Skip to main content

Configuración del Plugin

Antes de ejecutar el plugin para exportar alertas del SIEM a MISP, es necesario ubicar el script, otorgar permisos, y configurar las credenciales de acceso a las APIs de ambas plataformas.

1. Ubicación y Permisos del Script

Recomendamos alojar el script pandora_to_misp.py en el directorio estándar de plugins del servidor de Pandora FMS.

Sube el archivo al servidor y ejecuta el siguiente comando para darle permisos de ejecución:

Bash
chmod +x /usr/share/pandora_server/util/plugin/pandora_to_misp.py

2. Configuración de Acceso a MISP (Destino)

Para que el script pueda crear eventos y subir inteligencia a MISP, requiere una clave de autenticación válida.

  1. Accede a tu instancia web de MISP con un usuario con permisos de creación de eventos.

  2. Navega a: Global Actions -> My Profile -> pestaña Auth Keys.

  3. Crea una nueva clave (Auth Key) y cópiala, ya que la necesitarás como parámetro.

  4. Ten a mano la URL de tu instancia MISP (Ejemplo: https://misp.midominio.com).

3. Configuración de Acceso a Pandora FMS API (Origen)

Dado que este script debe consultar el SIEM de Pandora FMS para extraer las detecciones, requiere tener acceso autorizado a la API local.

A. Obtener el Token de API

  1. Accede a la consola web de Pandora FMS con un usuario administrador.

  2. Navega a: Setup -> Setup -> pestaña API.

  3. Copia tu API Token, lo necesitarás como parámetro.

B. Autorizar la IP en la ACL (Lista Blanca) Al igual que en el plugin inverso, si el script se ejecuta localmente en el servidor de Pandora FMS, debemos asegurarnos de que la API acepte conexiones de localhost.

  1. En la misma pestaña de configuración de la API, localiza el campo IP list (Lista de IPs permitidas).

  2. Asegúrate de que la IP local (normalmente 127.0.0.1 o ::1) esté incluida en la lista separada por comas. Nota: También puedes usar un * para permitir cualquier IP de origen.

  3. Guarda los cambios.

4. Recopilación de Parámetros obligatorios

El script requiere una serie deutiliza parámetros obligatorios paray suopcionales. ejecución.Es Tenvital arecopilar manolas loscredenciales siguientesde datosacceso parade cuandoambas procedamosplataformas.

a

A. laParámetros ejecución manual:Obligatorios:

  • PANDORA_API_URL: La rutaRuta completa haciaa la API v2 de tu Pandora FMS. Debe terminar en /api/v2PFMS (Ejemplo:Ej: http://127.0.0.1/pandora_console/api/v2).

  • PANDORA_TOKEN: El tokenToken de autorizacióla API v2 PFMS.

  • MISP_URL: URL de tu instancia MISP.

  • MISP_KEY: Clave Auth Key de tu usuario MISP.

B. Parámetros Opcionales (Cruciales para el control de datos):

(Nota: Sustituye los corchetes <...> por los valores deseados al usar el flag).

FlagDescripciónPor defecto
[-d DAYS] o [--days DAYS]Define el intervalo de tiempo (en días) de alertas a buscar en el SIEM para exportar.30
[-s SEVERITY] o [--severity SEVERITY]Define el nivel de severidad mínimo de la alerta PFMS para exportar (Ej: solo Critical [14]).0 (Todas)
[-t TAG] o [--tag TAG]Añade una o más etiquetas (comma separated) MISP a los eventos creados (Ej: export_pfms,siem).Ninguna
[--threat THREAT]Define el nivel de amenaza (Threat Level) en MISP (Ej: High, Medium).Undetermined
[--analysis ANALYSIS]Define el estado de análisis (Analysis State) en MISP (Ej: Completed).Undetermined

3. Configuración de Disparadores de Alerta en Pandora FMS (Flujo SIEM)

Para que el plugin se ejecute automáticamente en tiempo real cuando salta una detección en el SIEM, debemos configurar el flujo de alertas completo en Pandora FMS: Comando, Acción y Plantilla.

Paso 1: Crear el Comando de Alerta (Alert Command)

Este comando define cómo Pandora FMS ejecuta el script de Python localmente.

  1. Navega a: Setup -> Setup -> Alerts -> pestaña Commands.

  2. Haz clic en Create.

  3. Nombre: Export SIEM to MISP (o similar).

  4. Tipo: Ejecución de comando local.

  5. Comando: /usr/bin/python3 /usr/share/pandora_server/util/plugin/pandora_to_misp.py (asegúrate de usar rutas absolutas).

  6. En el campo de Argumentos, debemos definir los campos que se rellenarán dinámicamente o los flags opcionales. El plugin espera los 4 parámetros obligatorios en orden, seguidos de los opcionales si se desean. Usaremos macros de alerta de Pandora FMS para la severidad y la IP de origen:

    Ejemplo básico de argumentos: "_apiurl_" "_apitoken_" "_mispurl_" "_mispkey_" -s "_alert_level_" -t "exported_pfms"

[INSERT_SCREENSHOT_COMMAND_CONFIG]

Paso 2: Crear la Acción de Alerta (Alert Action)

La Acción asocia el Comando con los valores reales de tus credenciales.

  1. Navega a: Setup -> Setup -> Alerts -> pestaña Actions.

  2. Haz clic en Create.

  3. Nombre: Exportar a MISP.

  4. Comando: Selecciona el comando creado en el paso anterior (Export SIEM to MISP).

  5. Rellena los campos de tus credenciales reales en las macros definidas:

    • _apiurl_: Tu URL de la API de Pandora FMS obtenido anteriormente.FMS.

    • MISP_URL_apitoken_: LaTu dirección webToken de tuAPI instanciaPFMS.

    • _mispurl_: Tu URL de MISP.

    • MISP_KEY_mispkey_: LaTu claveAuth Key de autenticación (Auth Key) generada en MISP.

  6. (Opcional): Ajusta los flags en el campo de parámetros si quieres añadir tags específicos para esta acción.

[INSERT_SCREENSHOT_ACTION_CONFIG]

Paso 3: Crear la Plantilla de Alerta (SIEM Alert Template)

Por último, creamos la lógica que disparará la acción cuando se cumpla una condición en el SIEM.

  1. Navega a: SIEM -> Setup -> SIEM Alert Templates.

  2. Haz clic en Create.

  3. Nombre: MISP Export on SIEM Detections.

  4. Condiciones: Define las condiciones que activarán la alerta. Lo más común es filtrar por severidad o por IDs de regla específicos.

    • Ejemplo: Severidad Critical (14) (igual o mayor).

  5. En la pestaña Actions, asigna la acción creada anteriormente (Exportar a MISP).

  6. Guarda la plantilla y asegúrate de que esté habilitada.

[INSERT_SCREENSHOT_TEMPLATE_CONFIG]