Jun 06

Configurar OpenSCAP en wazuh

Seguimos configurando nuestra infraestructura SIRP Open source (http://red-orbita.com/?p=8726) En esta ocasión veremos como configurar OpenSCAP

SCAP es una solución de verificación de cumplimiento para la estructura a nivel empresarial de Linux. Es una línea de especificaciones mantenida por el National Institute of Standards and Technology (NIST) para mantener la seguridad de sistemas en sistemas empresariales.

Continue reading
Jun 05

Detección de reverse shell con wazuh y thehive

En este post vamos a seguir configurando nuestro entorno SIRP en el cual ya hablamos en la entrada: http://red-orbita.com/?p=8726

En este caso vamos a crear una regla para detectar reverse shell. Para ello, primero tenemos que configurar en el cliente que liste todos los procesos que están corriendo en /var/ossec/etc/ossec.conf

Continue reading
May 31

Monitorizar Docker con wazuh

Siguiendo con las entradas de la implementación de un SIRP (http://red-orbita.com/?p=8726) Ahora vamos a configurar para poder monitorizar Docker

Instalamos el software necesario

apt install python-pip libffi-dev libxml2-dev libxslt1-dev libssl-dev
python -m easy_install --upgrade pyOpenSSL
pip install docker
Continue reading
May 29

INFO:elastalert:Ignoring match for silenced

En algunas ocasiones podemos observar como aparecen los siguientes mensajes informáticos en elastalert:

INFO:elastalert:Ignoring match for silenced rule Host-based anomaly detection event
INFO:elastalert:Ignoring match for silenced rule Host-based anomaly detection event
INFO:elastalert:Ignoring match for silenced rule Host-based anomaly detection event
INFO:elastalert:Ignoring match for silenced rule Host-based anomaly detection event
INFO:elastalert:Ignoring match for silenced rule Host-based anomaly detection event
Continue reading
May 28

Detección de túneles SSH con wazuh

En este post vamos a seguir configurando nuestro entorno SIRP en el cual ya hablamos en la entrada: http://red-orbita.com/?p=8726

En este caso vamos a crear una regla para detectar túneles utilizando SSH. Para ello, primero tenemos que configurar en el cliente que liste todos los procesos que están corriendo en /var/ossec/etc/ossec.conf

Continue reading
May 27

Implementación de SIRP Open Source

En el siguiente articulo veremos como implementar un Security Incident Response Platform (SIRP) basado en software open source en alta disponibilidad.

Como podemos ver en el diagrama, el agente de Wazuh HIDS envía los datos de todos los servidores a Wazuh Manager y ElasticSearch. ElastAlert observará los nuevos eventos y generará alertas en TheHive.

Continue reading
May 24

FATAL [search_phase_execution_exception] all shards failed :: {«path»:»/.kibana/doc/

En este POST veremos como solucionar este problema al iniciar Kibana, para solventarel problema creé un nuevo indice vació y mapee el antiguo al nuevo creado.

Al realizar un status del servicio podemos ver los siguientes errores:

May 24 11:29:01 kibana kibana[5107]: ason\":\"all shards failed\",\"phase\":\"query\",\"grouped\":true,\"failed_shards\":[]},\"status\":503}',\n  toStrin
May 24 11:29:01 kibana kibana[5107]:  FATAL  [search_phase_execution_exception] all shards failed :: {"path":"/.kibana/doc/_count","query":{},"body":"{\
Continue reading