Seguimos configurando nuestra infraestructura SIRP Open source (https://red-orbita.com/?p=8726) En pasadas entradas vimos como Integrar Sysmon con wazuh, para poder hacer una correcta gestión de las incidencias vamos a integrar dichas alertas a TheHive mediante Elastalert
Leer másCategoría: wazuh
Solucionar error ‘ascii’ codec can’t encode character u’\xf3′ in position en Elastalert
Al tratar de configurar una regla en Elastalert nos podemos encontrar con el siguiente error:
Leer másResetear contraseña del usuario Admin en MISP
En esta entrada veremos como resetear la contraseña de un usuario en MISP, en nuestro caso de admin@admin.test
Leer másIntegrar Sysmon con Wazuh
¿Que es Sysmon?
System Monitor ( Sysmon ) es un servicio del sistema de Windows y un controlador de dispositivo que, una vez instalado en un sistema, permanece residente en todos los reinicios del sistema para monitorear y registrar la actividad del sistema en el registro de eventos de Windows. Proporciona información detallada sobre creaciones de procesos, conexiones de red y cambios en el tiempo de creación de archivos. Al recopilar los eventos que genera utilizando Windows Event Collection o los agentes SIEM y luego analizarlos, puede identificar actividades maliciosas o anómalas y comprender cómo operan los intrusos y el malware en su red.
Leer másEliminar una alerta en TheHive en Ignored
En la entrada anterior vimos como eliminar todas las alertas y casos de Thehive, pero al realizar dicha acción las alertas se quedan en estado Ignored, para solucionar este problema debemos eliminarlas de ElasticSearch.
Script para eliminar casos y alertas en TheHive
En esta entrada vamos a publicar un pequeño script para la eliminación de todos los casos y alertas que se encuentra en TheHive utilizando la API REST.
En caso de que no quieras eliminar todo y simplemente en concreto un caso o alerta única y exclusivamente deberías apuntar al ID especifico.
Leer másCrear reglas para Alteon en Wazuh
Seguimos configurando nuestra infraestructura SIRP Open source (https://red-orbita.com/?p=8726) En esta ocasión veremos recibir información de AlteonOS mediante Syslog.
Para ello primero tenemos que tener activado en /var/ossec/etc/ossec.conf el direccionamiento de los balanceadores.
Leer másInstalar y configurar OSquery en WAZUH bajo FreeBSD y GNU/Linux
Seguimos configurando nuestra infraestructura SIRP Open source (https://red-orbita.com/?p=8726) En esta ocasión veremos como integrar Windows Defender para la detección de amenazas con Wazuh y Thehive
Antes de nada, debemos instalar OSquery en nuestro sistema
Debian
Leer másDetección de malware con Windows Defender, wazuh y thehive
Seguimos configurando nuestra infraestructura SIRP Open source (https://red-orbita.com/?p=8726) En esta ocasión veremos como integrar Windows Defender para la detección de amenazas con Wazuh y Thehive
Antes de nada, debemos configurar en nuestro cliente de wazuh la siguiente entrada para obtener los eventos de Windows Defender
Leer más
Configurar OpenSCAP en wazuh
Seguimos configurando nuestra infraestructura SIRP Open source (https://red-orbita.com/?p=8726) En esta ocasión veremos como configurar OpenSCAP
SCAP es una solución de verificación de cumplimiento para la estructura a nivel empresarial de Linux. Es una línea de especificaciones mantenida por el National Institute of Standards and Technology (NIST) para mantener la seguridad de sistemas en sistemas empresariales.
Leer más