May 27

Implementación de SIRP Open Source

En el siguiente articulo veremos como implementar un Security Incident Response Platform (SIRP) basado en software open source en alta disponibilidad.

Como podemos ver en el diagrama, el agente de Wazuh HIDS envía los datos de todos los servidores a Wazuh Manager y ElasticSearch. ElastAlert observará los nuevos eventos y generará alertas en TheHive.

Continue reading
May 24

FATAL [search_phase_execution_exception] all shards failed :: {«path»:»/.kibana/doc/

En este POST veremos como solucionar este problema al iniciar Kibana, para solventarel problema creé un nuevo indice vació y mapee el antiguo al nuevo creado.

Al realizar un status del servicio podemos ver los siguientes errores:

May 24 11:29:01 kibana kibana[5107]: ason\":\"all shards failed\",\"phase\":\"query\",\"grouped\":true,\"failed_shards\":[]},\"status\":503}',\n  toStrin
May 24 11:29:01 kibana kibana[5107]:  FATAL  [search_phase_execution_exception] all shards failed :: {"path":"/.kibana/doc/_count","query":{},"body":"{\
Continue reading
Feb 23

Integrar Nagios con Ansible AWX

En este post vamos a ver como automatizar la caída de servicio y de un servidor alojado en vmware mediante ansible AWX, para ello antes vamos a crear una nueva tarea

Debemos crear dos jobs, uno para reiniciar el servicio si este se encuentra caído y otro el cual comprueba si la maquina en vmware responde mediante las vmware tools y en caso de que no responda la reinicia, Para la creación de estos jobs vamos a utilizar el siguiente proyecto: https://gitlab.com/rokitoh/automatizaciones_nagios/

Continue reading
Oct 23

WAZUH osqueryd initialize failed: osqueryd

 

Vemos que en los logs aparece el siguiente error:

** Alert 1540265306.563695: – osquery,
2018 Oct 23 05:28:26 redorbita01 ->(redorbita01) 192.168.1.28->osquery
Rule: 24001 (level 5) -> ‘osquery error message’
E1023 05:28:26.246608 10373 init.cpp:443] osqueryd initialize failed: osqueryd (810) is already running

 

Accedemos al servidor y al intentar reiniciar el servicio nos indican que esta bloqueada la base de datos

Continue reading

Oct 18

cambiar contraseña root en gitlab

En esta entrada veremos como cambiar la contraseña de root por defecto en gitlab.

Accedemos a la consola

gitlab-rails console production
————————————————————————————-
 Gitlab:       10.8.3-ee (3e7879a)
 Gitlab Shell: 7.1.2
 postgresql:   9.6.8
————————————————————————————-
Loading production environment (Rails 4.2.10)

Continue reading