misp-fixevent-webhook/config.py

MISP_CONFIG = {
    "misp_url":"URL_MISP",
    "misp_authkey":"AUTHKEY"
}

# Se si quiere agregar a exclusion de MISP cada atributo al deshabilitar correlacion
NO_CORRELATIVOS_EXCLUSION = False


# Config Lookup KTIP
KTIP_CONFIG = {
    "api_key":"OPENTIP_APIKKEY",
    "url_base": "https://opentip.kaspersky.com/api/v1/search/"
}

# Rango de dias para verificar si IoC es falso positivo
RANGO_DIAS = 7

# Se debe establecer Manual
JWT_TOKEN_GEN = "JWT_TOKEN"

# Maximo de atributos a procesar por evento (2000 es el recomendado)
MAX_ATTRS = 2000

def cargar_fp_en_set(ruta_archivo: str) -> set:
    """
    Lee un archivo de texto línea a línea y devuelve un set con cada línea limpia.
    """
    conjunto = set()
    with open(ruta_archivo, "r", encoding="utf-8") as archivo:
        for linea in archivo:
            linea_limpia = linea.strip()
            if linea_limpia:  # Evita líneas vacías
                conjunto.add(linea_limpia)
    return conjunto

# Falsos positivos comunes
# FP Comunes
FP_COMUNES = cargar_fp_en_set("fp.txt")

# Organizaciones que se puede omitir la revisión de eventos
ORG_OMITIR = []

NO_CORRELACIONES = [
    "comment",              # Comentarios descriptivos
    "email-subject",        # Asuntos de correos electrónicos
    "email-dst",            # Emails de destinatarios
    "email-src",            # Emails de remitentes
    "hostname",             # Nombres de host
    "port",                 # Puertos
    "link",                 # Enlaces
    "phone-number",         # Números de teléfono
    "user-agent",           # Agentes de usuario
    "size-in-bytes",        # Tamaños en bytes
    "vulnerability",        # Vulnerabilidades (CVE)
    "whois-registrant-email",  # Correos de registrantes WHOIS
    "whois-registrant-name",   # Nombres de registrantes WHOIS
    "regkey",               # Claves de registro de Windows
    "regkey|value",         # Claves de registro con valores
    "text",                 # Texto libre
    "datetime",             # Fechas y horas
    "campaign-name",        # Nombres de campaña
    "attachment",           # Archivos adjuntos
    "email",                # Emails de remitentes
    "email-body",           # Cuerpo de Email
    "email-attachment"      # Archivos adjuntos (variante)
]

IDS_CORRELACIONES = [
    "ip-src",              # IP de origen
    "ip-dst",              # IP de destino
    "domain",              # Dominio
    "domain|ip",           # Dominio con IP asociada
    "url",                 # URL completas
    "uri",                 # URI (fragmentos de rutas)
    "http-method",         # Métodos HTTP (GET, POST, etc.)
    "email-attachment",    # Nombres de archivos adjuntos en correos
    "filename",            # Nombres de archivo
    "filename|md5",        # Nombre de archivo con su hash MD5
    "filename|sha1",       # Nombre de archivo con su hash SHA1
    "filename|sha256",     # Nombre de archivo con su hash SHA256
    "md5",                 # Hash MD5
    "sha1",                # Hash SHA1
    "sha256",              # Hash SHA256
    "authentihash",        # Hash Authentihash
    "impfuzzy",            # Hash ImpHash (ejecutable PE)
    "tlsh",                # Hash TLSH
    "ssdeep",              # Hash SSDEEP (fuzzy hash)
    "mutex",               # Nombres de mutex
    "registry-key",        # Claves de registro (si son relevantes)
    "registry-key|value",  # Claves de registro con valores
    "ip-src|port",         # IP de origen con puerto
    "ip-dst|port",         # IP de destino con puerto
    "asn",                 # ASN (Autonomous System Number)
    "cidr",                # Rango CIDR (IPs)
    "mac-address",         # Dirección MAC
    "x509-fingerprint-md5",  # Huella de certificados X509 (MD5)
    "x509-fingerprint-sha1", # Huella de certificados X509 (SHA1)
    "x509-fingerprint-sha256", # Huella de certificados X509 (SHA256)
    "ja3-fingerprint-md5",    # Huella JA3 (TLS handshake)
    "btc",                # Dirección de Bitcoin
    "iban",               # Número de cuenta bancaria (IBAN)
    "bank-account-nr",    # Número de cuenta bancaria
    "payment-card-number" # Número de tarjeta de pago
]

CONFIG_WL = {
    "filtros_buscar": ["osint", "google", "ipv4", "1000","domains","websites","microsoft","amazon","cloudflare","tranco","cisco","azure","office"],
    "max_reg": 10000
}
first commit 2025-02-13 16:41:25 -03:00			`MISP_CONFIG = {`
			`"misp_url":"URL_MISP",`
			`"misp_authkey":"AUTHKEY"`
			`}`

			`# Se si quiere agregar a exclusion de MISP cada atributo al deshabilitar correlacion`
			`NO_CORRELATIVOS_EXCLUSION = False`


			`# Config Lookup KTIP`
			`KTIP_CONFIG = {`
			`"api_key":"OPENTIP_APIKKEY",`
			`"url_base": "https://opentip.kaspersky.com/api/v1/search/"`
			`}`

			`# Rango de dias para verificar si IoC es falso positivo`
			`RANGO_DIAS = 7`

			`# Se debe establecer Manual`
			`JWT_TOKEN_GEN = "JWT_TOKEN"`

[fix_newlogic_ok] 2025-03-03 16:49:15 -03:00			`# Maximo de atributos a procesar por evento (2000 es el recomendado)`
			`MAX_ATTRS = 2000`
first commit 2025-02-13 16:41:25 -03:00
[Update_v2] 2025-03-07 15:29:49 -03:00			`def cargar_fp_en_set(ruta_archivo: str) -> set:`
			`"""`
			`Lee un archivo de texto línea a línea y devuelve un set con cada línea limpia.`
			`"""`
			`conjunto = set()`
			`with open(ruta_archivo, "r", encoding="utf-8") as archivo:`
			`for linea in archivo:`
			`linea_limpia = linea.strip()`
			`if linea_limpia: # Evita líneas vacías`
			`conjunto.add(linea_limpia)`
			`return conjunto`

first commit 2025-02-13 16:41:25 -03:00			`# Falsos positivos comunes`
			`# FP Comunes`
[Update_v2] 2025-03-07 15:29:49 -03:00			`FP_COMUNES = cargar_fp_en_set("fp.txt")`
first commit 2025-02-13 16:41:25 -03:00
			`# Organizaciones que se puede omitir la revisión de eventos`
			`ORG_OMITIR = []`

[fix_newlogic_ok] 2025-03-03 16:49:15 -03:00			`NO_CORRELACIONES = [`
first commit 2025-02-13 16:41:25 -03:00			`"comment", # Comentarios descriptivos`
			`"email-subject", # Asuntos de correos electrónicos`
			`"email-dst", # Emails de destinatarios`
			`"email-src", # Emails de remitentes`
			`"hostname", # Nombres de host`
			`"port", # Puertos`
			`"link", # Enlaces`
			`"phone-number", # Números de teléfono`
			`"user-agent", # Agentes de usuario`
			`"size-in-bytes", # Tamaños en bytes`
			`"vulnerability", # Vulnerabilidades (CVE)`
			`"whois-registrant-email", # Correos de registrantes WHOIS`
			`"whois-registrant-name", # Nombres de registrantes WHOIS`
			`"regkey", # Claves de registro de Windows`
			`"regkey\|value", # Claves de registro con valores`
			`"text", # Texto libre`
			`"datetime", # Fechas y horas`
			`"campaign-name", # Nombres de campaña`
[fix_newlogic_ok] 2025-03-03 16:49:15 -03:00			`"attachment", # Archivos adjuntos`
			`"email", # Emails de remitentes`
			`"email-body", # Cuerpo de Email`
			`"email-attachment" # Archivos adjuntos (variante)`
first commit 2025-02-13 16:41:25 -03:00			`]`

[fix_newlogic_ok] 2025-03-03 16:49:15 -03:00			`IDS_CORRELACIONES = [`
first commit 2025-02-13 16:41:25 -03:00			`"ip-src", # IP de origen`
			`"ip-dst", # IP de destino`
			`"domain", # Dominio`
			`"domain\|ip", # Dominio con IP asociada`
			`"url", # URL completas`
			`"uri", # URI (fragmentos de rutas)`
			`"http-method", # Métodos HTTP (GET, POST, etc.)`
			`"email-attachment", # Nombres de archivos adjuntos en correos`
			`"filename", # Nombres de archivo`
			`"filename\|md5", # Nombre de archivo con su hash MD5`
			`"filename\|sha1", # Nombre de archivo con su hash SHA1`
			`"filename\|sha256", # Nombre de archivo con su hash SHA256`
			`"md5", # Hash MD5`
			`"sha1", # Hash SHA1`
			`"sha256", # Hash SHA256`
			`"authentihash", # Hash Authentihash`
			`"impfuzzy", # Hash ImpHash (ejecutable PE)`
			`"tlsh", # Hash TLSH`
			`"ssdeep", # Hash SSDEEP (fuzzy hash)`
			`"mutex", # Nombres de mutex`
			`"registry-key", # Claves de registro (si son relevantes)`
			`"registry-key\|value", # Claves de registro con valores`
			`"ip-src\|port", # IP de origen con puerto`
			`"ip-dst\|port", # IP de destino con puerto`
			`"asn", # ASN (Autonomous System Number)`
			`"cidr", # Rango CIDR (IPs)`
			`"mac-address", # Dirección MAC`
			`"x509-fingerprint-md5", # Huella de certificados X509 (MD5)`
			`"x509-fingerprint-sha1", # Huella de certificados X509 (SHA1)`
			`"x509-fingerprint-sha256", # Huella de certificados X509 (SHA256)`
			`"ja3-fingerprint-md5", # Huella JA3 (TLS handshake)`
			`"btc", # Dirección de Bitcoin`
			`"iban", # Número de cuenta bancaria (IBAN)`
			`"bank-account-nr", # Número de cuenta bancaria`
			`"payment-card-number" # Número de tarjeta de pago`
			`]`

[Update_v2] 2025-03-07 15:29:49 -03:00			`CONFIG_WL = {`
			`"filtros_buscar": ["osint", "google", "ipv4", "1000","domains","websites","microsoft","amazon","cloudflare","tranco","cisco","azure","office"],`
			`"max_reg": 10000`
			`}`