En anteriores entradas vimos como Bloquear ataques fuerza bruta con Wazuh o Bloquear ataques web con Wazuh
en este caso, veremos como integrar las alertas cuando se produzca un bloqueo con TheHive.
Para ver como se realiza la integración de Elastic con TheHive mediante ElasticAlert lo podéis ver en la entrada: Implementación de SIRP Open Source
Sin mas preámbulos, nos vemos a ElasticAlert y creamos la siguiente regla
es_host: localhost
es_port: 9200
name: Host Blocked Active Response
type: any
index: wazuh-alerts-3.x-*
num_events: 600
timeframe:
hours: 3
realert:
minutes: 0
filter:
- range:
rule.id:
from: 601
to: 605
alert: hivealerter
hive_connection:
hive_host: http://the_hive
hive_port: 9000
hive_apikey: <Paste API key for elastalert user here>
hive_alert_config:
title: '{match[rule][description]}'
type: 'external'
source: 'elastalert'
description: '{match[full_log]} '
severity: 2
tags: ['Rule id: {match[rule][id]}', '{match[agent][name]}', '{match[rule][groups]}', '{match[_id]}']
tlp: 3
status: 'New'
follow: True
hive_observable_data_mapping:
- ip: "{match[@src_ip]}"
Reiniciamos el servicio
systemctl restart elastalertAhora nos vamos a Thehive y comprobamos que nos haya generado una alerta
Creo que faltaría modificar el decoder para poder tener el src y así poder ponerlo en observables. Lo cual lo veremos en siguientes post
:wq!