MISP_CONFIG = { "misp_url":"URL_MISP", "misp_authkey":"AUTHKEY" } # Se si quiere agregar a exclusion de MISP cada atributo al deshabilitar correlacion NO_CORRELATIVOS_EXCLUSION = False # Config Lookup KTIP KTIP_CONFIG = { "api_key":"OPENTIP_APIKKEY", "url_base": "https://opentip.kaspersky.com/api/v1/search/" } # Rango de dias para verificar si IoC es falso positivo RANGO_DIAS = 7 # Se debe establecer Manual JWT_TOKEN_GEN = "JWT_TOKEN" # Maximo de atributos a procesar por evento (2000 es el recomendado) MAX_ATTRS = 2000 def cargar_fp_en_set(ruta_archivo: str) -> set: """ Lee un archivo de texto línea a línea y devuelve un set con cada línea limpia. """ conjunto = set() with open(ruta_archivo, "r", encoding="utf-8") as archivo: for linea in archivo: linea_limpia = linea.strip() if linea_limpia: # Evita líneas vacías conjunto.add(linea_limpia) return conjunto # Falsos positivos comunes # FP Comunes FP_COMUNES = cargar_fp_en_set("fp.txt") # Organizaciones que se puede omitir la revisión de eventos ORG_OMITIR = [] NO_CORRELACIONES = [ "comment", # Comentarios descriptivos "email-subject", # Asuntos de correos electrónicos "email-dst", # Emails de destinatarios "email-src", # Emails de remitentes "hostname", # Nombres de host "port", # Puertos "link", # Enlaces "phone-number", # Números de teléfono "user-agent", # Agentes de usuario "size-in-bytes", # Tamaños en bytes "vulnerability", # Vulnerabilidades (CVE) "whois-registrant-email", # Correos de registrantes WHOIS "whois-registrant-name", # Nombres de registrantes WHOIS "regkey", # Claves de registro de Windows "regkey|value", # Claves de registro con valores "text", # Texto libre "datetime", # Fechas y horas "campaign-name", # Nombres de campaña "attachment", # Archivos adjuntos "email", # Emails de remitentes "email-body", # Cuerpo de Email "email-attachment" # Archivos adjuntos (variante) ] IDS_CORRELACIONES = [ "ip-src", # IP de origen "ip-dst", # IP de destino "domain", # Dominio "domain|ip", # Dominio con IP asociada "url", # URL completas "uri", # URI (fragmentos de rutas) "http-method", # Métodos HTTP (GET, POST, etc.) "email-attachment", # Nombres de archivos adjuntos en correos "filename", # Nombres de archivo "filename|md5", # Nombre de archivo con su hash MD5 "filename|sha1", # Nombre de archivo con su hash SHA1 "filename|sha256", # Nombre de archivo con su hash SHA256 "md5", # Hash MD5 "sha1", # Hash SHA1 "sha256", # Hash SHA256 "authentihash", # Hash Authentihash "impfuzzy", # Hash ImpHash (ejecutable PE) "tlsh", # Hash TLSH "ssdeep", # Hash SSDEEP (fuzzy hash) "mutex", # Nombres de mutex "registry-key", # Claves de registro (si son relevantes) "registry-key|value", # Claves de registro con valores "ip-src|port", # IP de origen con puerto "ip-dst|port", # IP de destino con puerto "asn", # ASN (Autonomous System Number) "cidr", # Rango CIDR (IPs) "mac-address", # Dirección MAC "x509-fingerprint-md5", # Huella de certificados X509 (MD5) "x509-fingerprint-sha1", # Huella de certificados X509 (SHA1) "x509-fingerprint-sha256", # Huella de certificados X509 (SHA256) "ja3-fingerprint-md5", # Huella JA3 (TLS handshake) "btc", # Dirección de Bitcoin "iban", # Número de cuenta bancaria (IBAN) "bank-account-nr", # Número de cuenta bancaria "payment-card-number" # Número de tarjeta de pago ] CONFIG_WL = { "filtros_buscar": ["osint", "google", "ipv4", "1000","domains","websites","microsoft","amazon","cloudflare","tranco","cisco","azure","office"], "max_reg": 10000 }