SIEM – Red-Orbita

Creación de reglas en Azure Sentinel para Fortigate

19 octubre, 202019 octubre, 2020 rokitoh Deja un comentario

En la anterior entrada vimos como parsear los logs que nos llegan desde Fortigate.

En esta ocasión veremos como crear reglas en Azure Sentinel para que cuando detecte o bloque algún ataque nos genere una alerta.

Para ello vamos a utilizar las siguientes querys:


Forti | where (FTNTFGTseverity == "critical" or FTNTFGTseverity == "high" and act == "detected" or act == "reset")

Forti | where (FTNTFGTseverity == "medium" or FTNTFGTseverity == "warning" and act == "detected" or act == "reset")


Forti | where (FTNTFGTseverity == "critical" or FTNTFGTseverity == "High" and act == "dropped" or act == "blocked")

Forti | where (FTNTFGTseverity == "medium" or FTNTFGTseverity == "warning" and act == "dropped" or act == "blocked")

Para que no se alargue excesivamente la entrada únicamente mostraré como se hace una regla. Pero debéis realizar una regla por cada query que os mostré en el punto anterior.

Parsear logs de Fortigate en Azure Sentinel

12 octubre, 202012 octubre, 2020 rokitoh Deja un comentario

En la siguiente entrada seguimos viendo como montar nuestro entorno de Azure Sentinel desde cero.

En esta ocasión veremos como parsear los eventos que nos llegan desde Foritgate.

Si observamos como nos llega los eventos de parsear nos damos cuenta que realmente los eventos importantes se almacenan dentro de las dos columnas «SyslogMessage»

Parsear sysmon en Azure Sentinel

8 octubre, 20208 octubre, 2020 rokitoh Deja un comentario

Anteriormente ya vimos como conectar diferentes recursos para obtener información de diferentes dispositivos, en este caso vamos a parsear los eventos que nos llega de Sysmon

Si observamos como nos llega los eventos de Sysmon nos damos cuenta que realmente los eventos importantes se almacenan dentro de las dos columnas «ParameterXml» y «EventData»:

Conectar datos de Fortinet a Azure Sentinel

24 septiembre, 202024 septiembre, 2020 rokitoh Deja un comentario

En anteriores entradas ya vimos como Configurar un reenviador de Syslog en Azure Sentinel en esta ocasión utilizaremos ese reenviador para conectar Fortinet con el Workspace.

En primer lugar, debemos configurar Fortinet para reenviar mensajes de Syslog en formato CEF (Por defecto ya lo envía en formato CEF) a nuestra área de trabajo de Azure a través del agente de Syslog (El reenviador configurado anteriormente).

Configurar reenviador de Syslog en Azure Sentinel

23 septiembre, 202023 septiembre, 2020 rokitoh Deja un comentario

En esta entrada veremos como configurar un reenviador de Syslog para poder integrar diferentes componentes como Firewall a nuestro Azure Sentinel.

Para empezar debemos instalar OMS Agent en un servidor GNU/Linux

Los sistemas operativos soportados son los siguientes:

CentOS 6 and 7
Amazon Linux 2017.09
Oracle Linux 6 and 7
Red Hat Enterprise Linux Server 6, 7, and 8
Debian GNU/Linux 8 and 9
Ubuntu Linux 14.04 LTS, 16.04 LTS and 18.04 LTS
SUSE Linux Enterprise Server 12 and 15

Detectar ataque Fuerza bruta RDP en Azure Sentinel

22 septiembre, 202022 septiembre, 2020 rokitoh Deja un comentario

En el Post anterior vimos como instalar y configurar Azure Sentinel en esta entrada veremos como crear una alerta para detectar posibles ataques de fuerza bruta.

Instalación y configuración de Azure Sentinel

21 septiembre, 202021 septiembre, 2020 rokitoh 1 comentario

En el siguiente articulo será el primero de una serie de artículos sobre la implementación de Azure Sentinel.

¿Qué es Azure Sentinel?

Microsoft Azure Sentinel es una solución de administración de eventos de información de seguridad (SIEM) y respuesta automatizada de orquestación de seguridad (SOAR) que es escalable y nativa de la nube. Azure Sentinel ofrece análisis de seguridad inteligente e inteligencia frente a amenazas en toda la empresa, de forma que proporciona una única solución para la detección de alertas, la visibilidad de amenazas, la búsqueda proactiva y la respuesta a amenazas.

Bloquear ataques web en FreeBSD con Wazuh

28 julio, 202028 julio, 2020 rokitoh Deja un comentario

En anteriores entradas vimos como Bloquear ataques web con Wazuh pero estos bloqueos se basaba en servidores GNU/Linux

En este post, veremos cómo bloquear un ataques web en FreeBSD usando la funcionalidad de active response en Wazuh.

Active Response de wazuh ejecuta comandos en los agentes en respuesta de ciertas alertas. En este ejemplo, veremos como bloquear un ataque de fuerza bruta.

Integrar alertas Kaspersky de Wazuh en TheHive

3 julio, 20203 julio, 2020 rokitoh Deja un comentario

En anteriores entradas vimos como Integrar Kaspersky Security Center con Wazuh

en este caso, veremos como integrar las alertas que se produzcan en Wazuh en TheHive.

Para ver como se realiza la integración de Elastic con TheHive mediante ElasticAlert lo podéis ver en la entrada: Implementación de SIRP Open Source

Integrar Kaspersky Security Center con Wazuh

28 junio, 202026 noviembre, 2020 rokitoh 2 comentarios

Seguimos configurando nuestra infraestructura SIRP Open source (https://red-orbita.com/?p=8726) En esta ocasión veremos como integrar Kaspersky Security Center para la detección de amenazas con Wazuh y Thehive

Antes de nada, tenemos que ir a la consola de Kaspersky Security Center > Configurar las notificaciones y la exportación de eventos > Configuración exportación a SIEM (Mas información)