Integrar Kaspersky Security Center con Wazuh

Seguimos configurando nuestra infraestructura SIRP Open source (https://red-orbita.com/?p=8726) En esta ocasión veremos como integrar Kaspersky Security Center  para la detección de amenazas con Wazuh y Thehive

Antes de nada, tenemos que ir a la consola de Kaspersky Security Center > Configurar las notificaciones y la exportación de eventos > Configuración exportación a SIEM (Mas información)

Leer más

Bloquear ataques fuerza bruta con Wazuh

En este post, veremos cómo bloquear un ataque usando la funcionanlidad de active response en Wazuh. 

Active Response de wazuh ejecuta comandos en los agentes en respuesta de ciertas alertas.  En este ejemplo, veremos como bloquear un ataque de fuerza bruta. 

Toda esta configuración se realizara en /var/ossec/etc/ossec.conf dentro de Wazuh Manager. En primer lugar tenemos que revisar en dicho archivo si tenemos los siguientes comandos activados

Leer más

ElasticSearch [FORBIDDEN/12/index read-only / allow delete (api)]

Si intenta indexar un documento en ElasticSearch y ve un mensaje de error como este:

elasticsearch.exceptions.AuthorizationException: AuthorizationException(403, 'cluster_block_exception', 'blocked by: [FORBIDDEN/12/index read-only / allow delete (api)];')

puede desbloquear escrituras en su clúster (todos los índices) usando

curl -XPUT -H "Content-Type: application/json" http://localhost:9200/_all/_settings -d '{"index.blocks.read_only_allow_delete": null}'