From 47794205e6489728e96a9b70bfe4e4ff19330ec7 Mon Sep 17 00:00:00 2001 From: fquezada Date: Mon, 3 Mar 2025 19:51:21 +0000 Subject: [PATCH] Actualizar Implementando misp-fixevent-webhook --- Implementando misp-fixevent-webhook.-.md | 31 +++++++++++++++--------- 1 file changed, 19 insertions(+), 12 deletions(-) diff --git a/Implementando misp-fixevent-webhook.-.md b/Implementando misp-fixevent-webhook.-.md index 5d49c82..fba2544 100644 --- a/Implementando misp-fixevent-webhook.-.md +++ b/Implementando misp-fixevent-webhook.-.md @@ -4,12 +4,12 @@ Este proyecto permite en tiempo real realizar correcciones (limpieza) en los atr Como resultado este proyecto implementa una API en un servidor para recibir los datos de cada evento para ser procesados. -(Se necesita el servicio gratuito de lookup de IP's, dominios y hashes que ofrece Kaspersky© Threat Intelligence Portal para la limpieza de falsos positivos) +(Se necesita el servicio gratuito de lookup de IP's, dominios, url y hashes que ofrece Kaspersky© Threat Intelligence Portal para la limpieza de falsos positivos) ## Características: -- Limpieza de falsos positivos de cada evento generado en MISP (IP, Domain, SHA256) +- Limpieza de falsos positivos de cada evento generado en MISP (IP, Domain, SHA256, URL) - Normalización de correlación y activación de tag IDS en cada atributo. Solo se activa tag IDS para el tipo de atributo que corresponde, como a su vez solo se activa la correlación para los tipos de atributos que deben ser correlacionados. @@ -60,13 +60,13 @@ MAX_ATTRS = 4000 # Falsos positivos comunes # FP Comunes -FP_COMUNES = ['0.0.0.0','8.8.8.8','google.com','amazon.com','microsoft.com','cloudflare.com'] +FP_COMUNES = ['0.0.0.0','4.4.4.4','8.8.8.8','localhost','.local','google.com','amazon.com','microsoft.com','cloudflare.com'] # Organizaciones que se puede omitir la revisión de eventos ORG_OMITIR = [] -NO_CORRELATIVOS = [ - "comment”, # Comentarios descriptivos +NO_CORRELACIONES = [ + "comment", # Comentarios descriptivos "email-subject", # Asuntos de correos electrónicos "email-dst", # Emails de destinatarios "email-src", # Emails de remitentes @@ -84,11 +84,13 @@ NO_CORRELATIVOS = [ "text", # Texto libre "datetime", # Fechas y horas "campaign-name", # Nombres de campaña - "attachment", # Archivos adjuntos - "email" # Emails de remitentes + "attachment", # Archivos adjuntos + "email", # Emails de remitentes + "email-body", # Cuerpo de Email + "email-attachment" # Archivos adjuntos (variante) ] -IDS_CORRELATIVOS = [ +IDS_CORRELACIONES = [ "ip-src", # IP de origen "ip-dst", # IP de destino "domain", # Dominio @@ -126,6 +128,7 @@ IDS_CORRELATIVOS = [ "payment-card-number" # Número de tarjeta de pago ] + ``` En config.py puedes realizar los ajustes: @@ -145,9 +148,9 @@ En config.py puedes realizar los ajustes: - ORG_OMITIR: Organizaciones que se puede omitir la revisión de eventos. -- NO_CORRELATIVOS: Lista de tipos de atributos que no deben correlacionarse dentro de MISP. +- NO_CORRELACIONES: Lista de tipos de atributos que no deben correlacionarse dentro de MISP. -- IDS_CORRELATIVOS: Lista de tipos de atributos que deberán tener el flag IDS activado dentro de MISP. Por defecto estos atributos son correlacionados dentro de MISP. +- IDS_CORRELACIONES: Lista de tipos de atributos que deberán tener el flag IDS activado dentro de MISP. Por defecto estos atributos son correlacionados dentro de MISP. # Configuración Inicial @@ -342,10 +345,9 @@ chmod +x /var/www/MISP/misp-modules/run.sh sudo systemctl daemon-reload ``` -9. Luego registramos este archivo para que se ejecute al iniciar el sistema y arrancamos app: +9. Luego registramos este archivo para que se ejecute al iniciar el sistema: ``` shell sudo systemctl enable misp-modules.sevice -sudo systemctl start misp-modules.sevice ``` 10. Configuramos carpeta de MISP como owner original "www-data" @@ -353,6 +355,11 @@ sudo systemctl start misp-modules.sevice sudo chown -R www-data:www-data /var/www/MISP ``` +11. Arrancamos APP: +```shell +sudo systemctl start misp-modules.sevice +``` + ## Activando / Configurando Workflow en MISP 1. Accedemos a MISP y nos dirigimos a "Administration"->"Server Settings & Maintenance"->"Plugin":