Skip to main content

Configuración del Plugin

Antes de ejecutar el plugin para exportar alertas del SIEM a MISP, es necesario ubicar el script, otorgar permisos, y configurar las credenciales de acceso a las APIs de ambas plataformas.

1. Ubicación y Permisos del Script

Recomendamos alojar el script pandora_to_misp.py en el directorio estándar de plugins del servidor de Pandora FMS.

Sube el archivo al servidor y ejecuta el siguiente comando para darle permisos de ejecución:

chmod +x /usr/share/pandora_server/util/plugin/pandora_to_misp.py

2. Parámetros del Script

El script funciona mediante argumentos por línea de comandos. Incorpora un motor de auto-clasificación (Triaje) que lee el contenido de la alerta y asigna automáticamente el nivel de amenaza, etiquetas MITRE ATT&CK y categoría, aunque puedes forzar estos valores usando los parámetros opcionales.

Parámetros Obligatorios:

  • -u o --url: URL de la API de tu instancia MISP.

  • -k o --key: Clave de autenticación (API Key) de MISP.

  • -a o --agent: Nombre del Agente en el SIEM que generó la alerta.

  • -n o --alert-name: Nombre descriptivo de la alerta.

  • -d o --alert-data: Datos crudos (raw log) de la alerta. De aquí el script extraerá automáticamente la IP atacante.

Parámetros Opcionales:

Parámetro Descripción Valor por defecto
-t, --tlp Nivel TLP (Traffic Light Protocol). Ej: tlp:red, tlp:amber. tlp:green
-s, --sharing Nivel de distribución del evento en MISP (0=Tu Org, 1=Comunidad, 2=Conectados, 3=Todos). 0
-l, --threat-level Fuerza el nivel de amenaza ignorando el auto-triaje (1=High, 2=Medium, 3=Low). Auto-asignado
-c, --category Fuerza la categoría del atributo IP en MISP. Auto-asignado
-g, --tags Añade etiquetas extra al evento (separadas por comas). Auto-asignado

3. Configuración de Disparadores en Pandora FMS

Para que la exportación sea automática, debemos configurar Comando, Acción y Plantilla en las alertas de Pandora FMS para pasar las variables de entorno de Pandora FMS directamente a los parámetros del script mediante el uso de macros.

Paso 1: Crear el Comando de Alerta (Alert Command)

  1. Navega a: Management -> Alerts -> Commands

  2. Haz clic en Create +.

  3. Nombre: Export SIEM to MISP

  4. Comando: Usaremos las macros de Pandora para inyectar los datos. Copia esta estructura (asegúrate de que los valores fijos como URL y KEY los rellenaremos en la Acción):

    Bash
    /usr/bin/python3 /usr/share/pandora_server/util/plugin/pandora_to_misp.py -u "_field1_" -k "_field2_" -a "_field3_" -n "_field4_" -d "_field5_" _field6_

(Nota: Es vital que las macros vayan entre comillas dobles para que el script procese bien los espacios).

[INSERT_SCREENSHOT_COMMAND_CONFIG]

Paso 2: Crear la Acción de Alerta (Alert Action)

  1. Navega a: Setup -> Setup -> Alerts -> pestaña Actions.

  2. Haz clic en Create.

  3. Nombre: Exportar a MISP.

  4. Comando: Selecciona Export SIEM to MISP.

  5. En los campos de configuración que aparecen abajo, introduce tus credenciales reales:

    • Field 1: URL de tu MISP (Ej: https://misp.midominio.com).

    • Field 2: Tu API Key de MISP.

  6. (Opcional): Si quieres añadir flags extra (por ejemplo, forzar etiquetas), puedes añadirlos al final del Field 2 o crear un Field 3 en el comando.

[INSERT_SCREENSHOT_ACTION_CONFIG]

Paso 3: Crear la Plantilla de Alerta (SIEM Alert Template)

  1. Navega a: SIEM -> Setup -> SIEM Alert Templates.

  2. Haz clic en Create.

  3. Nombre: MISP Export on Critical Detections.

  4. Condiciones: Define qué alertas quieres mandar a MISP (por ejemplo, que la severidad sea mayor o igual a 10).

  5. En la pestaña Actions, asigna la acción Exportar a MISP.

  6. Guarda y habilita la plantilla.

[INSERT_SCREENSHOT_TEMPLATE_CONFIG]