Configuración del Plugin
Antes de ejecutar el plugin para exportar alertas del SIEM a MISP, es necesario ubicar el script, otorgar permisos, y configurar las credenciales de acceso a las APIs de ambas plataformas.
1. Ubicación y Permisos del Script
Recomendamos alojar el script pandora_to_misp.py en el directorio estándar de plugins del servidor de Pandora FMS.
Sube el archivo al servidor y ejecuta el siguiente comando para darle permisos de ejecución:
chmod +x /usr/share/pandora_server/util/plugin/pandora_to_misp.py
2. Parámetros del Script
El script funciona mediante argumentos por línea de comandos. Incorpora un motor de auto-clasificación (Triaje) que lee el contenido de la alerta y asigna automáticamente el nivel de amenaza, etiquetas MITRE ATT&CK y categoría, aunque puedes forzar estos valores usando los parámetros opcionales.
Parámetros Obligatorios:
-
-uo--url: URL de la API de tu instancia MISP. -
-ko--key: Clave de autenticación (API Key) de MISP. -
-ao--agent: Nombre del Agente en el SIEM que generó la alerta. -
-no--alert-name: Nombre descriptivo de la alerta. -
-do--alert-data: Datos crudos (raw log) de la alerta. De aquí el script extraerá automáticamente la IP atacante.
Parámetros Opcionales:
| Parámetro | Descripción | Valor por defecto |
-t, --tlp |
Nivel TLP (Traffic Light Protocol). Ej: tlp:red, tlp:amber. |
tlp:green |
-s, --sharing |
Nivel de distribución del evento en MISP (0=Tu Org, 1=Comunidad, 2=Conectados, 3=Todos). | 0 |
-l, --threat-level |
Fuerza el nivel de amenaza ignorando el auto-triaje (1=High, 2=Medium, 3=Low). | Auto-asignado |
-c, --category |
Fuerza la categoría del atributo IP en MISP. | Auto-asignado |
-g, --tags |
Añade etiquetas extra al evento (separadas por comas). | Auto-asignado |
3. Configuración de Disparadores en Pandora FMS
Para que la exportación sea automática, debemos configurar Comando, Acción y Plantilla en las alertas de Pandora FMS para pasar las variables de entorno de Pandora FMS directamente a los parámetros del script mediante el uso de macros.
Paso 1: Crear el Comando de Alerta (Alert Command)
(Nota: Es vital
| 1) Field Description |
1) Field Values |
| MISP URL | |
| 2) Field Description | 2) Field Values |
| MISP API KEY | |
| 3) Field Description | 3) Field Values |
| Agent Name | _agent_ |
| 4) Field Description | 4) Field Values |
| Alert Name | _alert_name_ |
| 5) Field Description | 5) Field Values |
| Alert Description | _data_ |
| 6) Field Description | 6) Field Values |
| Optional Parameters |
Ejemplo:
[INSERT_SCREENSHOT_COMMAND_CONFIG]
Paso 2: Crear la Acción de Alerta (Alert Action)
[INSERT_SCREENSHOT_ACTION_CONFIG]
Paso 3: Crear la Plantilla de Alerta (SIEM Alert Template)
[INSERT_SCREENSHOT_TEMPLATE_CONFIG]

