MISP
Version de l'intégration : 31.0
Configurer l'intégration MISP pour qu'elle fonctionne avec Google Security Operations
Configurer l'intégration MISP avec un certificat CA
Si nécessaire, vous pouvez valider votre connexion avec un fichier de certificat CA.
Avant de commencer, assurez-vous de disposer des éléments suivants :
- Fichier de certificat CA
- Dernière version de l'intégration MISP
Pour configurer l'intégration avec un certificat d'autorité de certification, procédez comme suit :
- Analysez votre fichier de certificat CA en une chaîne Base64.
- Ouvrez la page des paramètres de configuration de l'intégration.
- Insérez la chaîne dans le champ Fichier de certificat de l'autorité de certification.
- Pour vérifier que l'intégration est correctement configurée, cochez la case Vérifier le protocole SSL, puis cliquez sur Tester.
Clé d'automatisation
L'authentification est effectuée à l'aide d'une clé sécurisée disponible dans l'UI MISP. La clé API est disponible dans le menu des actions d'événement sous "Automatisation".
Configurer l'intégration MISP dans Google SecOps
Pour obtenir des instructions détaillées sur la configuration d'une intégration dans Google SecOps, consultez Configurer des intégrations.
Paramètres d'intégration
Utilisez les paramètres suivants pour configurer l'intégration :
| Nom à afficher du paramètre | Type | Valeur par défaut | Obligatoire | Description |
|---|---|---|---|---|
| Nom de l'instance | Chaîne | N/A | Non | Nom de l'instance pour laquelle vous souhaitez configurer l'intégration. |
| Description | Chaîne | N/A | Non | Description de l'instance. |
| Racine de l'API | https://<IP> | Oui | Adresse de l'instance MISP. | |
| Clé API | Chaîne | N/A | Oui | Généré dans la console MISP. |
| Use SSL (Connexion SSL) | Case à cocher | Décochée | Non | Cochez cette case si votre connexion MISP nécessite une validation SSL (elle est décochée par défaut). |
| Exécuter à distance | Case à cocher | Décochée | Non | Cochez le champ pour exécuter l'intégration configurée à distance. Une fois la case cochée, l'option permettant de sélectionner l'utilisateur distant (agent) s'affiche. |
Actions
Ajouter un attribut
Description
Ajoutez une entité en tant qu'attribut à un événement MISP.
Paramètres
| Nom à afficher du paramètre | Type | Valeur par défaut | Obligatoire | Description |
|---|---|---|---|---|
| ID de l'événement | Chaîne | N/A | Oui | ID de l'événement. |
| Catégorie | Chaîne | Analyse externe | Non | Catégorie de l'attribut. Par défaut : Analyse externe. |
| Distribution | Chaîne | 1 | Non | Distribution de l'attribut. Par défaut : 1. |
| Pour le système de détection des intrusions | Case à cocher | Décochée | Non | Indique si l'attribut est utilisé pour le système de détection des intrusions. Valeur par défaut : "false". |
| Commentaire | Chaîne | N/A | Non | Commentaire à ajouter à l'attribut. |
Cas d'utilisation
N/A
Exécuter sur
Cette action s'applique aux entités suivantes :
- URL
- Nom d'hôte
- Adresse IP
- Filehash
Résultats de l'action
Enrichissement d'entités
N/A
Insights
N/A
Résultat du script
| Nom du résultat du script | Options de valeur | Exemple |
|---|---|---|
| success | Vrai/Faux | success:False |
Résultat JSON
N/A
Créer un événement
Description
Créez un événement MISP.
Limitation connue
Actuellement, l'API MISP ne permet pas de publier immédiatement un événement lors de sa création. Vous devez d'abord créer un événement, puis utiliser l'action "Publier un événement".
Paramètres
| Nom à afficher du paramètre | Type | Valeur par défaut | Obligatoire | Description |
|---|---|---|---|---|
| Nom de l'événement | Chaîne | N/A | Oui | Nom de l'événement. |
| Niveau de menace | Chaîne | 0 | Non | Niveau de menace de l'événement. Valeur par défaut : 0. |
| Distribution | Chaîne | 1 | Non | Distribution de l'attribut. Par défaut : 1. |
| Analyse | Chaîne | 0 | Non | Niveau d'analyse de l'événement [0-2]. Valeur par défaut : 0. |
| Publier | Case à cocher | Cochée | Non | Indique si l'événement doit être publié ou non. |
| Commentaire | Chaîne | N/A | Non | Commentaire sur l'événement. |
Exécuter sur
Cette action s'exécute sur toutes les entités.
Résultats de l'action
Résultat du script
| Nom du résultat du script | Options de valeur | Exemple |
|---|---|---|
| event_id | N/A | N/A |
Ajouter un tag à un événement
Description
L'ajout d'un tag à une action d'événement permet à un utilisateur d'ajouter un tag à un événement spécifique dans MISP. Cela ajoute une classification à l'événement en fonction de la catégorie de menace de sécurité posée par l'IOC associé à l'événement.
Paramètres
| Nom à afficher du paramètre | Type | Valeur par défaut | Obligatoire | Description |
|---|---|---|---|---|
| ID de l'événement | Chaîne | N/A | Oui | Identifiant unique spécifiant l'événement auquel ajouter le tag. |
| Nom du tag | Chaîne | N/A | Oui | Nom du tag à ajouter à un événement. |
Cas d'utilisation
Classer un événement : ajoutez un tag à l'événement pour le classer.
Exécuter sur
Cette action s'exécute sur toutes les entités.
Résultats de l'action
Résultat du script
| Nom du résultat du script | Options de valeur | Exemple |
|---|---|---|
| is_success | Vrai/Faux | is_success:False |
Résultat JSON
[
{
"saved": true,
"success": "Tag(s) added.",
"check_publish": true
}
]
Télécharger le fichier
Description
Téléchargez les fichiers liés à l'événement dans MISP.
Paramètres
| Nom à afficher du paramètre | Type | Valeur par défaut | Obligatoire | Description |
|---|---|---|---|---|
| ID de l'événement | Chaîne | N/A | Non | Spécifiez l'ID ou l'UUID de l'événement à partir duquel vous souhaitez télécharger des fichiers. |
| Chemin d'accès au dossier de téléchargement | Chaîne | N/A | Spécifiez le chemin d'accès absolu au dossier dans lequel les fichiers doivent être stockés. Si rien n'est spécifié, l'action créera une pièce jointe. |
|
| Remplacer | Case à cocher | Décochée | Si cette option est activée, l'action écrasera les fichiers existants. |
Exécuter sur
Cette action s'exécute sur l'entité Filehash.
Résultats de l'action
Résultat du script
| Nom du résultat du script | Options de valeur | Exemple |
|---|---|---|
| success | Vrai/Faux | success:False |
Résultat JSON
{
"absolute_paths": ["/etc/file1.txt", "/etc/file2.txt"]
}
Mur des cas
| Type de résultat | Description de la valeur | Type |
|---|---|---|
| Message de sortie* | En cas de réussite : "Les fichiers suivants ont été téléchargés depuis l'événement {0} {1} dans MISP :\n{2}".format(ID/UUID, event_id, result/filename from the response) Si aucun fichier n'a été trouvé : "Aucun fichier n'a été trouvé pour l'événement avec {0} {1} dans MISP :\n{2}".format(ID/UUID, event_id) Si le chemin d'accès au dossier de téléchargement n'est pas spécifié et que certains fichiers dépassent la limite de taille des pièces jointes de la plate-forme : "L'action n'a pas pu télécharger les fichiers suivants, car ils dépassaient la limite de 3 Mo : \n {0}. \n Veuillez spécifier un chemin d'accès à un dossier dans le paramètre "Chemin d'accès au dossier de téléchargement" pour les télécharger.".(result/filename) Erreur critique (échec de l'action) : "Erreur lors de l'exécution de l'action "Télécharger le fichier". Raison : {0}".format(stacktrace) ID d'événement introuvable (action d'échec) "Erreur lors de l'exécution de l'action "Télécharger le fichier". Motif : L'événement {0} {1} est introuvable dans MISP".format(ID/UUID, event_id) Si "overwrite" est défini sur "false" et qu'un des fichiers existe déjà : "Erreur lors de l'exécution de l'action "Télécharger le fichier". Motif : Les fichiers suivants existent déjà : {0}. Veuillez les supprimer ou définir le paramètre "Overwrite" sur "true".".format(chemin d'accès absolu au fichier) |
Général |
Enrichir les entités
Description
Enrichissez les entités en fonction des attributs de MISP.
Paramètres
| Nom à afficher du paramètre | Type | Valeur par défaut | Description |
|---|---|---|---|
| Nombre d'attributs à renvoyer | Chaîne | N/A | Spécifiez le nombre d'attributs à renvoyer pour les entités. |
| Condition de filtrage | Spécifiez la condition de filtrage pour l'action. Si "Dernier" est sélectionné, l'action utilisera l'attribut le plus ancien pour l'enrichissement. Si "Premier" est sélectionné, l'action utilisera l'attribut le plus récent pour l'enrichissement. | ||
| Seuil du niveau de menace | LDD | Faible Valeurs possibles : Élevée Moyen Faible Indéterminé |
Spécifiez le seuil du niveau de menace de l'événement, là où l'entité a été trouvée. Si un événement associé dépasse ou atteint le seuil, l'entité est marquée comme suspecte. |
| Limite de recherche d'attributs | Integer | 50 | Indiquez le nombre d'attributs à rechercher par entité. Ce paramètre a une incidence sur l'attribut qui sera sélectionné pour l'enrichissement. Valeur par défaut : 50. |
Exécuter sur
Cette action s'applique aux entités suivantes :
- URL
- Nom d'hôte
- Adresse IP
- Filehash
Résultats de l'action
Enrichissement d'entités
Les entités sont marquées comme suspectes si le niveau de menace de l'événement est supérieur à 0. Sinon : False
Résultat du script
| Nom du résultat du script | Options de valeur | Exemple |
|---|---|---|
| success | Vrai/Faux | success:False |
Résultat JSON
[
{
"EntityResult": [
{
"Event":
{
"orgc_id": "1",
"ShadowAttribute": [],
"id": "3",
"threat_level_id": "3",
"event_creator_email": "john_doe@example.com",
"uuid": "5c5bff1b-a414-4a83-8755-035f0a000016",
"Object": [],
"Orgc": {
"uuid": "5c5ac66e-3884-4031-afd7-46f5bb9ebcaa",
"name": "ORGNAME",
"id": "1"
},
"Org": {
"uuid": "5c5ac66e-3884-4031-afd7-46f5bb9ebcaa",
"name": "ORGNAME",
"id": "1"
},
"RelatedEvent": [],
"sharing_group_id": "0",
"timestamp": "1549533154",
"date": "2019-02-07",
"disable_correlation": "False",
"info": "Test event",
"locked": "False",
"publish_timestamp": "1549533214",
"Attribute": [
{
"category": "Network activity",
"comment": " ",
"uuid": "5c5bffe2-9298-4098-ae31-035d0a000016",
"deleted": "False",
"timestamp": "1549533154",
"to_ids": "False",
"distribution": "3",
"object_id": "0",
"event_id": "3",
"ShadowAttribute": [],
"sharing_group_id": "0",
"value": "1.1.1.1",
"disable_correlation": "False",
"object_relation": "None",
"type": "ip-src",
"id": "1",
"Galaxy": []
}],
"attribute_count": "1",
"org_id": "1",
"analysis": "2",
"extends_uuid": " ",
"published": "True",
"distribution": "3",
"proposal_email_lock": "False",
"Galaxy": []
}}],
"Entity": "1.1.1.1"
}
]
Mur des cas
| Type de résultat | Description de la valeur | Type |
|---|---|---|
| Message de sortie* | Pour les attributs trouvés : (is_success=true) "Les entités suivantes ont été enrichies avec succès à l'aide de MISP : \n{0}".format(entity.identifier) Pour les attributs qui n'ont pas été trouvés (is_success=true) "L'action n'a pas pu enrichir les entités suivantes à l'aide de MISP : \n{0}".format(entity.identifier) Si tous les attributs n'ont pas été trouvés (is_success=false) "Aucune entité n'a été enrichie à l'aide de MISP" Si les attributs sont suspects (is_success=true) "Les attributs suivants ont été marqués comme suspects à l'aide de MISP : \n {0}".format(entity.identifier) |
Général |
| Table CSV | Colonnes du tableau :
|
Obtenir les événements associés
Description
Récupérez des informations sur les événements liés à des entités dans MISP.
Paramètres
| Nom à afficher du paramètre | Type | Valeur par défaut | Description |
|---|---|---|---|
| Marquer comme suspect | Case à cocher | Cochée | Si cette option est activée, l'action marquera l'entité comme suspecte s'il existe au moins un événement associé. |
Exécuter sur
Cette action s'applique aux entités suivantes :
- URL
- Nom d'hôte
- Adresse IP
- Filehash
Résultats de l'action
Enrichissement d'entités
Si des enregistrements d'événements associés sont disponibles, les entités sont marquées comme suspectes. Sinon, la valeur est "False".
| Nom du champ d'enrichissement | Logique : quand les utiliser ? |
|---|---|
| Événement | Renvoie la valeur si elle existe dans le résultat JSON. |
Résultat du script
| Nom du résultat du script | Options de valeur | Exemple |
|---|---|---|
| success | Vrai/Faux | success:False |
Résultat JSON
[
{
"EntityResult": [
{
"Event":
{
"orgc_id": "1",
"ShadowAttribute": [],
"id": "3",
"threat_level_id": "3",
"event_creator_email": "john_doe@example.com",
"uuid": "5c5bff1b-a414-4a83-8755-035f0a000016",
"Object": [],
"Orgc": {
"uuid": "5c5ac66e-3884-4031-afd7-46f5bb9ebcaa",
"name": "ORGNAME",
"id": "1"
},
"Org": {
"uuid": "5c5ac66e-3884-4031-afd7-46f5bb9ebcaa",
"name": "ORGNAME",
"id": "1"
},
"RelatedEvent": [],
"sharing_group_id": "0",
"timestamp": "1549533154",
"date": "2019-02-07",
"disable_correlation": "False",
"info": "Test event",
"locked": "False",
"publish_timestamp": "1549533214",
"Attribute": [
{
"category": "Network activity",
"comment": " ",
"uuid": "5c5bffe2-9298-4098-ae31-035d0a000016",
"deleted": "False",
"timestamp": "1549533154",
"to_ids": "False",
"distribution": "3",
"object_id": "0",
"event_id": "3",
"ShadowAttribute": [],
"sharing_group_id": "0",
"value": "1.1.1.1",
"disable_correlation": "False",
"object_relation": "None",
"type": "ip-src",
"id": "1",
"Galaxy": []
}],
"attribute_count": "1",
"org_id": "1",
"analysis": "2",
"extends_uuid": " ",
"published": "True",
"distribution": "3",
"proposal_email_lock": "False",
"Galaxy": []
}}],
"Entity": "1.1.1.1"
}
]
Mur des cas
| Type de résultat | Description de la valeur | Type |
|---|---|---|
| Message de sortie* | Si au moins un événement est trouvé pour au moins une entité : "Informations sur les événements associés récupérées avec succès pour les entités suivantes : \n{0}".format(entity.identifier) Si aucun événement n'est trouvé pour au moins une entité : "L'action n'a pas pu récupérer les informations sur les événements associés pour les entités suivantes : \n{0}".format(entity.identifier Si aucun événement n'est trouvé pour toutes les entités : "Aucun événement associé n'a été trouvé pour les entités fournies." |
Général |
Importer un fichier
Description
Importez un fichier dans un événement MISP.
Paramètres
| Nom | Type | Par défaut | Description |
|---|---|---|---|
| ID de l'événement | Chaîne | N/A | Spécifiez l'ID ou l'UUID de l'événement pour lequel vous souhaitez importer ce fichier. |
| Chemin d'accès au fichier | Chaîne | N/A | Spécifiez une liste de chemins d'accès absolus aux fichiers que vous souhaitez importer dans MISP, séparés par une virgule. |
| Catégorie | Spécifiez la catégorie du fichier importé. Valeurs possibles : "External Analysis" (Analyse externe), "Payload Delivery" (Distribution de la charge utile), "Artifacts Dropped" (Artifacts déposés), "Payload Installation" (Installation de la charge utile). | ||
| Distribution | Chaîne | Communauté | Spécifiez la distribution du fichier importé. |
| Niveau de menace | Chaîne | Élevée | Spécifiez le niveau de menace du fichier importé. |
| Analyse | Chaîne | initial | Spécifiez l'analyse de l'événement. |
| Infos | Chaîne | N/A | Spécifiez des informations supplémentaires pour le fichier importé. |
| Pour le système de détection des intrusions | Case à cocher | Décochée | Si cette option est activée, le fichier importé sera utilisé pour les systèmes de détection des intrusions. |
| Commentaire | Chaîne | N/A | Spécifiez d'autres commentaires concernant le fichier importé. |
Résultats de l'action
Résultat du script
| Nom du résultat du script | Options de valeur | Exemple |
|---|---|---|
| is_success | Vrai/Faux | is_success:False |
Résultat JSON
{
"Event": {
"id": "106",
"orgc_id": "1",
"org_id": "1",
"date": "2021-01-15",
"threat_level_id": "1",
"info": "vanuhi 1015",
"published": false,
"uuid": "1cd22aa2-57e8-4fc8-bac6-721c1be2c27d",
"attribute_count": "10",
"analysis": "0",
"timestamp": "1610893968",
"distribution": "1",
"proposal_email_lock": false,
"locked": false,
"publish_timestamp": "0",
"sharing_group_id": "0",
"disable_correlation": false,
"extends_uuid": "",
"event_creator_email": "admin@admin.test",
"Org": {
"id": "1",
"name": "ORGNAME",
"uuid": "09b0dde1-2934-4310-a107-74b6f534f041",
"local": true
},
"Orgc": {
"id": "1",
"name": "ORGNAME",
"uuid": "09b0dde1-2934-4310-a107-74b6f534f041",
"local": true
},
"Attribute": [],
"ShadowAttribute": [],
"Object": [
{
"id": "446",
"name": "file",
"meta-category": "file",
"description": "File object describing a file with meta-information",
"template_uuid": "688c46fb-5edb-40a3-8273-1af7923e2215",
"template_version": "20",
"event_id": "106",
"uuid": "0188ba5d-68eb-4b5c-8e05-6fd49f8eee9a",
"timestamp": "1610691647",
"distribution": "1",
"sharing_group_id": "0",
"comment": "",
"deleted": false,
"first_seen": null,
"last_seen": null,
"ObjectReference": [],
"Attribute": [
{
"id": "1859",
"type": "malware-sample",
"category": "External analysis",
"to_ids": true,
"uuid": "7920cd28-5082-47ce-9c3e-3ccbd5dae138",
"event_id": "106",
"distribution": "1",
"timestamp": "1610703650",
"comment": "",
"sharing_group_id": "0",
"deleted": false,
"disable_correlation": false,
"object_id": "446",
"object_relation": "malware-sample",
"first_seen": null,
"last_seen": null,
"value": "vanuhi.txt|7bd55b0a276e076cbaf470e64359adb8",
"Galaxy": [],
"data": "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",
"ShadowAttribute": [],
"Sighting": [
{
"id": "1733",
"attribute_id": "1859",
"event_id": "106",
"org_id": "1",
"date_sighting": "1611207638",
"uuid": "feb085f1-1923-4327-a73d-b60a948377e4",
"source": "",
"type": "0",
"Organisation": {
"id": "1",
"uuid": "09b0dde1-2934-4310-a107-74b6f534f041",
"name": "ORGNAME"
},
"attribute_uuid": "7920cd28-5082-47ce-9c3e-3ccbd5dae138"
}
]
}
}
}
}
Mur des cas
| Type de résultat | Valeur/Description | Type |
|---|---|---|
| Message de sortie* | Si l'opération réussit pour une entité : "Les fichiers fournis ont été importés dans l'événement {0} dans MISP".format(event_id) Erreur critique (échec de l'action) : "Erreur lors de l'exécution de l'action "Importer un fichier". Raison : {0}".format(stacktrace) Si un paramètre non valide est spécifié dans "Distribution" (action d'échec) : "Erreur lors de l'exécution de l'action "Importer un fichier". Motif : Une valeur non valide a été fournie pour le paramètre "Distribution". Les nombres acceptables sont 0, 1, 2 et 3. Chaînes acceptées : "Organisation", "Communauté", "Connecté", "Tous". Si un paramètre non valide est spécifié dans "Niveau de menace" (action d'échec) : "Erreur lors de l'exécution de l'action "Importer un fichier". Motif : Une valeur non valide a été fournie pour le paramètre "Niveau de menace". Les nombres acceptés sont : 1, 2, 3 et 4. Chaînes acceptables : "High", "Medium", "Low", "Undefined". Si un paramètre non valide est spécifié dans "Catégorie" (action d'échec) : "Erreur lors de l'exécution de l'action "Importer un fichier". Motif : Une valeur non valide a été fournie pour le paramètre "Category" (Catégorie). Valeurs acceptables : "External Analysis", "Payload Delivery", "Artifacts Dropped", "Payload Installation". Si un paramètre non valide est spécifié dans "Analyse" (action d'échec) : "Erreur lors de l'exécution de l'action "Importer un fichier". Motif : Une valeur non valide a été fournie pour le paramètre "Analysis". Les nombres acceptables sont 0, 1 et 2. Chaînes acceptables : "Initial", "Ongoing", "Completed". Si au moins l'un des fichiers n'est pas disponible : "Erreur lors de l'exécution de l'action "Importer un fichier". Raison : les fichiers suivants n'étaient pas accessibles : \n {0}".format(file paths, that were not accessible.) L'ID d'événement est introuvable (action d'échec) : "Erreur lors de l'exécution de l'action "Importer un fichier". Motif : L'événement {0} {1} est introuvable dans MISP".format(ID/UUID, event_id) |
Général |
Ping
Description
Testez la connectivité.
Paramètres
N/A
Cas d'utilisation
N/A
Exécuter sur
Cette action s'exécute sur toutes les entités.
Résultats de l'action
Enrichissement d'entités
N/A
Insights
N/A
Résultat du script
| Nom du résultat du script | Options de valeur | Exemple |
|---|---|---|
| success | Vrai/Faux | success:False |
Résultat JSON
N/A
Supprimer un tag d'un événement
Description
Supprimez les tags de l'événement dans MISP.
Paramètres
| Nom à afficher du paramètre | Type | Valeur par défaut | Obligatoire | Description |
|---|---|---|---|---|
| ID de l'événement | Chaîne | N/A | Oui | Spécifiez l'ID ou l'UUID de l'événement dont vous souhaitez supprimer les tags. |
| Nom du tag | CSV | N/A | Oui | Spécifiez une liste de tags séparés par une virgule que vous souhaitez supprimer des événements. |
Cas d'utilisation
Reclasser un événement : supprimez le tag pour reclasser l'événement.
Résultats de l'action
Résultat du script
| Nom du résultat du script | Options de valeur | Exemple |
|---|---|---|
| is_success | Vrai/Faux | is_success:False |
Résultat JSON
[
{
"saved": true,
"success": "Tag removed.",
"check_publish": true
}
]
Mur des cas
| Type de résultat | Valeur/Description | Type |
|---|---|---|
| Message de sortie* | Si toutes les balises d'un événement ont bien été supprimées : "Les balises suivantes ont bien été supprimées de l'événement {0} {1} dans MISP : {2}.".format(ID/UUID, event_id, tags) Si certains tags n'ont pas été supprimés d'un événement : "L'action n'a pas pu supprimer les tags suivants de l'événement avec {0} {1} dans MISP : {2}.".format(ID/UUID, event_id, tags) Si l'opération n'a pas abouti pour tous les événements : "Aucune balise n'a été supprimée de l'événement {0} {1} dans MISP".format(ID/UUID, event_id) Si au moins un tag est introuvable : "Les tags suivants sont introuvables dans MISP : \n{0}".format(liste des tags introuvables dans MISP) Si toutes les balises n'ont pas été trouvées : "Aucune des balises fournies n'a été trouvée dans MISP." Erreur critique (échec de l'action) : "Erreur lors de l'exécution de l'action "Supprimer un tag d'un événement". Raison : {0}".format(stacktrace) ID d'événement introuvable (action d'échec) "Erreur lors de l'exécution de l'action "Supprimer un tag d'un événement". Motif : L'événement {0} {1} est introuvable dans MISP".format(ID/UUID, event_id) |
Général |
Ajouter un tag à un attribut
Description
Cette action permet à un utilisateur d'ajouter un tag à un attribut spécifique dans MISP. Cela ajoute une classification à l'attribut en fonction de la catégorie de menace de sécurité que représente l'IOC dans l'attribut.
Paramètres
| Nom à afficher du paramètre | Type | Valeur par défaut | Obligatoire | Description |
|---|---|---|---|---|
| ID de l'événement | Integer | N/A | Oui | Identifiant de l'événement auquel l'attribut est associé. Exemple : 1. |
| Nom du tag | Chaîne | N/A | Oui | Nom du tag à ajouter à un attribut. |
| Nom de l'attribut | Chaîne | N/A | Oui | Identifiant du nom de l'attribut à taguer. |
| Catégorie | Chaîne | N/A | Oui | Catégorie à laquelle appartient l'attribut (par exemple, "Distribution de la charge utile"). |
| Type | Chaîne | N/A | Oui | Type d'attribut, par exemple "filename". |
| UUID de l'objet | Chaîne | N/A | Non | Identifiant unique d'un objet dans l'événement. |
Cas d'utilisation
Classer l'attribut en fonction du type d'IOC : ajoutez un tag à l'attribut.
Exécuter sur
Cette action s'exécute sur toutes les entités.
Résultats de l'action
Enrichissement d'entités
N/A
Insights
N/A
Résultat du script
| Nom du résultat du script | Options de valeur | Exemple |
|---|---|---|
| is_success | Vrai/Faux | is_success:False |
Résultat JSON
[
{
"name": "Global tag unique___test(7) successfully attached to Attribute(9).",
"message": "Global tag unique___test(7) successfully attached to Attribute(9).",
"url": "/tags/attachTagToObject"
}
]
Supprimer un tag d'un attribut
Description
Supprimez les tags des attributs dans MISP.
Paramètres
| Nom à afficher du paramètre | Type | Valeur par défaut | Obligatoire | Description |
|---|---|---|---|---|
| ID de l'événement | Chaîne | N/A | Non | Spécifiez l'ID ou l'UUID de l'événement, et l'emplacement où rechercher les attributs. Ce paramètre est obligatoire si "Recherche par attribut" est défini sur "Événement fourni". |
| Nom du tag | CSV | N/A | Oui | Spécifiez une liste de tags séparés par une virgule que vous souhaitez supprimer des attributs. |
| Nom de l'attribut | CSV | N/A | Non | Spécifiez une liste d'identifiants d'attributs séparés par une virgule à partir desquels vous souhaitez supprimer des tags. |
| Catégorie | CSV | N/A | Non | Spécifiez une liste de catégories séparées par une virgule. Si spécifié, l'action ne supprimera les tags que des attributs dont la catégorie correspond. Si rien n'est spécifié, l'action ignore les catégories dans les attributs. |
| Type | CSV | N/A | Non | Spécifiez une liste de types d'attributs séparés par une virgule. Si cette option est spécifiée, l'action ne supprimera les tags que des attributs dont le type correspond. Si rien n'est spécifié, l'action ignore les types dans les attributs. |
| UUID de l'objet | CSV | N/A | Spécifiez l'UUID de l'objet contenant l'attribut souhaité. | |
| Recherche par attribut | LDD | Événement fourni Valeurs possibles : Tous les événements Événement fourni |
Oui | Spécifiez où l'action doit rechercher les attributs. Si "Événement fourni" est sélectionné, l'action ne recherchera les attributs ou les UUID d'attributs que dans l'événement dont l'ID/UUID est fourni dans le paramètre "ID d'événement". Si vous sélectionnez "Tous les événements", l'action recherchera les attributs parmi tous les événements et supprimera les tags de tous les attributs qui correspondent à nos critères. |
| UUID de l'attribut | CSV | Spécifiez une liste d'UUID d'attributs séparés par une virgule à partir desquels vous souhaitez supprimer de nouveaux tags. Remarque : Si "Nom de l'attribut" et "UUID de l'attribut" sont spécifiés, l'action fonctionnera avec les valeurs "UUID de l'attribut". |
Cas d'utilisation
Reclasser l'attribut : supprimer le tag pour reclassification
Exécuter sur
Cette action s'exécute sur toutes les entités.
Résultats de l'action
Résultat du script
| Nom du résultat du script | Options de valeur | Exemple |
|---|---|---|
| is_success | Vrai/Faux | is_success:False |
Résultat JSON
[
{
"name": "Tag unique___test(7) successfully removed from Attribute(9).",
"message": "Tag unique___test(7) successfully removed from Attribute(9).",
"url": "/tags/removeTagFromObject"
}
]
Mur des cas
| Type de résultat | Valeur/Description | Type> |
|---|---|---|
| Message de sortie* | Si les tags ont été supprimés d'au moins un attribut : "Les tags ont bien été supprimés des attributs suivants dans MISP :\n{0}".format(nom de l'attribut/UUID de l'objet) if not successfully removed tags from at least one attribute: "Action didn't removed tags from the following attributes in MISP:\n{0}".format(attribute name/object UUID) Si l'opération n'a pas abouti pour tous les attributs : "Aucun tag n'a été supprimé des attributs fournis dans MISP" Si au moins un tag est introuvable : "Les tags suivants sont introuvables dans MISP : \n{0}".format(liste des tags introuvables dans MISP) Si toutes les balises n'ont pas été trouvées : "Aucune des balises fournies n'a été trouvée dans MISP." Erreur critique (échec de l'action) : "Erreur lors de l'exécution de l'action "Supprimer le tag d'un attribut". Raison : {0}".format(stacktrace) Si un paramètre non valide est spécifié dans "Catégorie" (action d'échec) : "Erreur lors de l'exécution de l'action "Supprimer un tag d'un attribut". Motif : Une valeur non valide a été fournie pour le paramètre "Category" (Catégorie). Valeurs acceptables : "External Analysis", "Payload Delivery", "Artifacts Dropped", "Payload Installation". Si "Événement fourni" est sélectionné, mais que l'ID d'événement ne l'est pas : "Erreur lors de l'exécution de l'action "Supprimer le tag d'un attribut". Motif : Vous devez fournir l'ID de l'événement si vous sélectionnez "Événement fourni" pour le paramètre "Recherche d'attributs". ID d'événement introuvable (action d'échec) "Erreur lors de l'exécution de l'action "Supprimer le tag d'un attribut". Motif : L'événement {0} {1} est introuvable dans MISP".format(ID/UUID, event_id) |
Général |
Publier un événement
Description
Cette action permet à l'utilisateur de publier un événement. Lorsque vous publiez un événement, il est partagé avec le groupe de partage sélectionné et devient visible pour tous les membres.
Paramètres
| Nom à afficher du paramètre | Type | Valeur par défaut | Obligatoire | Description |
|---|---|---|---|---|
| ID de l'événement | Chaîne | N/A | Oui | Spécifiez l'ID ou l'UUID de l'événement que vous souhaitez publier. |
Cas d'utilisation
Publier un événement :
- Nouez des liens
- Ajouter des attributs d'événement
- Publier l'événement
Résultats de l'action
Résultat du script
| Nom du résultat du script | Options de valeur | Exemple |
|---|---|---|
| is_success | Vrai/Faux | is_success:False |
Résultat JSON
[
{
"Event": {
"id": "3",
"orgc_id": "1",
"org_id": "1",
"date": "2019-12-27",
"threat_level_id": "1",
"info": "Connection to .ch",
"published": true,
"uuid": "5e05dd29-7b90-474d-b5f6-51ae0a00024b",
"attribute_count": "0",
"analysis": "1",
"timestamp": "1577774920",
"distribution": "3",
"proposal_email_lock": false,
"locked": false,
"publish_timestamp": "1577774846",
"sharing_group_id": "0",
"disable_correlation": false,
"extends_uuid": "5e05db24-1e98-4bb9-bd56-51fd0a00024b",
"event_creator_email": "admin@admin.test",
"Org": {
"id": "1",
"name": "ORGNAME",
"uuid": "5dfc9b8f-c320-4b6d-ac1c-4f4e8bdc3fef",
"local": true
},
"Orgc": {
"id": "1",
"name": "ORGNAME",
"uuid": "5dfc9b8f-c320-4b6d-ac1c-4f4e8bdc3fef",
"local": true
},
"Attribute": [],
"ShadowAttribute": [],
"RelatedEvent": [],
"Galaxy": [],
"Object": [],
"Tag": [
{
"id": "7",
"name": "unique___test",
"colour": "#9648c4",
"exportable": true,
"user_id": "0",
"hide_tag": false,
"numerical_value": null,
"local": 0
}
]
}
}
]
Mur des cas
| Type de résultat | Valeur/Description | Type |
|---|---|---|
| Message de sortie* | En cas de succès : "Successfully published event with {0} {1} in MISP.".format(ID/UUID, event_id) En cas d'échec : "L'événement {0} {1} n'a pas été publié dans MISP".format(ID/UUID, event_id) Erreur critique (échec de l'action) : "Erreur lors de l'exécution de l'action "Publier l'événement". Raison : {0}".format(stacktrace) L'ID d'événement est introuvable (action d'échec) : "Erreur lors de l'exécution de l'action "Publier l'événement". Motif : L'événement {0} {1} est introuvable dans MISP".format(ID/UUID, event_id) |
Général |
Annuler la publication d'un événement
Description
Cette action permet à l'utilisateur de dépublier un événement. Si vous annulez la publication d'un événement, il ne sera plus visible par les groupes partagés.
Paramètres
| Nom à afficher du paramètre | Type | Valeur par défaut | Obligatoire | Description |
|---|---|---|---|---|
| ID de l'événement | Chaîne | N/A | Oui | Spécifiez l'ID ou l'UUID de l'événement dont vous souhaitez annuler la publication. |
Résultats de l'action
Résultat du script
| Nom du résultat du script | Options de valeur | Exemple |
|---|---|---|
| is_success | Vrai/Faux | is_success:False |
Résultat JSON
[
{
"Event": {
"id": "3",
"orgc_id": "1",
"org_id": "1",
"date": "2019-12-27",
"threat_level_id": "1",
"info": "Connection to .ch",
"published": false,
"uuid": "5e05dd29-7b90-474d-b5f6-51ae0a00024b",
"attribute_count": "0",
"analysis": "1",
"timestamp": "1577774920",
"distribution": "3",
"proposal_email_lock": false,
"locked": false,
"publish_timestamp": "1577774846",
"sharing_group_id": "0",
"disable_correlation": false,
"extends_uuid": "5e05db24-1e98-4bb9-bd56-51fd0a00024b",
"event_creator_email": "admin@admin.test",
"Org": {
"id": "1",
"name": "ORGNAME",
"uuid": "5dfc9b8f-c320-4b6d-ac1c-4f4e8bdc3fef",
"local": true
},
"Orgc": {
"id": "1",
"name": "ORGNAME",
"uuid": "5dfc9b8f-c320-4b6d-ac1c-4f4e8bdc3fef",
"local": true
},
"Attribute": [],
"ShadowAttribute": [],
"RelatedEvent": [],
"Galaxy": [],
"Object": [],
"Tag": [
{
"id": "7",
"name": "unique___test",
"colour": "#9648c4",
"exportable": true,
"user_id": "0",
"hide_tag": false,
"numerical_value": null,
"local": 0
}
]
}
}
]
Mur des cas
| Type de résultat | Valeur/Description | Type |
|---|---|---|
| Message de sortie* | En cas de réussite : "L'événement {1} a bien été dépublié avec {0} dans MISP.".format(ID/UUID, event_id) En cas d'échec : "L'événement {1} avec {0} n'a pas été dépublié dans MISP".format(ID/UUID, event_id) Erreur critique (échec de l'action) : "Erreur lors de l'exécution de l'action "Annuler la publication de l'événement". Raison : {0}".format(stacktrace) L'ID de l'événement est introuvable (action d'échec) "Erreur lors de l'exécution de l'action "Annuler la publication de l'événement". Motif : L'événement {0} {1} est introuvable dans MISP".format(ID/UUID, event_id) |
Général |
Supprimer un attribut
Description
Supprimez les attributs dans MISP. Hachages acceptés : MD5, SHA1, SHA224, SHA256, SHA384, SHA512, SSDeep.
Paramètres
| Nom à afficher du paramètre | Type | Valeur par défaut | Obligatoire | Description |
|---|---|---|---|---|
| ID de l'événement | Chaîne | N/A | Non | Spécifiez l'ID ou l'UUID de l'événement, et l'emplacement où rechercher les attributs. Ce paramètre est obligatoire si "Recherche par attribut" est défini sur "Événement fourni". |
| Nom de l'attribut | CSV | N/A | Non | Spécifiez une liste d'identifiants d'attributs à supprimer, séparés par une virgule. |
| Catégorie | CSV | N/A | Non | Spécifiez une liste de catégories séparées par une virgule. Si spécifié, l'action ne supprimera que les attributs dont la catégorie correspond. Si rien n'est spécifié, l'action ignore les catégories dans les attributs. |
| Type | CSV | N/A | Non | Spécifiez une liste de types d'attributs séparés par une virgule. Si cette option est spécifiée, l'action ne supprimera que les attributs dont le type correspond. Si rien n'est spécifié, l'action ignore les types dans les attributs. |
| UUID de l'objet | Chaîne | N/A | Non | Identifiant unique d'un objet dans l'événement. |
| Recherche par attribut | LDD | Événement fourni Valeurs possibles : Tous les événements Événement fourni |
Oui | Spécifiez où l'action doit rechercher les attributs. Si "Événement fourni" est sélectionné, l'action ne recherchera les attributs ou les UUID d'attributs que dans l'événement dont l'ID/UUID est fourni dans le paramètre "ID d'événement". Si vous sélectionnez "Tous les événements", l'action recherchera les attributs dans tous les événements et supprimera tous ceux qui correspondent à nos critères. |
| UUID de l'attribut | CSV | Spécifiez une liste d'UUID d'attributs à supprimer, séparés par une virgule. |
Cas d'utilisation
Supprimez un attribut d'un événement.
Exécuter sur
Cette action s'exécute sur toutes les entités.
Résultats de l'action
Résultat du script
| Nom du résultat du script | Options de valeur | Exemple |
|---|---|---|
| is_success | Vrai/Faux | is_success:False |
Résultat JSON
[
{
"message": "Attribute deleted."
}
]
Mur des cas
| Type de résultat | Description de la valeur | Type |
|---|---|---|
| Message de sortie* | Si l'observation a été ajoutée à au moins un attribut : "Les attributs suivants ont bien été supprimés dans MISP :\n{0}".format(nom de l'attribut/UUID de l'objet) Si l'observation n'a pas été ajoutée à au moins un attribut : "L'action n'a pas supprimé les attributs suivants dans MISP :\n{0}".format(nom de l'attribut/UUID de l'objet) Si l'opération n'a pas abouti pour tous les attributs : "Aucun attribut n'a été supprimé dans MISP" Erreur critique (échec de l'action) : "Erreur lors de l'exécution de l'action "Supprimer un attribut". Raison : {0}".format(stacktrace) Si un paramètre non valide est spécifié dans "Catégorie" (action d'échec) : "Erreur lors de l'exécution de l'action "Supprimer un attribut". Motif : Une valeur non valide a été fournie pour le paramètre "Category" (Catégorie). Valeurs acceptables : "External Analysis", "Payload Delivery", "Artifacts Dropped", "Payload Installation". Si "Événement fourni" est sélectionné, mais que l'ID d'événement ne l'est pas : "Erreur lors de l'exécution de l'action "Supprimer un attribut". Motif : Vous devez fournir l'ID de l'événement si vous sélectionnez "Événement fourni" pour le paramètre "Recherche d'attributs". ID d'événement introuvable (action d'échec) "Erreur lors de l'exécution de l'action "Supprimer un attribut". Motif : L'événement {0} {1} est introuvable dans MISP".format(ID/UUID, event_id) |
Général |
Supprimer un événement
Description
Supprimez l'événement dans MISP.
Paramètres
| Nom à afficher du paramètre | Type | Valeur par défaut | Obligatoire | Description |
|---|---|---|---|---|
| ID de l'événement | Chaîne | N/A | Oui | Spécifiez l'ID ou l'UUID de l'événement que vous souhaitez supprimer. |
Cas d'utilisation
Supprimez définitivement un événement.
Exécuter sur
Cette action s'exécute sur l'entité "Utilisateur".
Résultats de l'action
Résultat du script
| Nom du résultat du script | Options de valeur | Exemple |
|---|---|---|
| is_success | Vrai/Faux | is_success:False |
Résultat JSON
[
{
"name": "Event deleted.",
"message": "Event deleted.",
"url": "/events/delete/4"
}
]
Mur des cas
| Type de résultat | Description de la valeur | Type |
|---|---|---|
| Message de sortie* | En cas de réussite : "Successfully deleted event with {0} {1} in MISP".format(ID/UUID, event_id) Erreur critique (échec de l'action) : "Erreur lors de l'exécution de l'action "Supprimer un événement". Raison : {0}".format(traceback) ID d'événement introuvable (action d'échec) "Erreur lors de l'exécution de l'action "Supprimer un événement". Motif : L'événement {0} {1} est introuvable dans MISP".format(ID/UUID, event_id) |
Général |
Créer un objet MISP de fichier
Description
Cette action permet à l'utilisateur d'organiser les attributs de fichier associés à un événement dans un seul objet qui décrit un fichier avec ses méta-informations. L'objet contenant les attributs est ensuite associé à un événement spécifié.
Paramètres
| Nom à afficher du paramètre | Type | Valeur par défaut | Obligatoire | Description |
|---|---|---|---|---|
| ID de l'événement | Chaîne | N/A | Oui | Identifiant unique de l'événement auquel ajouter l'objet. Exemple : 1 |
| Nom de fichier | Chaîne | N/A | Non | Nom du fichier. |
| MD5 | Chaîne | N/A | Non | Valeur de hachage MD5 du fichier. |
| SHA1 | Chaîne | N/A | Non | Valeur de hachage sha1 du fichier. |
| SHA256 | Chaîne | N/A | Non | Valeur de hachage sha256 du fichier. |
| SSDEEP | Chaîne | N/A | Non | Valeur ssdeep du fichier. Exemple : 96:p5aAS1tN0M3t9AnTNuG6TNOt5PR1TNZdkljOXTNSnKTF3X7KsTFW+kLtW6K8i7bI:p5mb4rgQhRp7GljCbF3LKqFjkwxtU |
| Imphash | Chaîne | N/A | Non | Valeur de hachage MD5 calculée à partir de la table importée. |
Cas d'utilisation
N/A
Exécuter sur
Cette action s'exécute sur toutes les entités.
Résultats de l'action
Enrichissement d'entités
N/A
Insights
N/A
Résultat du script
| Nom du résultat du script | Options de valeur | Exemple |
|---|---|---|
| is_success | Vrai/Faux | is_success:False |
Résultat JSON
N/A
Créer un objet MISP IP-Port
Description
Cette action permet à l'utilisateur d'organiser les attributs d'adresse IP et de port associés à un événement dans un seul objet décrivant une adresse IP (ou un domaine ou un nom d'hôte) et un port, vus comme un tuple (ou un triplet) dans un intervalle de temps spécifique . L'objet avec les attributs est ensuite associé à un événement spécifié.
Paramètres
| Nom à afficher du paramètre | Type | Valeur par défaut | Obligatoire | Description |
|---|---|---|---|---|
| ID de l'événement | Chaîne | N/A | Oui | Identifiant unique de l'événement auquel ajouter l'objet. Exemple : 1 |
| Dst-port | Chaîne | N/A | Non | Port de destination. |
| Src-port | Chaîne | N/A | Non | Port source |
| Domaine | Chaîne | N/A | Non | Domain (Gérer le domaine). |
| Nom d'hôte | Chaîne | N/A | Non | Nom d'hôte. |
| IP-Src | Chaîne | N/A | Non | Adresse IP source. |
| IP-Dst | Chaîne | N/A | Non | Adresse IP de destination. |
Cas d'utilisation
N/A
Exécuter sur
Cette action s'exécute sur toutes les entités.
Résultats de l'action
Enrichissement d'entités
N/A
Insights
N/A
Résultat du script
| Nom du résultat du script | Options de valeur | Exemple |
|---|---|---|
| is_success | Vrai/Faux | is_success:False |
Résultat JSON
N/A
Créer un objet Misp de connexion réseau
Description
Créez un objet de connexion réseau dans MISP. L'un des paramètres suivants doit être fourni : Dst-port, Src-port, IP-Src ou IP-Dst. Vous pouvez également définir le paramètre "Use Entities" (Utiliser les entités) sur "true".
Paramètres
| Nom à afficher du paramètre | Type | Valeur par défaut | Obligatoire | Description |
|---|---|---|---|---|
| ID de l'événement | Chaîne | N/A | Oui | Spécifiez l'ID ou l'UUID de l'événement auquel vous souhaitez ajouter des objets de connexion réseau. |
| Dst-port | Chaîne | N/A | Non | Spécifiez le port de destination que vous souhaitez ajouter à l'événement. |
| Src-port | Chaîne | N/A | Non | Spécifiez le port source que vous souhaitez ajouter à l'événement. |
| Hostname-dst | Chaîne | N/A | Non | Spécifiez la destination source que vous souhaitez ajouter à l'événement. |
| Hostname-src | Chaîne | N/A | Non | Spécifiez le nom d'hôte source que vous souhaitez ajouter à l'événement. |
| IP-Src | Chaîne | N/A | Non | Spécifiez l'adresse IP source que vous souhaitez ajouter à l'événement. |
| IP-Dst | Chaîne | N/A | Non | Spécifiez l'adresse IP de destination que vous souhaitez ajouter à l'événement. |
| Layer3-protocol | Chaîne | N/A | Non | Spécifiez le protocole de couche 3 associé que vous souhaitez ajouter à l'événement. |
| Layer4-protocol | Chaîne | N/A | Non | Spécifiez le protocole de couche 4 associé que vous souhaitez ajouter à l'événement. |
| Protocole de couche 7 | Chaîne | N/A | Non | Spécifiez le protocole de couche 7 associé que vous souhaitez ajouter à l'événement. |
| Utiliser des entités | Case à cocher | Décochée | Non | Si cette option est activée, l'action utilise les entités pour créer des objets. Entités acceptées : adresse IP. L'option "Utiliser les entités" est prioritaire sur les autres paramètres. |
| Type d'adresse IP | LDD | Adresse IP source Valeurs possibles : Adresse IP source Adresse IP de destination |
Spécifiez le type d'attribut à utiliser avec les entités IP. |
Exécuter sur
Cette action s'exécute sur toutes les entités.
Résultats de l'action
Résultat du script
| Nom du résultat du script | Options de valeur | Exemple |
|---|---|---|
| is_success | Vrai/Faux | is_success:False |
Résultat JSON
N/A
Mur des cas
| Type de résultat | Description de la valeur | Type |
|---|---|---|
| Message de sortie* | Si l'opération réussit et que "Use Entities" (Utiliser les entités) n'est pas défini sur "true" : "Successfully created new network-connection object for event with {0} {1} in MISP.".format(ID/UUID, event_id) (Nouvel objet de connexion réseau créé pour l'événement avec {0} {1} dans MISP). Si l'opération n'a pas réussi et que "Use Entities" (Utiliser des entités) n'est pas défini sur "true" : "Action wasn't able to created new network-connection object for event with {0} {1} in MISP. Raison : {2}".format(ID/UUID) Si l'opération réussit et que "Utiliser les entités" est défini sur "true" : "Successfully created new network-connection objects for event with {0} {1} in MISP based on the following entities: \n{0}".format(ID/UUID, event_id, entity.identifiers) Si l'opération échoue pour l'un des événements et que "Utiliser les entités" est défini sur "true" : "L'action n'a pas pu créer d'objets de connexion réseau pour l'événement {0} {1} dans MISP en fonction des entités suivantes : \n{0}".format(ID/UUID, event_id, entity.identifiers) Si l'opération n'a pas réussi pour tous les objets et que "Use Entities" (Utiliser les entités) est défini sur "true" : "Action wasn't able to create new network-connection objects for event with {0} {1} in MISP based on the provided entities.".format(ID/UUID, event_id) (L'action n'a pas pu créer d'objets de connexion réseau pour l'événement {0} {1} dans MISP en fonction des entités fournies). Erreur critique (échec de l'action) : "Erreur lors de l'exécution de l'action "Créer un objet Misp de connexion réseau". Raison : {0}".format(stacktrace) ID d'événement introuvable (action d'échec) "Erreur lors de l'exécution de l'action "Créer un objet Misp de connexion réseau". Motif : L'événement {0} {1} est introuvable dans MISP".format(ID/UUID, event_id) Si aucun des champs Dst-port, Src-port, IP-Src et IP-Dst n'est fourni et que "Use Entities" (Utiliser les entités) est défini sur "false" : "Erreur lors de l'exécution de l'action "Create network-connection Misp Object" (Créer un objet Misp de connexion réseau). Raison : L'un des paramètres suivants doit être fourni : "Dst-port", "Src-port", "IP-Src" ou "IP-Dst". Vous pouvez également définir le paramètre "Use Entities" (Utiliser les entités) sur "true". |
Général |
Créer un objet URL Misp
Description
Créez un objet URL dans MISP. Le paramètre "URL" doit être fourni ou le paramètre "Utiliser les entités" doit être défini sur "true".
Paramètres
| Nom à afficher du paramètre | Type | Valeur par défaut | Obligatoire | Description |
|---|---|---|---|---|
| ID de l'événement | Chaîne | N/A | Oui | Spécifiez l'ID ou l'UUID de l'événement auquel vous souhaitez ajouter des objets URL. |
| URL | Chaîne | N/A | Non | Spécifiez l'URL que vous souhaitez ajouter à l'événement. |
| Port | Chaîne | N/A | Non | Spécifiez le port que vous souhaitez ajouter à l'événement. |
| Première occurrence | Chaîne | N/A | Non | Indiquez la date à laquelle l'URL a été vue pour la première fois. |
| Dernière activité | Chaîne | N/A | Non | Indiquez la date de la dernière observation de l'URL. |
| Domaine | Chaîne | N/A | Non | Spécifiez le domaine que vous souhaitez ajouter à l'événement. |
| Texte | Chaîne | N/A | Non | Spécifiez le texte supplémentaire que vous souhaitez ajouter à l'événement. |
| IP | Chaîne | N/A | Non | Spécifiez l'adresse IP que vous souhaitez ajouter à l'événement. |
| Hôte | Chaîne | N/A | Non | Spécifiez l'organisateur que vous souhaitez ajouter à l'événement. |
| Utiliser des entités | Case à cocher | Décochée | Si cette option est activée, l'action utilise les entités pour créer des objets. Entités acceptées : URL. L'option "Utiliser les entités" est prioritaire sur les autres paramètres. |
Exécuter sur
Cette action s'exécute sur toutes les entités.
Résultats de l'action
Résultat du script
| Nom du résultat du script | Options de valeur | Exemple |
|---|---|---|
| is_success | Vrai/Faux | is_success:False |
Résultat JSON
N/A
Mur des cas
| Type de résultat | Description de la valeur | Type |
|---|---|---|
| Message de sortie* | Si le résultat est "success" et que "Use Entities" n'est pas défini sur "true" : "Successfully created new URL object for event with {0} {1} in MISP.".format(ID/UUID, event_id) Si l'action n'a pas réussi et que "Utiliser des entités" n'est pas défini sur "true" : "L'action n'a pas pu créer d'objet URL pour l'événement {0} {1} dans MISP. Raison : {2}".format(ID/UUID) Si l'opération réussit pour une entité et que "Use Entities" (Utiliser les entités) est défini sur "true" : "Successfully created new URL objects for event with {0} {1} in MISP based on the following entities: \n{0}".format(ID/UUID, event_id, entity.identifiers) Si l'opération échoue pour l'un des objets et que "Use Entities" (Utiliser les entités) est défini sur "true" : "Action wasn't able to create new URL objects for event with {0} {1} in MISP based on the following entities: \n{0}".format(ID/UUID, event_id, entity.identifiers) Si l'opération n'a pas réussi pour tous les éléments et que "Utiliser les entités" est défini sur "true" : "L'action n'a pas pu créer d'objets URL pour l'événement {0} {1} dans MISP en fonction des entités fournies.".format(ID/UUID, event_id) Erreur critique (échec de l'action) : "Erreur lors de l'exécution de l'action "Create Url Misp Object". Raison : {0}".format(stacktrace) ID d'événement introuvable (action d'échec) : "Erreur lors de l'exécution de l'action "Créer un objet MISP d'URL". Motif : L'événement {0} {1} est introuvable dans MISP".format(ID/UUID, event_id) Si aucune URL n'est fournie et que "Use Entities" (Utiliser les entités) est défini sur "false" : "Error executing action "Create Url Misp Object". Motif : Vous devez fournir une URL ou définir le paramètre "Utiliser des entités" sur "true". |
Général |
Créer un objet de rapport VirusTotal
Description
Créez un objet de rapport VirusTotal dans MISP.
Paramètres
| Nom à afficher du paramètre | Type | Valeur par défaut | Obligatoire | Description |
|---|---|---|---|---|
| ID de l'événement | Chaîne | N/A | Oui | Spécifiez l'ID ou l'UUID de l'événement auquel vous souhaitez ajouter des objets URL. |
| Permalink | Chaîne | N/A | Oui | Spécifiez le lien vers le rapport VirusTotal que vous souhaitez ajouter à l'événement. |
| Commentaire | Chaîne | N/A | Non | Spécifiez le commentaire que vous souhaitez ajouter à l'événement. |
| Taux de détection | Chaîne | N/A | Non | Spécifiez le ratio de détection que vous souhaitez ajouter à l'événement. |
| Score de la communauté | Chaîne | N/A | Non | Spécifiez le score de la communauté que vous souhaitez ajouter à l'événement. |
| Premier envoi | Chaîne | N/A | Non | Spécifiez la première soumission de l'événement. |
| Dernier envoi | Chaîne | N/A | Non | Spécifiez la dernière soumission de l'événement. |
Exécuter sur
Cette action s'exécute sur toutes les entités.
Résultats de l'action
Résultat du script
| Nom du résultat du script | Options de valeur | Exemple |
|---|---|---|
| is_success | Vrai/Faux | is_success:False |
Mur des cas
| Type de résultat | Description de la valeur | Type |
|---|---|---|
| Message de sortie* | En cas de réussite : "Successfully created new Virustotal-Report object for event with {0} {1} in MISP.".format(ID/UUID, event_id) Si l'opération échoue : "L'action n'a pas pu créer d'objet Virustotal-Report pour l'événement avec {0} {1} dans MISP. Raison : {2}".format(ID/UUID) Erreur critique (échec de l'action) : "Erreur lors de l'exécution de l'action "Create Virustotal-Report Misp Object". Raison : {0}".format(stacktrace) ID d'événement introuvable (action d'échec) "Erreur lors de l'exécution de l'action "Créer un objet Misp Virustotal-Report". Motif : L'événement {0} {1} est introuvable dans MISP".format(ID/UUID, event_id) |
Général |
Lister les objets d'événement
Description
Récupérez des informations sur les objets disponibles dans l'événement MISP.
Paramètres
| Nom à afficher du paramètre | Type | Valeur par défaut | Obligatoire | Description |
|---|---|---|---|---|
| ID de l'événement | Chaîne | N/A | Oui | Spécifiez une liste d'ID et d'UUID d'événements séparés par une virgule pour lesquels vous souhaitez récupérer des informations. |
| Nombre maximal d'objets à renvoyer | Integer | 50 | Non | Spécifiez le nombre d'objets à renvoyer. |
Exécuter sur
Cette action ne s'applique pas aux entités.
Résultats de l'action
Résultat du script
| Nom du résultat du script | Options de valeur | Exemple |
|---|---|---|
| is_success | Vrai/Faux | is_success:False |
Résultat JSON
"Object": [
{
"id": "1",
"name": "ftm-Associate",
"meta-category": "followthemoney",
"description": "Non-family association between two people",
"template_uuid": "6119ecb3-dedd-44b6-b88f-174585b0b1bf",
"template_version": "1",
"event_id": "1",
"uuid": "2a3e260f-d3b2-4164-b2b1-2f6f5b559970",
"timestamp": "1594632232",
"distribution": "5",
"sharing_group_id": "0",
"comment": "",
"deleted": false,
"first_seen": null,
"last_seen": null,
"ObjectReference": [],
},
{
"id": "2",
"name": "ftm-Associate",
"meta-category": "followthemoney",
"description": "Non-family association between two people",
"template_uuid": "6119ecb3-dedd-44b6-b88f-174585b0b1bf",
"template_version": "1",
"event_id": "1",
"uuid": "800d8634-175a-4bc2-a4d7-aca200c8c132",
"timestamp": "1594632463",
"distribution": "5",
"sharing_group_id": "0",
"comment": "",
"deleted": false,
"first_seen": null,
"last_seen": null,
"ObjectReference": [],
}
Mur des cas
| Type de résultat | Description de la valeur | Type |
|---|---|---|
| Message de sortie* | L'action ne doit pas échouer ni arrêter l'exécution d'un playbook : Si au moins un objet a été trouvé pour un événement : "Objets listés avec succès pour les événements suivants : \n{0}".format(event_ids) Si l'événement avec l'ID spécifié est introuvable (is_success = false) : Si aucun objet n'est trouvé pour un événement : "L'action n'a pas pu trouver d'objets pour les événements suivants :\n {0}".format(event_ids) Si aucun objet n'est trouvé pour tous les événements : "Aucun objet n'a été trouvé pour les événements fournis." L'action doit échouer et arrêter l'exécution d'un playbook : Si une erreur fatale se produit (par exemple, des identifiants incorrects, aucune connexion au serveur, etc.) : print "Error executing action "List Event Objects". Raison : {0}''.format(error.Stacktrace) |
Général |
| Table CSV | Nom de la table : Objets de l'événement {0} Colonnes du tableau :
|
Obtenir les détails d'un événement
Description
Récupérer des informations sur les événements dans MISP.
Paramètres
| Nom à afficher du paramètre | Type | Obligatoire | Description |
|---|---|---|---|
| ID de l'événement | Chaîne | Oui | Spécifiez une liste d'ID ou d'UUID d'événements séparés par une virgule pour lesquels vous souhaitez récupérer des détails. |
| Informations sur les attributs de retour | Case à cocher | Cochée | Si cette option est activée, l'action crée un tableau de cas pour tous les attributs qui font partie de l'événement. |
Exécuter sur
Cette action ne s'applique pas aux entités.
Résultats de l'action
Résultat du script
| Nom du résultat du script | Options de valeur | Exemple |
|---|---|---|
| is_success | Vrai/Faux | is_success:False |
Mur des cas
| Type de résultat | Description de la valeur | Type |
|---|---|---|
| Message de sortie* | L'action ne doit pas échouer ni arrêter l'exécution d'un playbook : Si l'action a abouti pour au moins l'un des ID fournis : Imprimer "Informations récupérées pour les événements suivants : <>" Si l'action n'a pas pu être exécutée pour au moins l'un des ID d'incident fournis : Imprimez "Échec de la récupération des informations pour les événements suivants : <> L'action doit échouer et arrêter l'exécution d'un playbook : L'action doit échouer et arrêter l'exécution d'un playbook : Si une erreur fatale se produit (par exemple, des identifiants incorrects, aucune connexion au serveur, etc.) : print "Error executing action "List Event Objects". Raison : {0}''.format(error.Stacktrace) |
Général |
| Table CSV | Nom de la table : "Détails des attributs de l'événement {0}".format(event_id) Colonnes :
|
Lister les observations d'un attribut
Description
Liste les observations disponibles pour les attributs dans MISP.
Paramètres
search| Nom du paramètre | Type | Valeur par défaut | Obligatoire | Description |
|---|---|---|---|---|
| Nom de l'attribut | CSV | Non | Spécifiez une liste d'identifiants d'attributs séparés par une virgule pour lesquels vous souhaitez lister les observations. Remarque : Si "Nom de l'attribut" et "UUID de l'attribut" sont spécifiés, l'action fonctionnera avec les valeurs "UUID de l'attribut". | |
| ID de l'événement | Chaîne | Non | Spécifiez l'ID ou l'UUID de l'événement, et l'emplacement où rechercher les attributs. Ce paramètre est obligatoire si "Recherche par attribut" est défini sur "Événement fourni". | |
| Catégorie | CSV | Non | Spécifiez une liste de catégories séparées par une virgule. Si elle est spécifiée, l'action ne listera que les observations pour les attributs dont la catégorie correspond. Si rien n'est spécifié, l'action ignore les catégories dans les attributs. Valeurs possibles : "External Analysis" (Analyse externe), "Payload Delivery" (Distribution de la charge utile), "Artifacts Dropped" (Artifacts déposés), "Payload Installation" (Installation de la charge utile). | |
| Type | CSV | Non | Spécifiez une liste de types d'attributs séparés par une virgule. Si elle est spécifiée, l'action ne listera que les observations pour les attributs dont le type correspond. Si rien n'est spécifié, l'action ignore les types dans les attributs. Exemples de valeurs : md5, sha1, ip-src, ip-dst | |
| Recherche par attribut | LDD | Événement fourni Valeurs possibles : Tous les événements |
Oui | Spécifiez où l'action doit rechercher les attributs. Si "Événement fourni" est sélectionné, l'action ne recherchera les attributs ou les UUID d'attributs que dans l'événement dont l'ID/UUID est fourni dans le paramètre "ID d'événement". Si vous sélectionnez "Tous les événements", l'action recherchera les attributs parmi tous les événements et listera les observations pour tous les attributs qui correspondent à nos critères. |
| UUID de l'attribut | CSV | Non | Spécifiez une liste d'UUID d'attributs séparés par une virgule pour lesquels vous souhaitez lister les observations. Remarque : Si "Nom de l'attribut" et "UUID de l'attribut" sont spécifiés, l'action fonctionnera avec les valeurs "UUID de l'attribut". |
Résultats de l'action
Résultat du script
| Nom du résultat du script | Options de valeur | Exemple |
|---|---|---|
| is_success | Vrai/Faux | is_success:False |
Mur des cas
| Type de résultat | Valeur/Description | Type |
|---|---|---|
| Message de sortie* | Si les observations ont été correctement listées pour au moins un attribut : "Les observations ont été correctement listées pour les attributs suivants dans MISP :\n{0}".format(nom de l'attribut/UUID de l'attribut) Si les observations n'ont pas été listées pour au moins un attribut : "L'action n'a pas listé les observations pour les attributs suivants dans MISP :\n{0}".format(nom de l'attribut/UUID de l'attribut) Si aucune observation n'a été trouvée pour tous les attributs ou si aucune observation n'a été trouvée pour aucun attribut : "Aucune observation n'a été trouvée pour les attributs fournis dans MISP" Erreur critique (échec de l'action) "Erreur lors de l'exécution de l'action "Lister les observations d'un attribut". Raison : {0}".format(stacktrace) Si un paramètre non valide est spécifié dans "Catégorie" (action d'échec) : "Erreur lors de l'exécution de l'action "Lister les observations d'un attribut". Motif : Une valeur non valide a été fournie pour le paramètre "Category" (Catégorie). Valeurs acceptables : "External Analysis", "Payload Delivery", "Artifacts Dropped", "Payload Installation". Si "Événement fourni" est sélectionné, mais que l'ID d'événement ne l'est pas : "Erreur lors de l'exécution de l'action "Lister les observations d'un attribut". Motif : Vous devez fournir l'ID de l'événement si vous sélectionnez "Événement fourni" pour le paramètre "Recherche d'attributs". |
Général |
Définir l'indicateur IDS pour un attribut
Description
Définissez l'indicateur IDS pour les attributs dans MISP.
Paramètres
searchsearch| Nom du paramètre | Type | Valeur par défaut | Obligatoire | Description |
|---|---|---|---|---|
| Nom de l'attribut | CSV | Non | Spécifiez une liste d'identifiants d'attributs séparés par une virgule pour lesquels vous souhaitez définir un indicateur IDS. Remarque : Si "Nom de l'attribut" et "UUID de l'attribut" sont spécifiés, l'action fonctionnera avec les valeurs "UUID de l'attribut". | |
| ID de l'événement | Chaîne | Non | Spécifiez l'ID ou l'UUID de l'événement, et l'emplacement où rechercher les attributs. Ce paramètre est obligatoire si "Recherche par attribut" est défini sur "Événement fourni". | |
| Catégorie | CSV | Non | Spécifiez une liste de catégories séparées par une virgule. Si cette option est spécifiée, l'action ne définira l'indicateur IDS que pour les attributs dont la catégorie correspond. Si rien n'est spécifié, l'action ignore les catégories dans les attributs. Valeurs possibles : "External Analysis" (Analyse externe), "Payload Delivery" (Distribution de la charge utile), "Artifacts Dropped" (Artifacts déposés), "Payload Installation" (Installation de la charge utile). | |
| Type | CSV | Non | Spécifiez une liste de types d'attributs séparés par une virgule. Si elle est spécifiée, l'action ne définira l'indicateur IDS que pour les attributs dont le type correspond. Si rien n'est spécifié, l'action ignore les types dans les attributs. Exemples de valeurs : md5, sha1, ip-src, ip-dst | |
| Recherche par attribut | LDD | Événement fourni Valeurs possibles : Tous les événements |
Oui | Spécifiez où l'action doit rechercher les attributs. Si "Événement fourni" est sélectionné, l'action ne recherchera les attributs ou les UUID d'attributs que dans l'événement dont l'ID/UUID est fourni dans le paramètre "ID d'événement". Si vous sélectionnez "Tous les événements", l'action recherchera des attributs parmi tous les événements et définira l'indicateur IDS pour tous les attributs qui correspondent à nos critères. |
| UUID de l'attribut | CSV | Non | Spécifiez une liste d'UUID d'attributs séparés par une virgule pour lesquels vous souhaitez définir un indicateur IDS. |
Résultats de l'action
Résultat du script
| Nom du résultat du script | Options de valeur | Exemple |
|---|---|---|
| success | Vrai/Faux | success:False |
Mur des cas
| Type de résultat | Description de la valeur | Type |
|---|---|---|
| Message de sortie* | Si l'indicateur IDS a été ajouté à au moins un attribut : "L'indicateur IDS a été défini pour les attributs suivants dans MISP :\n{0}".format(nom de l'attribut/UUID de l'objet) if not successfully added IDS flag to at least one attribute: "Action didn't set IDS flag for the following attributes in MISP:\n{0}".format(attribute name/object UUID) Si l'opération n'a pas abouti pour tous les attributs : "L'indicateur IDS n'a pas été défini pour les attributs fournis dans MISP" Erreur critique (action d'échec) : "Erreur lors de l'exécution de l'action "Définir le signalement IDS pour un attribut". Raison : {0}".format(stacktrace) Si un paramètre non valide est spécifié dans "Catégorie" (action d'échec) : "Erreur lors de l'exécution de l'action "Définir l'indicateur IDS pour un attribut". Motif : Une valeur non valide a été fournie pour le paramètre "Category" (Catégorie). Valeurs acceptables : "External Analysis", "Payload Delivery", "Artifacts Dropped", "Payload Installation". Si "Événement fourni" est sélectionné, mais que l'ID d'événement ne l'est pas : "Erreur lors de l'exécution de l'action "Définir le flag IDS pour un attribut". Motif : Vous devez fournir l'ID de l'événement si vous sélectionnez "Événement fourni" pour le paramètre "Recherche d'attributs". ID d'événement introuvable (action d'échec) : "Erreur lors de l'exécution de l'action "Définir le flag IDS pour un attribut". Motif : L'événement {0} {1} est introuvable dans MISP".format(ID/UUID, event_id) |
Général |
Supprimer l'indicateur IDS pour un attribut
Description
Désactivez l'indicateur IDS pour les attributs dans MISP.
Paramètres
| Nom | Type | Valeur par défaut | Obligatoire | Description |
|---|---|---|---|---|
| Nom de l'attribut | CSV | Non | Spécifiez une liste d'identifiants d'attributs séparés par une virgule pour lesquels vous souhaitez supprimer un indicateur IDS. |
|
| ID de l'événement | Chaîne | Non | Spécifiez l'ID ou l'UUID de l'événement, et l'emplacement où rechercher les attributs. Ce paramètre est obligatoire si "Recherche par attribut" est défini sur "Événement fourni". | |
| Catégorie | CSV | Non | Spécifiez une liste de catégories séparées par une virgule. Si elle est spécifiée, l'action ne désactivera l'indicateur IDS que pour les attributs dont la catégorie correspond. Si rien n'est spécifié, l'action ignore les catégories dans les attributs. Valeurs possibles : "External Analysis" (Analyse externe), "Payload Delivery" (Distribution de la charge utile), "Artifacts Dropped" (Artifacts déposés), "Payload Installation" (Installation de la charge utile). | |
| Type | CSV | Non | Spécifiez une liste de types d'attributs séparés par une virgule. Si elle est spécifiée, l'action ne désactivera l'indicateur IDS que pour les attributs dont le type correspond. Si rien n'est spécifié, l'action ignore les types dans les attributs. Exemples de valeurs : md5, sha1, ip-src, ip-dst | |
| Recherche par attribut | LDD | Événement fourni Valeurs possibles : Tous les événements |
Vrai | Spécifiez où l'action doit rechercher les attributs. Si "Événement fourni" est sélectionné, l'action ne recherchera les attributs ou les UUID d'attributs que dans l'événement dont l'ID/UUID est fourni dans le paramètre "ID d'événement". Si vous sélectionnez "Tous les événements", l'action recherchera les attributs parmi tous les événements et désactivera l'indicateur IDS pour tous les attributs qui correspondent à nos critères. |
| UUID de l'attribut | CSV | Non | Spécifiez une liste d'UUID d'attributs séparés par une virgule pour lesquels vous souhaitez supprimer un indicateur IDS. Remarque : Si "Nom de l'attribut" et "UUID de l'attribut" sont spécifiés, l'action fonctionnera avec les valeurs "UUID de l'attribut". |
Résultats de l'action
Résultat du script
| Nom du résultat du script | Options de valeur | Exemple |
|---|---|---|
| success | Vrai/Faux | success:False |
Mur des cas
| Type de résultat | Description de la valeur | Type |
|---|---|---|
| Message de sortie* | Si le signalement IDS a été supprimé pour au moins un attribut : "Le signalement IDS a bien été supprimé pour les attributs suivants dans MISP :\n{0}".format(nom de l'attribut/UUID de l'objet) if not successfully removed IDS flag to at least one attribute: "Action didn't unset IDS flag for the following attributes in MISP:\n{0}".format(attribute name/object UUID) Si l'opération n'a pas abouti pour tous les attributs : "Le signalement IDS n'a pas été supprimé pour les attributs fournis dans MISP" Erreur critique (action d'échec) : "Erreur lors de l'exécution de l'action "Supprimer le signalement IDS pour un attribut". Raison : {0}".format(stacktrace) Si un paramètre non valide est spécifié dans "Catégorie" (action d'échec) : "Erreur lors de l'exécution de l'action "Supprimer le signalement IDS pour un attribut". Motif : Une valeur non valide a été fournie pour le paramètre "Category" (Catégorie). Valeurs acceptables : "External Analysis", "Payload Delivery", "Artifacts Dropped", "Payload Installation". Si "Événement fourni" est sélectionné, mais que l'ID d'événement ne l'est pas : "Erreur lors de l'exécution de l'action "Supprimer le signalement IDS pour un attribut". Motif : Vous devez fournir l'ID de l'événement si vous sélectionnez "Événement fourni" pour le paramètre "Recherche d'attributs". ID d'événement introuvable (action d'échec) "Erreur lors de l'exécution de l'action "Supprimer le signalement IDS pour un attribut". Motif : L'événement {0} {1} est introuvable dans MISP".format(ID/UUID, event_id) |
Général |
Connecteur
Connecteur d'attributs MISP
Description
Extrayez les attributs de MISP.
Configurer le connecteur d'attributs MISP sur Google SecOps
Pour obtenir des instructions détaillées sur la configuration d'un connecteur dans Google SecOps, consultez Configurer le connecteur.
Paramètres du connecteur
Utilisez les paramètres suivants pour configurer le connecteur :
| Nom du paramètre | Type | Valeur par défaut | Obligatoire | Description |
|---|---|---|---|---|
| DeviceProductField | Chaîne | Nom du produit | Oui | Saisissez le nom du champ source pour récupérer le nom du champ produit. |
| EventClassId | Chaîne | alertType | Oui | Saisissez le nom du champ source pour récupérer le nom du champ d'événement. |
| PythonProcessTimeout | Integer | 180 | Oui | Délai avant expiration du processus Python exécutant le script actuel. |
| Racine de l'API | Chaîne | N/A | Oui | Racine de l'API pour le compte MISP. |
| Clé API | Mot de passe | Oui | Clé API du compte MISP. | |
| Récupérer les heures Max en arrière | Integer | 1 | Non | Nombre d'heures à partir desquelles récupérer les attributs. |
| Nombre maximal d'attributs par cycle | Integer | 50 | Oui | Nombre d'attributs à traiter par itération de connecteur. |
| Niveau de menace le plus bas à récupérer | Integer | 1 | Oui | Gravité la plus faible qui sera utilisée pour récupérer les alertes. Valeurs possibles : de 1 à 4. |
| Filtre de type d'attribut | Chaîne | Non | Filtrez les attributs par type, en les séparant par une virgule. Si des attributs sont fournis, seuls ceux dont le type est autorisé seront traités. | |
| Filtre par catégorie | Chaîne | Non | Filtrez les attributs par catégorie, séparés par une virgule. Si cette valeur est fournie, seuls les attributs dont la catégorie figure sur la liste blanche seront traités. | |
| Filtre Galaxy | Chaîne | Non | Filtrez les attributs par galaxie de l'événement parent, séparés par une virgule. Si des attributs sont fournis, seuls ceux qui appartiennent à un événement avec une galaxie autorisée seront traités. | |
| Vérifier le protocole SSL | Case à cocher | Oui | Si cette option est activée, vérifiez que le certificat SSL de la connexion au serveur CheckPoint Cloud Guard est valide. | |
| Nom du champ "Environnement" | Chaîne | Non | Décrit le nom du champ dans lequel le nom de l'environnement est stocké. Si le champ "environment" (environnement) est introuvable, l'environnement est celui par défaut. | |
| Modèle d'expression régulière de l'environnement | Chaîne | .* | Non | Modèle d'expression régulière à exécuter sur la valeur trouvée dans le champ "Nom du champ d'environnement". La valeur par défaut est ".*" pour tout capturer et renvoyer la valeur inchangée. Permet à l'utilisateur de manipuler le champ "environnement" à l'aide de la logique des expressions régulières. Si le modèle d'expression régulière est nul ou vide, ou si la valeur d'environnement est nulle, l'environnement par défaut est utilisé comme résultat final. |
| Adresse du serveur proxy | Chaîne | Non | Adresse du serveur proxy à utiliser. | |
| Nom d'utilisateur du proxy | Chaîne | Non | Nom d'utilisateur du proxy pour l'authentification. | |
| Mot de passe du proxy | Mot de passe | Non | Mot de passe du proxy pour l'authentification. |
Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.