Instalar y configurar OSquery en WAZUH bajo FreeBSD y GNU/Linux
Seguimos configurando nuestra infraestructura SIRP Open source (https://red-orbita.com/?p=8726) En esta ocasión veremos como integrar Windows Defender para la detección de amenazas con Wazuh y Thehive
Antes de nada, debemos instalar OSquery en nuestro sistema
Debian
Leer másDetección de malware con Windows Defender, wazuh y thehive
Seguimos configurando nuestra infraestructura SIRP Open source (https://red-orbita.com/?p=8726) En esta ocasión veremos como integrar Windows Defender para la detección de amenazas con Wazuh y Thehive
Antes de nada, debemos configurar en nuestro cliente de wazuh la siguiente entrada para obtener los eventos de Windows Defender
Leer más
Configurar OpenSCAP en wazuh
Seguimos configurando nuestra infraestructura SIRP Open source (https://red-orbita.com/?p=8726) En esta ocasión veremos como configurar OpenSCAP
SCAP es una solución de verificación de cumplimiento para la estructura a nivel empresarial de Linux. Es una línea de especificaciones mantenida por el National Institute of Standards and Technology (NIST) para mantener la seguridad de sistemas en sistemas empresariales.
Leer másIntegración Wazuh con Lynis en FreeBSD
Siguiendo con las entradas de la implementación de un SIRP (https://red-orbita.com/?p=8726) Ahora vamos a integrar Lynis con Wazuh dado que por desgracia aun no tenemos open-scap en FreeBSD
Primero debemos instalar lynis
pkg install lynisDetección de reverse shell con wazuh y thehive
En este post vamos a seguir configurando nuestro entorno SIRP en el cual ya hablamos en la entrada: https://red-orbita.com/?p=8726
En este caso vamos a crear una regla para detectar reverse shell. Para ello, primero tenemos que configurar en el cliente que liste todos los procesos que están corriendo en /var/ossec/etc/ossec.conf
Leer másMonitorizar Docker con wazuh
Siguiendo con las entradas de la implementación de un SIRP (https://red-orbita.com/?p=8726) Ahora vamos a configurar para poder monitorizar Docker
Instalamos el software necesario
apt install python-pip libffi-dev libxml2-dev libxslt1-dev libssl-dev
python -m easy_install --upgrade pyOpenSSL
pip install dockerINFO:elastalert:Ignoring match for silenced
En algunas ocasiones podemos observar como aparecen los siguientes mensajes informáticos en elastalert:
INFO:elastalert:Ignoring match for silenced rule Host-based anomaly detection event
INFO:elastalert:Ignoring match for silenced rule Host-based anomaly detection event
INFO:elastalert:Ignoring match for silenced rule Host-based anomaly detection event
INFO:elastalert:Ignoring match for silenced rule Host-based anomaly detection event
INFO:elastalert:Ignoring match for silenced rule Host-based anomaly detection eventDiscover: unknown error Less Info OK SearchError: unknown error en Kibana
Para solucionar el error el cual nos aparece en Kiabana al intentar acceder al Discover, simplemente basta con eliminar la cache de Kibana y reiniciar
Detección de túneles SSH con wazuh
En este post vamos a seguir configurando nuestro entorno SIRP en el cual ya hablamos en la entrada: https://red-orbita.com/?p=8726
En este caso vamos a crear una regla para detectar túneles utilizando SSH. Para ello, primero tenemos que configurar en el cliente que liste todos los procesos que están corriendo en /var/ossec/etc/ossec.conf
Leer más