Skip to main content

Configuración del Plugin

Antes de ejecutar el plugin para exportar alertas del SIEM a MISP, es necesario ubicar el script, otorgar permisos, y configurar las credenciales de acceso a las APIs de ambas plataformas.

1. Ubicación y Permisos del Script

Recomendamos alojar el script pandora_to_misp.py en el directorio estándar de plugins del servidor de Pandora FMS.

Sube el archivo al servidor y ejecuta el siguiente comando para darle permisos de ejecución:

chmod +x /usr/share/pandora_server/util/plugin/pandora_to_misp.py

2. Recopilación de Parámetros

El script utiliza parámetros obligatorios y opcionales. Es vital recopilar las credenciales de acceso de ambas plataformas.

A. Parámetros Obligatorios:

  • PANDORA_API_URL: Ruta completa a la API v2 PFMS (Ej: http://127.0.0.1/pandora_console/api/v2).

  • PANDORA_TOKEN: Token de la API v2 PFMS.

  • MISP_URL: URL de tu instancia MISP.

  • MISP_KEY: Clave Auth Key de tu usuario MISP.

B. Parámetros Opcionales (Cruciales para el control de datos):

(Nota: Sustituye los corchetes <...> por los valores deseados al usar el flag).

Flag Descripción Por defecto
[-d DAYS] o [--days DAYS] Define el intervalo de tiempo (en días) de alertas a buscar en el SIEM para exportar. 30
[-s SEVERITY] o [--severity SEVERITY] Define el nivel de severidad mínimo de la alerta PFMS para exportar (Ej: solo Critical [14]). 0 (Todas)
[-t TAG] o [--tag TAG] Añade una o más etiquetas (comma separated) MISP a los eventos creados (Ej: export_pfms,siem). Ninguna
[--threat THREAT] Define el nivel de amenaza (Threat Level) en MISP (Ej: High, Medium). Undetermined
[--analysis ANALYSIS] Define el estado de análisis (Analysis State) en MISP (Ej: Completed). Undetermined

3. Configuración de Disparadores de Alerta en Pandora FMS (Flujo SIEM)

Para que el plugin se ejecute automáticamente en tiempo real cuando salta una detección en el SIEM, debemos configurar el flujo de alertas completo en Pandora FMS: Comando, Acción y Plantilla.

Paso 1: Crear el Comando de Alerta (Alert Command)

Este comando define cómo Pandora FMS ejecuta el script de Python localmente.

  1. Navega a: Setup -> Setup -> Alerts -> pestaña Commands.

  2. Haz clic en Create.

  3. Nombre: Export SIEM to MISP (o similar).

  4. Tipo: Ejecución de comando local.

  5. Comando: /usr/bin/python3 /usr/share/pandora_server/util/plugin/pandora_to_misp.py (asegúrate de usar rutas absolutas).

  6. En el campo de Argumentos, debemos definir los campos que se rellenarán dinámicamente o los flags opcionales. El plugin espera los 4 parámetros obligatorios en orden, seguidos de los opcionales si se desean. Usaremos macros de alerta de Pandora FMS para la severidad y la IP de origen:

    Ejemplo básico de argumentos: "_apiurl_" "_apitoken_" "_mispurl_" "_mispkey_" -s "_alert_level_" -t "exported_pfms"

[INSERT_SCREENSHOT_COMMAND_CONFIG]

Paso 2: Crear la Acción de Alerta (Alert Action)

La Acción asocia el Comando con los valores reales de tus credenciales.

  1. Navega a: Setup -> Setup -> Alerts -> pestaña Actions.

  2. Haz clic en Create.

  3. Nombre: Exportar a MISP.

  4. Comando: Selecciona el comando creado en el paso anterior (Export SIEM to MISP).

  5. Rellena los campos de tus credenciales reales en las macros definidas:

    • _apiurl_: Tu URL de la API de Pandora FMS.

    • _apitoken_: Tu Token de API PFMS.

    • _mispurl_: Tu URL de MISP.

    • _mispkey_: Tu Auth Key de MISP.

  6. (Opcional): Ajusta los flags en el campo de parámetros si quieres añadir tags específicos para esta acción.

[INSERT_SCREENSHOT_ACTION_CONFIG]

Paso 3: Crear la Plantilla de Alerta (SIEM Alert Template)

Por último, creamos la lógica que disparará la acción cuando se cumpla una condición en el SIEM.

  1. Navega a: SIEM -> Setup -> SIEM Alert Templates.

  2. Haz clic en Create.

  3. Nombre: MISP Export on SIEM Detections.

  4. Condiciones: Define las condiciones que activarán la alerta. Lo más común es filtrar por severidad o por IDs de regla específicos.

    • Ejemplo: Severidad Critical (14) (igual o mayor).

  5. En la pestaña Actions, asigna la acción creada anteriormente (Exportar a MISP).

  6. Guarda la plantilla y asegúrate de que esté habilitada.

[INSERT_SCREENSHOT_TEMPLATE_CONFIG]