Creación de la alerta en SIEM

Una vez configurados el Comando, la Acción y la Plantilla, el último paso es crear la alerta en el motor SIEM de Pandora FMS. Esta alerta será la encargada de "escuchar" los eventos que ocurran en el sistema y, si coinciden con nuestros filtros, disparará el envío hacia MISP.

Para comenzar, navega en el menú lateral a Management -> Alerts -> SIEM Alerts y haz clic en el botón de creación (Create +). A continuación, sigue el asistente de 5 pasos:

Paso 1: Configure (Configuración básica)

En esta primera pestaña, definiremos los metadatos de la alerta:

• Alert name: Asigna un nombre claro, por ejemplo, Malicious IP activity detected.

• Group: Selecciona el grupo correspondiente, de lo contrario dejalo en  All.

• Description: Añade una descripción útil para tu equipo, como Alerta que crea un evento en MISP tras evento ID 200200.

• Severity: Define la severidad de la alerta en el SIEM (ej. Critical).

Paso 2: Conditions (Condiciones)

Aquí enlazaremos la alerta con la lógica que creamos anteriormente:

• Load from template: Despliega el menú y selecciona la plantilla que creamos en la fase anterior (en el ejemplo: Exportar Críticos a MISP). Al cargar la plantilla, los campos de programación (Schedule), umbral de tiempo (Threshold de 5 minutes) y contadores de alerta (From 0, To 1) se rellenarán automáticamente con los valores correctos para evitar la saturación de eventos.

Paso 3: Filters (Filtros de detección)

Este es el paso más importante de la configuración. Aquí le decimos a Pandora FMS qué eventos específicos dentro del tráfico del SIEM deben activar esta alerta y, por tanto, enviarse a MISP. Puedes combinar varios campos para hacer el filtro tan estricto como necesites.

A continuación, se detalla para qué sirve cada campo:

• Free search: Búsqueda libre. Permite buscar una cadena de texto o palabra clave específica dentro de todos los datos del log/evento original.

• Group / Group recursion: Filtra las alertas para que solo apliquen a los agentes que pertenezcan a un grupo de Pandora FMS específico (pudiendo incluir también sus subgrupos si activas la recursión).

• SIEM group: Filtra los eventos basándose en el grupo lógico de clasificación del propio motor SIEM.

• Event description: A diferencia de la búsqueda libre, este campo busca un texto específico exclusivamente en el campo de descripción del evento detectado.

• Severity: Permite filtrar por la severidad con la que el motor SIEM ha catalogado el evento (All, Informative, Normal, Warning, Critical, etc.). Ejemplo: Seleccionar 'Critical' para exportar solo los incidentes más graves.

• Level: Nivel nativo del evento en Pandora FMS.

• ID Rule: Identificador numérico exacto de la regla SIEM que debe hacer saltar la alerta. Ejemplo: Introducir 200200 garantiza que solo las detecciones de esa regla en concreto se envíen a MISP.

• Type: Permite acotar por el tipo de evento registrado en el sistema.

• Mitre: Permite filtrar únicamente aquellas detecciones que el SIEM haya mapeado con una táctica o técnica específica del framework de ciberseguridad MITRE ATT&CK.

• Agent: Si solo te interesa monitorizar un servidor o dispositivo en concreto, introduce aquí el nombre de su Agente de Pandora FMS.

• Decoder: Filtra basándose en el decodificador de logs que haya procesado el evento (por ejemplo, si quieres exportar solo alertas procesadas por el decodificador de windows o apache).

• Excluded agents: Lista blanca. Permite indicar agentes de Pandora FMS específicos que serán ignorados, de modo que sus eventos NUNCA dispararán esta alerta a MISP.

• Exclude Rules: Exclusión de reglas. Si en el campo Severity marcaste "All" para llevarte todo, puedes usar este campo para introducir los IDs de aquellas reglas concretas (como avisos menores o "ruido") que no deseas exportar.

(Nota: Para una integración estándar, suele bastar con definir la Severidad y/o el ID Rule, dejando el resto de campos vacíos o en 'None').

Paso 4: Fields (Campos adicionales)

Selecciona la plantilla que quieres tener para esta alerta. Si la plantilla cargada incluye campos personalizados (Macros _field1_, _field2_, etc.), se tomarán los valores de la Template. Por lo general, estos campos ya heredan la configuración directamente del Comando, la Acción y la Plantilla, por lo que puedes dejarlos por defecto y avanzar.

Paso 5: Triggering (Lanzamiento)

En esta última pantalla verificaremos el resumen de la configuración de disparo.

1. Revisa la tabla Triggering Condition para confirmar que el calendario y los umbrales son correctos.

2. En la tabla inferior (Action), comprueba que aparece la acción deseada (ej. Crear Evento MISP).

3. Si no aparece, selecciónala en el desplegable Actions, asegúrate de que From y To estén en 0, y haz clic en el botón verde Add (Asegurate de establecer el threshold correcto)

Finaliza el asistente para guardar la alerta. ¡Tu integración ya está completamente operativa en tiempo real!