Integrar alertas Active Response de Wazuh en TheHive

En anteriores entradas vimos como Bloquear ataques fuerza bruta con Wazuh o Bloquear ataques web con Wazuh
 en este caso,  veremos como integrar las alertas cuando se produzca un bloqueo con TheHive. 

Para ver como se realiza la integración de Elastic con TheHive mediante ElasticAlert lo podéis ver en la entrada: Implementación de SIRP Open Source

Sin mas preámbulos, nos vemos a ElasticAlert y creamos la siguiente regla 

es_host: localhost
es_port: 9200
name: Host Blocked Active Response
type: any
index: wazuh-alerts-3.x-*
num_events: 600
timeframe:
    hours: 3
realert: 
    minutes: 0
filter:
- range:
    rule.id:
      from: 601
      to: 605
alert: hivealerter
hive_connection:
  hive_host: http://the_hive
  hive_port: 9000
  hive_apikey: <Paste API key for elastalert user here>
hive_alert_config:
  title: '{match[rule][description]}'
  type: 'external'
  source: 'elastalert'
  description: '{match[full_log]} '
  severity: 2
  tags: ['Rule id: {match[rule][id]}', '{match[agent][name]}', '{match[rule][groups]}', '{match[_id]}']

  tlp: 3
  status: 'New'
  follow: True

hive_observable_data_mapping:
    - ip: "{match[@src_ip]}"

Reiniciamos el servicio

systemctl restart elastalert

Ahora nos vamos a Thehive y comprobamos que nos haya generado una alerta

Creo que faltaría modificar el decoder para poder tener el src y así poder ponerlo en observables.  Lo cual lo veremos en siguientes post

:wq! 

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *