Integrazione AlienVault OTX con Wazuh (guida completa)
22/10/2025
Versione portoghese
Panoramica
Questa guida dettagliata spiega passo dopo passo come integrare AlienVault OTX (Open Threat Exchange) con Wazuh, consentendo al tuo ambiente di monitoraggio di rilevare automaticamente domini e indirizzi IP dannosi noti. L'integrazione utilizza script Python e regole personalizzate in Wazuh per interrogare l'API OTX ogni volta che vengono rilevati eventi specifici.
L'integrazione è particolarmente utile per i team di sicurezza che desiderano automatizzare la correlazione degli eventi e la Threat Intelligence, migliorando la visibilità e la risposta agli incidenti.
Prerequisiti
Prima di iniziare, controlla se il tuo ambiente ha:
- Wazuh Manager installato (versione 4.x o successiva)
- Python e il modulo OTXv2 installati nell'ambiente Wazuh
- Accesso root o autorizzazioni amministrative
- Una chiave API OTX valida, ottenuta gratuitamente dal portale AlienVault (https://otx.alienvault.com)
Per installare il modulo richiesto, eseguire:
"bash." sudo /var/ossec/framework/python/bin/python3 -m pip install OTXv2
---
### File richiesti
Per semplificare il processo, i file principali sono ora disponibili per il download direttamente dal repository GitHub:
* [alienvault personalizzato](https://github.com/Looorenz/Alienvault-OTX-Wazuh/blob/main/custom-alienvault)
* [custom-alienvault.py](https://github.com/Looorenz/Alienvault-OTX-Wazuh/blob/main/custom-alienvault.py)
* [alienOTX.xml](https://github.com/Looorenz/Alienvault-OTX-Wazuh/blob/main/alienOTX.xml)
Oltre a questi, devi scaricare il file **get_malicious.py** direttamente dal repository ufficiale OTX SDK:
* [get_malicious.py (repository ufficiale)](https://github.com/AlienVault-OTX/OTX-Python-SDK/blob/master/examples/is_malicious/get_malicious.py)
Dopo aver scaricato i file, spostateli tutti nella directory:
"bash."
/var/ossec/integrazioni/
Autorizzazioni e proprietà
Per garantire che Wazuh possa eseguire correttamente gli script, imposta le autorizzazioni appropriate:
"bash." chown root:wazuh custom-alienvault custom-alienvault.py get_malicious.py chmod 750 custom-alienvault custom-alienvault.py get_malicious.py
---
### Configurazione della chiave API
Apri il file **custom-alienvault.py** e sostituisci la riga:
```pitone
API_KEY = 'APIKEY'
Per la tua chiave API OTX valida. Esempio:
API_KEY = 'yor_api_key_qui'
Questa chiave verrà utilizzata per autenticare le query sull'API AlienVault.
Configurazione di Wazuh (ossec.conf)
Apri il file di configurazione di Wazuh:
"bash." sudo nano /var/ossec/etc/ossec.conf
E aggiungi la seguente integrazione all'interno del tag `<ossec_config>`:
```xml
<integrazione>
<name>vault-alien personalizzato</name>
<group>sysmon_event_22</group>
<alert_format>json</alert_format>
</integrazione>
Questa configurazione indica che Wazuh dovrebbe attivare lo script custom-alienvault.py ogni volta che viene generato un avviso dal gruppo sysmon_event_22 (come eventi di query DNS).
Aggiunta di regole a Wazuh
Copia il file delle regole alienOTX.xml nella directory:
"bash." sudo cp alienOTX.xml /var/ossec/etc/rules/
I contenuti di base del file sono:
```xml
<nome gruppo="alienvault_alert,">
<rule id="100010" level="12">
<field name="integration">alienvault</field>
<description>AlienVault - DOMINIO OTX trovato</description>
<options>no_full_log</options>
</regola>
</gruppo>
Queste regole definiscono il comportamento di Wazuh nell'identificazione di un dominio presente nel database OTX.
Riavvio di Wazuh
Dopo tutte le modifiche, riavviare il servizio per applicare le impostazioni:
"bash." sudo systemctl riavvia wazuh-manager
---
### Testare l'integrazione
Per testare, crea un file di avviso di esempio:
"bash."
cat >>tmp/test_alert.json <<'JSON'
{
"agent": { "id": "001", "name": "test-agent", "ip": "127.0.0.1" },
"data": {
"vincere": {
"dati evento": {
"queryName": "fact-pendientes.com"
}
}
}
}
JSON
Ora esegui lo script manualmente:
"bash." sudo /var/ossec/integrations/custom-alienvault /tmp/test_alert.json
Se il dominio è elencato su OTX, vedrai il messaggio:
Identificato come potenzialmente dannoso
Altrimenti:
Sconosciuto o non identificato come dannoso
---
### Controllo dei registri
È possibile visualizzare i registri di integrazionespecificato nel file:
"bash."
/var/ossec/logs/integrations.log
Cerca le voci contenenti "alienvault" o "OTX" per confermare che gli eventi vengono elaborati correttamente.
Suggerimenti e risoluzione dei problemi
- Se viene visualizzato l'errore "Chiave API non valida", genera una nuova chiave sul portale OTX.
- Controlla se il modulo OTXv2 è installato nell'ambiente Wazuh Python (
/var/ossec/framework/python/bin/python3). - Usa
systemctl status wazuh-managerper verificare se il servizio è in esecuzione.
Versione inglese
Panoramica
Questa guida completa spiega passo dopo passo come integrare AlienVault OTX (Open Threat Exchange) con Wazuh, consentendo al tuo ambiente di monitoraggio di rilevare automaticamente domini e indirizzi IP dannosi noti. L'integrazione sfrutta gli script Python e le regole Wazuh personalizzate per interrogare l'API OTX ogni volta che vengono attivati eventi specifici.
Questa configurazione è particolarmente utile per i team di sicurezza che desiderano automatizzare la correlazione dell'intelligence sulle minacce e il rilevamento degli eventi, migliorando sia la visibilità che i tempi di risposta.
Requisiti
Prima di iniziare, assicurati di avere:
- Wazuh Manager (versione 4.x o successiva)
- Modulo Python e OTXv2 installati
- Privilegi di root o amministrativi
- Una chiave API OTX valida, disponibile gratuitamente da https://otx.alienvault.com
Per installare il modulo richiesto:
"bash." sudo /var/ossec/framework/python/bin/python3 -m pip install OTXv2
---
### File richiesti
Scarica i principali file di integrazione dal repository GitHub:
* [alienvault personalizzato](https://github.com/Looorenz/Alienvault-OTX-Wazuh/blob/main/custom-alienvault)
* [custom-alienvault.py](https://github.com/Looorenz/Alienvault-OTX-Wazuh/blob/main/custom-alienvault.py)
* [alienOTX.xml](https://github.com/Looorenz/Alienvault-OTX-Wazuh/blob/main/alienOTX.xml)
Inoltre, scarica lo script **get_malicious.py** dall'SDK OTX ufficiale:
* [get_malicious.py (repo ufficiale)](https://github.com/AlienVault-OTX/OTX-Python-SDK/blob/master/examples/is_malicious/get_malicious.py)
Sposta tutti questi file in:
"bash."
/var/ossec/integrazioni/
Impostazione delle autorizzazioni
"bash." chown root:wazuh custom-alienvault custom-alienvault.py get_malicious.py chmod 750 custom-alienvault custom-alienvault.py get_malicious.py
---
### Configurazione della chiave API
Modifica **custom-alienvault.py** e sostituisci:
```pitone
API_KEY = 'APIKEY'
con la tua chiave API corrente, ad esempio:
API_KEY = 'yor_api_key_qui'
Questa chiave è necessaria per l'autenticazione con l'API OTX.
Modifica della configurazione Wazuh
In /var/ossec/etc/ossec.conf, aggiungi:
<integrazione>
<name>vault-alien personalizzato</name>
<group>sysmon_event_22</group>
<alert_format>json</alert_format>
</integrazione>
Aggiunta di regole
Copia il file alienOTX.xml in /var/ossec/etc/rules/.
Riavvio di Wazuh
"bash." sudo systemctl riavvia wazuh-manager
---
### Testare l'integrazione
"bash."
cat >>tmp/test_alert.json <<'JSON'
{
"agent": { "id": "001", "name": "test-agent", "ip": "127.0.0.1" },
"data": { "win": { "eventdata": { "queryName": "fact-pendientes.com" } } }
}
JSON
sudo /var/ossec/integrations/custom-alienvault /tmp/test_alert.json
Se dannoso → "Identificato come potenzialmente dannoso". Se sicuro → "Sconosciuto o non identificato come dannoso".
Controllo dei registri
Controlla i log di integrazione:
"bash." cat /var/ossec/logs/integrations.log | grepalienvault ```
Note finali
Se ricevi un errore "Chiave API non valida", verifica la tua chiave o rigenerane una nuova nel portale OTX. Assicurati sempre che nel tuo ambiente Python all'interno di Wazuh sia installata la libreria OTXv2.