Elastic – Red-Orbita

Cyberdefenders – Elastic-Case

29 junio, 202229 junio, 2022 rokitoh Deja un comentario

Scenario:

An attacker was able to trick an employee into downloading a suspicious file and running it. The attacker compromised the system, along with that, The Security Team did not update most systems. The attacker was able to pivot to another system and compromise the company. As a SOC analyst, you are assigned to investigate the incident using Elastic as a SIEM tool and help the team to kick out the attacker.

Resources:

https://www.elastic.co/
Threat Hunting with Elastic Stack by Andrew Pease (Book)
https://www.youtube.com/playlist?list=PLeLcvrwLe184BoWZhv6Cf2kbi-bKBeDBI
https://www.youtube.com/c/OfficialElasticCommunity
https://www.elastic.co/blog/

Bloquear ataques web en FreeBSD con Wazuh

28 julio, 202028 julio, 2020 rokitoh Deja un comentario

En anteriores entradas vimos como Bloquear ataques web con Wazuh pero estos bloqueos se basaba en servidores GNU/Linux

En este post, veremos cómo bloquear un ataques web en FreeBSD usando la funcionalidad de active response en Wazuh.

Active Response de wazuh ejecuta comandos en los agentes en respuesta de ciertas alertas. En este ejemplo, veremos como bloquear un ataque de fuerza bruta.

Integrar alertas Kaspersky de Wazuh en TheHive

3 julio, 20203 julio, 2020 rokitoh Deja un comentario

En anteriores entradas vimos como Integrar Kaspersky Security Center con Wazuh

en este caso, veremos como integrar las alertas que se produzcan en Wazuh en TheHive.

Para ver como se realiza la integración de Elastic con TheHive mediante ElasticAlert lo podéis ver en la entrada: Implementación de SIRP Open Source

Integrar Kaspersky Security Center con Wazuh

28 junio, 202026 noviembre, 2020 rokitoh 2 comentarios

Seguimos configurando nuestra infraestructura SIRP Open source (https://red-orbita.com/?p=8726) En esta ocasión veremos como integrar Kaspersky Security Center para la detección de amenazas con Wazuh y Thehive

Antes de nada, tenemos que ir a la consola de Kaspersky Security Center > Configurar las notificaciones y la exportación de eventos > Configuración exportación a SIEM (Mas información)

Integrar auditd con Wazuh

16 mayo, 202016 mayo, 2020 rokitoh Deja un comentario

Auditd Se encarga de realizar un seguimiento de todo lo que va sucediendo en nuestro sistema GNU/Linux, en el cual va recopilando eventos sobre reglas pre-configuradas.

En esta entrada veremos como integrar Auditd con wazuh para así poder generar ciertas alertas.

Integrar alertas Active Response de Wazuh en TheHive

15 mayo, 202015 mayo, 2020 rokitoh Deja un comentario

En anteriores entradas vimos como Bloquear ataques fuerza bruta con Wazuh o Bloquear ataques web con Wazuh
en este caso, veremos como integrar las alertas cuando se produzca un bloqueo con TheHive.

Bloquear ataques web con Wazuh

12 mayo, 202012 mayo, 2020 rokitoh 3 comentarios

En anteriores entradas vimos como bloquear ataques de fuerza bruta con wazuh

En este post, veremos cómo bloquear un ataques web usando la funcionalidad de active response en Wazuh.

Active Response de wazuh ejecuta comandos en los agentes en respuesta de ciertas alertas. En este ejemplo, veremos como bloquear un ataque de fuerza bruta.

ElasticSearch [FORBIDDEN/12/index read-only / allow delete (api)]

16 marzo, 202016 marzo, 2020 rokitoh Deja un comentario

Si intenta indexar un documento en ElasticSearch y ve un mensaje de error como este:

elasticsearch.exceptions.AuthorizationException: AuthorizationException(403, 'cluster_block_exception', 'blocked by: [FORBIDDEN/12/index read-only / allow delete (api)];')

puede desbloquear escrituras en su clúster (todos los índices) usando

curl -XPUT -H "Content-Type: application/json" http://localhost:9200/_all/_settings -d '{"index.blocks.read_only_allow_delete": null}'

Integrar alertas Sysmon de Wazuh en TheHive

22 enero, 202022 enero, 2020 rokitoh Deja un comentario

Seguimos configurando nuestra infraestructura SIRP Open source (https://red-orbita.com/?p=8726) En pasadas entradas vimos como Integrar Sysmon con wazuh, para poder hacer una correcta gestión de las incidencias vamos a integrar dichas alertas a TheHive mediante Elastalert

Solucionar error ‘ascii’ codec can’t encode character u’\xf3′ in position en Elastalert

22 enero, 202022 enero, 2020 rokitoh Deja un comentario

Al tratar de configurar una regla en Elastalert nos podemos encontrar con el siguiente error: