تكامل AlienVault OTX مع Wazuh (الدليل الكامل)

22/10/2025

النسخة البرتغالية

نظرة عامة

يشرح هذا الدليل المفصل خطوة بخطوة كيفية دمج AlienVault OTX (Open Threat Exchange) مع Wazuh، مما يتيح لبيئة المراقبة لديك اكتشاف النطاقات الضارة وعناوين IP المعروفة تلقائيًا. يستفيد التكامل من نصوص Python والقواعد المخصصة في Wazuh للاستعلام عن OTX API عند اكتشاف أحداث معينة.

يعد التكامل مفيدًا بشكل خاص لفرق الأمان التي ترغب في أتمتة ارتباط الأحداث وذكاء التهديدات، وتحسين الرؤية والاستجابة للحوادث.

---

المتطلبات الأساسية

قبل البدء، تحقق مما إذا كانت بيئتك تحتوي على:

• تثبيت Wazuh Manager (الإصدار 4.x أو أعلى)
• تم تثبيت Python ووحدة OTXv2 في بيئة Wazuh
• الوصول إلى الجذر أو الأذونات الإدارية
• مفتاح OTX API صالح، تم الحصول عليه مجانًا من بوابة AlienVault (https://otx.alienvault.com)

لتثبيت الوحدة المطلوبة، قم بتشغيل:

Sudo /var/ossec/framework/python/bin/python3 -m pip install OTXv2

---

الملفات المطلوبة

لتبسيط العملية، أصبحت الملفات الرئيسية متاحة الآن للتنزيل مباشرة من مستودع GitHub:

• مخصص-alienvault
• custom-alienvault.py
• alienOTX.xml

بالإضافة إلى ذلك، تحتاج إلى تنزيل الملف get_malicious.py مباشرةً من مستودع OTX SDK الرسمي:

• get_malicious.py (المستودع الرسمي)

بعد تنزيل الملفات انقلها كلها إلى الدليل:

/فار/ossec/التكامل/

---

الأذونات والملكية

للتأكد من قدرة Wazuh على تشغيل البرامج النصية بشكل صحيح، قم بتعيين الأذونات المناسبة:

جذر chown:wazuh custom-alienvault custom-alienvault.py get_malicious.py
chmod 750 custom-alienvault custom-alienvault.py get_malicious.py

---

تكوين مفتاح API

افتح الملف custom-alienvault.py واستبدل السطر:

API_KEY = 'APIKEY'

للحصول على مفتاح OTX API الصالح. مثال:

API_KEY = 'yor_api_key_here'

سيتم استخدام هذا المفتاح لمصادقة الاستعلامات إلى AlienVault API.

---

تكوين Wazuh (ossec.conf)

افتح ملف تكوين Wazuh:

سودو نانو /var/ossec/etc/ossec.conf

وأضف التكامل التالي داخل العلامة <ossec_config>:

```إكس إم إل <التكامل> تخصيص Alienvault sysmon_event_22 json </التكامل>

يشير هذا التكوين إلى أنه يجب على Wazuh تشغيل البرنامج النصي **custom-alienvault.py** كلما تم إنشاء تنبيه من مجموعة **sysmon_event_22** (مثل أحداث استعلام DNS).

---

### إضافة قواعد إلى Wazuh

انسخ ملف القواعد **alienOTX.xml** إلى الدليل:

``` باش
Sudo cp AlienOTX.xml /var/ossec/etc/rules/

المحتويات الأساسية للملف هي:

```إكس إم إل <اسم المجموعة = "alienvault_alert،"> <معرف القاعدة = "100010" المستوى = "12"> alienvault AlienVault - تم العثور على مجال OTX no_full_log </القاعدة> </المجموعة>

تحدد هذه القواعد سلوك Wazuh عند تحديد مجال موجود في قاعدة بيانات OTX.

---

### إعادة تشغيل وازوه

بعد كل التغييرات، أعد تشغيل الخدمة لتطبيق الإعدادات:

``` باش
سودو systemctl إعادة تشغيل wazuh-manager

---

اختبار التكامل

للاختبار، قم بإنشاء ملف تنبيه نموذجي:

القط >>tmp/test_alert.json <<'JSON'
{
  "agent": { "id": "001"، "name": "test-agent"، "ip": "127.0.0.1" }،
  "التاريخ": {
    "الفوز": {
      "بيانات الحدث": {
        "queryName": "fact-pendientes.com"
      }
    }
  }
}
JSON

الآن قم بتشغيل البرنامج النصي يدويًا:

Sudo /var/ossec/integrations/custom-alienvault /tmp/test_alert.json

إذا كان النطاق مدرجًا على OTX، فسترى الرسالة:

تم تحديدها على أنها ضارة محتملة

خلاف ذلك:

غير معروف أو لم يتم تحديده على أنه ضار

---

التحقق من السجلات

يمكن الاطلاع على سجلات التكاملالموضحة في الملف:

/var/ossec/logs/integrations.log

ابحث عن الإدخالات التي تحتوي على "alienvault" أو "OTX" للتأكد من معالجة الأحداث بشكل صحيح.

---

النصائح واستكشاف الأخطاء وإصلاحها

• إذا ظهر الخطأ "مفتاح API غير صالح"، فقم بإنشاء مفتاح جديد على بوابة OTX.
• تحقق من تثبيت وحدة OTXv2 داخل بيئة Wazuh Python (/var/ossec/framework/python/bin/python3).
• استخدم "systemctl Status wazuh-manager" للتحقق مما إذا كانت الخدمة قيد التشغيل.

---

النسخة الانجليزية

نظرة عامة

يشرح هذا الدليل الكامل خطوة بخطوة كيفية دمج AlienVault OTX (Open Threat Exchange) مع Wazuh، مما يسمح لبيئة المراقبة لديك باكتشاف النطاقات الضارة وعناوين IP المعروفة تلقائيًا. يعمل التكامل على تعزيز نصوص Python وقواعد Wazuh المخصصة للاستعلام عن واجهة برمجة تطبيقات OTX عند تشغيل أحداث معينة.

يعد هذا الإعداد مفيدًا بشكل خاص لفرق الأمان التي ترغب في أتمتة ارتباط معلومات التهديدات واكتشاف الأحداث، مما يؤدي إلى تحسين الرؤية ووقت الاستجابة.

---

المتطلبات

قبل البدء، تأكد من أن لديك:

• مدير Wazuh (الإصدار 4.x أو أعلى)
• تم تثبيت وحدة Python و OTXv2
• الجذر أو الامتيازات الإدارية
• مفتاح OTX API صالح، متاح مجانًا من https://otx.alienvault.com

لتثبيت الوحدة المطلوبة:

Sudo /var/ossec/framework/python/bin/python3 -m pip install OTXv2

---

الملفات المطلوبة

قم بتنزيل ملفات التكامل الرئيسية من مستودع GitHub:

• مخصص-alienvault
• custom-alienvault.py
• alienOTX.xml

بالإضافة إلى ذلك، قم بتنزيل البرنامج النصي get_malicious.py من OTX SDK الرسمي:

• get_malicious.py (الريبو الرسمي)

انقل كل هذه الملفات إلى:

/فار/ossec/التكامل/

---

تحديد الأذونات

جذر chown:wazuh custom-alienvault custom-alienvault.py get_malicious.py
chmod 750 custom-alienvault custom-alienvault.py get_malicious.py

---

تكوين مفتاح API

تحرير custom-alienvault.py واستبدال:

API_KEY = 'APIKEY'

باستخدام مفتاح API الحالي لديك، على سبيل المثال:

API_KEY = 'yor_api_key_here'

هذا المفتاح مطلوب للمصادقة باستخدام OTX API.

---

تحرير تكوين Wazuh

في /var/ossec/etc/ossec.conf، أضف:

```إكس إم إل <التكامل> تخصيص Alienvault sysmon_event_22 json </التكامل>

---

### إضافة القواعد

انسخ الملف **alienOTX.xml** إلى `/var/ossec/etc/rules/`.

---

### إعادة تشغيل وازوه

``` باش
سودو systemctl إعادة تشغيل wazuh-manager

---

اختبار التكامل

القط >>tmp/test_alert.json <<'JSON'
{
  "agent": { "id": "001"، "name": "test-agent"، "ip": "127.0.0.1" }،
  "data": { "win": { "eventdata": { "queryName": "fact-pendientes.com" } } }
}
JSON

Sudo /var/ossec/integrations/custom-alienvault /tmp/test_alert.json

إذا كانت ضارة → تم تحديدها على أنها ضارة محتملة إذا كان آمنًا → غير معروف أو لم يتم تحديده على أنه ضار

---

فحص السجلات

التحقق من سجلات التكامل:

القط /var/ossec/logs/integrations.log | grep Alienvault

---

الملاحظات النهائية

إذا تلقيت خطأ "مفتاح واجهة برمجة التطبيقات غير صالح"، فتحقق من مفتاحك أو قم بإعادة إنشاء مفتاح جديد على بوابة OTX. تأكد دائمًا من تثبيت مكتبة OTXv2 في بيئة Python الخاصة بك داخل Wazuh.