Wazuh와 AlienVault OTX 통합(전체 가이드)

2025년 10월 22일

포르투갈어 버전

개요

이 상세 가이드에서는 AlienVault OTX(Open Threat Exchange)를 Wazuh와 통합하여 모니터링 환경에서 알려진 악성 도메인 및 IP 주소를 자동으로 감지하는 방법을 단계별로 설명합니다. 통합에서는 Wazuh의 Python 스크립트와 사용자 지정 규칙을 사용하여 특정 이벤트가 감지될 때마다 OTX API를 쿼리합니다.

이 통합은 이벤트 상관 관계 및 위협 인텔리전스를 자동화하여 가시성과 사고 대응을 향상시키려는 보안 팀에 특히 유용합니다.

---

전제 조건

시작하기 전에 환경에 다음이 포함되어 있는지 확인하세요.

• Wazuh Manager 설치됨(버전 4.x 이상)
• Wazuh 환경에 설치된 Python 및 OTXv2 모듈
• 루트 액세스 또는 관리 권한
• AlienVault 포털(https://otx.alienvault.com)에서 무료로 얻은 유효한 OTX API 키

필요한 모듈을 설치하려면 다음을 실행하세요.

``배쉬 sudo /var/ossec/framework/python/bin/python3 -m pip install OTXv2

---

### 필수 파일

프로세스를 단순화하기 위해 이제 기본 파일을 GitHub 저장소에서 직접 다운로드할 수 있습니다.

* [사용자 정의-alienvault](https://github.com/Looorenz/Alienvault-OTX-Wazuh/blob/main/custom-alienvault)
* [custom-alienvault.py](https://github.com/Looorenz/Alienvault-OTX-Wazuh/blob/main/custom-alienvault.py)
* [alienOTX.xml](https://github.com/Looorenz/Alienvault-OTX-Wazuh/blob/main/alienOTX.xml)

이 외에도 공식 OTX SDK 저장소에서 직접 **get_malicious.py** 파일을 다운로드해야 합니다.

* [get_malicious.py(공식 저장소)](https://github.com/AlienVault-OTX/OTX-Python-SDK/blob/master/examples/is_malicious/get_malicious.py)

파일을 다운로드한 후 모두 다음 디렉터리로 이동합니다.

``배쉬
/var/ossec/통합/

---

권한 및 소유권

Wazuh가 스크립트를 올바르게 실행할 수 있도록 하려면 적절한 권한을 설정하세요.

``배쉬 chown 루트:wazuh 사용자 정의-alienvault 사용자 정의-alienvault.py get_malicious.py chmod 750 사용자 정의-alienvault 사용자 정의-alienvault.py get_malicious.py

---

### API 키 구성

**custom-alienvault.py** 파일을 열고 다음 줄을 바꿉니다.

``파이썬
API_KEY = 'APIKEY'

유효한 OTX API 키의 경우. 예:

``파이썬 API_KEY = 'yor_api_key_여기'

이 키는 AlienVault API에 대한 쿼리를 인증하는 데 사용됩니다.

---

### Wazuh 구성(ossec.conf)

Wazuh 구성 파일을 엽니다.

``배쉬
sudo nano /var/ossec/etc/ossec.conf

그리고 <ossec_config> 태그 내에 다음 통합을 추가합니다.

``xml <통합> 맞춤형 외계인 볼트 sysmon_event_22 json </통합>

이 구성은 Wazuh가 **sysmon_event_22** 그룹의 경고(예: DNS 쿼리 이벤트)가 생성될 때마다 **custom-alienvault.py** 스크립트를 트리거해야 함을 나타냅니다.

---

### Wazuh에 규칙 추가

규칙 파일 **alienOTX.xml**을 디렉터리에 복사합니다.

``배쉬
sudo cp foreignOTX.xml /var/ossec/etc/rules/

파일의 기본 내용은 다음과 같습니다.

``xml <그룹 이름="alienvault_alert,"> alienvault AlienVault - OTX 도메인 발견 no_full_log

이러한 규칙은 OTX 데이터베이스에 존재하는 도메인을 식별할 때 Wazuh의 행동을 정의합니다.

---

### Wazuh 다시 시작 중

모든 변경이 끝나면 서비스를 다시 시작하여 설정을 적용합니다.

``배쉬
sudo systemctl 재시작 wazuh-manager

---

통합 테스트

테스트하려면 샘플 경고 파일을 만듭니다.

``배쉬 고양이 >>tmp/test_alert.json <<'JSON' { "에이전트": { "id": "001", "이름": "테스트-에이전트", "ip": "127.0.0.1" }, "날짜": { "승리": { "이벤트데이터": { "queryName": "fact-pendientes.com" } } } } JSON

이제 스크립트를 수동으로 실행하십시오.

``배쉬
sudo /var/ossec/integrations/custom-alienvault /tmp/test_alert.json

도메인이 OTX에 등록되어 있으면 다음 메시지가 표시됩니다.

잠재적인 악성으로 식별됨

그렇지 않은 경우:

알 수 없거나 악성으로 식별되지 않음

---

로그 확인

통합 로그를 볼 수 있습니다파일에 정의됨:

``배쉬 /var/ossec/logs/integrations.log

이벤트가 올바르게 처리되고 있는지 확인하려면 'alienvault' 또는 'OTX'가 포함된 항목을 찾아보세요.

---

### 팁 및 문제 해결

* '잘못된 API 키' 오류가 발생하는 경우 OTX 포털에서 새 키를 생성하세요.
* Wazuh Python 환경(`/var/ossec/framework/python/bin/python3`) 내에 OTXv2 모듈이 설치되어 있는지 확인하세요.
* 서비스가 실행 중인지 확인하려면 `systemctl status wazuh-manager`를 사용하세요.

---

## 영어 버전

### 개요

이 전체 가이드에서는 **AlienVault OTX(Open Threat Exchange)**를 **Wazuh**와 통합하여 모니터링 환경에서 알려진 악성 도메인 및 IP 주소를 자동으로 감지하는 방법을 단계별로 설명합니다. 통합에서는 Python 스크립트와 사용자 정의 Wazuh 규칙을 활용하여 특정 이벤트가 트리거될 때마다 OTX API를 쿼리합니다.

이 설정은 **위협 인텔리전스 상관 관계 및 이벤트 감지**를 자동화하여 가시성과 응답 시간을 모두 향상시키려는 보안 팀에 특히 유용합니다.

---

###요구사항

시작하기 전에 다음 사항을 확인하세요.

* Wazuh Manager (버전 4.x 이상)
* Python 및 **OTXv2** 모듈 설치됨
* 루트 또는 관리자 권한
* [https://otx.alienvault.com](https://otx.alienvault.com)에서 무료로 제공되는 유효한 **OTX API 키**

필요한 모듈을 설치하려면:

``배쉬
sudo /var/ossec/framework/python/bin/python3 -m pip install OTXv2

---

필수 파일

GitHub 저장소에서 기본 통합 파일을 다운로드합니다.

• 사용자 정의-alienvault
• custom-alienvault.py
• alienOTX.xml

또한 공식 OTX SDK에서 get_malicious.py 스크립트를 다운로드하세요.

• get_malicious.py(공식 저장소)

모든 파일을 다음 위치로 이동하세요.

``배쉬 /var/ossec/통합/

---

### 권한 설정

``배쉬
chown 루트:wazuh 사용자 정의-alienvault 사용자 정의-alienvault.py get_malicious.py
chmod 750 사용자 정의-alienvault 사용자 정의-alienvault.py get_malicious.py

---

API 키 구성

custom-alienvault.py를 편집하고 다음을 교체합니다.

``파이썬 API_KEY = 'APIKEY'

현재 API 키를 사용하세요. 예를 들면 다음과 같습니다.

``파이썬
API_KEY = 'yor_api_key_여기'

이 키는 OTX API를 통한 인증에 필요합니다.

---

Wazuh 구성 편집

/var/ossec/etc/ossec.conf에 다음을 추가합니다.

``xml <통합> 맞춤형 외계인 볼트 sysmon_event_22 json </통합>

---

### 규칙 추가

**alienOTX.xml** 파일을 `/var/ossec/etc/rules/`에 복사합니다.

---

### Wazuh 다시 시작 중

``배쉬
sudo systemctl 재시작 wazuh-manager

---

통합 테스트

``배쉬 고양이 >>tmp/test_alert.json <<'JSON' { "에이전트": { "id": "001", "이름": "테스트-에이전트", "ip": "127.0.0.1" }, "data": { "win": { "eventdata": { "queryName": "fact-pendientes.com" } } } } JSON

sudo /var/ossec/integrations/custom-alienvault /tmp/test_alert.json

악성인 경우 → '잠재적 악성으로 식별'
안전하다면 → `알 수 없거나 악성으로 식별되지 않음`

---

### 로그 확인 중

통합 로그를 확인하세요.

``배쉬
고양이 /var/ossec/logs/integrations.log | grep 에일리언볼트

---

최종 메모

'잘못된 API 키' 오류가 발생하는 경우 OTX 포털에서 키를 확인하거나 새 키를 다시 생성하세요. Wazuh 내부의 Python 환경에 OTXv2 라이브러리가 설치되어 있는지 항상 확인하세요.