वज़ुह के साथ एलियनवॉल्ट ओटीएक्स एकीकरण (संपूर्ण गाइड)

वज़ुह के साथ एलियनवॉल्ट ओटीएक्स एकीकरण (संपूर्ण गाइड)

10/22/2025

पुर्तगाली संस्करण

अवलोकन

यह विस्तृत मार्गदर्शिका चरण-दर-चरण बताती है कि एलियन वॉल्ट ओटीएक्स (ओपन थ्रेट एक्सचेंज) को वज़ुह के साथ कैसे एकीकृत किया जाए, जिससे आपका निगरानी वातावरण स्वचालित रूप से ज्ञात दुर्भावनापूर्ण डोमेन और आईपी पते का पता लगाने में सक्षम हो सके। जब भी विशिष्ट घटनाओं का पता चलता है तो एकीकरण ओटीएक्स एपीआई को क्वेरी करने के लिए वाज़ुह में पायथन स्क्रिप्ट और कस्टम नियमों का उपयोग करता है।

एकीकरण विशेष रूप से सुरक्षा टीमों के लिए उपयोगी है जो घटना सहसंबंध और खतरे की खुफिया जानकारी को स्वचालित करना चाहते हैं, दृश्यता और घटना प्रतिक्रिया में सुधार करना चाहते हैं।

पूर्वावश्यकताएँ

शुरू करने से पहले, जांचें कि क्या आपके परिवेश में:

  • वज़ुह प्रबंधक स्थापित (संस्करण 4.x या उच्चतर)
  • पायथन और OTXv2 मॉड्यूल वज़ुह वातावरण में स्थापित किया गया
  • रूट एक्सेस या प्रशासनिक अनुमतियाँ
  • एक मान्य ओटीएक्स एपीआई कुंजी, एलियनवॉल्ट पोर्टल से निःशुल्क प्राप्त की गई (https://otx.alienvault.com)

आवश्यक मॉड्यूल स्थापित करने के लिए, चलाएँ:

```बैश sudo /var/ossec/framework/python/bin/python3 -m pip install OTXv2


---

### आवश्यक फ़ाइलें

प्रक्रिया को सरल बनाने के लिए, मुख्य फ़ाइलें अब सीधे GitHub रिपॉजिटरी से डाउनलोड के लिए उपलब्ध हैं:

* [कस्टम-एलियनवॉल्ट](https://github.com/Looorenz/Alienvault-OTX-Wazuh/blob/main/custom-alienvault)
* [custom-alienvault.py](https://github.com/Looorenz/Alienvault-OTX-Wazuh/blob/main/custom-alienvault.py)
* [alienOTX.xml](https://github.com/Looorenz/Alienvault-OTX-Wazuh/blob/main/alienOTX.xml)

इनके अलावा, आपको **get_malicious.py** फ़ाइल को सीधे आधिकारिक OTX SDK रिपॉजिटरी से डाउनलोड करना होगा:

* [get_malicious.py (आधिकारिक भंडार)](https://github.com/AlienVault-OTX/OTX-Python-SDK/blob/master/examples/is_malicious/get_malicious.py)

फ़ाइलें डाउनलोड करने के बाद, उन सभी को निर्देशिका में ले जाएँ:

```बैश
/var/ossec/एकीकरण/

अनुमतियाँ और स्वामित्व

यह सुनिश्चित करने के लिए कि वज़ुह स्क्रिप्ट को सही ढंग से चला सकता है, उचित अनुमतियाँ सेट करें:

```बैश चाउन रूट:वाज़ुह कस्टम-एलियनवॉल्ट कस्टम-एलियनवॉल्ट.py get_malicious.py chmod 750 कस्टम-एलियनवॉल्ट कस्टम-एलियनवॉल्ट.py get_malicious.py


---

### एपीआई कुंजी कॉन्फ़िगरेशन

**custom-alienvault.py** फ़ाइल खोलें और लाइन बदलें:

```अजगर
API_KEY = 'APIKEY'

आपकी वैध ओटीएक्स एपीआई कुंजी के लिए। उदाहरण:

API_KEY = 'yor_api_key_here'

इस कुंजी का उपयोग एलियनवॉल्ट एपीआई के प्रश्नों को प्रमाणित करने के लिए किया जाएगा।

वज़ुह को कॉन्फ़िगर करना (ossec.conf)

वज़ुह कॉन्फ़िगरेशन फ़ाइल खोलें:

```बैश सुडो नैनो /var/ossec/etc/ossec.conf


और `<ossec_config>` टैग के अंदर निम्नलिखित एकीकरण जोड़ें:

```एक्सएमएल
<एकीकरण>
    <नाम>कस्टम-एलियनवॉल्ट</नाम>
    <समूह>sysmon_event_22</समूह>
    <alert_format>json</alert_format>
</एकीकरण>

यह कॉन्फ़िगरेशन इंगित करता है कि जब भी sysmon_event_22 समूह से कोई अलर्ट उत्पन्न होता है (जैसे कि DNS क्वेरी इवेंट) तो वज़ुह को custom-alienvault.py स्क्रिप्ट को ट्रिगर करना चाहिए।

वज़ूह में नियम जोड़ना

नियम फ़ाइल alienOTX.xml को निर्देशिका में कॉपी करें:

```बैश सुडो सीपी AlienOTX.xml /var/ossec/etc/rules/


फ़ाइल की मूल सामग्री हैं:

```एक्सएमएल
<समूह का नाम='एलियनवॉल्ट_अलर्ट,'>
  <नियम आईडी='100010' स्तर='12'>
    <फ़ील्ड नाम = "एकीकरण">एलियनवॉल्ट</फ़ील्ड>
    <विवरण>एलियनवॉल्ट - ओटीएक्स डोमेन मिला</विवरण>
    <विकल्प>no_full_log</विकल्प>
  </नियम>
</समूह>

ये नियम ओटीएक्स डेटाबेस में मौजूद डोमेन की पहचान करते समय वज़ुह के व्यवहार को परिभाषित करते हैं।

वज़ूह को पुनः आरंभ करना

सभी परिवर्तनों के बाद, सेटिंग्स लागू करने के लिए सेवा को पुनरारंभ करें:

```बैश sudo systemctl पुनरारंभ करें wazuh-प्रबंधक


---

### एकीकरण का परीक्षण

परीक्षण करने के लिए, एक नमूना चेतावनी फ़ाइल बनाएं:

```बैश
बिल्ली >>tmp/test_alert.json <<'JSON'
{
  "एजेंट": { "आईडी": "001", "नाम": "टेस्ट-एजेंट", "आईपी": "127.0.0.1" },
  "तारीख": {
    "जीत": {
      "इवेंटडेटा": {
        "queryName": "fact-pendientes.com"
      }
    }
  }
}
JSON

अब स्क्रिप्ट को मैन्युअल रूप से चलाएँ:

```बैश sudo /var/ossec/integrations/custom-alienvault /tmp/test_alert.json


यदि डोमेन OTX पर सूचीबद्ध है, तो आपको संदेश दिखाई देगा:

संभावित रूप से दुर्भावनापूर्ण के रूप में पहचाना गया


अन्यथा:

अज्ञात या दुर्भावनापूर्ण के रूप में पहचाना नहीं गया


---

### लॉग की जाँच करना

एकीकरण लॉग देखे जा सकते हैंफ़ाइल में एकीकृत:

```बैश
/var/ossec/logs/integrations.log

यह पुष्टि करने के लिए कि घटनाओं को सही ढंग से संसाधित किया जा रहा है, एलियनवॉल्ट या ओटीएक्स वाली प्रविष्टियाँ देखें।

युक्तियाँ और समस्या निवारण

  • यदि अमान्य एपीआई कुंजी त्रुटि दिखाई देती है, तो ओटीएक्स पोर्टल पर एक नई कुंजी उत्पन्न करें।
  • जांचें कि क्या OTXv2 मॉड्यूल वाज़ुह पायथन वातावरण (/var/ossec/framework/python/bin/python3) के भीतर स्थापित है।
  • सेवा चल रही है या नहीं यह जांचने के लिए systemctl status wazuh-manager का उपयोग करें।

अंग्रेजी संस्करण

अवलोकन

यह संपूर्ण मार्गदर्शिका चरण-दर-चरण बताती है कि एलियन वॉल्ट ओटीएक्स (ओपन थ्रेट एक्सचेंज) को वज़ुह के साथ कैसे एकीकृत किया जाए, जिससे आपके निगरानी वातावरण को ज्ञात दुर्भावनापूर्ण डोमेन और आईपी पते का स्वचालित रूप से पता लगाने की अनुमति मिलती है। जब भी विशिष्ट घटनाएं ट्रिगर होती हैं तो एकीकरण ओटीएक्स एपीआई को क्वेरी करने के लिए पायथन स्क्रिप्ट और कस्टम वज़ुह नियमों का लाभ उठाता है।

यह सेटअप उन सुरक्षा टीमों के लिए विशेष रूप से उपयोगी है जो खतरे की खुफिया सहसंबंध और घटना का पता लगाने को स्वचालित करना चाहते हैं, जिससे दृश्यता और प्रतिक्रिया समय दोनों में सुधार होता है।

आवश्यकताएँ

शुरू करने से पहले, सुनिश्चित करें कि आपके पास:

  • वज़ुह प्रबंधक (संस्करण 4.x या उच्चतर)
  • पायथन और OTXv2 मॉड्यूल स्थापित
  • मूल या प्रशासनिक विशेषाधिकार
  • एक वैध ओटीएक्स एपीआई कुंजी, https://otx.alienvault.com से निःशुल्क उपलब्ध है।

आवश्यक मॉड्यूल स्थापित करने के लिए:

```बैश sudo /var/ossec/framework/python/bin/python3 -m pip install OTXv2


---

### आवश्यक फ़ाइलें

GitHub रिपॉजिटरी से मुख्य एकीकरण फ़ाइलें डाउनलोड करें:

* [कस्टम-एलियनवॉल्ट](https://github.com/Looorenz/Alienvault-OTX-Wazuh/blob/main/custom-alienvault)
* [custom-alienvault.py](https://github.com/Looorenz/Alienvault-OTX-Wazuh/blob/main/custom-alienvault.py)
* [alienOTX.xml](https://github.com/Looorenz/Alienvault-OTX-Wazuh/blob/main/alienOTX.xml)

इसके अतिरिक्त, आधिकारिक OTX SDK से **get_malicious.py** स्क्रिप्ट डाउनलोड करें:

* [get_malicious.py (आधिकारिक रेपो)](https://github.com/AlienVault-OTX/OTX-Python-SDK/blob/master/examples/is_malicious/get_malicious.py)

इन सभी फ़ाइलों को यहां ले जाएं:

```बैश
/var/ossec/एकीकरण/

अनुमतियाँ सेट करना

```बैश चाउन रूट:वाज़ुह कस्टम-एलियनवॉल्ट कस्टम-एलियनवॉल्ट.py get_malicious.py chmod 750 कस्टम-एलियनवॉल्ट कस्टम-एलियनवॉल्ट.py get_malicious.py


---

### एपीआई कुंजी को कॉन्फ़िगर करना

**custom-alienvault.py** संपादित करें और बदलें:

```अजगर
API_KEY = 'APIKEY'

उदाहरण के लिए, आपकी वर्तमान एपीआई कुंजी के साथ:

API_KEY = 'yor_api_key_here'

OTX API के साथ प्रमाणीकरण के लिए यह कुंजी आवश्यक है।

वज़ुह कॉन्फ़िगरेशन का संपादन

/var/ossec/etc/ossec.conf में, जोड़ें:

```एक्सएमएल <एकीकरण> <नाम>कस्टम-एलियनवॉल्ट</नाम> <समूह>sysmon_event_22</समूह> json </एकीकरण>


---

### नियम जोड़ना

**alienOTX.xml** फ़ाइल को `/var/ossec/etc/rules/` पर कॉपी करें।

---

### वज़ूह को पुनः आरंभ करना

```बैश
sudo systemctl पुनरारंभ करें wazuh-प्रबंधक

एकीकरण का परीक्षण

```बैश बिल्ली >>tmp/test_alert.json <<'JSON' { "एजेंट": { "आईडी": "001", "नाम": "टेस्ट-एजेंट", "आईपी": "127.0.0.1" }, "डेटा": { "जीत": { "इवेंटडेटा": { "क्वेरीनाम": "fact-pendientes.com" } } } } JSON

sudo /var/ossec/integrations/custom-alienvault /tmp/test_alert.json


यदि दुर्भावनापूर्ण है → `संभावित रूप से दुर्भावनापूर्ण के रूप में पहचाना गया`
यदि सुरक्षित है → `अज्ञात या दुर्भावनापूर्ण के रूप में पहचाना नहीं गया`

---

### लॉग की जाँच करना

एकीकरण लॉग जांचें:

```बैश
बिल्ली /var/ossec/logs/integrations.log | ग्रेप एलियनवॉल्ट

अंतिम नोट्स

यदि आपको अमान्य एपीआई कुंजी त्रुटि प्राप्त होती है, तो अपनी कुंजी सत्यापित करें या ओटीएक्स पोर्टल पर एक नई कुंजी पुनः बनाएं। हमेशा सुनिश्चित करें कि वज़ुह के अंदर आपके पायथन वातावरण में OTXv2 लाइब्रेरी स्थापित है।