AlienVault OTX-Integration mit Wazuh (vollständige Anleitung)

22.10.2025

Portugiesische Version

Übersicht

In dieser detaillierten Anleitung wird Schritt für Schritt erläutert, wie Sie AlienVault OTX (Open Threat Exchange) mit Wazuh integrieren, sodass Ihre Überwachungsumgebung bekannte schädliche Domänen und IP-Adressen automatisch erkennen kann. Die Integration nutzt Python-Skripte und benutzerdefinierte Regeln in Wazuh, um die OTX-API abzufragen, wenn bestimmte Ereignisse erkannt werden.

Die Integration ist besonders nützlich für Sicherheitsteams, die die Ereigniskorrelation und Threat Intelligence automatisieren und so die Sichtbarkeit und Reaktion auf Vorfälle verbessern möchten.

---

Voraussetzungen

Überprüfen Sie vor dem Start, ob in Ihrer Umgebung Folgendes vorhanden ist:

• Wazuh Manager installiert (Version 4.x oder höher)
• Python und das OTXv2-Modul in der Wazuh-Umgebung installiert
• Root-Zugriff oder Administratorrechte
• Ein gültiger OTX-API-Schlüssel, der kostenlos vom AlienVault-Portal (https://otx.alienvault.com) bezogen werden kann.

Um das erforderliche Modul zu installieren, führen Sie Folgendes aus:

„Bash sudo /var/ossec/framework/python/bin/python3 -m pip install OTXv2 „

---

Erforderliche Dateien

Um den Prozess zu vereinfachen, stehen die Hauptdateien jetzt direkt aus dem GitHub-Repository zum Download bereit:

• custom-alienvault
• custom-alienvault.py
• alienOTX.xml

Darüber hinaus müssen Sie die Datei get_malicious.py direkt aus dem offiziellen OTX SDK-Repository herunterladen:

• get_malicious.py (offizielles Repository)

Nachdem Sie die Dateien heruntergeladen haben, verschieben Sie sie alle in das Verzeichnis:

„Bash /var/ossec/integrations/ „

---

Berechtigungen und Eigentum

Um sicherzustellen, dass Wazuh Skripte korrekt ausführen kann, legen Sie die entsprechenden Berechtigungen fest:

„Bash chown root:wazuh custom-alienvault custom-alienvault.py get_malicious.py chmod 750 custom-alienvault custom-alienvault.py get_malicious.py „

---

API-Schlüsselkonfiguration

Öffnen Sie die Datei custom-alienvault.py und ersetzen Sie die Zeile:

„Python API_KEY = 'APIKEY' „

Für Ihren gültigen OTX-API-Schlüssel. Beispiel:

„Python API_KEY = 'yor_api_key_here' „

Dieser Schlüssel wird zur Authentifizierung von Abfragen an die AlienVault-API verwendet.

---

Wazuh konfigurieren (ossec.conf)

Öffnen Sie die Wazuh-Konfigurationsdatei:

„Bash sudo nano /var/ossec/etc/ossec.conf „

Und fügen Sie die folgende Integration innerhalb des „“-Tags hinzu:

„xml custom-alienvault sysmon_event_22 json „

Diese Konfiguration gibt an, dass Wazuh das Skript custom-alienvault.py immer dann auslösen soll, wenn eine Warnung von der Gruppe sysmon_event_22 generiert wird (z. B. DNS-Abfrageereignisse).

---

Regeln zu Wazuh hinzufügen

Kopieren Sie die Regeldatei alienOTX.xml in das Verzeichnis:

„Bash sudo cp alienOTX.xml /var/ossec/etc/rules/ „

Der grundlegende Inhalt der Datei ist:

„xml alienvault AlienVault – OTX-DOMÄNE gefunden no_full_log „

Diese Regeln definieren das Verhalten von Wazuh bei der Identifizierung einer in der OTX-Datenbank vorhandenen Domäne.

---

Wazuh neu starten

Nach allen Änderungen starten Sie den Dienst neu, um die Einstellungen zu übernehmen:

„Bash sudo systemctl wazuh-manager neu starten „

---

Testen der Integration

Erstellen Sie zum Testen eine Beispielwarnungsdatei:

„Bash cat >>tmp/test_alert.json <<'JSON' { „agent“: { „id“: „001“, „name“: „test-agent“, „ip“: „127.0.0.1“ }, „Datum“: { „gewinnen“: { „eventdata“: { „queryName“: „fact-pendientes.com“ } } } } JSON „

Führen Sie nun das Skript manuell aus:

„Bash sudo /var/ossec/integrations/custom-alienvault /tmp/test_alert.json „

Wenn die Domain bei OTX gelistet ist, wird die Meldung angezeigt:

„ Als potenziell bösartig identifiziert „

Ansonsten:

„ Unbekannt oder nicht als bösartig identifiziert „

---

Überprüfen der Protokolle

Integrationsprotokolle können angezeigt werdenin der Datei angegeben:

„Bash /var/ossec/logs/integrations.log „

Suchen Sie nach Einträgen, die „alienvault“ oder „OTX“ enthalten, um zu bestätigen, dass Ereignisse korrekt verarbeitet werden.

---

Tipps und Fehlerbehebung

• Wenn der Fehler „Ungültiger API-Schlüssel“ auftritt, generieren Sie einen neuen Schlüssel im OTX-Portal.
• Überprüfen Sie, ob das OTXv2-Modul in der Wazuh Python-Umgebung installiert ist (/var/ossec/framework/python/bin/python3).
• Verwenden Sie „systemctl status wazuh-manager“, um zu überprüfen, ob der Dienst ausgeführt wird.

---

Englische Version

Übersicht

In dieser vollständigen Anleitung wird Schritt für Schritt erläutert, wie Sie AlienVault OTX (Open Threat Exchange) mit Wazuh integrieren, sodass Ihre Überwachungsumgebung bekannte schädliche Domänen und IP-Adressen automatisch erkennen kann. Die Integration nutzt Python-Skripte und benutzerdefinierte Wazuh-Regeln, um die OTX-API abzufragen, wenn bestimmte Ereignisse ausgelöst werden.

Dieses Setup ist besonders nützlich für Sicherheitsteams, die die Korrelation von Bedrohungsinformationen und die Ereigniserkennung automatisieren und so sowohl die Sichtbarkeit als auch die Reaktionszeit verbessern möchten.

---

Anforderungen

Bevor Sie beginnen, stellen Sie sicher, dass Sie Folgendes haben:

• Wazuh Manager (Version 4.x oder höher)
• Python- und OTXv2-Modul installiert
• Root- oder Administratorrechte
• Ein gültiger OTX-API-Schlüssel, kostenlos verfügbar unter https://otx.alienvault.com

So installieren Sie das erforderliche Modul:

„Bash sudo /var/ossec/framework/python/bin/python3 -m pip install OTXv2 „

---

Erforderliche Dateien

Laden Sie die Hauptintegrationsdateien aus dem GitHub-Repository herunter:

• custom-alienvault
• custom-alienvault.py
• alienOTX.xml

Laden Sie außerdem das Skript get_malicious.py vom offiziellen OTX SDK herunter:

• get_malicious.py (offizielles Repo)

Verschieben Sie alle diese Dateien nach:

„Bash /var/ossec/integrations/ „

---

Berechtigungen festlegen

„Bash chown root:wazuh custom-alienvault custom-alienvault.py get_malicious.py chmod 750 custom-alienvault custom-alienvault.py get_malicious.py „

---

Konfigurieren des API-Schlüssels

Bearbeiten Sie custom-alienvault.py und ersetzen Sie:

„Python API_KEY = 'APIKEY' „

mit Ihrem aktuellen API-Schlüssel, zum Beispiel:

„Python API_KEY = 'yor_api_key_here' „

Dieser Schlüssel wird für die Authentifizierung mit der OTX-API benötigt.

---

Bearbeiten der Wazuh-Konfiguration

Fügen Sie in „/var/ossec/etc/ossec.conf“ Folgendes hinzu:

„xml custom-alienvault sysmon_event_22 json „

---

Regeln hinzufügen

Kopieren Sie die Datei alienOTX.xml nach „/var/ossec/etc/rules/“.

---

Wazuh neu starten

„Bash sudo systemctl wazuh-manager neu starten „

---

Testen der Integration

„Bash cat >>tmp/test_alert.json <<'JSON' { „agent“: { „id“: „001“, „name“: „test-agent“, „ip“: „127.0.0.1“ }, "data": { "win": { "eventdata": { "queryName": "fact-pendientes.com" } } } } JSON

sudo /var/ossec/integrations/custom-alienvault /tmp/test_alert.json „

Wenn bösartig → „Als potenziell bösartig identifiziert“. Wenn sicher → „Unbekannt oder nicht als bösartig identifiziert“.

---

Protokolle prüfen

Überprüfen Sie die Integrationsprotokolle:

„Bash cat /var/ossec/logs/integrations.log | grep Alienvault „

---

Schlussbemerkungen

Wenn Sie die Fehlermeldung „Ungültiger API-Schlüssel“ erhalten, überprüfen Sie Ihren Schlüssel oder generieren Sie im OTX-Portal einen neuen. Stellen Sie immer sicher, dass in Ihrer Python-Umgebung in Wazuh die OTXv2-Bibliothek installiert ist.