Integración de AlienVault OTX con Wazuh (Guía completa)

22/10/2025

versión portuguesa

Descripción general

Esta guía detallada explica paso a paso cómo integrar AlienVault OTX (Open Threat Exchange) con Wazuh, lo que permite que su entorno de monitoreo detecte automáticamente dominios maliciosos y direcciones IP conocidos. La integración utiliza scripts de Python y reglas personalizadas en Wazuh para consultar la API de OTX cada vez que se detectan eventos específicos.

La integración es especialmente útil para los equipos de seguridad que desean automatizar la correlación de eventos y la inteligencia de amenazas, mejorando la visibilidad y la respuesta a incidentes.

---

Requisitos previos

Antes de comenzar, verifique si su entorno tiene:

• Wazuh Manager instalado (versión 4.x o superior)
• Python y el módulo OTXv2 instalado en el entorno Wazuh
• Acceso root o permisos administrativos
• Una Clave API OTX válida, obtenida de forma gratuita en el portal AlienVault (https://otx.alienvault.com)

Para instalar el módulo requerido, ejecute:

sudo /var/ossec/framework/python/bin/python3 -m pip instalar OTXv2

---

Archivos requeridos

Para simplificar el proceso, los archivos principales ahora están disponibles para descargar directamente desde el repositorio de GitHub:

• [alienvault personalizado] (https://github.com/Looorenz/Alienvault-OTX-Wazuh/blob/main/custom-alienvault)
• custom-alienvault.py
• alienOTX.xml

Además de estos, debes descargar el archivo get_malicious.py directamente desde el repositorio oficial de OTX SDK:

• get_malicious.py (repositorio oficial)

Después de descargar los archivos, muévalos todos al directorio:

/var/ossec/integraciones/

---

Permisos y propiedad

Para garantizar que Wazuh pueda ejecutar scripts correctamente, establezca los permisos adecuados:

raíz de chown:wazuh custom-alienvault custom-alienvault.py get_malicious.py
chmod 750 alienvault personalizado personalizado-alienvault.py get_malicious.py

---

Configuración de clave API

Abra el archivo custom-alienvault.py y reemplace la línea:

API_KEY = 'APIKEY'

Para su clave API OTX válida. Ejemplo:

API_KEY = 'yor_api_key_aquí'

Esta clave se utilizará para autenticar consultas a la API de AlienVault.

---

Configurando Wazuh (ossec.conf)

Abra el archivo de configuración de Wazuh:

sudo nano /var/ossec/etc/ossec.conf

Y agregue la siguiente integración dentro de la etiqueta <ossec_config>:

<integración>
    <nombre>bóveda alienígena personalizada</nombre>
    <grupo>sysmon_event_22</grupo>
    <alert_format>json</alert_format>
</integración>

Esta configuración indica que Wazuh debe activar el script custom-alienvault.py cada vez que se genera una alerta del grupo sysmon_event_22 (como eventos de consulta de DNS).

---

Agregar reglas a Wazuh

Copie el archivo de reglas alienOTX.xml al directorio:

sudo cp alienOTX.xml /var/ossec/etc/rules/

El contenido básico del archivo es:

<nombre del grupo="alienvault_alert,">
  <regla id="100010" nivel="12">
    <field name="integración">alienvault</field>
    <descripción>AlienVault - DOMINIO OTX encontrado</descripción>
    <opciones>no_full_log</opciones>
  </regla>
</grupo>

Estas reglas definen el comportamiento de Wazuh al identificar un dominio presente en la base de datos OTX.

---

Reiniciando Wazuh

Después de todos los cambios, reinicie el servicio para aplicar la configuración:

sudo systemctl reiniciar wazuh-manager

---

Probando la integración

Para probar, cree un archivo de alerta de muestra:

gato >>tmp/test_alert.json <<'JSON'
{
  "agente": { "id": "001", "nombre": "agente-prueba", "ip": "127.0.0.1" },
  "fecha": {
    "ganar": {
      "datos de evento": {
        "queryName": "hecho-pendientes.com"
      }
    }
  }
}
JSON

Ahora ejecute el script manualmente:

sudo /var/ossec/integrations/custom-alienvault /tmp/test_alert.json

Si el dominio aparece en OTX, verá el mensaje:

Identificado como potencialmente malicioso

De lo contrario:

Desconocido o no identificado como malicioso

---

Comprobando los registros

Se pueden ver los registros de integraciónificado en el archivo:

/var/ossec/logs/integrations.log

Busque entradas que contengan "alienvault" u "OTX" para confirmar que los eventos se están procesando correctamente.

---

Consejos y solución de problemas

• Si aparece el error "Clave API no válida", genere una nueva clave en el portal OTX.
• Verifique si el módulo OTXv2 está instalado dentro del entorno Wazuh Python (/var/ossec/framework/python/bin/python3).
• Utilice systemctl status wazuh-manager para verificar si el servicio se está ejecutando.

---

Versión en inglés

Descripción general

Esta guía completa explica paso a paso cómo integrar AlienVault OTX (Open Threat Exchange) con Wazuh, permitiendo que su entorno de monitoreo detecte automáticamente dominios maliciosos y direcciones IP conocidos. La integración aprovecha los scripts de Python y las reglas personalizadas de Wazuh para consultar la API de OTX cada vez que se activan eventos específicos.

Esta configuración es particularmente útil para los equipos de seguridad que desean automatizar la correlación de inteligencia de amenazas y la detección de eventos, mejorando tanto la visibilidad como el tiempo de respuesta.

---

Requisitos

Antes de comenzar, asegúrese de tener:

• Wazuh Manager (versión 4.x o superior)
• Python y módulo OTXv2 instalados
• Privilegios root o administrativos
• Una Clave API OTX válida, disponible de forma gratuita en https://otx.alienvault.com

Para instalar el módulo requerido:

sudo /var/ossec/framework/python/bin/python3 -m pip instalar OTXv2

---

Archivos requeridos

Descarga los principales archivos de integración desde el repositorio de GitHub:

• [alienvault personalizado] (https://github.com/Looorenz/Alienvault-OTX-Wazuh/blob/main/custom-alienvault)
• custom-alienvault.py
• alienOTX.xml

Además, descargue el script get_malicious.py del OTX SDK oficial:

• get_malicious.py (repositorio oficial)

Mueva todos estos archivos a:

/var/ossec/integraciones/

---

Configuración de permisos

raíz de chown:wazuh custom-alienvault custom-alienvault.py get_malicious.py
chmod 750 alienvault personalizado personalizado-alienvault.py get_malicious.py

---

Configuración de la clave API

Edite custom-alienvault.py y reemplace:

API_KEY = 'APIKEY'

con su clave API actual, por ejemplo:

API_KEY = 'yor_api_key_aquí'

Esta clave es necesaria para la autenticación con la API OTX.

---

Editando la configuración de Wazuh

En /var/ossec/etc/ossec.conf, agregue:

<integración>
    <nombre>bóveda alienígena personalizada</nombre>
    <grupo>sysmon_event_22</grupo>
    <alert_format>json</alert_format>
</integración>

---

Agregar reglas

Copie el archivo alienOTX.xml a /var/ossec/etc/rules/.

---

Reiniciando Wazuh

sudo systemctl reiniciar wazuh-manager

---

Probando la integración

gato >>tmp/test_alert.json <<'JSON'
{
  "agente": { "id": "001", "nombre": "agente-prueba", "ip": "127.0.0.1" },
  "data": { "win": { "eventdata": { "queryName": "fact-pendientes.com" } } }
}
JSON

sudo /var/ossec/integrations/custom-alienvault /tmp/test_alert.json

Si es malicioso → Identificado como potencialmente malicioso Si es seguro → Desconocido o no identificado como malicioso

---

Comprobando registros

Verifique los registros de integración:

gato /var/ossec/logs/integrations.log | grep bóveda alienígena

---

Notas finales

Si recibe un error de "Clave API no válida", verifique su clave o regenere una nueva en el portal OTX. Asegúrese siempre de que su entorno Python dentro de Wazuh tenga instalada la biblioteca OTXv2.