Crear reglas para Alteon en Wazuh

rokitoh Elastic, Kibana, SIEM, wazuh

Seguimos configurando nuestra infraestructura SIRP Open source (https://red-orbita.com/?p=8726) En esta ocasión veremos recibir información de AlteonOS mediante Syslog. 

Para ello primero tenemos que tener activado en /var/ossec/etc/ossec.conf el direccionamiento de los balanceadores.

  <remote>
    <connection>secure</connection>
    <port>1514</port>
    <protocol>tcp</protocol>
    <queue_size>131072</queue_size>
    <allowed-ips>10.10.5.33/32</allowed-ips>
    <allowed-ips>10.10.5.34/32</allowed-ips>
  </remote>

  <remote>
    <connection>syslog</connection>
    <port>514</port>
    <protocol>udp</protocol>
    <allowed-ips>10.10.5.33/32</allowed-ips>
    <allowed-ips>10.10.5.34/32</allowed-ips>
  </remote>

Una vez configurado vamos a crear las reglas /var/ossec/etc/rules/local_rules.xml

 */ rules in localrules.xml for Alteon*/

<group name="Alteon,">

  <rule id="100990" level="0">
  <match>AlteonOS</match>
  <description>AlteonOS </description>
  <group>syslog,alteon,</group>
</rule>


<rule id="100992" level="5">
  <if_sid>100990</if_sid>
  <match>DEBUG</match>
  <description>AlteonOS - mensajes de debug</description>
  <group>syslog,alteon,debug</group>
</rule>

<rule id="100993" level="5">
  <if_sid>100990</if_sid>
  <match>INFO</match>
  <description>AlteonOS - mensajes de informacion</description>
  <group>syslog,alteon,info</group>
</rule>

<rule id="100994" level="5">
  <if_sid>100990</if_sid>
  <match>NOTICE</match>
  <description>AlteonOS - mensajes de notificacion</description>
  <group>syslog,alteon,notice</group>
</rule>


<rule id="100995" level="7">
  <if_sid>100990</if_sid>
  <match>WARNING</match>
  <description>AlteonOS - mensajes de warning</description>
  <group>syslog,alteon,warning</group>
</rule>

<rule id="100996" level="8">
  <if_sid>100990</if_sid>
  <match>ERROR</match>
  <description>AlteonOS - mensajes de error</description>
  <group>syslog,alteon,error</group>
</rule>

<rule id="100997" level="8">
  <if_sid>100990</if_sid>
  <match>CRITICAL</match>
  <description>AlteonOS - mensajes criticos</description>
  <group>syslog,alteon,critical</group>
</rule>

<rule id="100998" level="8">
  <if_sid>100990</if_sid>
  <match>ALERT</match>
  <description>AlteonOS - mensajes de alerta</description>
  <group>syslog,alteon,alert</group>
</rule>

<rule id="100999" level="10">
  <if_sid>100990</if_sid>
  <match>EMERGENCY</match>
  <description>AlteonOS - mensajes de Emergencia</description>
  <group>syslog,alteon,emergency</group>
</rule>

Configuramos para que nos envíen las alertas mediante correo

<email_alerts>
  <email_to>networking@red-orbita.com</email_to>
  <rule_id>100995, 100996, 100997, 100998, 100999</rule_id>
  <do_not_delay />
</email_alerts>

reiniciamos el servicio, realizamos un login en los Alteon para que capture algún mensaje y accedemos mediante nuestro navegador para comprobar el funcionamiento. 

:wq!

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *