Project

General

Profile

dévéloppement des modules prelude

Added by hacen bani about 3 years ago

Bonjour a tous,
j'ai réalisé un plugin sur l'iterface web de prewikka
comment je peux developper un module pour envoyer les alertes critique par mail et les afficher sur prewikka dans le plugin que j'ai deja réalisé.

Merci


Replies (10)

RE: dévéloppement des modules prelude - Added by Antoine LUONG about 3 years ago

Bonjour,

Pour l'envoi par mail, cela se fait au niveau du manager grâce aux sections [smtp] et [idmef-criteria] : voir pour cela le wiki PreludeManager

Pour l'affichage dans l'IHM vous devez récupérer les alertes depuis la base de données Prelude, par exemple :

import preludedb

db = preludedb.DB(preludedb.SQL("type=mysql host=localhost name=prelude user=prelude pass=prelude"))

# Récupération des 10 premières classifications d'alertes de sévérité haute
results = db.getValues(["count(alert.classification.text)/order_desc", "alert.classification.text/group_by"],
                       criteria="alert.assessment.impact.severity == 'high'", limit=10, offset=0)

cf aussi les tutoriels How_to_create_a_plugin_-_Part_1_HelloWorld et How_to_create_a_plugin_-_Part_2_Inventory.

Cordialement

RE: dévéloppement des modules prelude - Added by hacen bani about 3 years ago

Bonjour,
Merci pour votre réponse,

comment je peux récupérer ces alertes en temps réel et par date.

Cordialement.

RE: dévéloppement des modules prelude - Added by Antoine LUONG almost 3 years ago

Bonjour,

Je ne suis pas sûr de comprendre ce que vous entendez par "en temps réel".
Pour récupérer les alertes par date, vous pouvez utiliser le champ IDMEF alert.create_time dans l'appel à db.getValues.

Cordialement

RE: dévéloppement des modules prelude - Added by hacen bani almost 3 years ago

Bonjour,
Merci beaucoup,
Oui très bien j'ai pu récupérer les alertes par une date précise grâce à votre aide.
Mais maintenant je j'ai besoin de récupérer aussi les adresses IP source et les adresses IP ciblées (Target) à partir de la base des données.
Je sais que ca sera la même façon de la récupération des alertes mais j'ai pas trouvé une méthode correcte.
Pourriez-vous me donner un code pour récupérer les alertes.
Merci
Cordialement

RE: dévéloppement des modules prelude - Added by Antoine LUONG almost 3 years ago

Bonjour,

Les champs sont alert.source.node.address.address et alert.target.node.address.address.

Vous pouvez explorer le schéma IDMEF via le site suivant : http://ningirsu.github.io/idmef_parser/IDMEF/Alert.html

Cordialement

RE: dévéloppement des modules prelude - Added by hacen bani almost 3 years ago

Bonjour,

effectivement le schéma IDMEF m'a aidé de récupérer beaucoup d'informations à partir de la base des données mais lorsque je veux récupérer les alertes corrélées à partir de la table CorrelationAlerte par la commande :
results = db.getValues(["count(alert.correlationalert.name)/order_desc", "alert.correlationalert.name/group_by"])
j'ai eu l'erreur suivant:
RuntimeError: Unknown IDMEF child 'correlationalert' for class 'alert'

est ce que il y a une solution pour cette erreur puisque pas de relation entre table alert et table correlationalert juste il y a un agrégation

Merci,
Cordialement

RE: dévéloppement des modules prelude - Added by Antoine LUONG almost 3 years ago

Bonjour,

Vous devez utiliser "correlation_alert" au lieu de "correlationalert".

Cordialement

RE: dévéloppement des modules prelude - Added by hacen bani almost 3 years ago

Bonjour,
merci, j'ai récupérer beaucoup des informations à partir de la base des données et j'ai réalisé mon modules de reporting :) (/)

juste une souci lorsque j'ai suivi le lien suivant: https://www.prelude-siem.org/projects/prelude/wiki/How_to_create_a_plugin_-_Part_2_Inventory
pour développer un module d'inventaire sur l'interface Prewikka, j'ai eu l'erreur suivant :

File "build/bdist.linux-x86_64/egg/inventory/__init__.py", line 6, in <module>
NameError: name 'view' is not defined

j'ai suivi la documentation de site plusieurs fois, normalement "View" est prés défini par les api de prelude

mais toujours le même erreur et pas de bouton Inventory au niveau de l'interface prewikka :(
Merci
Cordialement.

RE: dévéloppement des modules prelude - Added by Sélim MENOUAR almost 3 years ago

Bonjour,

Avez-vous bien mis view dans les import ?

from prewikka import view

Sinon serait-il possible d'avoir votre fichier afin de pouvoir regarder ?

Merci,

RE: dévéloppement des modules prelude - Added by hacen bani almost 3 years ago

Bonjour,
oui j'ai mis view dans les import comme illustré dans la documentation
voila le fichier init.py
Merci

__init__.py View (2.42 KB)

    (1-10/10)