public/misp-fixevent-webhook
2
0
Fork 0
Code Issues Pull requests Projects Releases Packages Wiki Activity Actions

Actualizar Implementando misp-fixevent-webhook

fquezada 2025-03-03 19:51:21 +00:00
parent 75d1563966
commit 47794205e6
1 changed files with 19 additions and 12 deletions
Show stats Download patch file Download diff file Expand all files Collapse all files

31
Implementando misp-fixevent-webhook.-.md

@ -4,12 +4,12 @@ Este proyecto permite en tiempo real realizar correcciones (limpieza) en los atr
Como resultado este proyecto implementa una API en un servidor para recibir los datos de cada evento para ser procesados. Como resultado este proyecto implementa una API en un servidor para recibir los datos de cada evento para ser procesados.
(Se necesita el servicio gratuito de lookup de IP's, dominios y hashes que ofrece Kaspersky© Threat Intelligence Portal para la limpieza de falsos positivos) (Se necesita el servicio gratuito de lookup de IP's, dominios, url y hashes que ofrece Kaspersky© Threat Intelligence Portal para la limpieza de falsos positivos)
## Características: ## Características:
- Limpieza de falsos positivos de cada evento generado en MISP (IP, Domain, SHA256) - Limpieza de falsos positivos de cada evento generado en MISP (IP, Domain, SHA256, URL)
- Normalización de correlación y activación de tag IDS en cada atributo. Solo se activa tag IDS para el tipo de atributo que corresponde, como a su vez solo se activa la correlación para los tipos de atributos que deben ser correlacionados. - Normalización de correlación y activación de tag IDS en cada atributo. Solo se activa tag IDS para el tipo de atributo que corresponde, como a su vez solo se activa la correlación para los tipos de atributos que deben ser correlacionados.
@ -60,13 +60,13 @@ MAX_ATTRS = 4000
# Falsos positivos comunes # Falsos positivos comunes
# FP Comunes # FP Comunes
FP_COMUNES = ['0.0.0.0','8.8.8.8','google.com','amazon.com','microsoft.com','cloudflare.com'] FP_COMUNES = ['0.0.0.0','4.4.4.4','8.8.8.8','localhost','.local','google.com','amazon.com','microsoft.com','cloudflare.com']
# Organizaciones que se puede omitir la revisión de eventos # Organizaciones que se puede omitir la revisión de eventos
ORG_OMITIR = [] ORG_OMITIR = []
NO_CORRELATIVOS = [ NO_CORRELACIONES = [
"comment”, # Comentarios descriptivos "comment", # Comentarios descriptivos
"email-subject", # Asuntos de correos electrónicos "email-subject", # Asuntos de correos electrónicos
"email-dst", # Emails de destinatarios "email-dst", # Emails de destinatarios
"email-src", # Emails de remitentes "email-src", # Emails de remitentes
@ -84,11 +84,13 @@ NO_CORRELATIVOS = [
"text", # Texto libre "text", # Texto libre
"datetime", # Fechas y horas "datetime", # Fechas y horas
"campaign-name", # Nombres de campaña "campaign-name", # Nombres de campaña
"attachment", # Archivos adjuntos "attachment", # Archivos adjuntos
"email" # Emails de remitentes "email", # Emails de remitentes
"email-body", # Cuerpo de Email
"email-attachment" # Archivos adjuntos (variante)
] ]
IDS_CORRELATIVOS = [ IDS_CORRELACIONES = [
"ip-src", # IP de origen "ip-src", # IP de origen
"ip-dst", # IP de destino "ip-dst", # IP de destino
"domain", # Dominio "domain", # Dominio
@ -126,6 +128,7 @@ IDS_CORRELATIVOS = [
"payment-card-number" # Número de tarjeta de pago "payment-card-number" # Número de tarjeta de pago
] ]
``` ```
En config.py puedes realizar los ajustes: En config.py puedes realizar los ajustes:
@ -145,9 +148,9 @@ En config.py puedes realizar los ajustes:
- ORG_OMITIR: Organizaciones que se puede omitir la revisión de eventos. - ORG_OMITIR: Organizaciones que se puede omitir la revisión de eventos.
- NO_CORRELATIVOS: Lista de tipos de atributos que no deben correlacionarse dentro de MISP. - NO_CORRELACIONES: Lista de tipos de atributos que no deben correlacionarse dentro de MISP.
- IDS_CORRELATIVOS: Lista de tipos de atributos que deberán tener el flag IDS activado dentro de MISP. Por defecto estos atributos son correlacionados dentro de MISP. - IDS_CORRELACIONES: Lista de tipos de atributos que deberán tener el flag IDS activado dentro de MISP. Por defecto estos atributos son correlacionados dentro de MISP.
# Configuración Inicial # Configuración Inicial
@ -342,10 +345,9 @@ chmod +x /var/www/MISP/misp-modules/run.sh
sudo systemctl daemon-reload sudo systemctl daemon-reload
``` ```
9. Luego registramos este archivo para que se ejecute al iniciar el sistema y arrancamos app: 9. Luego registramos este archivo para que se ejecute al iniciar el sistema:
``` shell ``` shell
sudo systemctl enable misp-modules.sevice sudo systemctl enable misp-modules.sevice
sudo systemctl start misp-modules.sevice
``` ```
10. Configuramos carpeta de MISP como owner original "www-data" 10. Configuramos carpeta de MISP como owner original "www-data"
@ -353,6 +355,11 @@ sudo systemctl start misp-modules.sevice
sudo chown -R www-data:www-data /var/www/MISP sudo chown -R www-data:www-data /var/www/MISP
``` ```
11. Arrancamos APP:
```shell
sudo systemctl start misp-modules.sevice
```
## Activando / Configurando Workflow en MISP ## Activando / Configurando Workflow en MISP
1. Accedemos a MISP y nos dirigimos a "Administration"->"Server Settings & Maintenance"->"Plugin": 1. Accedemos a MISP y nos dirigimos a "Administration"->"Server Settings & Maintenance"->"Plugin":