Configuración del Plugin
Antes de ejecutar el plugin para exportar alertas del SIEM a MISP, es necesario ubicar el script, otorgar permisos, y configurar las credenciales de acceso a las APIs de ambas plataformas.
1. Ubicación y Permisos del Script
Recomendamos alojar el script pandora_to_misp.py en el directorio estándar de plugins del servidor de Pandora FMS.
Sube el archivo al servidor y ejecuta el siguiente comando para darle permisos de ejecución:
chmod +x /usr/share/pandora_server/util/plugin/pandora_to_misp.py
2. Recopilación de Parámetros del Script
El script utilizafunciona mediante argumentos por línea de comandos. Incorpora un motor de auto-clasificación (Triaje) que lee el contenido de la alerta y asigna automáticamente el nivel de amenaza, etiquetas MITRE ATT&CK y categoría, aunque puedes forzar estos valores usando los parámetros obligatorios y opcionales. Es vital recopilar las credenciales de acceso de ambas plataformas.
A. Parámetros Obligatorios:
-
oPANDORA_API_URL-u--url:Ruta completa a la API v2 PFMS (Ej:http://127.0.0.1/pandora_console/api/v2). PANDORA_TOKEN: TokenURL de la APIv2 PFMS.MISP_URL: URLde tu instancia MISP.-
oMISP_KEY-k--key: ClaveAuthdeKeyautenticación (API Key) detuMISP.usuario -
-ao--agent: Nombre del Agente en el SIEM que generó la alerta. -
-no--alert-name: Nombre descriptivo de la alerta. -
-do--alert-data: Datos crudos (raw log) de la alerta. De aquí el script extraerá automáticamente la IP atacante.
B. Parámetros Opcionales (Cruciales para el control de datos):Opcionales:
(Nota: Sustituye los corchetes <...> por los valores deseados al usar el flag).
| Descripción | ||
, |
tlp:red, tlp:amber. |
|
, |
0 |
|
, |
|
|
, -- |
||
, -- |
3. Configuración de Disparadores de Alerta en Pandora FMS (Flujo SIEM)
Para que ella pluginexportación se ejecutesea automáticamente en tiempo real cuando salta una detección en el SIEM,tica, debemos configurar elComando, flujoAcción y Plantilla en las alertas de alertasPandora completoFMS enpara pasar las variables de entorno de Pandora FMS:FMS Comando,directamente Accióna ylos Plantilla.parámetros del script mediante el uso de macros.
Paso 1: Crear el Comando de Alerta (Alert Command)
Este comando define cómo Pandora FMS ejecuta el script de Python localmente.
En(Nota: Es vital que las macros vayan entre comillas dobles para que el camposcript deprocese Argumentos, debemos definirbien los campos que se rellenarán dinámicamente o los flags opcionales. El plugin espera los 4 parámetros obligatorios en orden, seguidos de los opcionales si se desean. Usaremos macros de alerta de Pandora FMS para la severidad y la IP de origen:espacios).
Ejemplo básico de argumentos: "_apiurl_" "_apitoken_" "_mispurl_" "_mispkey_" -s "_alert_level_" -t "exported_pfms"
[INSERT_SCREENSHOT_COMMAND_CONFIG]
Paso 2: Crear la Acción de Alerta (Alert Action)
La Acción asocia el Comando con los valores reales de tus credenciales.
[INSERT_SCREENSHOT_ACTION_CONFIG]
Paso 3: Crear la Plantilla de Alerta (SIEM Alert Template)
Por último, creamos la lógica que disparará la acción cuando se cumpla una condición en el SIEM.
[INSERT_SCREENSHOT_TEMPLATE_CONFIG]