En anteriores entradas vimos como bloquear ataques de fuerza bruta con wazuh
En este post, veremos cómo bloquear un ataques web usando la funcionalidad de active response en Wazuh.
Active Response de wazuh ejecuta comandos en los agentes en respuesta de ciertas alertas. En este ejemplo, veremos como bloquear un ataque de fuerza bruta.
Leer másSi intenta indexar un documento en ElasticSearch y ve un mensaje de error como este:
elasticsearch.exceptions.AuthorizationException: AuthorizationException(403, 'cluster_block_exception', 'blocked by: [FORBIDDEN/12/index read-only / allow delete (api)];')puede desbloquear escrituras en su clúster (todos los índices) usando
curl -XPUT -H "Content-Type: application/json" http://localhost:9200/_all/_settings -d '{"index.blocks.read_only_allow_delete": null}'Al tratar de configurar una regla en Elastalert nos podemos encontrar con el siguiente error:
Leer másEn esta entrada veremos como resetear la contraseña de un usuario en MISP, en nuestro caso de admin@admin.test
Leer más¿Que es Sysmon?
System Monitor ( Sysmon ) es un servicio del sistema de Windows y un controlador de dispositivo que, una vez instalado en un sistema, permanece residente en todos los reinicios del sistema para monitorear y registrar la actividad del sistema en el registro de eventos de Windows. Proporciona información detallada sobre creaciones de procesos, conexiones de red y cambios en el tiempo de creación de archivos. Al recopilar los eventos que genera utilizando Windows Event Collection o los agentes SIEM y luego analizarlos, puede identificar actividades maliciosas o anómalas y comprender cómo operan los intrusos y el malware en su red.
Leer másSeguimos configurando nuestra infraestructura SIRP Open source (https://red-orbita.com/?p=8726) En esta ocasión veremos recibir información de AlteonOS mediante Syslog.
Para ello primero tenemos que tener activado en /var/ossec/etc/ossec.conf el direccionamiento de los balanceadores.
Leer másSeguimos configurando nuestra infraestructura SIRP Open source (https://red-orbita.com/?p=8726) En esta ocasión veremos como integrar Windows Defender para la detección de amenazas con Wazuh y Thehive
Antes de nada, debemos instalar OSquery en nuestro sistema
Debian
Leer másSeguimos configurando nuestra infraestructura SIRP Open source (https://red-orbita.com/?p=8726) En esta ocasión veremos como integrar Windows Defender para la detección de amenazas con Wazuh y Thehive
Antes de nada, debemos configurar en nuestro cliente de wazuh la siguiente entrada para obtener los eventos de Windows Defender
Leer más
Seguimos configurando nuestra infraestructura SIRP Open source (https://red-orbita.com/?p=8726) En esta ocasión veremos como configurar OpenSCAP
SCAP es una solución de verificación de cumplimiento para la estructura a nivel empresarial de Linux. Es una línea de especificaciones mantenida por el National Institute of Standards and Technology (NIST) para mantener la seguridad de sistemas en sistemas empresariales.
Leer másSiguiendo con las entradas de la implementación de un SIRP (https://red-orbita.com/?p=8726) Ahora vamos a integrar Lynis con Wazuh dado que por desgracia aun no tenemos open-scap en FreeBSD
Primero debemos instalar lynis
pkg install lynis