misp-fixevent-webhook/config.py

MISP_CONFIG = {
    "misp_url":"URL_MISP",
    "misp_authkey":"AUTHKEY"
}

# Se si quiere agregar a exclusion de MISP cada atributo al deshabilitar correlacion
NO_CORRELATIVOS_EXCLUSION = False


# Config Lookup KTIP
KTIP_CONFIG = {
    "api_key":"OPENTIP_APIKKEY",
    "url_base": "https://opentip.kaspersky.com/api/v1/search/"
}

# Rango de dias para verificar si IoC es falso positivo
RANGO_DIAS = 7

# Se debe establecer Manual
JWT_TOKEN_GEN = "JWT_TOKEN"

# Maximo de atributos a procesar por evento (4000 es el recomendado)
MAX_ATTRS = 4000

# Falsos positivos comunes
# FP Comunes
FP_COMUNES = ['0.0.0.0','8.8.8.8','google.com','amazon.com','microsoft.com','cloudflare.com']

# Organizaciones que se puede omitir la revisión de eventos
ORG_OMITIR = []

NO_CORRELATIVOS = [
    "comment",              # Comentarios descriptivos
    "email-subject",        # Asuntos de correos electrónicos
    "email-dst",            # Emails de destinatarios
    "email-src",            # Emails de remitentes
    "hostname",             # Nombres de host
    "port",                 # Puertos
    "link",                 # Enlaces
    "phone-number",         # Números de teléfono
    "user-agent",           # Agentes de usuario
    "size-in-bytes",        # Tamaños en bytes
    "vulnerability",        # Vulnerabilidades (CVE)
    "whois-registrant-email",  # Correos de registrantes WHOIS
    "whois-registrant-name",   # Nombres de registrantes WHOIS
    "regkey",               # Claves de registro de Windows
    "regkey|value",         # Claves de registro con valores
    "text",                 # Texto libre
    "datetime",             # Fechas y horas
    "campaign-name",        # Nombres de campaña
    "attachment",            # Archivos adjuntos
    "email"                 # Emails de remitentes
]


IDS_CORRELATIVOS = [
    "ip-src",              # IP de origen
    "ip-dst",              # IP de destino
    "domain",              # Dominio
    "domain|ip",           # Dominio con IP asociada
    "url",                 # URL completas
    "uri",                 # URI (fragmentos de rutas)
    "http-method",         # Métodos HTTP (GET, POST, etc.)
    "email-attachment",    # Nombres de archivos adjuntos en correos
    "filename",            # Nombres de archivo
    "filename|md5",        # Nombre de archivo con su hash MD5
    "filename|sha1",       # Nombre de archivo con su hash SHA1
    "filename|sha256",     # Nombre de archivo con su hash SHA256
    "md5",                 # Hash MD5
    "sha1",                # Hash SHA1
    "sha256",              # Hash SHA256
    "authentihash",        # Hash Authentihash
    "impfuzzy",            # Hash ImpHash (ejecutable PE)
    "tlsh",                # Hash TLSH
    "ssdeep",              # Hash SSDEEP (fuzzy hash)
    "mutex",               # Nombres de mutex
    "registry-key",        # Claves de registro (si son relevantes)
    "registry-key|value",  # Claves de registro con valores
    "ip-src|port",         # IP de origen con puerto
    "ip-dst|port",         # IP de destino con puerto
    "asn",                 # ASN (Autonomous System Number)
    "cidr",                # Rango CIDR (IPs)
    "mac-address",         # Dirección MAC
    "x509-fingerprint-md5",  # Huella de certificados X509 (MD5)
    "x509-fingerprint-sha1", # Huella de certificados X509 (SHA1)
    "x509-fingerprint-sha256", # Huella de certificados X509 (SHA256)
    "ja3-fingerprint-md5",    # Huella JA3 (TLS handshake)
    "btc",                # Dirección de Bitcoin
    "iban",               # Número de cuenta bancaria (IBAN)
    "bank-account-nr",    # Número de cuenta bancaria
    "payment-card-number" # Número de tarjeta de pago
]
first commit 2025-02-13 16:41:25 -03:00			`MISP_CONFIG = {`
			`"misp_url":"URL_MISP",`
			`"misp_authkey":"AUTHKEY"`
			`}`

			`# Se si quiere agregar a exclusion de MISP cada atributo al deshabilitar correlacion`
			`NO_CORRELATIVOS_EXCLUSION = False`


			`# Config Lookup KTIP`
			`KTIP_CONFIG = {`
			`"api_key":"OPENTIP_APIKKEY",`
			`"url_base": "https://opentip.kaspersky.com/api/v1/search/"`
			`}`

			`# Rango de dias para verificar si IoC es falso positivo`
			`RANGO_DIAS = 7`

			`# Se debe establecer Manual`
			`JWT_TOKEN_GEN = "JWT_TOKEN"`

			`# Maximo de atributos a procesar por evento (4000 es el recomendado)`
			`MAX_ATTRS = 4000`

			`# Falsos positivos comunes`
			`# FP Comunes`
			`FP_COMUNES = ['0.0.0.0','8.8.8.8','google.com','amazon.com','microsoft.com','cloudflare.com']`

			`# Organizaciones que se puede omitir la revisión de eventos`
			`ORG_OMITIR = []`

			`NO_CORRELATIVOS = [`
			`"comment", # Comentarios descriptivos`
			`"email-subject", # Asuntos de correos electrónicos`
			`"email-dst", # Emails de destinatarios`
			`"email-src", # Emails de remitentes`
			`"hostname", # Nombres de host`
			`"port", # Puertos`
			`"link", # Enlaces`
			`"phone-number", # Números de teléfono`
			`"user-agent", # Agentes de usuario`
			`"size-in-bytes", # Tamaños en bytes`
			`"vulnerability", # Vulnerabilidades (CVE)`
			`"whois-registrant-email", # Correos de registrantes WHOIS`
			`"whois-registrant-name", # Nombres de registrantes WHOIS`
			`"regkey", # Claves de registro de Windows`
			`"regkey\|value", # Claves de registro con valores`
			`"text", # Texto libre`
			`"datetime", # Fechas y horas`
			`"campaign-name", # Nombres de campaña`
			`"attachment", # Archivos adjuntos`
			`"email" # Emails de remitentes`
			`]`


			`IDS_CORRELATIVOS = [`
			`"ip-src", # IP de origen`
			`"ip-dst", # IP de destino`
			`"domain", # Dominio`
			`"domain\|ip", # Dominio con IP asociada`
			`"url", # URL completas`
			`"uri", # URI (fragmentos de rutas)`
			`"http-method", # Métodos HTTP (GET, POST, etc.)`
			`"email-attachment", # Nombres de archivos adjuntos en correos`
			`"filename", # Nombres de archivo`
			`"filename\|md5", # Nombre de archivo con su hash MD5`
			`"filename\|sha1", # Nombre de archivo con su hash SHA1`
			`"filename\|sha256", # Nombre de archivo con su hash SHA256`
			`"md5", # Hash MD5`
			`"sha1", # Hash SHA1`
			`"sha256", # Hash SHA256`
			`"authentihash", # Hash Authentihash`
			`"impfuzzy", # Hash ImpHash (ejecutable PE)`
			`"tlsh", # Hash TLSH`
			`"ssdeep", # Hash SSDEEP (fuzzy hash)`
			`"mutex", # Nombres de mutex`
			`"registry-key", # Claves de registro (si son relevantes)`
			`"registry-key\|value", # Claves de registro con valores`
			`"ip-src\|port", # IP de origen con puerto`
			`"ip-dst\|port", # IP de destino con puerto`
			`"asn", # ASN (Autonomous System Number)`
			`"cidr", # Rango CIDR (IPs)`
			`"mac-address", # Dirección MAC`
			`"x509-fingerprint-md5", # Huella de certificados X509 (MD5)`
			`"x509-fingerprint-sha1", # Huella de certificados X509 (SHA1)`
			`"x509-fingerprint-sha256", # Huella de certificados X509 (SHA256)`
			`"ja3-fingerprint-md5", # Huella JA3 (TLS handshake)`
			`"btc", # Dirección de Bitcoin`
			`"iban", # Número de cuenta bancaria (IBAN)`
			`"bank-account-nr", # Número de cuenta bancaria`
			`"payment-card-number" # Número de tarjeta de pago`
			`]`