Configuración del Plugin
Antes de ejecutar el plugin para exportar alertas del SIEM a MISP, es necesario ubicar el script, otorgar permisos, y configurar las credenciales de acceso a las APIs de ambas plataformas.
1. Ubicación y Permisos del Script
Recomendamos alojar el script pandora_to_misp.py en el directorio estándar de plugins del servidor de Pandora FMS.
Sube el archivo al servidor y ejecuta el siguiente comando para darle permisos de ejecución:
chmod +x /usr/share/pandora_server/util/plugin/pandora_to_misp.py
2. Recopilación de Parámetros
El script utiliza parámetros obligatorios y opcionales. Es vital recopilar las credenciales de acceso de ambas plataformas.
A. Parámetros Obligatorios:
-
PANDORA_API_URL: Ruta completa a la API v2 PFMS (Ej:http://127.0.0.1/pandora_console/api/v2). -
PANDORA_TOKEN: Token de la API v2 PFMS. -
MISP_URL: URL de tu instancia MISP. -
MISP_KEY: Clave Auth Key de tu usuario MISP.
B. Parámetros Opcionales (Cruciales para el control de datos):
(Nota: Sustituye los corchetes <...> por los valores deseados al usar el flag).
| Flag | Descripción | Por defecto |
[-d DAYS] o [--days DAYS] |
Define el intervalo de tiempo (en días) de alertas a buscar en el SIEM para exportar. | 30 |
[-s SEVERITY] o [--severity SEVERITY] |
Define el nivel de severidad mínimo de la alerta PFMS para exportar (Ej: solo Critical [14]). | 0 (Todas) |
[-t TAG] o [--tag TAG] |
Añade una o más etiquetas (comma separated) MISP a los eventos creados (Ej: export_pfms,siem). |
Ninguna |
[--threat THREAT] |
Define el nivel de amenaza (Threat Level) en MISP (Ej: High, Medium). | Undetermined |
[--analysis ANALYSIS] |
Define el estado de análisis (Analysis State) en MISP (Ej: Completed). | Undetermined |
3. Configuración de Disparadores de Alerta en Pandora FMS (Flujo SIEM)
Para que el plugin se ejecute automáticamente en tiempo real cuando salta una detección en el SIEM, debemos configurar el flujo de alertas completo en Pandora FMS: Comando, Acción y Plantilla.
Paso 1: Crear el Comando de Alerta (Alert Command)
Este comando define cómo Pandora FMS ejecuta el script de Python localmente.
[INSERT_SCREENSHOT_COMMAND_CONFIG]
Paso 2: Crear la Acción de Alerta (Alert Action)
La Acción asocia el Comando con los valores reales de tus credenciales.
[INSERT_SCREENSHOT_ACTION_CONFIG]
Paso 3: Crear la Plantilla de Alerta (SIEM Alert Template)
Por último, creamos la lógica que disparará la acción cuando se cumpla una condición en el SIEM.
[INSERT_SCREENSHOT_TEMPLATE_CONFIG]