ElasticSearch [FORBIDDEN/12/index read-only / allow delete (api)]

Si intenta indexar un documento en ElasticSearch y ve un mensaje de error como este:

elasticsearch.exceptions.AuthorizationException: AuthorizationException(403, 'cluster_block_exception', 'blocked by: [FORBIDDEN/12/index read-only / allow delete (api)];')

puede desbloquear escrituras en su clúster (todos los índices) usando

curl -XPUT -H "Content-Type: application/json" http://localhost:9200/_all/_settings -d '{"index.blocks.read_only_allow_delete": null}'

Integrar Sysmon con Wazuh

¿Que es Sysmon?

System Monitor ( Sysmon ) es un servicio del sistema de Windows y un controlador de dispositivo que, una vez instalado en un sistema, permanece residente en todos los reinicios del sistema para monitorear y registrar la actividad del sistema en el registro de eventos de Windows. Proporciona información detallada sobre creaciones de procesos, conexiones de red y cambios en el tiempo de creación de archivos. Al recopilar los eventos que genera utilizando Windows Event Collection o los agentes SIEM y luego analizarlos, puede identificar actividades maliciosas o anómalas y comprender cómo operan los intrusos y el malware en su red.

Leer más

Configurar OpenSCAP en wazuh

Seguimos configurando nuestra infraestructura SIRP Open source (https://red-orbita.com/?p=8726) En esta ocasión veremos como configurar OpenSCAP

SCAP es una solución de verificación de cumplimiento para la estructura a nivel empresarial de Linux. Es una línea de especificaciones mantenida por el National Institute of Standards and Technology (NIST) para mantener la seguridad de sistemas en sistemas empresariales.

Leer más