Kibana – Página 2

Integrar Sysmon con Wazuh

20 enero, 20204 julio, 2020 rokitoh 2 comentarios

¿Que es Sysmon?

System Monitor ( Sysmon ) es un servicio del sistema de Windows y un controlador de dispositivo que, una vez instalado en un sistema, permanece residente en todos los reinicios del sistema para monitorear y registrar la actividad del sistema en el registro de eventos de Windows. Proporciona información detallada sobre creaciones de procesos, conexiones de red y cambios en el tiempo de creación de archivos. Al recopilar los eventos que genera utilizando Windows Event Collection o los agentes SIEM y luego analizarlos, puede identificar actividades maliciosas o anómalas y comprender cómo operan los intrusos y el malware en su red.

Crear reglas para Alteon en Wazuh

20 diciembre, 201920 diciembre, 2019 rokitoh Deja un comentario

Seguimos configurando nuestra infraestructura SIRP Open source (https://red-orbita.com/?p=8726) En esta ocasión veremos recibir información de AlteonOS mediante Syslog.

Para ello primero tenemos que tener activado en /var/ossec/etc/ossec.conf el direccionamiento de los balanceadores.

Instalar y configurar OSquery en WAZUH bajo FreeBSD y GNU/Linux

21 junio, 201921 junio, 2019 rokitoh Deja un comentario

Seguimos configurando nuestra infraestructura SIRP Open source (https://red-orbita.com/?p=8726) En esta ocasión veremos como integrar Windows Defender para la detección de amenazas con Wazuh y Thehive

Antes de nada, debemos instalar OSquery en nuestro sistema

Debian

Detección de malware con Windows Defender, wazuh y thehive

19 junio, 201919 junio, 2019 rokitoh Deja un comentario

Antes de nada, debemos configurar en nuestro cliente de wazuh la siguiente entrada para obtener los eventos de Windows Defender

Configurar OpenSCAP en wazuh

6 junio, 20196 junio, 2019 rokitoh Deja un comentario

Seguimos configurando nuestra infraestructura SIRP Open source (https://red-orbita.com/?p=8726) En esta ocasión veremos como configurar OpenSCAP

SCAP es una solución de verificación de cumplimiento para la estructura a nivel empresarial de Linux. Es una línea de especificaciones mantenida por el National Institute of Standards and Technology (NIST) para mantener la seguridad de sistemas en sistemas empresariales.

Integración Wazuh con Lynis en FreeBSD

6 junio, 201924 junio, 2019 rokitoh 1 comentario

Siguiendo con las entradas de la implementación de un SIRP (https://red-orbita.com/?p=8726) Ahora vamos a integrar Lynis con Wazuh dado que por desgracia aun no tenemos open-scap en FreeBSD

Primero debemos instalar lynis

pkg install lynis

Detección de reverse shell con wazuh y thehive

5 junio, 20195 junio, 2019 rokitoh Deja un comentario

En este post vamos a seguir configurando nuestro entorno SIRP en el cual ya hablamos en la entrada: https://red-orbita.com/?p=8726

En este caso vamos a crear una regla para detectar reverse shell. Para ello, primero tenemos que configurar en el cliente que liste todos los procesos que están corriendo en /var/ossec/etc/ossec.conf

Monitorizar Docker con wazuh

31 mayo, 201931 mayo, 2019 rokitoh Deja un comentario

Siguiendo con las entradas de la implementación de un SIRP (https://red-orbita.com/?p=8726) Ahora vamos a configurar para poder monitorizar Docker

Instalamos el software necesario

apt install python-pip libffi-dev libxml2-dev libxslt1-dev libssl-dev
python -m easy_install --upgrade pyOpenSSL
pip install docker

INFO:elastalert:Ignoring match for silenced

29 mayo, 201929 mayo, 2019 rokitoh Deja un comentario

En algunas ocasiones podemos observar como aparecen los siguientes mensajes informáticos en elastalert:

INFO:elastalert:Ignoring match for silenced rule Host-based anomaly detection event
INFO:elastalert:Ignoring match for silenced rule Host-based anomaly detection event
INFO:elastalert:Ignoring match for silenced rule Host-based anomaly detection event
INFO:elastalert:Ignoring match for silenced rule Host-based anomaly detection event
INFO:elastalert:Ignoring match for silenced rule Host-based anomaly detection event

Discover: unknown error Less Info OK SearchError: unknown error en Kibana

29 mayo, 201929 mayo, 2019 rokitoh Deja un comentario

Para solucionar el error el cual nos aparece en Kiabana al intentar acceder al Discover, simplemente basta con eliminar la cache de Kibana y reiniciar