
| 事件 ID | 字串 | 不適用 | 是 | 指定要新增網路連線物件的事件 ID 或 UUID。 |
| Dst-port | 字串 | 不適用 | 否 | 指定要新增至事件的目的地連接埠。 |
| Src-port | 字串 | 不適用 | 否 | 指定要新增至事件的來源埠。 |
| Hostname-dst | 字串 | 不適用 | 否 | 指定要新增至活動的來源目的地。 |
| Hostname-src | 字串 | 不適用 | 否 | 指定要新增至事件的來源主機名稱。 |
| IP-Src | 字串 | 不適用 | 否 | 指定要新增至事件的來源 IP。 |
| IP-Dst | 字串 | 不適用 | 否 | 指定要新增至事件的目的地 IP。 |
| 第 3 層通訊協定 | 字串 | 不適用 | 否 | 指定要新增至事件的相關第 3 層通訊協定。 |
| 第 4 層通訊協定 | 字串 | 不適用 | 否 | 指定要新增至事件的相關第 4 層通訊協定。 |
| 第 7 層通訊協定 | 字串 | 不適用 | 否 | 指定要新增至事件的相關第 7 層通訊協定。 |
| 使用實體 | 核取方塊 | 已取消勾選 | 否 | 啟用後,動作會使用實體建立物件。支援的實體:IP 位址。「使用實體」的優先順序高於其他參數。 |
| IP 類型 | DDL | 來源 IP 可能的值包括: 來源 IP 目的地 IP |
指定 IP 實體應使用的屬性類型。 |
執行時間
這項操作會對所有實體執行。
動作執行結果
指令碼執行結果
| 指令碼結果名稱 | 值選項 | 範例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 結果
N/A
案件總覽
| 結果類型 | 值說明 | 類型 |
|---|---|---|
| 輸出訊息* | 如果成功且「Use Entities」不是 true:「Successfully created new network-connection object for event with {0} {1} in MISP.」。format(ID/UUID, event_id) 如果未成功且「Use Entities」不是 true:「Action wasn't able to created new network-connection object for event with {0} {1} in MISP. 原因:{2}」。format(ID/UUID) 如果其中一個成功,且「Use Entities」為 true:「Successfully created new network-connection objects for event with {0} {1} in MISP based on the following entities: \n{0}".format(ID/UUID, event_id, entity.identifiers) 如果其中一個未成功,且「Use Entities」為 true:「Action wasn't able to create new network-connection objects for event with {0} {1} in MISP based on the following entities: \n{0}".format(ID/UUID, event_id, entity.identifiers) 如果並非所有項目都成功,且「Use Entities」為 true:「Action wasn't able to create new network-connection objects for event with {0} {1} in MISP based on the provided entities.」。format(ID/UUID, event_id) 重大錯誤 (動作失敗)「Error executing action "Create network-connection Misp Object". Reason: {0}".format(stacktrace) 找不到事件 ID (動作失敗)「執行動作『建立網路連線 Misp 物件』時發生錯誤。Reason: Event with {0} {1} was not found in MISP".format(ID/UUID, event_id) 如果未提供 Dst-port、Src-port、IP-Src、IP-Dst,且「Use Entities」== false:「Error executing action "Create network-connection Misp Object"」。原因:應提供「Dst-port」、「Src-port」、「IP-Src」或「IP-Dst」其中之一,或將「Use Entities」參數設為 true。 |
一般 |
建立 Url Misp 物件
說明
在 MISP 中建立網址物件。必須提供「網址」,或將「使用實體」參數設為 true。
參數
| 參數顯示名稱 | 類型 | 預設值 | 為必填項目 | 說明 |
|---|---|---|---|---|
| 事件 ID | 字串 | 不適用 | 是 | 指定要新增網址物件的事件 ID 或 UUID。 |
| 網址 | 字串 | 不適用 | 否 | 指定要新增至活動的網址。 |
| 通訊埠 | 字串 | 不適用 | 否 | 指定要新增至事件的連接埠。 |
| 首次出現時間 | 字串 | 不適用 | 否 | 指定首次看到網址的時間。 |
| 上次出現時間 | 字串 | 不適用 | 否 | 指定網址上次出現的時間。 |
| 網域 | 字串 | 不適用 | 否 | 指定要新增至活動的網域。 |
| 文字 | 字串 | 不適用 | 否 | 指定要新增至活動的其他文字。 |
| IP | 字串 | 不適用 | 否 | 指定要新增至事件的 IP。 |
| 主機 | 字串 | 不適用 | 否 | 指定要新增至活動的主辦人。 |
| 使用實體 | 核取方塊 | 已取消勾選 | 啟用後,動作會使用實體建立物件。支援的實體:網址。「使用實體」的優先順序高於其他參數。 |
執行時間
這項操作會對所有實體執行。
動作執行結果
指令碼執行結果
| 指令碼結果名稱 | 值選項 | 範例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 結果
N/A
案件總覽
| 結果類型 | 值說明 | 類型 |
|---|---|---|
| 輸出訊息* | 如果成功且「Use Entities」不是 true:「Successfully created new URL object for event with {0} {1} in MISP.」。format(ID/UUID, event_id) 如果未成功且「Use Entities」不是 true:「Action wasn't able to created URL object for event with {0} {1} in MISP. 原因:{2}」。format(ID/UUID) 如果其中一個成功,且「Use Entities」為 true:「Successfully created new URL objects for event with {0} {1} in MISP based on the following entities: \n{0}」。format(ID/UUID, event_id, entity.identifiers) 如果其中一個未成功,且「Use Entities」為 true:「Action wasn't able to create new URL objects for event with {0} {1} in MISP based on the following entities: \n{0}".format(ID/UUID, event_id, entity.identifiers) 如果並非所有項目都成功,且「Use Entities」為 true:「Action wasn't able to create new URL objects for event with {0} {1} in MISP based on the provided entities.」。format(ID/UUID, event_id) 重大錯誤 (動作失敗)「執行動作『建立網址 Misp 物件』時發生錯誤。Reason: {0}".format(stacktrace) 找不到事件 ID (動作失敗)「Error executing action "Create Url Misp Object". Reason: Event with {0} {1} was not found in MISP".format(ID/UUID, event_id) 如果未提供任何網址,且「Use Entities」== false:「Error executing action "Create Url Misp Object"」。原因:必須提供「網址」,或將「使用實體」參數設為 true。 |
一般 |
建立 VirusTotal 報表物件
說明
在 MISP 中建立 Virustotal 報表物件。
參數
| 參數顯示名稱 | 類型 | 預設值 | 為必填項目 | 說明 |
|---|---|---|---|---|
| 事件 ID | 字串 | 不適用 | 是 | 指定要新增網址物件的事件 ID 或 UUID。 |
| 永久連結 | 字串 | 不適用 | 是 | 指定要新增至事件的 VirusTotal 報告連結。 |
| 註解 | 字串 | 不適用 | 否 | 指定要新增至活動的留言。 |
| 偵測率 | 字串 | 不適用 | 否 | 指定要新增至事件的偵測比率。 |
| 社群分數 | 字串 | 不適用 | 否 | 指定要新增至活動的社群分數。 |
| 首次提交 | 字串 | 不適用 | 否 | 指定首次提交活動的時間。 |
| 上次提交時間 | 字串 | 不適用 | 否 | 指定事件的最後提交時間。 |
執行時間
這項操作會對所有實體執行。
動作執行結果
指令碼執行結果
| 指令碼結果名稱 | 值選項 | 範例 |
|---|---|---|
| is_success | True/False | is_success:False |
案件總覽
| 結果類型 | 值說明 | 類型 |
|---|---|---|
| 輸出訊息* | 如果成功:「Successfully created new Virustotal-Report object for event with {0} {1} in MISP.」(已成功為 MISP 中 ID/UUID 為「{0}」的事件建立新的 VirusTotal 報表物件)。format(ID/UUID, event_id) 如果失敗:「Action wasn't able to created Virustotal-Report object for event with {0} {1} in MISP. 原因:{2}」。format(ID/UUID) 重大錯誤 (動作失敗)「Error executing action "Create Virustotal-Report Misp Object". Reason: {0}".format(stacktrace) 找不到事件 ID (動作失敗)「執行動作『建立 Virustotal 報告 Misp 物件』時發生錯誤。Reason: Event with {0} {1} was not found in MISP".format(ID/UUID, event_id) |
一般 |
列出事件物件
說明
擷取 MISP 事件中可用物件的相關資訊。
參數
| 參數顯示名稱 | 類型 | 預設值 | 為必填項目 | 說明 |
|---|---|---|---|---|
| 事件 ID | 字串 | 不適用 | 是 | 以半形逗號分隔,列出要擷取詳細資料的事件 ID 和 UUID。 |
| 要傳回的物件數量上限 | 整數 | 50 | 否 | 指定要傳回的物件數量。 |
執行時間
這項操作不會對實體執行。
動作執行結果
指令碼執行結果
| 指令碼結果名稱 | 值選項 | 範例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 結果
"Object": [
{
"id": "1",
"name": "ftm-Associate",
"meta-category": "followthemoney",
"description": "Non-family association between two people",
"template_uuid": "6119ecb3-dedd-44b6-b88f-174585b0b1bf",
"template_version": "1",
"event_id": "1",
"uuid": "2a3e260f-d3b2-4164-b2b1-2f6f5b559970",
"timestamp": "1594632232",
"distribution": "5",
"sharing_group_id": "0",
"comment": "",
"deleted": false,
"first_seen": null,
"last_seen": null,
"ObjectReference": [],
},
{
"id": "2",
"name": "ftm-Associate",
"meta-category": "followthemoney",
"description": "Non-family association between two people",
"template_uuid": "6119ecb3-dedd-44b6-b88f-174585b0b1bf",
"template_version": "1",
"event_id": "1",
"uuid": "800d8634-175a-4bc2-a4d7-aca200c8c132",
"timestamp": "1594632463",
"distribution": "5",
"sharing_group_id": "0",
"comment": "",
"deleted": false,
"first_seen": null,
"last_seen": null,
"ObjectReference": [],
}
案件總覽
| 結果類型 | 值說明 | 類型 |
|---|---|---|
| 輸出訊息* | 動作不應失敗,也不應停止執行應對手冊: 如果至少有 1 個事件找到物件:「Successfully listed objects for the following events: \n{0}」(已成功列出下列事件的物件:\n{0})。format(event_ids) 如果找不到具有指定 ID 的事件 (is_success = false): 如果 1 個事件找不到物件: "Action wasn't able to find objects for the following events:\n {0}".format(event_ids) 如果所有事件都找不到物件:「找不到所提供事件的物件。」 動作應會失敗並停止執行應對手冊: 如果發生嚴重錯誤 (例如憑證錯誤、無法連線至伺服器等): print "Error executing action "List Event Objects". 原因:{0}''.format(error.Stacktrace) |
一般 |
| CSV 表格 | 表格名稱:事件 {0} 物件 資料表資料欄:
|
取得活動詳細資料
說明
擷取 MISP 中事件的詳細資料。
參數
| 參數顯示名稱 | 類型 | 為必填項目 | 說明 |
|---|---|---|---|
| 事件 ID | 字串 | 是 | 指定要擷取詳細資料的事件 ID 或 UUID 清單 (以半形逗號分隔)。 |
| 傳回屬性資訊 | 核取方塊 | 已勾選 | 啟用後,動作會為事件中的所有屬性建立案件牆資料表。 |
執行時間
這項操作不會對實體執行。
動作執行結果
指令碼執行結果
| 指令碼結果名稱 | 值選項 | 範例 |
|---|---|---|
| is_success | True/False | is_success:False |
案件總覽
| 結果類型 | 值說明 | 類型 |
|---|---|---|
| 輸出訊息* | 動作不應失敗,也不應停止執行應對手冊: 如果至少有一個提供的 ID 成功完成動作: 列印「Successfully retrieved information for the following events: <>」(已成功擷取下列事件的資訊:<>) 如果至少一個提供的事件 ID 無法執行動作: Print "Failed to retrieved information for the following events: <> 動作應會失敗並停止執行劇本: 動作應會失敗並停止執行應對手冊: 如果發生嚴重錯誤 (例如憑證錯誤、無法連線至伺服器等): print "Error executing action "List Event Objects". 原因:{0}''.format(error.Stacktrace) |
一般 |
| CSV 表格 | 表格名稱:「事件 {0} 屬性詳細資料」。format(event_id) 欄:
|
列出屬性的發現次數
說明
列出 MISP 中屬性的可用發現項目。
參數
搜尋| 參數名稱 | 類型 | 預設值 | 必填 | 說明 |
|---|---|---|---|---|
| 屬性名稱 | CSV | 否 | 指定以半形逗號分隔的屬性 ID 清單,列出您想查看的發現項目。注意:如果同時指定「屬性名稱」和「屬性 UUID」,動作會使用「屬性 UUID」值。 | |
| 事件 ID | 字串 | 否 | 指定事件的 ID 或 UUID,以及要搜尋屬性的位置。如果「屬性搜尋」設為「提供的事件」,則必須提供這項參數。 | |
| 類別 | CSV | 否 | 指定以逗號分隔的類別清單。如果指定,動作只會列出符合類別的屬性目擊事件。如果未指定任何項目,動作會忽略屬性中的類別。可能的值:外部分析、酬載傳送、捨棄構件、酬載安裝。 | |
| 類型 | CSV | 否 | 指定以半形逗號分隔的屬性類型清單。如果指定,動作只會列出屬性類型相符的屬性發現次數。如未指定任何項目,動作會忽略屬性中的型別。範例值:md5、sha1、ip-src、ip-dst | |
| 屬性搜尋 | DDL | 提供的事件 可能的值包括: 所有活動 |
是 | 指定動作應在何處搜尋屬性。如果選取「提供的事件」,動作只會在「事件 ID」參數中提供的 ID/UUID 事件中,搜尋屬性或屬性 UUID。如果是「所有事件」,系統會搜尋所有事件中的屬性,並列出符合條件的所有屬性。 |
| 屬性 UUID | CSV | 否 | 指定以半形逗號分隔的屬性 UUID 清單,系統會列出這些屬性的發現項目。注意:如果同時指定「屬性名稱」和「屬性 UUID」,動作會使用「屬性 UUID」值。 |
動作執行結果
指令碼執行結果
| 指令碼結果名稱 | 值選項 | 範例 |
|---|---|---|
| is_success | True/False | is_success:False |
案件總覽
| 結果類型 | 值/說明 | 類型 |
|---|---|---|
| 輸出訊息* | 如果成功將發現項目列入至少一個屬性:「Successfully listed sightings for the following attributes in MISP:\n{0}」。format(attribute name/attribute UUID) 如果至少一個屬性未成功列出發現項目:「Action didn't list sightings for the following attributes in MISP:\n{0}」(動作未在 MISP 中列出下列屬性的發現項目:\n{0})。format(屬性名稱/屬性 UUID) 如果所有屬性都未成功或沒有任何發現:「MISP 中找不到所提供屬性的發現」 重大錯誤 (動作失敗) 「執行動作『列出屬性的發現項目』時發生錯誤。Reason: {0}".format(stacktrace) 如果「類別」中指定了無效參數 (動作失敗):「執行動作『列出屬性的發現項目』時發生錯誤。原因:參數「Category」的值無效。可接受的值:「External Analysis」、「Payload Delivery」、「Artifacts Dropped」、「Payload Installation」。 如果選取「提供的事件」,但未選取事件 ID:「執行動作『列出屬性的發現次數』時發生錯誤。原因:如果為「屬性搜尋」參數選取「提供的事件」,則必須提供事件 ID。 |
一般 |
為屬性設定 IDS 旗標
說明
在 MISP 中為屬性設定 IDS 標記。
參數
searchsearch| 參數名稱 | 類型 | 預設值 | 必填 | 說明 |
|---|---|---|---|---|
| 屬性名稱 | CSV | 否 | 指定要設定 IDS 旗標的屬性 ID 清單 (以半形逗號分隔)。注意:如果同時指定「屬性名稱」和「屬性 UUID」,動作會使用「屬性 UUID」值。 | |
| 事件 ID | 字串 | 否 | 指定事件的 ID 或 UUID,以及要搜尋屬性的位置。如果「屬性搜尋」設為「提供的事件」,則必須提供這項參數。 | |
| 類別 | CSV | 否 | 指定以逗號分隔的類別清單。如果指定,動作只會為具有相符類別的屬性設定 IDS 旗標。如果未指定任何項目,動作會忽略屬性中的類別。可能的值:外部分析、酬載傳送、捨棄構件、酬載安裝。 | |
| 類型 | CSV | 否 | 指定以半形逗號分隔的屬性類型清單。如果指定,動作只會為屬性類型相符的屬性設定 IDS 旗標。如未指定任何項目,動作會忽略屬性中的型別。範例值:md5、sha1、ip-src、ip-dst | |
| 屬性搜尋 | DDL | 提供的事件 可能的值包括: 所有活動 |
是 | 指定動作應在何處搜尋屬性。如果選取「提供的事件」,動作只會在「事件 ID」參數中提供的 ID/UUID 事件中,搜尋屬性或屬性 UUID。如果是「所有事件」,動作會搜尋所有事件中的屬性,並為符合條件的所有屬性設定 IDS 旗標。 |
| 屬性 UUID | CSV | 否 | 指定要設定 IDS 旗標的屬性 UUID 清單 (以半形逗號分隔)。 |
動作執行結果
指令碼執行結果
| 指令碼結果名稱 | 值選項 | 範例 |
|---|---|---|
| 成功 | True/False | success:False |
案件總覽
| 結果類型 | 值說明 | 類型 |
|---|---|---|
| 輸出訊息* | 如果至少有一個屬性成功新增 IDS 標記:「Successfully set IDS flag for the following attributes in MISP:\n{0}」(已在 MISP 中為下列屬性成功設定 IDS 標記:\n{0})。format(attribute name/object UUID) 如果未成功將 IDS 標記新增至至少一個屬性:「Action didn't set IDS flag for the following attributes in MISP:\n{0}」(動作未在 MISP 中為下列屬性設定 IDS 標記:\n{0})。format(attribute name/object UUID) 如果並非所有屬性都成功設定:「MISP 中提供的屬性未設定 IDS 旗標」 重大錯誤 (動作失敗):「執行動作『為屬性設定 IDS 標記』時發生錯誤。Reason: {0}".format(stacktrace) 如果在「類別」中指定無效參數 (動作失敗):「執行動作『為屬性設定 IDS 旗標』時發生錯誤。原因:參數「Category」的值無效。可接受的值:「External Analysis」、「Payload Delivery」、「Artifacts Dropped」、「Payload Installation」。 如果選取「提供的事件」,但未選取事件 ID:「執行動作『為屬性設定 ID 旗標』時發生錯誤。原因:如果為「屬性搜尋」參數選取「提供的事件」,則必須提供事件 ID。 找不到事件 ID (動作失敗)「執行『為屬性設定 ID 旗標』動作時發生錯誤。Reason: Event with {0} {1} was not found in MISP".format(ID/UUID, event_id) |
一般 |
取消設定屬性的 IDS 旗標
說明
取消設定 MISP 中屬性的 IDS 旗標。
參數
| 名稱 | 類型 | 預設值 | 必填 | 說明 |
|---|---|---|---|---|
| 屬性名稱 | CSV | 否 | 指定要取消設定 IDS 旗標的屬性 ID 清單 (以半形逗號分隔)。 |
|
| 事件 ID | 字串 | 否 | 指定事件的 ID 或 UUID,以及要搜尋屬性的位置。如果「屬性搜尋」設為「提供的事件」,則必須提供這項參數。 | |
| 類別 | CSV | 否 | 指定以逗號分隔的類別清單。如果指定,動作只會取消設定類別相符屬性的 IDS 旗標。如果未指定任何項目,動作會忽略屬性中的類別。可能的值:外部分析、酬載傳送、捨棄構件、酬載安裝。 | |
| 類型 | CSV | 否 | 指定以半形逗號分隔的屬性類型清單。如果指定,動作只會為屬性類型相符的屬性取消設定 IDS 旗標。如未指定任何項目,動作會忽略屬性中的型別。範例值:md5、sha1、ip-src、ip-dst | |
| 屬性搜尋 | DDL | 提供的事件 可能的值包括: 所有活動 |
是 | 指定動作應在何處搜尋屬性。如果選取「提供的事件」,動作只會在「事件 ID」參數中提供的 ID/UUID 事件中,搜尋屬性或屬性 UUID。如果是「所有事件」,系統會在所有事件中搜尋屬性,並為符合條件的所有屬性取消設定 IDS 旗標。 |
| 屬性 UUID | CSV | 否 | 指定要取消設定 IDS 旗標的屬性 UUID 清單 (以半形逗號分隔)。注意:如果同時指定「屬性名稱」和「屬性 UUID」,動作會使用「屬性 UUID」值。 |
動作執行結果
指令碼執行結果
| 指令碼結果名稱 | 值選項 | 範例 |
|---|---|---|
| 成功 | True/False | success:False |
案件總覽
| 結果類型 | 值說明 | 類型 |
|---|---|---|
| 輸出訊息* | 如果成功為至少一項屬性移除 IDS 標記:「Successfully unset IDS flag for the following attributes in MISP:\n{0}」(已成功為 MISP 中的下列屬性取消設定 IDS 標記:\n{0})。format(attribute name/object UUID) 如果至少有一個屬性未成功移除 IDS 旗標:「Action didn't unset IDS flag for the following attributes in MISP:\n{0}」(動作未在 MISP 中取消設定下列屬性的 IDS 旗標:\n{0})。format(屬性名稱/物件 UUID) 如果並非全部成功:「MISP 中提供的屬性未取消設定 IDS 標記」 重大錯誤 (動作失敗):「執行動作『取消設定屬性的 IDS 旗標』時發生錯誤。Reason: {0}".format(stacktrace) 如果「類別」中指定了無效參數 (動作失敗):「執行動作『取消設定屬性的 IDS 旗標』時發生錯誤。原因:參數「Category」的值無效。可接受的值:「External Analysis」、「Payload Delivery」、「Artifacts Dropped」、「Payload Installation」。 如果選取「提供的事件」,但未選取事件 ID:「執行動作『取消設定屬性的 IDS 旗標』時發生錯誤。原因:如果為「屬性搜尋」參數選取「提供的事件」,則必須提供事件 ID。 找不到事件 ID (動作失敗)「執行動作『取消設定屬性的 IDS 旗標』時發生錯誤。Reason: Event with {0} {1} was not found in MISP".format(ID/UUID, event_id) |
一般 |
連接器
MISP - Attributes Connector
說明
從 MISP 提取屬性。
在 Google SecOps 上設定 MISP - 屬性連接器
如需在 Google SecOps 中設定連接器的詳細操作說明,請參閱設定連接器。
連接器參數
請使用下列參數設定連接器:
| 參數名稱 | 類型 | 預設值 | 為必填項目 | 說明 |
|---|---|---|---|---|
| DeviceProductField | 字串 | 產品名稱 | 是 | 輸入來源欄位名稱,即可擷取產品欄位名稱。 |
| EventClassId | 字串 | alertType | 是 | 輸入來源欄位名稱,即可擷取事件欄位名稱。 |
| PythonProcessTimeout | 整數 | 180 | 是 | 執行目前指令碼的 Python 程序逾時限制。 |
| API 根層級 | 字串 | 不適用 | 是 | MISP 帳戶的 API 根目錄。 |
| API 金鑰 | 密碼 | 是 | MISP 帳戶的 API 金鑰。 | |
| Fetch Max Hours Backwards | 整數 | 1 | 否 | 要擷取屬性的時數。 |
| 每個週期的屬性數量上限 | 整數 | 50 | 是 | 每個連接器疊代要處理的屬性數量。 |
| 要擷取的最低威脅等級 | 整數 | 1 | 是 | 用於擷取快訊的最低嚴重性。可能的值:1 到 4。 |
| 屬性類型篩選器 | 字串 | 否 | 以半形逗號分隔屬性類型,篩選屬性。如果提供這項屬性,系統只會處理類型在許可清單中的屬性。 | |
| 類別篩選器 | 字串 | 否 | 以半形逗號分隔,依類別篩選屬性。如果提供這項屬性,系統只會處理加入許可清單的類別屬性。 | |
| Galaxy Filter | 字串 | 否 | 以半形逗號分隔,依父項事件的星系篩選屬性。如果提供這項屬性,系統只會處理許可清單星系中事件的屬性。 | |
| 驗證 SSL | 核取方塊 | 是 | 如果啟用這項設定,請確認連線至 CheckPoint Cloud Guard 伺服器的 SSL 憑證有效。 | |
| 環境欄位名稱 | 字串 | 否 | 說明儲存環境名稱的欄位名稱。如果找不到環境欄位,環境就是預設環境。 | |
| 環境規則運算式模式 | 字串 | .* | 否 | 要對「環境欄位名稱」欄位中的值執行的 regex 模式。預設值為 .*,可擷取所有內容並傳回未變更的值。用於允許使用者透過規則運算式邏輯操控環境欄位。如果 regex 模式為空值或空白,或環境值為空值,最終環境結果就是預設環境。 |
| Proxy 伺服器位址 | 字串 | 否 | 要使用的 Proxy 伺服器位址。 | |
| Proxy 使用者名稱 | 字串 | 否 | 用於驗證的 Proxy 使用者名稱。 | |
| Proxy 密碼 | 密碼 | 否 | 用於驗證的 Proxy 密碼。 |
還有其他問題嗎?向社群成員和 Google SecOps 專業人員尋求答案。