AlienVault OTX-integrasie met Wazuh (volledige gids)

22/10/2025

Portugese weergawe

Oorsig

Hierdie gedetailleerde gids verduidelik stap-vir-stap hoe om AlienVault OTX (Open Threat Exchange) met Wazuh te integreer, wat jou moniteringsomgewing in staat stel om outomaties bekende kwaadwillige domeine en IP-adresse op te spoor. Die integrasie maak gebruik van Python-skrifte en pasgemaakte reëls in Wazuh om die OTX API te bevraagteken wanneer spesifieke gebeurtenisse opgespoor word.

Die integrasie is veral nuttig vir sekuriteitspanne wat gebeurteniskorrelasie en bedreigingsintelligensie wil **outomatiseer, wat sigbaarheid en insidentreaksie wil verbeter.

---

Voorvereistes

Voordat jy begin, kyk of jou omgewing die volgende het:

• Wazuh Manager geïnstalleer (weergawe 4.x of hoër)
• Python en die OTXv2-module geïnstalleer in die Wazuh-omgewing
• Worteltoegang of administratiewe toestemmings
• 'n Geldige OTX API-sleutel, gratis verkry vanaf die AlienVault-portaal (https://otx.alienvault.com)

Om die vereiste module te installeer, hardloop:

sudo /var/ossec/framework/python/bin/python3 -m pip installeer OTXv2

---

Vereiste lêers

Om die proses te vereenvoudig, is die hooflêers nou beskikbaar vir aflaai direk vanaf die GitHub-bewaarplek:

• custom-alienvault
• custom-alienvault.py
• alienOTX.xml

Benewens hierdie, moet jy die get_malicious.py-lêer direk vanaf die amptelike OTX SDK-bewaarplek aflaai:

• get_malicious.py (amptelike bewaarplek)

Nadat u die lêers afgelaai het, skuif hulle almal na die gids:

/var/ossec/integrasies/

---

Toestemmings en eienaarskap

Om te verseker dat Wazuh skrifte korrek kan laat loop, stel die toepaslike toestemmings in:

chown root:wazuh custom-alienvault custom-alienvault.py get_malicious.py
chmod 750 custom-alienvault custom-alienvault.py get_malicious.py

---

API-sleutelkonfigurasie

Maak die custom-alienvault.py-lêer oop en vervang die reël:

API_KEY = 'APIKEY'

Vir jou geldige OTX API-sleutel. Voorbeeld:

API_KEY = 'yor_api_key_hier'

Hierdie sleutel sal gebruik word om navrae na die AlienVault API te staaf.

---

Konfigureer Wazuh (ossec.conf)

Maak die Wazuh-konfigurasielêer oop:

sudo nano /var/ossec/etc/ossec.conf

En voeg die volgende integrasie binne die <ossec_config>-merker by:

<integrasie>
    <name>custom-alienvault</name>
    <group>sysmon_event_22</group>
    <alert_format>json</alert_format>
</integrasie>

Hierdie opstelling dui aan dat Wazuh die custom-alienvault.py-skrip moet aktiveer wanneer 'n waarskuwing van die sysmon_event_22-groep gegenereer word (soos DNS-navraaggebeurtenisse).

---

Voeg reëls by Wazuh

Kopieer die reëllêer alienOTX.xml na die gids:

sudo cp alienOTX.xml /var/ossec/etc/rules/

Die basiese inhoud van die lêer is:

<groepnaam="alienvault_alert,">
  <reël id="100010" level="12">
    <field name="integration">alienvault</field>
    <description>AlienVault - OTX DOMAIN gevind</description>
    <options>no_full_log</options>
  </reël>
</groep>

Hierdie reëls definieer Wazuh se gedrag wanneer 'n domein in die OTX-databasis geïdentifiseer word.

---

Herbegin Wazuh

Na alle veranderinge, herbegin die diens om die instellings toe te pas:

sudo systemctl herbegin wazuh-bestuurder

---

Toets die integrasie

Skep 'n voorbeeldwaarskuwinglêer om te toets:

kat >>tmp/test_alert.json <<'JSON'
{
  "agent": { "id": "001", "name": "toets-agent", "ip": "127.0.0.1" },
  "datum": {
    "wen": {
      "gebeurtenisdata": {
        "queryName": "fact-pendientes.com"
      }
    }
  }
}
JSON

Begin nou die skrip met die hand:

sudo /var/ossec/integrations/custom-alienvault /tmp/test_alert.json

As die domein op OTX gelys is, sal jy die boodskap sien:

Geïdentifiseer as potensieel kwaadwillig

Andersins:

Onbekend of nie geïdentifiseer as kwaadwillig nie

---

Gaan die logs na

Integrasie logs kan bekyk wordgedateer in die lêer:

/var/ossec/logs/integrations.log

Soek inskrywings wat alienvault of OTX bevat om te bevestig dat gebeure korrek verwerk word.

---

Wenke en probleemoplossing

• As die Ongeldige API-sleutel-fout verskyn, genereer 'n nuwe sleutel op die OTX-portaal.
• Kyk of die OTXv2-module binne die Wazuh Python-omgewing geïnstalleer is (/var/ossec/framework/python/bin/python3).
• Gebruik systemctl status wazuh-manager om te kyk of die diens loop.

---

Engelse weergawe

Oorsig

Hierdie volledige gids verduidelik stap-vir-stap hoe om AlienVault OTX (Open Threat Exchange) met Wazuh te integreer, sodat jou moniteringsomgewing outomaties bekende kwaadwillige domeine en IP-adresse kan opspoor. Die integrasie maak gebruik van Python-skrifte en pasgemaakte Wazuh-reëls om die OTX API te bevraagteken wanneer spesifieke gebeurtenisse geaktiveer word.

Hierdie opstelling is veral nuttig vir sekuriteitspanne wat bedreigingsintelligensie-korrelasie en gebeurtenisbespeuring wil outomatiseer, wat beide sigbaarheid en reaksietyd verbeter.

---

Vereistes

Voordat jy begin, maak seker jy het:

• Wazuh Bestuurder (weergawe 4.x of hoër)
• Python en OTXv2 module geïnstalleer
• Wortel- of administratiewe voorregte
• 'n Geldige OTX API-sleutel, gratis beskikbaar vanaf https://otx.alienvault.com

Om die vereiste module te installeer:

sudo /var/ossec/framework/python/bin/python3 -m pip installeer OTXv2

---

Vereiste lêers

Laai die hoofintegrasielêers van die GitHub-bewaarplek af:

• custom-alienvault
• custom-alienvault.py
• alienOTX.xml

Laai ook die get_malicious.py-skrip af vanaf die amptelike OTX SDK:

• get_malicious.py (amptelike repo)

Skuif al hierdie lêers na:

/var/ossec/integrasies/

---

Stel toestemmings in

chown root:wazuh custom-alienvault custom-alienvault.py get_malicious.py
chmod 750 custom-alienvault custom-alienvault.py get_malicious.py

---

Konfigureer die API-sleutel

Wysig custom-alienvault.py en vervang:

API_KEY = 'APIKEY'

met jou huidige API-sleutel, byvoorbeeld:

API_KEY = 'yor_api_key_hier'

Hierdie sleutel word benodig vir verifikasie met die OTX API.

---

Redigeer die Wazuh-konfigurasie

In /var/ossec/etc/ossec.conf, voeg by:

<integrasie>
    <name>custom-alienvault</name>
    <group>sysmon_event_22</group>
    <alert_format>json</alert_format>
</integrasie>

---

Voeg reëls by

Kopieer die alienOTX.xml-lêer na /var/ossec/etc/rules/.

---

Herbegin Wazuh

sudo systemctl herbegin wazuh-bestuurder

---

Toets die integrasie

kat >>tmp/test_alert.json <<'JSON'
{
  "agent": { "id": "001", "name": "toets-agent", "ip": "127.0.0.1" },
  "data": { "win": { "eventdata": { "queryName": "fact-pendientes.com" } } }
}
JSON

sudo /var/ossec/integrations/custom-alienvault /tmp/test_alert.json

Indien kwaadwillig → Geïdentifiseer as potensieel kwaadwillig Indien veilig → Onbekend of nie geïdentifiseer as kwaadwillig nie

---

Gaan logs na

Gaan integrasie logs na:

kat /var/ossec/logs/integrations.log | grep alienvault

---

Finale notas

As jy 'n 'Ongeldige API-sleutel'-fout ontvang, verifieer jou sleutel of hergenereer 'n nuwe een by die OTX-portaal. Maak altyd seker dat jou Python-omgewing binne Wazuh die OTXv2-biblioteek geïnstalleer het.