Configuración del Plugin
Antes de ejecutar el plugin para exportar alertas del SIEM a MISP, es necesario ubicar el script, otorgar permisos, y configurar las credenciales de acceso a las APIs de ambas plataformas.
1. Ubicación y Permisos del Script
Recomendamos alojar el script pandora_to_misp.py en el directorio estándar de plugins del servidor de Pandora FMS.
Sube el archivo al servidor y ejecuta el siguiente comando para darle permisos de ejecución:
chmod +x /usr/share/pandora_server/util/plugin/pandora_to_misp.py
2. Configuración de Acceso a MISP (Destino)
Para que el script pueda crear eventos y subir inteligencia a MISP, requiere una clave de autenticación válida.
Accede a tu instancia web de MISP con un usuario con permisos de creación de eventos.Navega a:Global Actions->My Profile-> pestañaAuth Keys.Crea una nueva clave (Auth Key) y cópiala, ya que la necesitarás como parámetro.Ten a mano laURL de tu instancia MISP(Ejemplo:https://misp.midominio.com).
3. Configuración de Acceso a Pandora FMS API (Origen)
Dado que este script debe consultar el SIEM de Pandora FMS para extraer las detecciones, requiere tener acceso autorizado a la API local.
A. Obtener el Token de API
Accede a la consola web de Pandora FMS con un usuario administrador.Navega a:Setup->Setup-> pestañaAPI.Copia tuAPI Token, lo necesitarás como parámetro.
B. Autorizar la IP en la ACL (Lista Blanca) Al igual que en el plugin inverso, si el script se ejecuta localmente en el servidor de Pandora FMS, debemos asegurarnos de que la API acepte conexiones de localhost.
En la misma pestaña de configuración de laAPI, localiza el campoIP list(Lista de IPs permitidas).Asegúrate de que la IP local (normalmente127.0.0.1o::1) esté incluida en la lista separada por comas.Nota: También puedes usar un*para permitir cualquier IP de origen.Guarda los cambios.
4. Recopilación de Parámetros obligatorios
El script requiere una serie deutiliza parámetros obligatorios paray suopcionales. ejecución.Es Tenvital arecopilar manolas loscredenciales siguientesde datosacceso parade cuandoambas procedamosplataformas.
A. laParámetros ejecución manual:Obligatorios:
-
PANDORA_API_URL:La rutaRuta completahaciaa la API v2de tu Pandora FMS. Debe terminar enPFMS (/api/v2Ejemplo:Ej:http://127.0.0.1/pandora_console/api/v2). -
PANDORA_TOKEN:El tokenToken deautorizacióla API v2 PFMS. -
MISP_URL: URL de tu instancia MISP. -
MISP_KEY: Clave Auth Key de tu usuario MISP.
B. Parámetros Opcionales (Cruciales para el control de datos):
(Nota: Sustituye los corchetes <...> por los valores deseados al usar el flag).
| Flag | Descripción | Por defecto |
[-d DAYS] o [--days DAYS] |
Define el intervalo de tiempo (en días) de alertas a buscar en el SIEM para exportar. | 30 |
[-s SEVERITY] o [--severity SEVERITY] |
Define el nivel de severidad mínimo de la alerta PFMS para exportar (Ej: solo Critical [14]). | 0 (Todas) |
[-t TAG] o [--tag TAG] |
Añade una o más etiquetas (comma separated) MISP a los eventos creados (Ej: export_pfms,siem). |
Ninguna |
[--threat THREAT] |
Define el nivel de amenaza (Threat Level) en MISP (Ej: High, Medium). | Undetermined |
[--analysis ANALYSIS] |
Define el estado de análisis (Analysis State) en MISP (Ej: Completed). | Undetermined |
3. Configuración de Disparadores de Alerta en Pandora FMS (Flujo SIEM)
Para que el plugin se ejecute automáticamente en tiempo real cuando salta una detección en el SIEM, debemos configurar el flujo de alertas completo en Pandora FMS: Comando, Acción y Plantilla.
Paso 1: Crear el Comando de Alerta (Alert Command)
Este comando define cómo Pandora FMS ejecuta el script de Python localmente.
[INSERT_SCREENSHOT_COMMAND_CONFIG]
Paso 2: Crear la Acción de Alerta (Alert Action)
La Acción asocia el Comando con los valores reales de tus credenciales.
[INSERT_SCREENSHOT_ACTION_CONFIG]
Paso 3: Crear la Plantilla de Alerta (SIEM Alert Template)
Por último, creamos la lógica que disparará la acción cuando se cumpla una condición en el SIEM.
[INSERT_SCREENSHOT_TEMPLATE_CONFIG]