INTÉGRATION MISP n8n : AUTOMATISER MISP AVEC N8N

Cette action vous permet de récupérer plusieurs listes d'avertissement (warninglists) depuis votre instance MISP. Les warninglists contiennent des indicateurs connus comme bénins (domaines Microsoft, IP Google, etc.) et sont essentielles pour réduire les faux positifs dans vos analyses.

Configuration des paramètres :
Credential to connect with : Sélectionnez vos identifiants MISP dans ce menu déroulant. Ce paramètre est requis pour authentifier la connexion API.
Resource : Menu déroulant fixé sur "Warninglist" pour cibler ce type de ressource.
Operation : Défini sur "Get Many" pour récupérer plusieurs entrées.
Return All : Interrupteur on/off. Activez-le pour récupérer toutes les warninglists sans limite.
Limit : Champ numérique définissant le nombre maximum d'éléments à retourner (50 par défaut). Actif uniquement si "Return All" est désactivé.

Cas d'usage typiques : Synchroniser vos warninglists vers un système externe de filtrage, auditer périodiquement les listes actives sur votre instance, alimenter un dashboard de monitoring CTI.

Cette action récupère les détails d'une warninglist spécifique en utilisant son identifiant unique. Utile pour inspecter le contenu précis d'une liste particulière.

Configuration des paramètres :
Credential to connect with : Menu déroulant pour sélectionner vos identifiants MISP. Requis.
Resource : Fixé sur "Warninglist".
Operation : Défini sur "Get" pour récupérer une entrée unique.
Warninglist ID : Champ texte où vous entrez l'identifiant de la warninglist à récupérer. Requis. Supporte les valeurs fixes ou les expressions dynamiques.

Cas d'usage typiques : Vérifier si une warninglist spécifique contient un indicateur donné, extraire le contenu d'une liste pour l'intégrer dans un autre système, valider la présence d'entrées avant une opération de nettoyage.

Cette action met à jour les informations d'un utilisateur existant dans votre instance MISP. Parfaite pour la gestion automatisée des comptes utilisateurs.

Configuration des paramètres :
Credential to connect with : Sélection des identifiants MISP. Requis.
Resource : Fixé sur "User".
Operation : Défini sur "Update".
User ID : Champ texte pour l'identifiant unique de l'utilisateur à modifier. Requis.
Update Fields : Section extensible permettant d'ajouter les champs à modifier via le bouton "Add Field".

Cas d'usage typiques : Mettre à jour automatiquement les rôles utilisateurs lors de changements organisationnels, synchroniser les informations utilisateurs depuis votre annuaire LDAP, désactiver temporairement des comptes selon des règles métier.

Récupérez la liste des utilisateurs de votre instance MISP avec contrôle sur le nombre de résultats retournés.

Configuration des paramètres :
Credential to connect with : Identifiants MISP. Requis.
Resource : Fixé sur "User".
Operation : Défini sur "Get Many".
Return All : Interrupteur pour récupérer tous les utilisateurs ou limiter les résultats.
Limit : Nombre maximum d'utilisateurs à retourner (50 par défaut).

Cas d'usage typiques : Auditer les comptes utilisateurs actifs, générer des rapports d'accès pour la conformité, identifier les utilisateurs inactifs pour nettoyage.

Récupérez les informations détaillées d'un utilisateur spécifique par son identifiant.

Configuration des paramètres :
Credential to connect with : Identifiants MISP. Requis.
Resource : Fixé sur "User".
Operation : Défini sur "Get".
User ID : Identifiant de l'utilisateur à récupérer. Requis.

Cas d'usage typiques : Vérifier les permissions d'un utilisateur avant une action sensible, extraire les métadonnées utilisateur pour enrichissement, valider l'existence d'un compte dans un workflow conditionnel.

Supprimez un utilisateur de votre instance MISP de manière automatisée.

Configuration des paramètres :
Credential to connect with : Identifiants MISP. Requis.
Resource : Fixé sur "User".
Operation : Défini sur "Delete".
User ID : Identifiant de l'utilisateur à supprimer. Requis.

Cas d'usage typiques : Automatiser le déprovisionnement lors du départ d'un collaborateur, nettoyer les comptes de test après une phase de validation, supprimer les comptes inactifs selon une politique de rétention.

Créez un nouvel utilisateur dans votre instance MISP avec les paramètres de base.

Configuration des paramètres :
Credential to connect with : Identifiants MISP. Requis.
Resource : Fixé sur "User".
Operation : Défini sur "Create".
Email : Adresse email du nouvel utilisateur. Requis.
Role ID : Identifiant du rôle à attribuer. Optionnel.
Additional Fields : Section pour ajouter des propriétés supplémentaires.

Cas d'usage typiques : Provisionner automatiquement les analystes SOC depuis votre système RH, créer des comptes temporaires pour des partenaires externes, onboarder en masse de nouveaux membres d'équipe.

Mettez à jour les propriétés d'un tag existant dans MISP.

Configuration des paramètres :
Credential to connect with : Identifiants MISP. Requis.
Resource : Fixé sur "Tag".
Operation : Défini sur "Update".
Tag ID : Identifiant du tag à modifier. Requis.
Update Fields : Champs à mettre à jour via "Add Field".

Cas d'usage typiques : Standardiser les noms de tags selon une nouvelle nomenclature, modifier les couleurs de tags pour améliorer la lisibilité, mettre à jour les descriptions de tags obsolètes.

Récupérez plusieurs tags depuis votre instance MISP avec contrôle sur la pagination.

Configuration des paramètres :
Credential to connect with : Identifiants MISP. Requis.
Resource : Fixé sur "Tag".
Operation : Défini sur "Get Many".
Return All : Interrupteur pour récupérer tous les tags.
Limit : Nombre maximum de tags à retourner (50 par défaut).

Cas d'usage typiques : Exporter la taxonomie complète de tags vers un système externe, auditer les tags existants avant une migration, alimenter une liste de sélection dans une interface utilisateur.

Supprimez un tag de votre instance MISP.

Configuration des paramètres :
Credential to connect with : Identifiants MISP. Requis.
Resource : Fixé sur "Tag".
Operation : Défini sur "Delete".
Tag ID : Identifiant du tag à supprimer. Requis.

Cas d'usage typiques : Nettoyer les tags obsolètes ou en doublon, supprimer les tags de test après validation, maintenir une taxonomie propre et organisée.

Créez un nouveau tag dans votre instance MISP.

Configuration des paramètres :
Credential to connect with : Identifiants MISP. Requis.
Resource : Fixé sur "Tag".
Operation : Défini sur "Create".
Name : Nom du tag à créer. Requis. Supporte les valeurs fixes ou expressions.
Additional Fields : Propriétés supplémentaires (couleur, description, etc.).

Cas d'usage typiques : Créer automatiquement des tags pour de nouvelles campagnes de menaces, générer des tags contextuels basés sur des sources externes, standardiser la création de tags selon des templates.

Mettez à jour les informations d'une organisation existante dans MISP.

Configuration des paramètres :
Credential to connect with : Identifiants MISP. Requis.
Resource : Fixé sur "Organisation".
Operation : Défini sur "Update".
Organisation ID : Identifiant de l'organisation à modifier. Requis.
Update Fields : Champs à mettre à jour.

Cas d'usage typiques : Synchroniser les informations organisationnelles depuis un annuaire, mettre à jour les contacts lors de changements de personnel, modifier les secteurs d'activité des organisations partenaires.

Récupérez la liste des organisations configurées dans votre instance MISP.

Configuration des paramètres :
Credential to connect with : Identifiants MISP. Requis.
Resource : Fixé sur "Organisation".
Operation : Défini sur "Get Many".
Return All : Interrupteur pour récupérer toutes les organisations.
Limit : Nombre maximum d'organisations à retourner (50 par défaut).

Cas d'usage typiques : Générer un annuaire de vos partenaires de partage, auditer les organisations ayant accès à votre instance, alimenter un système de reporting sur l'écosystème CTI.

Récupérez les détails d'une organisation spécifique par son identifiant.

Configuration des paramètres :
Credential to connect with : Identifiants MISP. Requis.
Resource : Fixé sur "Organisation".
Operation : Défini sur "Get".
Organisation ID : Identifiant de l'organisation. Optionnel mais nécessaire pour cibler une organisation précise.

Cas d'usage typiques : Vérifier les attributs d'une organisation avant un partage, extraire les métadonnées pour enrichissement, valider l'existence d'une organisation dans un workflow conditionnel.

Supprimez une organisation de votre instance MISP.

Configuration des paramètres :
Credential to connect with : Identifiants MISP. Requis.
Resource : Fixé sur "Organisation".
Operation : Défini sur "Delete".
Organisation ID : Identifiant de l'organisation à supprimer. Requis.

Cas d'usage typiques : Retirer des partenaires inactifs de votre réseau de partage, nettoyer les organisations de test, automatiser le déprovisionnement lors de fin de partenariat.

Créez une nouvelle organisation dans votre instance MISP.

Configuration des paramètres :
Credential to connect with : Identifiants MISP. Requis.
Resource : Fixé sur "Organisation".
Operation : Défini sur "Create".
Name : Nom de l'organisation à créer. Requis.
Additional Fields : Propriétés supplémentaires (secteur, contact, description, etc.).

Cas d'usage typiques : Onboarder automatiquement de nouveaux partenaires de partage, créer des organisations pour des projets ou campagnes spécifiques, provisionner des organisations depuis un système externe.

Recherchez des objets MISP selon des critères spécifiques.

Configuration des paramètres :
Credential to connect with : Identifiants MISP. Requis.
Resource : Fixé sur "Object".
Operation : Défini sur "Search".
Use JSON to Specify Fields : Interrupteur pour utiliser une syntaxe JSON. Désactivé par défaut.
Value : Valeur de recherche (ex: adresse IP). Optionnel.
Additional Fields : Critères de recherche supplémentaires.

Cas d'usage typiques : Rechercher des objets contenant des IoC spécifiques, identifier des objets liés à une campagne de menace, extraire des objets pour analyse approfondie.

Récupérez plusieurs listes de notifications (noticelists) depuis MISP.

Configuration des paramètres :
Credential to connect with : Identifiants MISP. Requis.
Resource : Fixé sur "Noticelist".
Operation : Défini sur "Get Many".
Return All : Interrupteur pour récupérer toutes les noticelists.
Limit : Nombre maximum d'entrées à retourner (50 par défaut).

Cas d'usage typiques : Auditer les noticelists actives sur votre instance, exporter la configuration pour documentation, synchroniser les noticelists entre instances.

Récupérez les détails d'une noticelist spécifique.

Configuration des paramètres :
Credential to connect with : Identifiants MISP. Requis.
Resource : Fixé sur "Noticelist".
Operation : Défini sur "Get".
Noticelist ID : Identifiant de la noticelist. Optionnel mais nécessaire pour cibler une entrée précise.

Cas d'usage typiques : Inspecter le contenu d'une noticelist particulière, valider la configuration avant activation, extraire des informations pour reporting.

Récupérez plusieurs galaxies depuis votre instance MISP. Les galaxies contiennent des clusters d'informations contextuelles sur les menaces (acteurs, malwares, techniques, etc.).

Configuration des paramètres :
Credential to connect with : Identifiants MISP. Requis.
Resource : Fixé sur "Galaxy".
Operation : Défini sur "Get Many".
Return All : Interrupteur pour récupérer toutes les galaxies.
Limit : Nombre maximum de galaxies à retourner (50 par défaut).

Cas d'usage typiques : Exporter le référentiel de galaxies vers un système de documentation, auditer les galaxies disponibles pour enrichissement, alimenter un outil de visualisation CTI.

Récupérez les détails d'une galaxy spécifique par son identifiant.

Configuration des paramètres :
Credential to connect with : Identifiants MISP. Requis.
Resource : Fixé sur "Galaxy".
Operation : Défini sur "Get".
Galaxy ID : Identifiant de la galaxy à récupérer. Requis.

Cas d'usage typiques : Extraire les clusters d'une galaxy pour enrichissement d'événements, vérifier le contenu d'une galaxy avant association, documenter une galaxy spécifique.

Supprimez une galaxy de votre instance MISP.

Configuration des paramètres :
Credential to connect with : Identifiants MISP. Requis.
Resource : Fixé sur "Galaxy".
Operation : Défini sur "Delete".
Galaxy ID : Identifiant de la galaxy à supprimer. Requis.

Cas d'usage typiques : Nettoyer les galaxies obsolètes ou en doublon, supprimer les galaxies personnalisées devenues inutiles, maintenir un référentiel propre et à jour.

Mettez à jour la configuration d'un feed existant dans MISP.

Configuration des paramètres :
Credential to connect with : Identifiants MISP. Requis.
Resource : Fixé sur "Feed".
Operation : Défini sur "Update".
Feed ID : Identifiant du feed à modifier. Requis.
Update Fields : Champs à mettre à jour.

Cas d'usage typiques : Modifier l'URL d'un feed après changement de source, ajuster les paramètres de synchronisation, mettre à jour les credentials d'accès à un feed.

Récupérez la liste des feeds configurés dans votre instance MISP.

Configuration des paramètres :
Credential to connect with : Identifiants MISP. Requis.
Resource : Fixé sur "Feed".
Operation : Défini sur "Get Many".
Return All : Interrupteur pour récupérer tous les feeds.
Limit : Nombre maximum de feeds à retourner (50 par défaut).

Cas d'usage typiques : Auditer les sources de threat intelligence configurées, générer un rapport sur l'état des feeds, identifier les feeds inactifs ou en erreur.

Récupérez les détails d'un feed spécifique par son identifiant.

Configuration des paramètres :
Credential to connect with : Identifiants MISP. Requis.
Resource : Fixé sur "Feed".
Operation : Défini sur "Get".
Feed ID : Identifiant du feed à récupérer. Requis.

Cas d'usage typiques : Vérifier la configuration d'un feed avant activation, extraire les métadonnées pour documentation, diagnostiquer un problème de synchronisation.

Activez un feed désactivé dans votre instance MISP.

Configuration des paramètres :
Credential to connect with : Identifiants MISP. Requis.
Resource : Fixé sur "Feed".
Operation : Défini sur "Enable".
Feed ID : Identifiant du feed à activer. Requis.

Cas d'usage typiques : Réactiver automatiquement des feeds après maintenance, activer des feeds selon un planning, automatiser l'activation de nouveaux feeds validés.

Désactivez un feed actif dans votre instance MISP.

Configuration des paramètres :
Credential to connect with : Identifiants MISP. Requis.
Resource : Fixé sur "Feed".
Operation : Défini sur "Disable".
Feed ID : Identifiant du feed à désactiver. Requis.

Cas d'usage typiques : Désactiver temporairement des feeds problématiques, mettre en pause des feeds pendant une maintenance, automatiser la rotation de sources selon des critères.

Créez un nouveau feed dans votre instance MISP.

Configuration des paramètres :
Credential to connect with : Identifiants MISP. Requis.
Resource : Fixé sur "Feed".
Operation : Défini sur "Create".
Name : Nom du feed à créer. Requis.
Provider : Fournisseur du feed. Optionnel.
URL : URL source du feed. Requis.
Additional Fields : Propriétés supplémentaires de configuration.

Cas d'usage typiques : Provisionner automatiquement de nouvelles sources CTI, créer des feeds depuis une liste de sources validées, onboarder de nouveaux partenaires de partage d'IoC.

Retirez un tag d'un événement MISP existant.

Configuration des paramètres :
Credential to connect with : Identifiants MISP. Requis.
Resource : Fixé sur "Event Tag".
Operation : Défini sur "Remove".
Event ID : Identifiant de l'événement. Requis.
Tag Name or ID : Nom ou identifiant du tag à retirer. Requis.

Cas d'usage typiques : Nettoyer les tags obsolètes sur des événements, corriger des erreurs de classification, automatiser la gestion du cycle de vie des tags.

Ajoutez un tag à un événement MISP existant.

Configuration des paramètres :
Credential to connect with : Identifiants MISP. Requis.
Resource : Fixé sur "Event Tag".
Operation : Défini sur "Add".
Event ID : Identifiant de l'événement à tagger. Optionnel mais nécessaire.
Tag Name or ID : Nom ou identifiant du tag à ajouter. Requis.

Cas d'usage typiques : Classifier automatiquement les événements selon leur source, ajouter des tags contextuels basés sur l'analyse, enrichir les événements avec des taxonomies standardisées (TLP, PAP, etc.).

Mettez à jour les propriétés d'un événement MISP existant.

Configuration des paramètres :
Credential to connect with : Identifiants MISP. Requis.
Resource : Fixé sur "Event".
Operation : Défini sur "Update".
Event ID : Identifiant de l'événement à modifier. Requis.
Update Fields : Champs à mettre à jour via "Add Field".

Cas d'usage typiques : Mettre à jour le statut d'un événement après analyse, modifier les attributs de distribution, enrichir les métadonnées d'événements existants.

Dépubliez un événement précédemment publié dans MISP.

Configuration des paramètres :
Credential to connect with : Identifiants MISP. Requis.
Resource : Fixé sur "Event".
Operation : Défini sur "Unpublish".
Event ID : Identifiant de l'événement à dépublier. Requis.

Cas d'usage typiques : Retirer temporairement un événement du partage pour correction, dépublier des événements contenant des erreurs, gérer le cycle de vie de publication des événements.

Recherchez des événements MISP selon des critères spécifiques.

Configuration des paramètres :
Credential to connect with : Identifiants MISP. Requis.
Resource : Fixé sur "Event".
Operation : Défini sur "Search".
Use JSON to Specify Fields : Interrupteur pour syntaxe JSON. Désactivé par défaut.
Value : Valeur de recherche (IP, domaine, hash, etc.). Optionnel.
Additional Fields : Filtres de recherche supplémentaires.

Cas d'usage typiques : Rechercher des événements contenant des IoC spécifiques, identifier des événements liés à une campagne, extraire des événements pour analyse ou reporting.

Publiez un événement MISP pour le distribuer à vos partenaires.

Configuration des paramètres :
Credential to connect with : Identifiants MISP. Requis.
Resource : Fixé sur "Event".
Operation : Défini sur "Publish".
Event ID : Identifiant de l'événement à publier. Requis.

Cas d'usage typiques : Publier automatiquement les événements validés, déclencher la publication après enrichissement, automatiser la distribution vers les partenaires.

Récupérez plusieurs événements depuis votre instance MISP.

Configuration des paramètres :
Credential to connect with : Identifiants MISP. Requis.
Resource : Fixé sur "Event".
Operation : Défini sur "Get Many".
Return All : Interrupteur pour récupérer tous les événements.
Limit : Nombre maximum d'événements à retourner (50 par défaut).

Cas d'usage typiques : Exporter les événements récents pour reporting, alimenter un dashboard de monitoring, synchroniser les événements vers un SIEM.

Récupérez les détails complets d'un événement spécifique.

Configuration des paramètres :
Credential to connect with : Identifiants MISP. Requis.
Resource : Fixé sur "Event".
Operation : Défini sur "Get".
Event ID : Identifiant de l'événement à récupérer. Requis.

Cas d'usage typiques : Extraire tous les attributs d'un événement pour analyse, récupérer les métadonnées pour enrichissement externe, documenter un événement spécifique.

Supprimez un événement de votre instance MISP.

Configuration des paramètres :
Credential to connect with : Identifiants MISP. Requis.
Resource : Fixé sur "Event".
Operation : Défini sur "Delete".
Event ID : Identifiant de l'événement à supprimer. Requis.

Cas d'usage typiques : Supprimer les événements de test après validation, nettoyer les événements obsolètes selon une politique de rétention, retirer des événements erronés.

Créez un nouvel événement dans votre instance MISP.

Configuration des paramètres :
Credential to connect with : Identifiants MISP. Requis.
Resource : Fixé sur "Event".
Operation : Défini sur "Create".
Organization Name or ID : Organisation propriétaire de l'événement. Optionnel.
Information : Description de l'événement. Optionnel.
Additional Fields : Propriétés supplémentaires (distribution, threat level, etc.).

Cas d'usage typiques : Créer automatiquement des événements depuis des alertes SIEM, importer des menaces depuis des sources externes, générer des événements basés sur des règles de détection.

Mettez à jour un attribut existant dans MISP.

Configuration des paramètres :
Credential to connect with : Identifiants MISP. Requis.
Resource : Fixé sur "Attribute".
Operation : Défini sur "Update".
Attribute ID : Identifiant de l'attribut à modifier. Requis.
Update Fields : Champs à mettre à jour.

Cas d'usage typiques : Corriger des IoC après analyse, modifier le statut IDS d'un attribut, mettre à jour les commentaires ou contexte.

Recherchez des attributs MISP selon des critères spécifiques.

Configuration des paramètres :
Credential to connect with : Identifiants MISP. Requis.
Resource : Fixé sur "Attribute".
Operation : Défini sur "Search".
Use JSON to Specify Fields : Interrupteur pour syntaxe JSON.
Value : Valeur de recherche (IP, hash, domaine, etc.). Optionnel.
Additional Fields : Filtres de recherche supplémentaires.

Cas d'usage typiques : Vérifier si un IoC existe déjà dans MISP, rechercher des attributs liés à une menace, extraire des indicateurs pour blocage.

Récupérez plusieurs attributs depuis votre instance MISP.

Configuration des paramètres :
Credential to connect with : Identifiants MISP. Requis.
Resource : Fixé sur "Attribute".
Operation : Défini sur "Get Many".
Return All : Interrupteur pour récupérer tous les attributs.
Limit : Nombre maximum d'attributs à retourner (50 par défaut).

Cas d'usage typiques : Exporter les IoC récents vers un système de blocage, alimenter un outil de détection avec les derniers indicateurs, générer des rapports sur les attributs créés.

Récupérez les détails d'un attribut spécifique.

Configuration des paramètres :
Credential to connect with : Identifiants MISP. Requis.
Resource : Fixé sur "Attribute".
Operation : Défini sur "Get".
Attribute ID : Identifiant de l'attribut à récupérer. Requis.

Cas d'usage typiques : Extraire les métadonnées d'un indicateur pour enrichissement, vérifier les propriétés d'un attribut avant action, documenter un IoC spécifique.

Supprimez un attribut de MISP.

Configuration des paramètres :
Credential to connect with : Identifiants MISP. Requis.
Resource : Fixé sur "Attribute".
Operation : Défini sur "Delete".
Attribute ID : Identifiant de l'attribut à supprimer. Requis.

Cas d'usage typiques : Supprimer des IoC obsolètes ou faux positifs, nettoyer les attributs de test, corriger des erreurs d'import.

Créez un nouvel attribut (IoC) dans un événement MISP.

Configuration des paramètres :
Credential to connect with : Identifiants MISP. Requis.
Resource : Fixé sur "Attribute".
Operation : Défini sur "Create".
Event UUID : UUID de l'événement auquel rattacher l'attribut. Optionnel mais nécessaire.
Type : Type d'attribut (IP, domain, hash, URL, etc.). Requis.
Value : Valeur de l'indicateur. Requis.
Additional Fields : Propriétés supplémentaires (catégorie, commentaire, to_ids, etc.).

Cas d'usage typiques : Importer automatiquement des IoC depuis des sources externes, enrichir des événements avec des indicateurs extraits, créer des attributs depuis des alertes de détection.