Ir al contenido principal

Axur Feed + MISP: Importar IOCs a la Plataforma de Inteligencia de Amenazas MISP

Actualizado hace más de 2 meses

Advertencia Importante: Esta integración envía datos desde la Plataforma Axur a una plataforma externa (MISP), que puede estar alojada en infraestructura de terceros.

Es su responsabilidad:

  • Verificar que el envío de datos a plataformas externas cumpla con las políticas, regulaciones y requisitos de protección de datos de su organización.

  • Asegurarse de que la instancia de MISP y cualquier servicio descendente cumplan con sus estándares de seguridad y cumplimiento.

  • Revisar las prácticas de manejo, almacenamiento y procesamiento de datos de todas las plataformas externas utilizadas en sus flujos de trabajo.

  • Obtener las aprobaciones y autorizaciones necesarias antes de implementar esta integración.

Axur no es responsable del manejo de datos, la seguridad o las prácticas de cumplimiento de plataformas externas. Utilice esta integración bajo su propio riesgo y asegúrese de que se alinee con sus obligaciones legales y regulatorias.

La Plataforma Axur monitorea y detecta continuamente amenazas a sus activos digitales. Con los Pull Feeds, puede importar automáticamente estas detecciones como IOCs (Indicadores de Compromiso) a MISP, lo que le permite aprovechar la inteligencia de amenazas de Axur dentro de sus operaciones de seguridad.

Al conectar las detecciones de Axur a MISP, puede maximizar el valor de la inteligencia de Axur integrándola con sus flujos de trabajo de inteligencia de amenazas y herramientas de seguridad existentes.

1) Crear el Feed de la Plataforma Axur

Cree una API Key y un IOC Feed con modo de entrega Pull directamente en la Plataforma Axur. Tenga ambos valores a mano para los pasos posteriores.

1.1) Generar una API Key

  • En la Plataforma Axur, vaya a API Keys configuration.

  • Cree una nueva API key y copie el valor de la API Key de forma segura.

  • Nota: El feed solo devuelve los datos a los que el usuario de la API key tiene permiso de acceso.

Capturas de pantalla:

1.2) Crear el IOC Feed con modo de entrega Pull

  • En la Plataforma Axur, vaya a API & IntegrationsFeeds.

  • Haga clic en Add Feed para crear un nuevo feed.

  • Verá una lista de plantillas de feeds. Para los IOC feeds, puede seleccionar “All IOC detections” o omitir las plantillas para configurar manualmente.

    Seleccionando plantilla de feed en la Plataforma Axur

  • Elija el modo de entrega. Seleccione Pull Feeds (usted solicita los datos llamando a la feed URL). Esto es perfecto para integraciones programadas como MISP.

    Seleccionando modo de entrega Pull

  • Configure los ajustes del feed:

    • Feed Type: Asegúrese de que esté configurado en IOC (Indicadores de Compromiso).

    • Parameters (optional): Puede agregar filtros aquí, por ejemplo: type=file&confidence=high para filtrar por tipo de IOC y nivel de confianza.

    • Feed title (optional): Dele un nombre descriptivo (por ejemplo, “Ejemplo para integrar MISP solo los IOCs de tipo archivo y confianza alta”).

    • Start date: Establezca el rango de fechas si desea importar IOCs históricos.

    • Configure cualquier otro filtro que necesite (type, confidence, date range, etc.).

      Configurando parámetros del feed de IOC

  • Después de guardar, el feed generará una Feed URL. Esta URL es la que MISP utilizará para obtener los IOCs.

1.3) Importante: Configure el formato CSV para MISP

Para obtener el formato CSV que MISP requiere, debe agregar el parámetro de consulta format=csv a la feed URL. La URL completa debería verse así:

https://your-axur-instance.com/api/feeds/your-feed-id?format=csv

Puede ver la URL con el parámetro format=csv ya agregado en la página de detalles del feed. Copie esta URL completa (incluyendo el parámetro format=csv) – la necesitará al configurar MISP en el siguiente paso.

URL del feed con parámetro de formato CSV

A partir de este punto (Paso 2+), toda la configuración se realiza en MISP.

Paso 2: Configurar el Feed de MISP

Ahora configure MISP para obtener IOCs del Axur Pull Feed.

  1. En MISP, navegue a Feeds (generalmente bajo “Sync Actions” o “Feeds” en el menú de navegación).

  2. Haga clic en Add Feed o New Feed.

  3. Configure el feed con los siguientes ajustes:

    • Name: Dele un nombre descriptivo (por ejemplo, “Axur IOC Integration”).

    • Provider: Ingrese “Axur” o su nombre de proveedor preferido.

    • Input Source: Seleccione Network.

    • URL: Pegue la Axur Feed URL completa (incluyendo el parámetro format=csv) del paso anterior.

    • Source Format: Seleccione Simple CSV Parsed Feed.

    • Value field(s) in the CSV: Establezca esto en 3 (la tercera columna en el CSV contiene el IOC value).

    • Delimiter: Establezca en ,.

    • Any headers to be passed with requests: Agregue el Authorization header:

      Authorization: Bearer YOUR_AXUR_API_KEY

      Reemplace YOUR_AXUR_API_KEY con su Axur API Key real.

Importante: El valor del encabezado debe incluir la palabra “Bearer” seguida de un espacio, y luego su API key. Por ejemplo: Bearer axur_api_key_12345.

  • Enabled: Marque esta casilla para habilitar el feed.

  • Configure cualquier otra configuración según sea necesario (Creator organisation, Target Event, etc.).

Configurando el feed de MISP con todos los ajustes

Después de configurar todos los ajustes y habilitar el feed, MISP ahora obtendrá periódicamente los IOCs del feed de Axur.

Parte 2: Configuración de la Programación del Feed

Por defecto, MISP obtiene feeds una vez al día. Para actualizaciones de IOC más oportunas de Axur, puede configurar una programación más frecuente.

Paso 3: Configurar Tareas Programadas para Actualizaciones Más Rápidas

Para acelerar la importación de IOC y obtener actualizaciones más frecuentes de Axur:

  1. En MISP, navegue a Scheduled Tasks (generalmente bajo “Administration” o “Server Settings”).

  2. Haga clic en Add scheduled task para crear una nueva tarea programada.

  3. Configure la tarea de la siguiente manera:

    1. Type: Seleccione Feed.

    2. Action: Seleccione Fetch.

    3. Feed: Seleccione su feed de Axur (por ejemplo, “Axur IOC Integration”).

    4. User: Seleccione la cuenta de usuario que ejecutará la tarea.

    5. Runs every: Establezca la frecuencia (por ejemplo, 10 minute(s)).

    6. Enabled: Marque esta casilla para habilitar la tarea programada.

    7. Deje Next Execution Date y Next Execution Time en blanco para una ejecución inmediata, o configúrelos para una hora específica.

Configurando tarea programada para la obtención de feed

Esto asegura que los nuevos IOCs de Axur se importen a MISP más rápidamente (cada 10 minutos en este ejemplo), en lugar de esperar la obtención diaria predeterminada.

Comprensión de la Paginación del Feed y el Comportamiento de Importación

Cómo Funciona la Paginación del Feed de Axur

El Axur Feed proporciona hasta 5,000 IOCs por obtención. Es importante destacar que el feed maneja automáticamente la paginación:

  • First Fetch: Devuelve los primeros 5,000 IOCs.

  • Second Fetch: Devuelve los siguientes 5,000 IOCs (comenzando donde terminó la obtención anterior).

  • Subsequent Fetches: Continúa paginando a través de todos los IOCs disponibles.

El feed no devuelve los mismos IOCs en cada obtención. En cambio, avanza automáticamente a través de su colección de IOCs, asegurando que, con el tiempo, todos los IOCs sean eventualmente importados a MISP.

Opciones de Configuración del Feed

Al configurar el feed en la Plataforma Axur, puede establecer:

  • Type: Filtrar IOCs por tipo (por ejemplo, domain, IP, URL).

  • Confidence: Filtrar por nivel de confianza.

  • Date Range: Seleccionar IOCs de un rango de fechas específico.

Impacto de la Selección del Rango de Fechas

Si configura el feed con un rango de fechas que se extiende mucho en el pasado, el feed proporcionará miles de IOCs para importar. Sin embargo, debido a que el feed solo entrega 5,000 IOCs por obtención:

  • Con Programación Predeterminada (una vez al día): Si tiene 50,000 IOCs para importar, tardará 10 días en importarlos todos (5,000 por día).

  • Con Programación Más Rápida (cada 10 minutos): El proceso de importación se acelera significativamente, importando 5,000 IOCs cada 10 minutos en lugar de una vez al día.

Recomendación: Si está importando un gran conjunto de datos históricos, configure una programación más frecuente (como se describe en la Parte 2) para acelerar el proceso de importación. Una vez que la importación histórica esté completa, puede ajustar la programación a una frecuencia más razonable para las actualizaciones continuas.

Pruebas y Verificación

Verificar Conexión del Feed

  1. En MISP, vaya a la configuración de su feed.

  2. Utilice la función Test Connection o Preview Feed para verificar que MISP pueda conectarse exitosamente al feed de Axur.

  3. Compruebe que los IOCs son visibles en la vista previa.

Verificar Importación de IOC

  1. Después de que el feed se ejecute (ya sea activado manualmente o mediante una tarea programada), verifique sus eventos de MISP.

  2. Verifique que los IOCs de Axur estén apareciendo en MISP.

  3. Recuerde: El número de IOCs en MISP puede ser menor que el número devuelto por la API debido al filtrado (como se explica en la sección “Comprensión Importante del Comportamiento de Importación de IOC”).

Monitorear el Estado del Feed

  • Verifique el estado del feed en MISP para ver cuándo ocurrió la última obtención.

  • Revise cualquier mensaje de error si el feed no se obtiene.

  • Verifique que el Authorization header esté configurado correctamente si encuentra errores de autenticación.

Comprensión Importante del Comportamiento de Importación de IOC

Antes de configurar la integración, es crucial comprender que no todos los IOCs devueltos por la Axur Feed API aparecerán necesariamente en MISP después de la importación. Este es un comportamiento esperado y no un problema de configuración.

Por Qué Algunos IOCs Podrían No Aparecer en MISP

Cuando consulta la Axur Feed API, puede ver un cierto número de IOCs (por ejemplo, 5,000). Sin embargo, después de que MISP obtiene e importa el feed, es posible que vea menos IOCs (por ejemplo, 4,800) en su instancia de MISP. Esta diferencia ocurre porque MISP aplica sus propias reglas de validación y filtrado durante el proceso de importación.

MISP realiza varios tipos de filtrado y validación basados en sus propios criterios y configuración:

  1. Duplicate Detection: MISP detecta y filtra automáticamente IOCs duplicados.

  2. Format Validation: MISP valida los formatos de IOCs de acuerdo con sus propias reglas y estándares. Los IOCs que no se ajustan a las especificaciones de formato esperadas de MISP pueden ser rechazados durante la importación.

  3. Value Validation: MISP aplica reglas de validación. Los IOCs que no cumplen con los criterios de validación de MISP para sus respectivos tipos serán filtrados.

  4. Warning Lists: Si hay listas de advertencia configuradas en su instancia de MISP, los IOCs que coincidan con esas listas pueden ser filtrados automáticamente.

  5. Other MISP Filters: Dependiendo de su configuración de MISP, se pueden aplicar filtros adicionales (por ejemplo, reglas específicas de la organización, filtrado basado en etiquetas, etc.).

Cómo Verificar Este Comportamiento

Puede validar este comportamiento mediante:

  • Remote Feed Query: Cuando consulta el feed de forma remota a través de la vista previa del feed de MISP, MISP mostrará los IOCs de la API que pasan sus comprobaciones de validación iniciales.

  • Feed Fetch and Import: Cuando MISP realiza una obtención y descarga IOCs para importar, aplica todas las reglas de validación y filtrado de acuerdo con su configuración, lo que puede excluir algunos IOCs según los criterios anteriores.

Por qué esto es importante: Si ve que su Axur Feed API devuelve N IOCs pero MISP solo importa un número menor, este es un comportamiento esperado. La diferencia representa los IOCs que MISP filtró basándose en sus propias reglas de validación, detección de duplicados, listas de advertencia u otros filtros configurados. Esto es una parte normal del proceso de calidad y deduplicación de datos de MISP, asegurando que solo los IOCs validados y relevantes se importen a su plataforma de inteligencia de amenazas de acuerdo con los estándares de MISP.

Resolución de Problemas

El Feed No Se Obtiene

  • Check URL: Verifique que la feed URL incluya el parámetro format=csv.

  • Check Authentication: Asegúrese de que el Authorization header esté formateado correctamente: Bearer YOUR_API_KEY.

  • Check Network: Verifique que MISP pueda alcanzar la Axur Platform URL.

  • Check API Key: Verifique que su Axur API Key sea válida y tenga los permisos necesarios.

Los IOCs No Aparecen

  • Review Filtering: Recuerde que MISP filtra duplicados, formatos inválidos e IOCs que no pasan la validación.

  • Check Feed Status: Verifique que el feed esté habilitado y se haya obtenido correctamente.

  • Check Date Range: Si configuró un rango de fechas, asegúrese de que incluya los IOCs que espera.

  • Review MISP Logs: Revise los registros de MISP en busca de errores o advertencias de importación.

La Importación Tarda Demasiado

  • Check Schedule: Si está importando datos históricos, considere aumentar la frecuencia de obtención (por ejemplo, cada 10 minutos en lugar de diariamente).

  • Check Volume: Las importaciones históricas grandes llevarán tiempo debido al límite de 5,000 IOC por obtención.

  • Monitor Progress: Verifique el estado del feed para ver cuántas obtenciones se han completado.

Apéndice: Consejos y Mejores Prácticas

  • Security: Proteja siempre sus API keys. Almacénelas de forma segura y rótelas periódicamente.

  • Feed Filtering: Configure filtros apropiados en el feed de Axur para importar solo los IOCs relevantes para su caso de uso (por ejemplo, tipos específicos, niveles de confianza, rangos de fechas).

  • Schedule Optimization: Equilibre la frecuencia de obtención con los recursos del sistema. Las obtenciones más frecuentes proporcionan actualizaciones más rápidas pero consumen más recursos.

  • Monitoring: Monitoree regularmente el estado del feed y las tasas de éxito de importación para asegurarse de que la integración funciona correctamente.

  • Validation: Comprenda que la validación y el filtrado de MISP es un comportamiento normal. No todos los IOCs de la API aparecerán en MISP.

  • Historical Imports: Para grandes importaciones históricas, utilice una programación más frecuente inicialmente, luego ajústela a una frecuencia de mantenimiento una vez que se haya puesto al día.

Si tienes cualquier duda, puedes contactarnos en [email protected] 😊

Artículos relacionados
Indicadores de Compromiso (IoCs)
Feed
Add-on “Axur Data Connector” en Splunk
Integración de IBM QRadar
Axur Feed + n8n: convierta las detecciones de Axur en acciones automatizadas
¿Ha quedado contestada tu pregunta?