Integrace AlienVault OTX s Wazuh (kompletní průvodce)
22. 10. 2025
Portugalská verze
Přehled
Tento podrobný průvodce vysvětluje krok za krokem, jak integrovat AlienVault OTX (Open Threat Exchange) s Wazuh, což umožňuje vašemu monitorovacímu prostředí automaticky detekovat známé škodlivé domény a IP adresy. Integrace využívá Python skripty a vlastní pravidla ve Wazuh k dotazování na OTX API vždy, když jsou detekovány konkrétní události.
Integrace je užitečná zejména pro bezpečnostní týmy, které chtějí automatizovat korelaci událostí a Threat Intelligence, zlepšit viditelnost a reakci na incidenty.
Předpoklady
Než začnete, zkontrolujte, zda vaše prostředí obsahuje:
- Nainstalovaný Wazuh Manager (verze 4.x nebo vyšší)
- Python a modul OTXv2 nainstalovaný v prostředí Wazuh
- Přístup root nebo oprávnění správce
- Platný OTX API Key, získaný zdarma z portálu AlienVault (https://otx.alienvault.com)
Chcete-li nainstalovat požadovaný modul, spusťte:
sudo /var/ossec/framework/python/bin/python3 -m pip install OTXv2
Požadované soubory
Pro zjednodušení procesu jsou nyní hlavní soubory k dispozici ke stažení přímo z úložiště GitHub:
Kromě toho si musíte stáhnout soubor get_malicious.py přímo z oficiálního úložiště OTX SDK:
Po stažení souborů je všechny přesuňte do adresáře:
/var/ossec/integrations/
Oprávnění a vlastnictví
Chcete-li zajistit, aby Wazuh mohl správně spouštět skripty, nastavte příslušná oprávnění:
chown root:wazuh custom-alienvault custom-alienvault.py get_malicious.py
chmod 750 custom-alienvault custom-alienvault.py get_malicious.py
Konfigurace klíče API
Otevřete soubor custom-alienvault.py a nahraďte řádek:
API_KEY = 'APIKEY'
Pro váš platný OTX API klíč. Příklad:
API_KEY = 'yor_api_key_here'
Tento klíč bude použit k ověření dotazů na AlienVault API.
Konfigurace Wazuh (ossec.conf)
Otevřete konfigurační soubor Wazuh:
sudo nano /var/ossec/etc/ossec.conf
A přidejte následující integraci do značky <ossec_config>:
<integrace>
<name>custom-alienvault</name>
<group>sysmon_event_22</group>
<alert_format>json</alert_format>
</integration>
Tato konfigurace naznačuje, že Wazuh by měl spustit skript custom-alienvault.py vždy, když se vygeneruje výstraha ze skupiny sysmon_event_22 (jako jsou události dotazu DNS).
Přidání pravidel do Wazuh
Zkopírujte soubor pravidel alienOTX.xml do adresáře:
sudo cp alienOTX.xml /var/ossec/etc/rules/
Základní obsah souboru je:
<group name="alienvault_alert,">
<rule id="100010" level="12">
<field name="integration">alienvault</field>
<description>AlienVault – DOMÉNA OTX nalezena</description>
<options>no_full_log</options>
</pravidlo>
</group>
Tato pravidla definují chování Wazuh při identifikaci domény přítomné v databázi OTX.
Restartování Wazuh
Po všech změnách restartujte službu a použijte nastavení:
sudo systemctl restartujte wazuh-manager
Testování integrace
Chcete-li otestovat, vytvořte vzorový soubor upozornění:
cat >>tmp/test_alert.json <<'JSON'
{
"agent": { "id": "001", "name": "test-agent", "ip": "127.0.0.1" },
"datum": {
"win": {
"eventdata": {
"queryName": "fact-pendientes.com"
}
}
}
}
JSON
Nyní spusťte skript ručně:
sudo /var/ossec/integrations/custom-alienvault /tmp/test_alert.json
Pokud je doména uvedena na OTX, zobrazí se zpráva:
Identifikováno jako potenciálně škodlivé
Jinak:
Neznámé nebo neidentifikované jako škodlivé
Kontrola protokolů
Lze zobrazit protokoly integraceuvedeno v souboru:
/var/ossec/logs/integrations.log
Vyhledejte záznamy obsahující alienvault nebo OTX, abyste potvrdili, že události jsou zpracovávány správně.
Tipy a řešení problémů
- Pokud se objeví chyba „Neplatný klíč API“, vygenerujte nový klíč na portálu OTX.
- Zkontrolujte, zda je modul OTXv2 nainstalován v prostředí Wazuh Python (
/var/ossec/framework/python/bin/python3). - Pomocí
systemctl status wazuh-managerzkontrolujte, zda služba běží.
Anglická verze
Přehled
Tento kompletní průvodce vysvětluje krok za krokem, jak integrovat AlienVault OTX (Open Threat Exchange) s Wazuh, což vašemu monitorovacímu prostředí umožní automaticky detekovat známé škodlivé domény a IP adresy. Integrace využívá skripty Pythonu a vlastní pravidla Wazuh k dotazování na OTX API, kdykoli jsou spuštěny konkrétní události.
Toto nastavení je užitečné zejména pro bezpečnostní týmy, které chtějí automatizovat korelaci informací o hrozbách a detekci událostí a zlepšit tak viditelnost i dobu odezvy.
Požadavky
Než začnete, ujistěte se, že máte:
- Wazuh Manager (verze 4.x nebo vyšší)
- Nainstalovaný modul Python a OTXv2
- Oprávnění root nebo administrátora
- Platný OTX API Key, dostupný zdarma na https://otx.alienvault.com
Chcete-li nainstalovat požadovaný modul:
sudo /var/ossec/framework/python/bin/python3 -m pip install OTXv2
Požadované soubory
Stáhněte si hlavní integrační soubory z úložiště GitHub:
Kromě toho si stáhněte skript get_malicious.py z oficiální sady OTX SDK:
Přesuňte všechny tyto soubory do:
/var/ossec/integrations/
Nastavení oprávnění
chown root:wazuh custom-alienvault custom-alienvault.py get_malicious.py
chmod 750 custom-alienvault custom-alienvault.py get_malicious.py
Konfigurace klíče API
Upravte custom-alienvault.py a nahraďte:
API_KEY = 'APIKEY'
s vaším aktuálním klíčem API, například:
API_KEY = 'yor_api_key_here'
Tento klíč je vyžadován pro ověření pomocí OTX API.
Úprava konfigurace Wazuh
V /var/ossec/etc/ossec.conf přidejte:
<integrace>
<name>custom-alienvault</name>
<group>sysmon_event_22</group>
<alert_format>json</alert_format>
</integration>
Přidávání pravidel
Zkopírujte soubor alienOTX.xml do /var/ossec/etc/rules/.
Restartování Wazuh
sudo systemctl restartujte wazuh-manager
Testování integrace
cat >>tmp/test_alert.json <<'JSON'
{
"agent": { "id": "001", "name": "test-agent", "ip": "127.0.0.1" },
"data": { "win": { "eventdata": { "queryName": "fact-pendientes.com" } } }
}
JSON
sudo /var/ossec/integrations/custom-alienvault /tmp/test_alert.json
Pokud je škodlivý → Identifikován jako potenciálně škodlivý
Pokud je bezpečný → Neznámý nebo neidentifikován jako škodlivý
Kontrola protokolů
Zkontrolujte protokoly integrace:
cat /var/ossec/logs/integrations.log | grep alienvault
Závěrečné poznámky
Pokud se zobrazí chyba „Neplatný klíč API“, ověřte svůj klíč nebo vygenerujte nový na portálu OTX. Vždy se ujistěte, že vaše prostředí Python uvnitř Wazuh má nainstalovanou knihovnu OTXv2.