En anteriores entradas vimos como Integrar Kaspersky Security Center con Wazuh
en este caso, veremos como integrar las alertas que se produzcan en Wazuh en TheHive.
Para ver como se realiza la integración de Elastic con TheHive mediante ElasticAlert lo podéis ver en la entrada: Implementación de SIRP Open Source
Leer másSeguimos configurando nuestra infraestructura SIRP Open source (https://red-orbita.com/?p=8726) En esta ocasión veremos como integrar Kaspersky Security Center para la detección de amenazas con Wazuh y Thehive
Antes de nada, tenemos que ir a la consola de Kaspersky Security Center > Configurar las notificaciones y la exportación de eventos > Configuración exportación a SIEM (Mas información)
Auditd Se encarga de realizar un seguimiento de todo lo que va sucediendo en nuestro sistema GNU/Linux, en el cual va recopilando eventos sobre reglas pre-configuradas.
En esta entrada veremos como integrar Auditd con wazuh para así poder generar ciertas alertas.
Leer másEn anteriores entradas vimos como Bloquear ataques fuerza bruta con Wazuh o Bloquear ataques web con Wazuh
en este caso, veremos como integrar las alertas cuando se produzca un bloqueo con TheHive.
En anteriores entradas vimos como bloquear ataques de fuerza bruta con wazuh
En este post, veremos cómo bloquear un ataques web usando la funcionalidad de active response en Wazuh.
Active Response de wazuh ejecuta comandos en los agentes en respuesta de ciertas alertas. En este ejemplo, veremos como bloquear un ataque de fuerza bruta.
Leer másEn este post, veremos cómo bloquear un ataque usando la funcionanlidad de active response en Wazuh.
Active Response de wazuh ejecuta comandos en los agentes en respuesta de ciertas alertas. En este ejemplo, veremos como bloquear un ataque de fuerza bruta.
Toda esta configuración se realizara en /var/ossec/etc/ossec.conf dentro de Wazuh Manager. En primer lugar tenemos que revisar en dicho archivo si tenemos los siguientes comandos activados
Leer másSi intenta indexar un documento en ElasticSearch y ve un mensaje de error como este:
elasticsearch.exceptions.AuthorizationException: AuthorizationException(403, 'cluster_block_exception', 'blocked by: [FORBIDDEN/12/index read-only / allow delete (api)];')puede desbloquear escrituras en su clúster (todos los índices) usando
curl -XPUT -H "Content-Type: application/json" http://localhost:9200/_all/_settings -d '{"index.blocks.read_only_allow_delete": null}'Seguimos configurando nuestra infraestructura SIRP Open source (https://red-orbita.com/?p=8726) En pasadas entradas vimos como Integrar Sysmon con wazuh, para poder hacer una correcta gestión de las incidencias vamos a integrar dichas alertas a TheHive mediante Elastalert
Leer másAl tratar de configurar una regla en Elastalert nos podemos encontrar con el siguiente error:
Leer másEn esta entrada veremos como resetear la contraseña de un usuario en MISP, en nuestro caso de admin@admin.test
Leer más