# Eventos MISP

Manual de creación de eventos en la plataforma MISP

# 00- Doble factor de autenticación para cuenta MISP

Para fortalecer la seguridad de su cuenta en la plataforma, se debe habilitar la autenticación de dos factores debido a la información que se encuentra en la plataforma.

 A continuación, se detallan los pasos para activar esta función en su perﬁl de usuario:

**Acceda a su perﬁl de usuario:**

- Inicie sesión en su instancia de MISP.
- Haga clic en “Admin” ubicado en la esquina superior derecha.

[![image.png](https://www.cgii.gob.bo/bookstack/uploads/images/gallery/2025-04/scaled-1680-/4EbMousSImsRnwON-image.png)](https://www.cgii.gob.bo/bookstack/uploads/images/gallery/2025-04/4EbMousSImsRnwON-image.png)

**Habilite TOTP.**

- En la sección de su perﬁl, busque la opción para habilitar TOTP.

[![image.png](https://www.cgii.gob.bo/bookstack/uploads/images/gallery/2025-04/scaled-1680-/fIi63VazBfeHpPNk-image.png)](https://www.cgii.gob.bo/bookstack/uploads/images/gallery/2025-04/fIi63VazBfeHpPNk-image.png)

- En la sección de su perﬁl, busque la opción para habilitar TOTP.

[![image.png](https://www.cgii.gob.bo/bookstack/uploads/images/gallery/2025-04/scaled-1680-/QP8UD3OWegUjcY5A-image.png)](https://www.cgii.gob.bo/bookstack/uploads/images/gallery/2025-04/QP8UD3OWegUjcY5A-image.png) **Conﬁgure la aplicación de autenticación:**

- Utilice una aplicación de autenticación compatible con TOTP, como Google Authenticator, Microsoft Authenticator o Authy.
- Abra la aplicación en su dispositivo móvil.
- Seleccione la opción para agregar una nueva cuenta y escanee el código QR proporcionado por MISP.
- Después de escanear el código QR, la aplicación generará códigos temporales de seis dígitos.
- Ingrese uno de estos códigos en el campo de veriﬁcación en MISP para conﬁrmar la conﬁguración y de click al botón "Submit" para guardar.  
    [![image.png](https://www.cgii.gob.bo/bookstack/uploads/images/gallery/2025-04/scaled-1680-/5LDXwc4TKWDB57JL-image.png)](https://www.cgii.gob.bo/bookstack/uploads/images/gallery/2025-04/5LDXwc4TKWDB57JL-image.png)

**Guarde sus códigos de recuperación (HOTP):**

- Una vez veriﬁcado el TOTP, MISP le proporcionará una lista de códigos de un solo uso (HOTP) que puede utilizar en caso de no tener acceso a su dispositivo móvil.
- Guarde los códigos en un lugar seguro, ya que serán esenciales para acceder a su cuenta si pierde el acceso a la aplicación de autenticación.
- A partir de ahora, al iniciar sesión, después de ingresar su nombre de usuario y contraseña, se le solicitará un código TOTP generado por su aplicación de autenticación.

[![image.png](https://www.cgii.gob.bo/bookstack/uploads/images/gallery/2025-04/scaled-1680-/xKCXlfFWjfz1hGbZ-image.png)](https://www.cgii.gob.bo/bookstack/uploads/images/gallery/2025-04/xKCXlfFWjfz1hGbZ-image.png)

# 01- Distribución de phishing evento MISP

#### <span style="color: rgb(35, 111, 161);">**Introducción**</span>

MISP es una herramienta de código abierto diseñada para facilitar el intercambio de información sobre amenazas cibernéticas, permitiendo a los usuarios compartir indicadores de compromiso (IOC's), análisis de malware y otros datos relevantes de seguridad.

Esta guía te ayudará a utilizar la plataforma MISP (Malware Information Sharing Platform &amp; Threat Sharing) para crear y distribuir eventos de manera eficiente y completa. Tenemos como finalidad proporcionar un paso a paso detallado para crear, configurar y publicar eventos en MISP, tomando distintos ejemplos. Su objetivo es estandarizar el proceso de documentación y compartir inteligencia sobre amenazas de manera eficiente, asegurando que los usuarios de la plataforma puedan aprovechar la información para fortalecer sus defensas y prevenir incidentes similares.

#### <span style="color: rgb(35, 111, 161);">**Contexto**</span>

El Centro de Gestión de Incidentes Informáticos ha identificado una campaña de phishing masiva que distribuye malware a través de adjuntos en correos electrónicos.

Los pasos para publicar el evento en MISP pueden variar según la información disponible, pero en este ejemplo se detallarán los indicadores de compromiso (IOCs) más comunes asociados a correos de phishing. En casos específicos, es posible que no se encuentren todos los datos mencionados, por lo que solo se debe incluir información verificada.

<span style="color: rgb(35, 111, 161);">**CREACIÓN DEL EVENTO.**</span>

- Ingresar a la sección de **Events** posteriormente **Event Actions** y por último seleccionar **Add event**.

[![image.png](https://www.cgii.gob.bo/bookstack/uploads/images/gallery/2025-01/scaled-1680-/oPz6WOwua9dddkEA-image.png)](https://www.cgii.gob.bo/bookstack/uploads/images/gallery/2025-01/oPz6WOwua9dddkEA-image.png)

- **<span style="color: rgb(22, 145, 121);">Distribution.</span>** Define el alcance de visibilidad del evento.
- <span style="color: rgb(22, 145, 121);">**Threat level.** </span>  
    Define el nivel de amenaza del evento.
- <span style="color: rgb(22, 145, 121);">**Analysis.** </span>  
    Define el evento en Inicial,Ongoing (en curso) o finalizado.
- <span style="color: rgb(22, 145, 121);">**Event info.** </span>  
    Incluir el resumen de una descripción del evento.
- **<span style="color: rgb(22, 145, 121);">Extends Event.</span>** Si el evento está relacionado con uno previo, agregar el UUID correspondiente para vincularlos.

<span style="color: rgb(53, 152, 219);">**<span style="color: rgb(35, 111, 161);">ASIGNACIÓN DE TAGS</span>** </span>

<span style="color: rgb(0, 0, 0);">El uso de tags nos ayuda en gran medida a contextualizar y enriquecer la información compartida. Estas etiquetas no solo facilitan la categorización y búsqueda eficiente de eventos también permiten establecer relaciones claras entre incidentes, amenazas y campañas maliciosas.</span>

<span style="color: rgb(0, 0, 0);">Al incorporar tags descriptivos, los usuarios de la plataforma pueden priorizar, filtrar y correlacionar datos con mayor precisión, mejorando así la respuesta ante ciberamenazas entre la comunidad de seguridad. </span>

- <span style="color: rgb(22, 145, 121);">**TLP "GREEN".**</span> La información no está restringida y puede compartirse para prevenir ataques.
- <span style="color: rgb(0, 0, 0);"><span style="color: rgb(22, 145, 121);">"**email phishing**".</span> indica el método de distribución del malware.  
    </span>
- **<span style="color: rgb(0, 0, 0);"><span style="color: rgb(22, 145, 121);">Taxonomías estandarizadas de CIRCL y CSIRT Américas.</span> </span>**<span style="color: rgb(0, 0, 0);">Estas etiquetas facilitan la contextualización del evento, especialmente para organizaciones y países que filtran amenazas basándose en dichas taxonomías.</span>**<span style="color: rgb(0, 0, 0);">  
    </span>**

[![image.png](https://www.cgii.gob.bo/bookstack/uploads/images/gallery/2025-03/scaled-1680-/GBK4S0W3LJa4Wrne-image.png)](https://www.cgii.gob.bo/bookstack/uploads/images/gallery/2025-03/GBK4S0W3LJa4Wrne-image.png)

- <span style="color: rgb(22, 145, 121);">**TAG local.** </span>Al añadirlo se utilizará esta etiqueta personalizada para filtrar eventos específicos de Bolivia.

[![image.png](https://www.cgii.gob.bo/bookstack/uploads/images/gallery/2025-03/scaled-1680-/ZZyqb6I1pM10HYeT-image.png)](https://www.cgii.gob.bo/bookstack/uploads/images/gallery/2025-03/ZZyqb6I1pM10HYeT-image.png)

#### <span style="color: rgb(35, 111, 161);">Asignación de Atributos y Objetos</span>

Los atributos se agruparán en objetos para este caso, esto nos sirve para organizar la información (cuerpo del correo, archivo adjunto, etc.).

<span style="color: rgb(35, 111, 161);">**OBJETOS.**</span>

Para crear los objetos nos dirigimos al menú lateral de la derecha y seleccionamos la opción **Add Object**.

[![image.png](https://www.cgii.gob.bo/bookstack/uploads/images/gallery/2025-01/scaled-1680-/Zt88PCWv7uNovQqw-image.png)](https://www.cgii.gob.bo/bookstack/uploads/images/gallery/2025-01/Zt88PCWv7uNovQqw-image.png)

**<span style="color: rgb(22, 145, 121);">Objeto 1. Correo electrónico.</span>** Extraemos los datos relevantes del correo malicioso.

- En al correo electrónico recibido, podemos extraer (remitente, asunto, adjuntos, etc.).

[![image.png](https://www.cgii.gob.bo/bookstack/uploads/images/gallery/2025-01/scaled-1680-/pUkQLdZTZNxlSKTT-image.png)](https://www.cgii.gob.bo/bookstack/uploads/images/gallery/2025-01/pUkQLdZTZNxlSKTT-image.png)

- Los atributos correspondientes se añaden al objeto **Correo** de la siguiente manera:

[![image.png](https://www.cgii.gob.bo/bookstack/uploads/images/gallery/2025-01/scaled-1680-/73aFQoQpoqrsXY8J-image.png)](https://www.cgii.gob.bo/bookstack/uploads/images/gallery/2025-01/73aFQoQpoqrsXY8J-image.png)

[![image.png](https://www.cgii.gob.bo/bookstack/uploads/images/gallery/2025-01/scaled-1680-/uYTR7Qwwo1wuWx9A-image.png)](https://www.cgii.gob.bo/bookstack/uploads/images/gallery/2025-01/uYTR7Qwwo1wuWx9A-image.png)

<span style="color: rgb(22, 145, 121);">**Objeto 2. Archivo adjunto (malware).**</span>

Es posible analizar el archivo en herramientas como VirusTotal, Any.Run o Hybrid Analysis.

- En este caso la información que puede ser extraída para el análisis contiene hashes (MD5, SHA-1, SHA-256), nombre del archivo y metadatos como podemos ver a continuación.

[![image.png](https://www.cgii.gob.bo/bookstack/uploads/images/gallery/2025-01/scaled-1680-/nUJbuy6xdAax0sdt-image.png)](https://www.cgii.gob.bo/bookstack/uploads/images/gallery/2025-01/nUJbuy6xdAax0sdt-image.png)

- Los objetos y sus atributos se listarán en la sección correspondiente.

[![image.png](https://www.cgii.gob.bo/bookstack/uploads/images/gallery/2025-01/scaled-1680-/mxPeNmLx9kyNggnd-image.png)](https://www.cgii.gob.bo/bookstack/uploads/images/gallery/2025-01/mxPeNmLx9kyNggnd-image.png)

<span style="color: rgb(35, 111, 161);">**<span style="color: rgb(35, 111, 161);">EVENT REPORT.</span>** </span>

- Para contextualizar el impacto del malware complementando la información del evento creamos un Event Report de forma manual en primera instancia.

[![image.png](https://www.cgii.gob.bo/bookstack/uploads/images/gallery/2025-01/scaled-1680-/izWo88T5ukntXRRb-image.png)](https://www.cgii.gob.bo/bookstack/uploads/images/gallery/2025-01/izWo88T5ukntXRRb-image.png)

[![image.png](https://www.cgii.gob.bo/bookstack/uploads/images/gallery/2025-01/scaled-1680-/VG05TA0LqgML0VDe-image.png)](https://www.cgii.gob.bo/bookstack/uploads/images/gallery/2025-01/VG05TA0LqgML0VDe-image.png)

- Opcionalmente, generamos un informe automático con **Generate Report From Event**, este reporte agrupará los indicadores de compromiso e información de los tags existentes de manera que puede ser enviado como alerta al personal que no tiene la cuenta de MISP habilitada facilitando la comprensión del evento.

[![image.png](https://www.cgii.gob.bo/bookstack/uploads/images/gallery/2025-01/scaled-1680-/0R3Kz5CUy2w5U8P8-image.png)](https://www.cgii.gob.bo/bookstack/uploads/images/gallery/2025-01/0R3Kz5CUy2w5U8P8-image.png)

- Al realizar click en cualquiera de los objetos se tendrá como resultado los atributos que lo componen.

[![image.png](https://www.cgii.gob.bo/bookstack/uploads/images/gallery/2025-01/scaled-1680-/rnfSR8RjQfAiNdyg-image.png)](https://www.cgii.gob.bo/bookstack/uploads/images/gallery/2025-01/rnfSR8RjQfAiNdyg-image.png)

#### <span style="color: rgb(35, 111, 161);">**Publicación del evento.**</span>

Para modificar el estado inicial del evento y permitir que los demás usuarios de la plataforma accedan a él, según su nivel de distribución, observamos inicialmente que el evento aparece con el estado '**Published=No**', como se muestra en la siguiente captura de pantalla

[![image.png](https://www.cgii.gob.bo/bookstack/uploads/images/gallery/2025-01/scaled-1680-/EemN15W49D7ov0MC-image.png)](https://www.cgii.gob.bo/bookstack/uploads/images/gallery/2025-01/EemN15W49D7ov0MC-image.png)

Con la opción 'Publish (No Email)', se realiza la publicación en la plataforma sin enviar un correo electrónico a los usuarios. Si se requiere el envío de correos, debe seleccionarse la opción 'Publish Event'. Después de elegir cualquiera de las dos opciones, el estado del evento cambia a '**Published=Yes**'

[![image.png](https://www.cgii.gob.bo/bookstack/uploads/images/gallery/2025-01/scaled-1680-/qFZKQzxyhHwQ1jGM-image.png)](https://www.cgii.gob.bo/bookstack/uploads/images/gallery/2025-01/qFZKQzxyhHwQ1jGM-image.png)

Cuando el evento es publicado se asigna un ID al evento en este caso "**3**" y el primer valor del evento en la lista es un check que indica que los usuarios que están dentro del criterio de distribución pueden ver la información del evento como se muestra a continuación.

[![image.png](https://www.cgii.gob.bo/bookstack/uploads/images/gallery/2025-03/scaled-1680-/NPnYjS1hT2a5vqpz-image.png)](https://www.cgii.gob.bo/bookstack/uploads/images/gallery/2025-03/NPnYjS1hT2a5vqpz-image.png)

<div class="notranslate" id="bkmrk--15" style="all: initial;"></div>

# 02- Direcciones IP con actividad de malware evento MISP

#### <span style="color: rgb(35, 111, 161);">**Introducción**</span>

MISP es una herramienta de código abierto diseñada para facilitar el intercambio de información sobre amenazas cibernéticas, permitiendo a los usuarios compartir indicadores de compromiso (IOC's), análisis de malware y otros datos relevantes de seguridad.

Esta guía te ayudará a utilizar la plataforma MISP (Malware Information Sharing Platform &amp; Threat Sharing) para crear y distribuir eventos de manera eficiente y completa. Tenemos como finalidad proporcionar un paso a paso detallado para crear, configurar y publicar eventos en MISP, tomando distintos ejemplos. Su objetivo es estandarizar el proceso de documentación y compartir inteligencia sobre amenazas de manera eficiente, asegurando que los usuarios de la plataforma puedan aprovechar la información para fortalecer sus defensas y prevenir incidentes similares.

#### <span style="color: rgb(35, 111, 161);">**Contexto**</span>

El Centro de Gestión de Incidentes Informáticos recibió una alerta de seguridad que contiene información delicada (Lista de direcciones IP) de una red de distribución de malware activa dentro del país.

Los pasos para publicar el evento en MISP pueden variar según la información disponible, pero en este ejemplo se detallarán los indicadores de compromiso (IOCs) más comunes asociados a distribución de malware. En casos específicos, es posible que no se encuentren todos los datos mencionados, por lo que solo se debe incluir información verificada.

<span style="color: rgb(35, 111, 161);">**CREACIÓN DEL EVENTO.**</span>

- Ingresar a la sección de **Events** posteriormente **Event Actions** y por último seleccionar **Add event**.

[![image.png](https://www.cgii.gob.bo/bookstack/uploads/images/gallery/2025-03/scaled-1680-/THXZAboJNuXqacts-image.png)](https://www.cgii.gob.bo/bookstack/uploads/images/gallery/2025-03/THXZAboJNuXqacts-image.png)

- **<span style="color: rgb(22, 145, 121);">Distribution.</span>** Define el alcance de visibilidad del evento.
- <span style="color: rgb(22, 145, 121);">**Threat level.** </span>  
    Define el nivel de amenaza del evento.
- <span style="color: rgb(22, 145, 121);">**Analysis.** </span>  
    Define el evento en Inicial,Ongoing (en curso) o finalizado.
- <span style="color: rgb(22, 145, 121);">**Event info.** </span>  
    Incluir el resumen de una descripción del evento.
- **<span style="color: rgb(22, 145, 121);">Extends Event.</span>** Si el evento está relacionado con uno previo, agregar el UUID correspondiente para vincularlos.

**<span style="color: rgb(53, 152, 219);"><span style="color: rgb(35, 111, 161);">ASIGNACIÓN DE TAGS</span></span>**

<span style="color: rgb(0, 0, 0);">El uso de tags nos ayuda en gran medida a contextualizar y enriquecer la información compartida. Estas etiquetas no solo facilitan la categorización y búsqueda eficiente de eventos también permiten establecer relaciones claras entre incidentes, amenazas y campañas maliciosas.</span>

<span style="color: rgb(0, 0, 0);">Al incorporar tags descriptivos, los usuarios de la plataforma pueden priorizar, filtrar y correlacionar datos con mayor precisión, mejorando así la respuesta ante ciberamenazas entre la comunidad de seguridad. </span>

- <span style="color: rgb(22, 145, 121);">**TLP "AMBER+STRICT".**</span> La información está restringida y es compartida solamente con individuos autorizados (usuarios MISP del nodo nacional).
- **<span style="color: rgb(0, 0, 0);"><span style="color: rgb(22, 145, 121);">Taxonomías estandarizadas de CIRCL y CSIRT Américas.</span> </span>**<span style="color: rgb(0, 0, 0);">Estas etiquetas facilitan la contextualización del evento, especialmente para organizaciones y países que filtran amenazas basándose en dichas taxonomías.</span>

[![image.png](https://www.cgii.gob.bo/bookstack/uploads/images/gallery/2025-03/scaled-1680-/3ILbhVGrs1jemPwh-image.png)](https://www.cgii.gob.bo/bookstack/uploads/images/gallery/2025-03/3ILbhVGrs1jemPwh-image.png)

- <span style="color: rgb(22, 145, 121);">**TAG local.** </span>Al añadirlo se utilizará esta etiqueta personalizada para filtrar eventos específicos de Bolivia.

[![image.png](https://www.cgii.gob.bo/bookstack/uploads/images/gallery/2025-03/scaled-1680-/ZZyqb6I1pM10HYeT-image.png)](https://www.cgii.gob.bo/bookstack/uploads/images/gallery/2025-03/ZZyqb6I1pM10HYeT-image.png)

#### <span style="color: rgb(35, 111, 161);">Asignación de Atributos</span>

<span style="color: rgb(0, 0, 0);">Los atributos para este caso son de actividad de red, esto nos sirve para organizar la información.</span>

**<span style="color: rgb(35, 111, 161);">OBJETOS.</span>**

En este caso específico no se tienen objetos, como muestras de malware o distribución por phishing o spam debido a que el origen de la información nos detalla direcciones IP que distribuyen malware.

<span style="color: rgb(35, 111, 161);">**ATRIBUTOS.**</span>

Para agregar la lista de IP's procedemos a seleccionar el boton de "+" para añadir los atributos.

[![image.png](https://www.cgii.gob.bo/bookstack/uploads/images/gallery/2025-03/scaled-1680-/1SplMDPYe2rfpIx8-image.png)](https://www.cgii.gob.bo/bookstack/uploads/images/gallery/2025-03/1SplMDPYe2rfpIx8-image.png)

Estos atributos se clasifican en la categoría de actividad de red e IP destino por que son las direcciones IP a las que se comunican los equipos infectados.

[![image.png](https://www.cgii.gob.bo/bookstack/uploads/images/gallery/2025-03/scaled-1680-/jdrYFZbz6FUtz0D1-image.png)](https://www.cgii.gob.bo/bookstack/uploads/images/gallery/2025-03/jdrYFZbz6FUtz0D1-image.png)

Una vez seleccionada la opción **Submit** podemos observar que los atributos han sido agregados correctamente observando si existe una correlación con otros eventos

**<span style="color: rgb(35, 111, 161);">CORRELACIÓN DE EVENTOS.</span>**

- El evento creado automáticamente se correlaciona con el evento 2 y 16298 como podemos ver a en la columna Related Events a continuación.

[![image.png](https://www.cgii.gob.bo/bookstack/uploads/images/gallery/2025-03/scaled-1680-/SMms1aQUQxDmuEKB-image.png)](https://www.cgii.gob.bo/bookstack/uploads/images/gallery/2025-03/SMms1aQUQxDmuEKB-image.png)

- La forma recomendada para visualizar la correlación se encuentra en la esquina superior derecha donde podemos encontrar eventos que fueron relacionados con las direcciones IP reportadas como maliciosas por el proveedor de información, con esta nueva información comprobamos que las direcciones IP están relacionadas con malware *Agent tesla* y se vio involucrada en realización de solicitudes maliciosas a dominios del país.

[![image.png](https://www.cgii.gob.bo/bookstack/uploads/images/gallery/2025-03/scaled-1680-/juEqy9W46xLCGqrb-image.png)](https://www.cgii.gob.bo/bookstack/uploads/images/gallery/2025-03/juEqy9W46xLCGqrb-image.png)

<span style="color: rgb(35, 111, 161);">**EVENT REPORT.**</span>

- Generamos un event report automático con Generate Report From Event, este reporte agrupará los indicadores de compromiso e información de los tags existentes de manera que puede ser enviado como alerta al personal que no tiene la cuenta de MISP habilitada facilitando la comprensión del evento.

[![image.png](https://www.cgii.gob.bo/bookstack/uploads/images/gallery/2025-03/scaled-1680-/VvUKxU05FLvV6x1y-image.png)](https://www.cgii.gob.bo/bookstack/uploads/images/gallery/2025-03/VvUKxU05FLvV6x1y-image.png)

[![image.png](https://www.cgii.gob.bo/bookstack/uploads/images/gallery/2025-03/scaled-1680-/ew83hUi6zQ8iDZua-image.png)](https://www.cgii.gob.bo/bookstack/uploads/images/gallery/2025-03/ew83hUi6zQ8iDZua-image.png)

- Una vez generado el reporte se observa en el apartado de Event Reports el resumen de los datos relevantes del reporte.

[![image.png](https://www.cgii.gob.bo/bookstack/uploads/images/gallery/2025-03/scaled-1680-/AOw7SEMfDqMSxETV-image.png)](https://www.cgii.gob.bo/bookstack/uploads/images/gallery/2025-03/AOw7SEMfDqMSxETV-image.png)

- El reporte generado resume la información del evento en la siguiente plantilla:

[![image.png](https://www.cgii.gob.bo/bookstack/uploads/images/gallery/2025-03/scaled-1680-/4PC4r6WQ6mFxgG2z-image.png)](https://www.cgii.gob.bo/bookstack/uploads/images/gallery/2025-03/4PC4r6WQ6mFxgG2z-image.png)

#### <span style="color: rgb(35, 111, 161);">**Publicación del evento.**</span>

Para modificar el estado inicial del evento y permitir que los demás usuarios de la plataforma accedan a él, según su nivel de distribución, observamos inicialmente que el evento aparece con el estado '**Published=No**', como se muestra en la siguiente captura de pantalla

[![image.png](https://www.cgii.gob.bo/bookstack/uploads/images/gallery/2025-03/scaled-1680-/krlJR7Hlmlf8rqDb-image.png)](https://www.cgii.gob.bo/bookstack/uploads/images/gallery/2025-03/krlJR7Hlmlf8rqDb-image.png)

Con la opción 'Publish (No Email)', se realiza la publicación en la plataforma sin enviar un correo electrónico a los usuarios. Si se requiere el envío de correos, debe seleccionarse la opción 'Publish Event'. Después de elegir cualquiera de las dos opciones, el estado del evento cambia a '**Published=Yes**'

[![image.png](https://www.cgii.gob.bo/bookstack/uploads/images/gallery/2025-03/scaled-1680-/3TfgmyNJAo4FSERk-image.png)](https://www.cgii.gob.bo/bookstack/uploads/images/gallery/2025-03/3TfgmyNJAo4FSERk-image.png)

[![image.png](https://www.cgii.gob.bo/bookstack/uploads/images/gallery/2025-03/scaled-1680-/juEqy9W46xLCGqrb-image.png)](https://www.cgii.gob.bo/bookstack/uploads/images/gallery/2025-03/juEqy9W46xLCGqrb-image.png)

Cuando el evento es publicado se asigna un ID al evento en este caso "**36748**" y el primer valor del evento en la lista es un check que indica que los usuarios que están dentro del criterio de distribución pueden ver la información del evento como se muestra a continuación.

[![image.png](https://www.cgii.gob.bo/bookstack/uploads/images/gallery/2025-03/scaled-1680-/V9UulX4xM7teiUAH-image.png)](https://www.cgii.gob.bo/bookstack/uploads/images/gallery/2025-03/V9UulX4xM7teiUAH-image.png)

<div class="notranslate" id="bkmrk--17" style="all: initial;"></div>

# 03- Campaña DDoS evento MISP

#### <span style="color: rgb(35, 111, 161);">**Introducción**</span>

MISP es una herramienta de código abierto diseñada para facilitar el intercambio de información sobre amenazas cibernéticas, permitiendo a los usuarios compartir indicadores de compromiso (IOC's), análisis de malware y otros datos relevantes de seguridad.

Esta guía te ayudará a utilizar la plataforma MISP (Malware Information Sharing Platform &amp; Threat Sharing) para crear y distribuir eventos de manera eficiente y completa. Tenemos como finalidad proporcionar un paso a paso detallado para crear, configurar y publicar eventos en MISP, tomando distintos ejemplos. Su objetivo es estandarizar el proceso de documentación y compartir inteligencia sobre amenazas de manera eficiente, asegurando que los usuarios de la plataforma puedan aprovechar la información para fortalecer sus defensas y prevenir incidentes similares.

#### <span style="color: rgb(35, 111, 161);">**Contexto**</span>

El Centro de Gestión de Incidentes Informáticos realiza la investigación de un intento de ataque de denegación de servicio (DDoS) hacia servidores gubernamentales en Bolivia, durante esta investigación se pudo recopilar una gran cantidad de direcciones IP que pertenecen a la botnet para realizar ataques, se utilizaron criterios de numero de solicitudes realizadas y tipo de solicitudes para identificar estas solicitudes.

Los pasos para publicar el evento pueden variar ligeramente según el contenido y la información proporcionada a la plataforma. En este ejemplo de creación de un evento en MISP, se detallan conjuntos de direcciones IP que luego fueron reportadas a los respectivos países para tomar acciones de mitigación desde sus jurisdicciones. En casos específicos de DDoS, los datos más importantes son las *direcciones IP de origen*, los *rangos de IP* y la *geolocalización*, ya que son atributos clave para correlacionar. Como contexto adicional, los *tiempos entre solicitudes* son muy útiles para identificar *patrones en solicitudes automatizadas*.

<span style="color: rgb(35, 111, 161);">**CREACIÓN DEL EVENTO.**</span>

- Ingresar a la sección de **Events** posteriormente **Event Actions** y por último seleccionar **Add event**.

[![image.png](https://www.cgii.gob.bo/bookstack/uploads/images/gallery/2025-03/scaled-1680-/cwlJtJqDmmeV88xf-image.png)](https://www.cgii.gob.bo/bookstack/uploads/images/gallery/2025-03/cwlJtJqDmmeV88xf-image.png)

- **<span style="color: rgb(22, 145, 121);">Distribution.</span>** Define el alcance de visibilidad del evento.
- <span style="color: rgb(22, 145, 121);">**Threat level.** </span>  
    Define el nivel de amenaza del evento.
- <span style="color: rgb(22, 145, 121);">**Analysis.** </span>  
    Define el evento en Inicial,Ongoing (en curso) o finalizado.
- <span style="color: rgb(22, 145, 121);">**Event info.** </span>  
    Incluir el resumen de una descripción del evento.
- **<span style="color: rgb(22, 145, 121);">Extends Event.</span>** Si el evento está relacionado con uno previo, agregar el UUID correspondiente para vincularlos.

**<span style="color: rgb(53, 152, 219);"><span style="color: rgb(35, 111, 161);">ASIGNACIÓN DE TAGS</span></span>**

<span style="color: rgb(0, 0, 0);">El uso de tags nos ayuda en gran medida a contextualizar y enriquecer la información compartida. Estas etiquetas no solo facilitan la categorización y búsqueda eficiente de eventos también permiten establecer relaciones claras entre incidentes, amenazas y campañas maliciosas.</span>

<span style="color: rgb(0, 0, 0);">Al incorporar tags descriptivos, los usuarios de la plataforma pueden priorizar, filtrar y correlacionar datos con mayor precisión, mejorando así la respuesta ante ciberamenazas entre la comunidad de seguridad. </span>

- <span style="color: rgb(22, 145, 121);">**TLP "GREEN".**</span> La información no está restringida y puede compartirse para prevenir ataques.
- <span style="color: rgb(0, 0, 0);"><span style="color: rgb(22, 145, 121);">**"DDoS Botnet" y "DDoS attack Evidence campaign".** </span>Debido al comportamiento malicioso observado en la mayoría de las direcciones IP y la investigación realizada donde se anuncia el ataque de denegación de servicio.</span>
- **<span style="color: rgb(0, 0, 0);"><span style="color: rgb(22, 145, 121);">Taxonomías estandarizadas de CSIRT Américas.</span> </span>**<span style="color: rgb(0, 0, 0);">Estas etiquetas facilitan la contextualización del evento, especialmente para organizaciones y países que filtran amenazas basándose en dichas taxonomías.</span>

[![image.png](https://www.cgii.gob.bo/bookstack/uploads/images/gallery/2025-03/scaled-1680-/ZlDA4YLpryoioRFH-image.png)](https://www.cgii.gob.bo/bookstack/uploads/images/gallery/2025-03/ZlDA4YLpryoioRFH-image.png)

- <span style="color: rgb(22, 145, 121);">**TAG local.** </span>Al añadirlo se utilizará esta etiqueta personalizada para filtrar eventos específicos de Bolivia.

[![image.png](https://www.cgii.gob.bo/bookstack/uploads/images/gallery/2025-03/scaled-1680-/ZZyqb6I1pM10HYeT-image.png)](https://www.cgii.gob.bo/bookstack/uploads/images/gallery/2025-03/ZZyqb6I1pM10HYeT-image.png)

#### <span style="color: rgb(35, 111, 161);">Asignación de información al evento.  
</span>

<span style="color: rgb(0, 0, 0);">Los atributos para este caso pertenecen a la categoría de actividad de red, esto nos sirve para organizar la información.</span>

**<span style="color: rgb(35, 111, 161);">OBJETOS.</span>**

En este caso específico no se incluyen objetos, como muestras de malware o archivos maliciosos, ya que el origen de la información se limita a direcciones IP que forman parte de la botnet responsable del ataque DDoS. Por este motivo, no se añadirán objetos al análisis.

<span style="color: rgb(35, 111, 161);">**ATRIBUTOS.**</span>

Para agregar la lista de direcciones IP procedemos a seleccionar el botón "**+**" para añadir los atributos.

[![image.png](https://www.cgii.gob.bo/bookstack/uploads/images/gallery/2025-03/scaled-1680-/1SplMDPYe2rfpIx8-image.png)](https://www.cgii.gob.bo/bookstack/uploads/images/gallery/2025-03/1SplMDPYe2rfpIx8-image.png)

Estos atributos se clasifican en la categoría de actividad de red e IP fuente por que son las direcciones IP desde las que se realizó el intento de denegación de servicio.

[![image.png](https://www.cgii.gob.bo/bookstack/uploads/images/gallery/2025-03/scaled-1680-/4qsFUt2i3065AyUq-image.png)](https://www.cgii.gob.bo/bookstack/uploads/images/gallery/2025-03/4qsFUt2i3065AyUq-image.png)

Una vez seleccionada la opción '**Submit**', podemos verificar que los atributos se han agregado correctamente y comprobar si existe correlación con otros eventos. En este caso particular, dado el volumen elevado de direcciones IP, se recomienda revisar las correlaciones en la esquina superior derecha de la interfaz. En la columna adyacente pueden observarse los atributos que han sido añadidos al evento

[![image.png](https://www.cgii.gob.bo/bookstack/uploads/images/gallery/2025-03/scaled-1680-/uwAf1BU4yX0Ec5j6-image.png)](https://www.cgii.gob.bo/bookstack/uploads/images/gallery/2025-03/uwAf1BU4yX0Ec5j6-image.png)

**<span style="color: rgb(35, 111, 161);">CORRELACIÓN DE EVENTOS.</span>**

<span style="color: rgb(35, 111, 161);"><span style="color: rgb(0, 0, 0);">La forma recomendada para visualizar la correlación se encuentra en la esquina superior derecha donde podemos encontrar eventos que fueron relacionados con nuestro evento.</span></span>**<span style="color: rgb(35, 111, 161);">  
</span>**

En la esquina superior derecha de la interfaz se visualizan los eventos relacionados con las direcciones IP identificadas como parte de la red involucrada en el ataque DDoS, extraídas durante la investigación. Este contexto nos permite establecer que:

- Direcciones IP asociadas a actividad maliciosa.
- Dispositivos IoT comprometidos.
- Direcciones dedicadas a enumeración de usuarios.
- Intentos de exploración no autorizados.

[![image.png](https://www.cgii.gob.bo/bookstack/uploads/images/gallery/2025-03/scaled-1680-/U7hkpQtupHI6U3FG-image.png)](https://www.cgii.gob.bo/bookstack/uploads/images/gallery/2025-03/U7hkpQtupHI6U3FG-image.png)

<span style="color: rgb(35, 111, 161);">**EVENT REPORT.**</span>

- Generamos un event report automático con Generate Report From Event, este reporte agrupará los indicadores de compromiso e información de los tags existentes de manera que puede ser enviado como alerta al personal que no tiene la cuenta de MISP habilitada facilitando la comprensión del evento.

[![image.png](https://www.cgii.gob.bo/bookstack/uploads/images/gallery/2025-03/scaled-1680-/VvUKxU05FLvV6x1y-image.png)](https://www.cgii.gob.bo/bookstack/uploads/images/gallery/2025-03/VvUKxU05FLvV6x1y-image.png)

[![image.png](https://www.cgii.gob.bo/bookstack/uploads/images/gallery/2025-03/scaled-1680-/ew83hUi6zQ8iDZua-image.png)](https://www.cgii.gob.bo/bookstack/uploads/images/gallery/2025-03/ew83hUi6zQ8iDZua-image.png)

- Una vez generado el reporte se observa en el apartado de Event Reports el resumen de los datos relevantes del reporte.

[![image.png](https://www.cgii.gob.bo/bookstack/uploads/images/gallery/2025-03/scaled-1680-/OldPnl6ZCWaKIkN9-image.png)](https://www.cgii.gob.bo/bookstack/uploads/images/gallery/2025-03/OldPnl6ZCWaKIkN9-image.png)

- El reporte generado resume la información del evento en la siguiente plantilla:

[![image.png](https://www.cgii.gob.bo/bookstack/uploads/images/gallery/2025-03/scaled-1680-/hsX6VHOi11it9Nhk-image.png)](https://www.cgii.gob.bo/bookstack/uploads/images/gallery/2025-03/hsX6VHOi11it9Nhk-image.png)

#### <span style="color: rgb(35, 111, 161);">**Publicación del evento.**</span>

Para modificar el estado inicial del evento y permitir que los demás usuarios de la plataforma accedan a él, según su nivel de distribución, observamos inicialmente que el evento aparece con el estado '**Published=No**', como se muestra en la siguiente captura de pantalla.

[![image.png](https://www.cgii.gob.bo/bookstack/uploads/images/gallery/2025-03/scaled-1680-/krlJR7Hlmlf8rqDb-image.png)](https://www.cgii.gob.bo/bookstack/uploads/images/gallery/2025-03/krlJR7Hlmlf8rqDb-image.png)

Con la opción 'Publish (No Email)', se realiza la publicación en la plataforma sin enviar un correo electrónico a los usuarios. Si se requiere el envío de correos, debe seleccionarse la opción 'Publish Event'. Después de elegir cualquiera de las dos opciones, el estado del evento cambia a '**Published=Yes**'

[![image.png](https://www.cgii.gob.bo/bookstack/uploads/images/gallery/2025-03/scaled-1680-/3TfgmyNJAo4FSERk-image.png)](https://www.cgii.gob.bo/bookstack/uploads/images/gallery/2025-03/3TfgmyNJAo4FSERk-image.png)

Cuando el evento es publicado se asigna un ID al evento en este caso "**53289**" y el primer valor del evento en la lista es un check que indica que los usuarios que están dentro del criterio de distribución pueden ver la información del evento como se muestra a continuación.

[![image.png](https://www.cgii.gob.bo/bookstack/uploads/images/gallery/2025-03/scaled-1680-/MDTDqTtREXFOTCds-image.png)](https://www.cgii.gob.bo/bookstack/uploads/images/gallery/2025-03/MDTDqTtREXFOTCds-image.png)

<div class="notranslate" id="bkmrk--18" style="all: initial;"></div>