Skip to main content

Configuración del Plugin

Antes de ejecutar el plugin para exportar alertas del SIEM a MISP, es necesario ubicar el script, otorgar permisos, y configurar las credenciales de acceso a las APIs de ambas plataformas.

1. Ubicación y Permisos del Script

Recomendamos alojar el script pandora_to_misp.py en el directorio estándar de plugins del servidor de Pandora FMS.

Sube el archivo al servidor y ejecuta el siguiente comando para darle permisos de ejecución:

chmod +x /usr/share/pandora_server/util/plugin/pandora_to_misp.py

2. Parámetros del Script

El script funciona mediante argumentos por línea de comandos. Incorpora un motor de auto-clasificación (Triaje) que lee el contenido de la alerta y asigna automáticamente el nivel de amenaza, etiquetas MITRE ATT&CK y categoría, aunque puedes forzar estos valores usando los parámetros opcionales.

Parámetros Obligatorios:

  • -u o --url: URL de la API de tu instancia MISP.

  • -k o --key: Clave de autenticación (API Key) de MISP.

  • -a o --agent: Nombre del Agente en el SIEM que generó la alerta.

  • -n o --alert-name: Nombre descriptivo de la alerta.

  • -d o --alert-data: Datos crudos (raw log) de la alerta. De aquí el script extraerá automáticamente la IP atacante.

Parámetros Opcionales:

Parámetro Descripción Valor por defecto
-t, --tlp Nivel TLP (Traffic Light Protocol). Ej: tlp:red, tlp:amber. tlp:green
-s, --sharing Nivel de distribución del evento en MISP (0=Tu Org, 1=Comunidad, 2=Conectados, 3=Todos). 0
-l, --threat-level Fuerza el nivel de amenaza ignorando el auto-triaje (1=High, 2=Medium, 3=Low). Auto-asignado
-c, --category Fuerza la categoría del atributo IP en MISP. Auto-asignado
-g, --tags Añade etiquetas extra al evento (separadas por comas). Auto-asignado

3. Configuración de Disparadores en Pandora FMS

Para que la exportación sea automática, debemos configurar Comando, Acción y Plantilla en las alertas de Pandora FMS para pasar las variables de entorno de Pandora FMS directamente a los parámetros del script mediante el uso de macros.

Paso 1: Crear el Comando de Alerta (Alert Command)

  1. Navega a: Management -> Alerts -> Commands

  2. Haz clic en Create +.

  3. Nombre: Export SIEM to MISP

  4. Comando: Usaremos las macros de Pandora para inyectar los datos. Copia esta estructura (asegúrate de que los valores fijos como URL y KEY los rellenaremos en la Acción):

    Bash
    /usr/bin/python3 /usr/share/pandora_server/util/plugin/pandora_to_misp.py -u "_field1_" -k "_field2_" -a "_field3_" -n "_field4_" -d "_field5_" _field6_

    (Nota: Es vital que las macros vayan entre comillas dobles para que el script procese bien los espacios).

  • Descripción: 

    (Nota: Es vitalComando que lasejecuta macrosla vayanllamada entreal comillasscript dobles parapandora_to_misp.py que enviará el scriptevento proceseal bienMISP mediante API call.

  • Field Description / Values: Aqui detallamos una descripción de cada macro y a los espacios).que corresponda les pasamos la macro que nos interesa obtener quedando de la siguiente manera:
  • 1) Field Description
    1) Field Values
    MISP URL
    2) Field Description2) Field Values
    MISP API KEY
    3) Field Description3) Field Values
    Agent Name_agent_
    4) Field Description4) Field Values
    Alert Name_alert_name_
    5) Field Description5) Field Values
    Alert Description_data_
    6) Field Description6) Field Values
    Optional Parameters

    Ejemplo:

    [INSERT_SCREENSHOT_COMMAND_CONFIG]image.png

    Paso 2: Crear la Acción de Alerta (Alert Action)

      1. Navega a: SetupManagement -> SetupAlerts  -> Alerts -> pestaña Actions.

      2. Haz clic en Create +.

      3. Nombre: ExportarCrear aEvento MISP.

      4. Comando: Selecciona Export SIEM to MISP.

      5. En los campos de configuración que aparecen abajo, introduce tus credenciales reales:

        • Field 1: URL de tu MISP (Ej: https://misp.midominio.com).

        • Field 2: Tu API Key de MISP.

      6. Field 3: Queda como viene del comando
      7. Field

        4: Queda como viene del comando

      8. Field 5: Queda como viene del comando
      9. Field 6 (Opcional): Si quieres añadir flags extra (por ejemplo, forzar etiquetas), puedes añadirlos al final delen Fieldel 2field o6 crearcomo unúnicamente Fieldsi 3quieres que todas las alertas que disparen esta acción tengan la misma configuración avanzada que le indiques, la configuración de ejemplo la tienes en el comando.

        punto 3 (templates). Lo recomendado en este caso sería crear diferentes templates para diferentes tipos de alerta y personalizar el campo Field6 en cada template independiente y no en la acción.

    [INSERT_SCREENSHOT_ACTION_CONFIG]image.png

    image.png

    image.png

    Paso 3: Crear la Plantilla de Alerta (SIEM Alert Template)

    1. Navega a: SIEM -> Setup -> SIEM Alert Templates.

    2. Haz clic en Create.

    3. Nombre: MISP Export on Critical Detections.

    4. Condiciones: Define qué alertas quieres mandar a MISP (por ejemplo, que la severidad sea mayor o igual a 10).

    5. En la pestaña Actions, asigna la acción Exportar a MISP.

    6. Guarda y habilita la plantilla.

    [INSERT_SCREENSHOT_TEMPLATE_CONFIG]