Integrar alertas Kaspersky de Wazuh en TheHive

En anteriores entradas vimos como Integrar Kaspersky Security Center con Wazuh

 en este caso,  veremos como integrar las alertas que se produzcan en Wazuh en TheHive. 

Para ver como se realiza la integración de Elastic con TheHive mediante ElasticAlert lo podéis ver en la entrada: Implementación de SIRP Open Source

Sin mas preámbulos, nos vemos a ElasticAlert y creamos la siguiente regla 

es_host: localhost
es_port: 9200
name:  Kaspersky Security Center Alerts
type: any
index: wazuh-alerts-3.x-*
num_events: 800
timeframe:
    hours: 1
realert: 
    minutes: 0
filter:
- query:
      query_string: {query: 'rule.groups: Kaspersky'}
- range:
    rule.level:
      from: 12
      to: 15
alert: hivealerter
hive_connection:
  hive_host: http://the_hive
  hive_port: 9000
  hive_apikey: <Paste API key for elastalert user here>

hive_alert_config:
  title: '{match[data][Kaspersky][description]}'
  type: 'external'
  source: 'elastalert'
  description: '{match[full_log]} '
  severity: 2
  tags: ['Level: {match[rule][level]}', 'Rule id:{match[rule][id]}',  '{match[data][Kaspersky][cs1]}', '{match[data][Kaspersky][url]}',  '{match[data][dhost]}', '{match[data][dstip]}', '{match[data][Kaspersky][cs9]}', '{match[_id]}']

  tlp: 3
  status: 'New'
  follow: True

hive_observable_data_mapping:
    - ip: "{match[@src_ip]}"

Reiniciamos el servicio

systemctl restart elastalert

Ahora nos vamos a Thehive y comprobamos que nos haya generado una alerta

:wq!

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *