Configuración del Plugin
Antes de ejecutar el plugin para exportar alertas del SIEM a MISP, es necesario ubicar el script, otorgar permisos, y configurar las credenciales de acceso a las APIs de ambas plataformas.
1. Ubicación y Permisos del Script
Recomendamos alojar el script pandora_to_misp.py en el directorio estándar de plugins del servidor de Pandora FMS.
Sube el archivo al servidor y ejecuta el siguiente comando para darle permisos de ejecución:
chmod +x /usr/share/pandora_server/util/plugin/pandora_to_misp.py
2. Configuración de Acceso a MISP (Destino)
Para que el script pueda crear eventos y subir inteligencia a MISP, requiere una clave de autenticación válida.
-
Accede a tu instancia web de MISP con un usuario con permisos de creación de eventos.
-
Navega a: Global Actions -> My Profile -> pestaña Auth Keys.
-
Crea una nueva clave (Auth Key) y cópiala, ya que la necesitarás como parámetro.
-
Ten a mano la URL de tu instancia MISP (Ejemplo:
https://misp.midominio.com).
3. Configuración de Acceso a Pandora FMS API (Origen)
Dado que este script debe consultar el SIEM de Pandora FMS para extraer las detecciones, requiere tener acceso autorizado a la API local.
A. Obtener el Token de API
-
Accede a la consola web de Pandora FMS con un usuario administrador.
-
Navega a: Setup -> Setup -> pestaña API.
-
Copia tu API Token, lo necesitarás como parámetro.
B. Autorizar la IP en la ACL (Lista Blanca) Al igual que en el plugin inverso, si el script se ejecuta localmente en el servidor de Pandora FMS, debemos asegurarnos de que la API acepte conexiones de localhost.
-
En la misma pestaña de configuración de la API, localiza el campo IP list (Lista de IPs permitidas).
-
Asegúrate de que la IP local (normalmente
127.0.0.1o::1) esté incluida en la lista separada por comas. Nota: También puedes usar un*para permitir cualquier IP de origen. -
Guarda los cambios.
4. Recopilación de Parámetros obligatorios
El script requiere una serie de parámetros obligatorios para su ejecución. Ten a mano los siguientes datos para cuando procedamos a la ejecución manual:
-
PANDORA_API_URL: La ruta completa hacia la API v2 de tu Pandora FMS. Debe terminar en
/api/v2(Ejemplo:http://127.0.0.1/pandora_console/api/v2). -
PANDORA_TOKEN: El token de autorización de la API de Pandora FMS obtenido anteriormente.
-
MISP_URL: La dirección web de tu instancia de MISP.
-
MISP_KEY: La clave de autenticación (Auth Key) generada en MISP.