AlienVault OTX と Wazuh の統合 (完全ガイド)

2025 年 10 月 22 日

ポルトガル語版

概要

この詳細ガイドでは、AlienVault OTX (Open Threat Exchange) と Wazuh を統合して、監視環境が既知の悪意のあるドメインと IP アドレスを自動的に検出できるようにする方法を段階的に説明します。この統合では、Wazuh の Python スクリプトとカスタム ルールを利用して、特定のイベントが検出されるたびに OTX API をクエリします。

この統合は、イベント相関関係と脅威インテリジェンスを自動化し、可視性とインシデント対応を向上させたいと考えているセキュリティ チームにとって特に役立ちます。

---

前提条件

開始する前に、環境に以下があるかどうかを確認してください。

• Wazuh Manager がインストールされている (バージョン 4.x 以降)
• Wazuh 環境にインストールされた Python と OTXv2 モジュール
• root アクセスまたは管理者権限
• 有効な OTX API キー。AlienVault ポータル (https://otx.alienvault.com) から無料で取得できます。

必要なモジュールをインストールするには、次を実行します。

「」バッシュ sudo /var/ossec/framework/python/bin/python3 -m pip install OTXv2 「」

---

必要なファイル

プロセスを簡素化するために、メイン ファイルを GitHub リポジトリから直接ダウンロードできるようになりました。

• custom-alienvault
• custom-alienvault.py
• alienOTX.xml

これらに加えて、get_malicious.py ファイルを公式 OTX SDK リポジトリから直接ダウンロードする必要があります。

• get_malicious.py (公式リポジトリ)

ファイルをダウンロードした後、それらをすべて次のディレクトリに移動します。

「」バッシュ /var/ossec/integrations/ 「」

---

権限と所有権

Wazuh がスクリプトを正しく実行できるようにするには、適切な権限を設定します。

「」バッシュ chown root:wazuh カスタムエイリアンボルト カスタムエイリアンボルト.py get_malicious.py chmod 750 カスタムエイリアンボルトカスタムエイリアンボルト.py get_malicious.py 「」

---

API キーの設定

custom-alienvault.py ファイルを開き、次の行を置き換えます。

「」パイソン API_KEY = 'APIKEY' 「」

有効な OTX API キー。例:

「」パイソン API_KEY = 'yor_api_key_here' 「」

このキーは、AlienVault API へのクエリを認証するために使用されます。

---

Wazuh の設定 (ossec.conf)

Wazuh 構成ファイルを開きます。

「」バッシュ sudo nano /var/ossec/etc/ossec.conf 「」

そして、「」タグ内に次の統合を追加します。

```xml <統合> カスタムエイリアンボルト <グループ>sysmon_event_22 json </統合> 「」

この構成は、sysmon_event_22 グループからのアラート (DNS クエリ イベントなど) が生成されるたびに、Wazuh が custom-alienvault.py スクリプトをトリガーする必要があることを示しています。

---

Wazuh にルールを追加する

ルール ファイル alienOTX.xml をディレクトリにコピーします。

「」バッシュ sudo cp AlienOTX.xml /var/ossec/etc/rules/ 「」

ファイルの基本的な内容は次のとおりです。

```xml <グループ名="alienvault_alert,"> alienvault AlienVault - OTX ドメインが見つかりました <オプション>no_full_log </ルール> </グループ> 「」

これらのルールは、OTX データベースに存在するドメインを識別するときの Wazuh の動作を定義します。

---

ワズーを再起動します

すべての変更を行った後、サービスを再起動して設定を適用します。

「」バッシュ sudo systemctl 再起動 wazuh-manager 「」

---

統合のテスト

テストするには、サンプル アラート ファイルを作成します。

「」バッシュ cat >>tmp/test_alert.json <<'JSON' { "エージェント": { "id": "001", "name": "テストエージェント", "ip": "127.0.0.1" }, 「日付」: { 「勝つ」: { "イベントデータ": { "クエリ名": "fact-pendientes.com" } } } } JSON 「」

次に、スクリプトを手動で実行します。

「」バッシュ sudo /var/ossec/integrations/custom-alienvault /tmp/test_alert.json 「」

ドメインが OTX にリストされている場合は、次のメッセージが表示されます。

「」 潜在的に悪意のあるものとして識別される 「」

それ以外の場合:

「」 不明、または悪意があると特定されていない 「」

---

ログの確認

統合ログを表示できますファイル内で修正されます:

「」バッシュ /var/ossec/logs/integrations.log 「」

「alienvault」または「OTX」を含むエントリを探して、イベントが正しく処理されていることを確認します。

---

ヒントとトラブルシューティング

※「無効なAPIキー」エラーが表示される場合は、OTXポータルで新しいキーを生成してください。 ※Wazuh Python環境(/var/ossec/framework/python/bin/python3)内にOTXv2モジュールがインストールされているか確認してください。 ※サービスが起動しているかどうかは「systemctl status wazuh-manager」で確認してください。

---

英語版

概要

この完全なガイドでは、AlienVault OTX (Open Threat Exchange) と Wazuh を統合して、監視環境が既知の悪意のあるドメインと IP アドレスを自動的に検出できるようにする方法を段階的に説明します。この統合では、Python スクリプトとカスタム Wazuh ルールを活用して、特定のイベントがトリガーされるたびに OTX API をクエリします。

この設定は、脅威インテリジェンスの関連付けとイベント検出を自動化して、可視性と応答時間の両方を向上させたいセキュリティ チームに特に役立ちます。

---

要件

始める前に、次のものが揃っていることを確認してください。

• Wazuh Manager (バージョン 4.x 以降)
• Python および OTXv2 モジュールがインストールされている
• root または管理者権限
• 有効な OTX API キー。https://otx.alienvault.com から無料で入手可能

必要なモジュールをインストールするには:

「」バッシュ sudo /var/ossec/framework/python/bin/python3 -m pip install OTXv2 「」

---

必要なファイル

GitHub リポジトリからメインの統合ファイルをダウンロードします。

• custom-alienvault
• custom-alienvault.py
• alienOTX.xml

さらに、公式 OTX SDK から get_malicious.py スクリプトをダウンロードします。

• get_malicious.py (公式リポジトリ)

これらすべてのファイルを次の場所に移動します。

「」バッシュ /var/ossec/integrations/ 「」

---

権限の設定

「」バッシュ chown root:wazuh カスタムエイリアンボルト カスタムエイリアンボルト.py get_malicious.py chmod 750 カスタムエイリアンボルトカスタムエイリアンボルト.py get_malicious.py 「」

---

API キーの構成

custom-alienvault.py を編集して以下を置き換えます。

「」パイソン API_KEY = 'APIKEY' 「」

現在の API キーを使用します。例:

「」パイソン API_KEY = 'yor_api_key_here' 「」

このキーは、OTX API による認証に必要です。

---

Wazuh 構成の編集

/var/ossec/etc/ossec.conf に以下を追加します。

```xml <統合> カスタムエイリアンボルト <グループ>sysmon_event_22 json </統合> 「」

---

ルールの追加

alienOTX.xml ファイルを /var/ossec/etc/rules/ にコピーします。

---

ワズーを再起動します

「」バッシュ sudo systemctl 再起動 wazuh-manager 「」

---

統合のテスト

「」バッシュ cat >>tmp/test_alert.json <<'JSON' { "エージェント": { "id": "001", "name": "テストエージェント", "ip": "127.0.0.1" }, "data": { "win": { "eventdata": { "queryName": "fact-pendientes.com" } } } } JSON

sudo /var/ossec/integrations/custom-alienvault /tmp/test_alert.json 「」

悪意がある場合 → 「悪意がある可能性があると識別される」 安全な場合 → 「不明または悪意があると特定されない」

---

ログの確認

統合ログを確認します。

「」バッシュ cat /var/ossec/logs/integrations.log | grep エイリアンボールト 「」

---

最終メモ

「無効な API キー」エラーを受け取った場合は、キーを確認するか、OTX ポータルで新しいキーを再生成してください。 Wazuh 内の Python 環境に OTXv2 ライブラリがインストールされていることを常に確認してください。