Intégration AlienVault OTX avec Wazuh (Guide complet)

22/10/2025

version portugaise

Aperçu

Ce guide détaillé explique étape par étape comment intégrer AlienVault OTX (Open Threat Exchange) à Wazuh, permettant à votre environnement de surveillance de détecter automatiquement les domaines et adresses IP malveillants connus. L'intégration utilise des scripts Python et des règles personnalisées dans Wazuh pour interroger l'API OTX chaque fois que des événements spécifiques sont détectés.

L'intégration est particulièrement utile pour les équipes de sécurité qui souhaitent automatiser la corrélation des événements et la Threat Intelligence, améliorant ainsi la visibilité et la réponse aux incidents.

---

Prérequis

Avant de commencer, vérifiez si votre environnement dispose :

• Wazuh Manager installé (version 4.x ou supérieure)
• Python et le module OTXv2 installés dans l'environnement Wazuh
• Accès root ou autorisations administratives
• Une clé API OTX valide, obtenue gratuitement sur le portail AlienVault (https://otx.alienvault.com)

Pour installer le module requis, exécutez :

sudo /var/ossec/framework/python/bin/python3 -m pip install OTXv2

---

Fichiers requis

Pour simplifier le processus, les principaux fichiers sont désormais disponibles en téléchargement directement depuis le référentiel GitHub :

• custom-alienvault
• custom-alienvault.py
• alienOTX.xml

En plus de ceux-ci, vous devez télécharger le fichier get_malicious.py directement depuis le référentiel officiel du SDK OTX :

• get_malicious.py (dépôt officiel)

Après avoir téléchargé les fichiers, déplacez-les tous dans le répertoire :

/var/ossec/intégrations/

---

Autorisations et propriété

Pour vous assurer que Wazuh peut exécuter correctement les scripts, définissez les autorisations appropriées :

racine chown : wazuh custom-alienvault custom-alienvault.py get_malicious.py
chmod 750 personnalisé-alienvault personnalisé-alienvault.py get_malicious.py

---

Configuration de la clé API

Ouvrez le fichier custom-alienvault.py et remplacez la ligne :

API_KEY = 'APIKEY'

Pour votre clé API OTX valide. Exemple :

API_KEY = 'yor_api_key_here'

Cette clé sera utilisée pour authentifier les requêtes auprès de l'API AlienVault.

---

Configuration de Wazuh (ossec.conf)

Ouvrez le fichier de configuration Wazuh :

sudo nano /var/ossec/etc/ossec.conf

Et ajoutez l'intégration suivante dans la balise <ossec_config> :

<intégration>
    <nom>coffre-extraterrestre personnalisé</nom>
    <groupe>sysmon_event_22</groupe>
    <alert_format>json</alert_format>
</intégration>

Cette configuration indique que Wazuh doit déclencher le script custom-alienvault.py chaque fois qu'une alerte du groupe sysmon_event_22 est générée (comme des événements de requête DNS).

---

Ajout de règles à Wazuh

Copiez le fichier de règles alienOTX.xml dans le répertoire :

sudo cp alienOTX.xml /var/ossec/etc/rules/

Le contenu de base du fichier est :

<nom du groupe="alienvault_alert,">
  <ID de règle="100010" niveau="12">
    <field name="integration">alienvault</field>
    <description>AlienVault - DOMAINE OTX trouvé</description>
    <options>no_full_log</options>
  </règle>
</groupe>

Ces règles définissent le comportement de Wazuh lors de l'identification d'un domaine présent dans la base de données OTX.

---

Redémarrage de Wazuh

Après toutes les modifications, redémarrez le service pour appliquer les paramètres :

sudo systemctl redémarrer wazuh-manager

---

Test de l'intégration

Pour tester, créez un exemple de fichier d'alerte :

cat >>tmp/test_alert.json <<'JSON'
{
  "agent": { "id": "001", "name": "test-agent", "ip": "127.0.0.1" },
  "date": {
    "gagner": {
      "données d'événement": {
        "queryName": "fact-pendientes.com"
      }
    }
  }
}
JSON

Exécutez maintenant le script manuellement :

sudo /var/ossec/integrations/custom-alienvault /tmp/test_alert.json

Si le domaine est répertorié sur OTX, vous verrez le message :

Identifié comme potentiellement malveillant

Sinon :

Inconnu ou non identifié comme malveillant

---

Vérification des journaux

Les journaux d'intégration peuvent être consultésifié dans le fichier :

/var/ossec/logs/integrations.log

Recherchez les entrées contenant « alienvault » ou « OTX » pour confirmer que les événements sont traités correctement.

---

Conseils et dépannage

• Si l'erreur « Clé API invalide » apparaît, générez une nouvelle clé sur le portail OTX.
• Vérifiez si le module OTXv2 est installé dans l'environnement Wazuh Python (/var/ossec/framework/python/bin/python3).
• Utilisez systemctl status wazuh-manager pour vérifier si le service est en cours d'exécution.

---

Version anglaise

Aperçu

Ce guide complet explique étape par étape comment intégrer AlienVault OTX (Open Threat Exchange) à Wazuh, permettant à votre environnement de surveillance de détecter automatiquement les domaines et adresses IP malveillants connus. L'intégration exploite des scripts Python et des règles Wazuh personnalisées pour interroger l'API OTX chaque fois que des événements spécifiques sont déclenchés.

Cette configuration est particulièrement utile pour les équipes de sécurité qui souhaitent automatiser la corrélation des renseignements sur les menaces et la détection des événements, améliorant ainsi la visibilité et le temps de réponse.

---

Exigences

Avant de commencer, assurez-vous d'avoir :

• Wazuh Manager (version 4.x ou supérieure)
• Module Python et OTXv2 installés
• Privilèges root ou administratifs
• Une clé API OTX valide, disponible gratuitement sur https://otx.alienvault.com

Pour installer le module requis :

sudo /var/ossec/framework/python/bin/python3 -m pip install OTXv2

---

Fichiers requis

Téléchargez les principaux fichiers d'intégration depuis le référentiel GitHub :

• custom-alienvault
• custom-alienvault.py
• alienOTX.xml

De plus, téléchargez le script get_malicious.py à partir du SDK OTX officiel :

• get_malicious.py (dépôt officiel)

Déplacez tous ces fichiers vers :

/var/ossec/intégrations/

---

Définition des autorisations

racine chown : wazuh custom-alienvault custom-alienvault.py get_malicious.py
chmod 750 personnalisé-alienvault personnalisé-alienvault.py get_malicious.py

---

Configuration de la clé API

Modifiez custom-alienvault.py et remplacez :

API_KEY = 'APIKEY'

avec votre clé API actuelle, par exemple :

API_KEY = 'yor_api_key_here'

Cette clé est requise pour l'authentification avec l'API OTX.

---

Modification de la configuration Wazuh

Dans /var/ossec/etc/ossec.conf, ajoutez :

<intégration>
    <nom>coffre-extraterrestre personnalisé</nom>
    <groupe>sysmon_event_22</groupe>
    <alert_format>json</alert_format>
</intégration>

---

Ajout de règles

Copiez le fichier alienOTX.xml dans /var/ossec/etc/rules/.

---

Redémarrage de Wazuh

sudo systemctl redémarrer wazuh-manager

---

Test de l'intégration

cat >>tmp/test_alert.json <<'JSON'
{
  "agent": { "id": "001", "name": "test-agent", "ip": "127.0.0.1" },
  "data": { "win": { "eventdata": { "queryName": "fact-pendientes.com" } } }
}
JSON

sudo /var/ossec/integrations/custom-alienvault /tmp/test_alert.json

Si malveillant → Identifié comme potentiellement malveillant Si sûr → « Inconnu ou non identifié comme malveillant »

---

Vérification des journaux

Vérifiez les journaux d'intégration :

cat /var/ossec/logs/integrations.log | grep alienvault

---

Notes finales

Si vous recevez une erreur « Clé API invalide », vérifiez votre clé ou régénérez-en une nouvelle sur le portail OTX. Assurez-vous toujours que votre environnement Python dans Wazuh dispose de la bibliothèque OTXv2 installée.