AlienVault OTX-integratie met Wazuh (volledige gids)

22-10-2025

Portugese versie

Overzicht

In deze gedetailleerde handleiding wordt stap voor stap uitgelegd hoe u AlienVault OTX (Open Threat Exchange) kunt integreren met Wazuh, waardoor uw monitoringomgeving automatisch bekende kwaadaardige domeinen en IP-adressen kan detecteren. De integratie maakt gebruik van Python-scripts en aangepaste regels in Wazuh om de OTX API te bevragen wanneer specifieke gebeurtenissen worden gedetecteerd.

De integratie is vooral handig voor beveiligingsteams die de gebeurteniscorrelatie en bedreigingsinformatie willen automatiseren, waardoor de zichtbaarheid en incidentrespons worden verbeterd.

---

Vereisten

Controleer voordat u begint of uw omgeving beschikt over:

• Wazuh Manager geïnstalleerd (versie 4.x of hoger)
• Python en de OTXv2-module geïnstalleerd in de Wazuh-omgeving
• Root-toegang of beheerdersrechten
• Een geldige OTX API-sleutel, gratis verkrijgbaar via de AlienVault-portal (https://otx.alienvault.com)

Om de vereiste module te installeren, voert u het volgende uit:

sudo /var/ossec/framework/python/bin/python3 -m pip install OTXv2

---

Vereiste bestanden

Om het proces te vereenvoudigen, kunnen de hoofdbestanden nu rechtstreeks vanuit de GitHub-repository worden gedownload:

• aangepast-alienvault
• aangepast-alienvault.py
• alienOTX.xml

Daarnaast moet u het bestand get_malicious.py rechtstreeks downloaden van de officiële OTX SDK-repository:

• get_malicious.py (officiële repository)

Nadat u de bestanden heeft gedownload, verplaatst u ze allemaal naar de map:

/var/ossec/integraties/

---

Machtigingen en eigendom

Om ervoor te zorgen dat Wazuh scripts correct kan uitvoeren, stelt u de juiste machtigingen in:

chown root:wazuh custom-alienvault custom-alienvault.py get_malicious.py
chmod 750 custom-alienvault custom-alienvault.py get_malicious.py

---

API-sleutelconfiguratie

Open het bestand custom-alienvault.py en vervang de regel:

API_KEY = 'APIKEY'

Voor uw geldige OTX API-sleutel. Voorbeeld:

API_KEY = 'yor_api_key_hier'

Deze sleutel wordt gebruikt om zoekopdrachten bij de AlienVault API te verifiëren.

---

Wazuh configureren (ossec.conf)

Open het Wazuh-configuratiebestand:

sudo nano /var/ossec/etc/ossec.conf

En voeg de volgende integratie toe binnen de <ossec_config> tag:

<integratie>
    <name>aangepaste alienvault</name>
    <group>sysmon_event_22</group>
    <alert_format>json</alert_format>
</integratie>

Deze configuratie geeft aan dat Wazuh het script custom-alienvault.py moet activeren wanneer een waarschuwing van de groep sysmon_event_22 wordt gegenereerd (zoals DNS-querygebeurtenissen).

---

Regels toevoegen aan Wazuh

Kopieer het regelbestand alienOTX.xml naar de map:

sudo cp alienOTX.xml /var/ossec/etc/rules/

De basisinhoud van het bestand is:

<groepsnaam="alienvault_alert,">
  <rule id="100010" level="12">
    <field name="integration">alienvault</field>
    <description>AlienVault - OTX-DOMEIN gevonden</description>
    <options>no_full_log</options>
  </regel>
</groep>

Deze regels bepalen het gedrag van Wazuh bij het identificeren van een domein dat aanwezig is in de OTX-database.

---

Wazuh opnieuw opstarten

Na alle wijzigingen start u de service opnieuw op om de instellingen toe te passen:

sudo systemctl herstart wazuh-manager

---

De integratie testen

Maak een voorbeeldwaarschuwingsbestand om te testen:

cat >>tmp/test_alert.json <<'JSON'
{
  "agent": { "id": "001", "name": "test-agent", "ip": "127.0.0.1" },
  "datum": {
    "winnen": {
      "gebeurtenisgegevens": {
        "queryName": "fact-pendientes.com"
      }
    }
  }
}
JSON

Voer het script nu handmatig uit:

sudo /var/ossec/integrations/custom-alienvault /tmp/test_alert.json

Als het domein op OTX vermeld staat, ziet u het bericht:

Geïdentificeerd als potentieel schadelijk

Anders:

Onbekend of niet geïdentificeerd als schadelijk

---

De logboeken controleren

Integratielogboeken kunnen worden bekekenvastgelegd in het bestand:

/var/ossec/logs/integrations.log

Zoek naar vermeldingen die alienvault of OTX bevatten om te bevestigen dat gebeurtenissen correct worden verwerkt.

---

Tips en probleemoplossing

• Als de fout 'Ongeldige API-sleutel' verschijnt, genereer dan een nieuwe sleutel op de OTX-portal.
• Controleer of de OTXv2-module is geïnstalleerd binnen de Wazuh Python-omgeving (/var/ossec/framework/python/bin/python3).
• Gebruik systemctl status wazuh-manager om te controleren of de service actief is.

---

Engelse versie

Overzicht

In deze complete handleiding wordt stap voor stap uitgelegd hoe u AlienVault OTX (Open Threat Exchange) kunt integreren met Wazuh, waardoor uw monitoringomgeving automatisch bekende kwaadaardige domeinen en IP-adressen kan detecteren. De integratie maakt gebruik van Python-scripts en aangepaste Wazuh-regels om de OTX API te bevragen wanneer specifieke gebeurtenissen worden geactiveerd.

Deze opzet is met name handig voor beveiligingsteams die de correlatie van bedreigingsinformatie en gebeurtenisdetectie willen automatiseren, waardoor zowel de zichtbaarheid als de responstijd worden verbeterd.

---

Vereisten

Zorg ervoor dat u, voordat u begint, beschikt over:

• Wazuh Manager (versie 4.x of hoger)
• Python- en OTXv2-module geïnstalleerd
• Root- of beheerdersrechten
• Een geldige OTX API Key, gratis verkrijgbaar via https://otx.alienvault.com

Om de vereiste module te installeren:

sudo /var/ossec/framework/python/bin/python3 -m pip install OTXv2

---

Vereiste bestanden

Download de belangrijkste integratiebestanden uit de GitHub-repository:

• aangepast-alienvault
• aangepast-alienvault.py
• alienOTX.xml

Download bovendien het get_malicious.py-script van de officiële OTX SDK:

• get_malicious.py (officiële repository)

Verplaats al deze bestanden naar:

/var/ossec/integraties/

---

Machtigingen instellen

chown root:wazuh custom-alienvault custom-alienvault.py get_malicious.py
chmod 750 custom-alienvault custom-alienvault.py get_malicious.py

---

De API-sleutel configureren

Bewerk custom-alienvault.py en vervang:

API_KEY = 'APIKEY'

met uw huidige API-sleutel, bijvoorbeeld:

API_KEY = 'yor_api_key_hier'

Deze sleutel is vereist voor authenticatie met de OTX API.

---

De Wazuh-configuratie bewerken

Voeg in /var/ossec/etc/ossec.conf het volgende toe:

<integratie>
    <name>aangepaste alienvault</name>
    <group>sysmon_event_22</group>
    <alert_format>json</alert_format>
</integratie>

---

Regels toevoegen

Kopieer het bestand alienOTX.xml naar /var/ossec/etc/rules/.

---

Wazuh opnieuw opstarten

sudo systemctl herstart wazuh-manager

---

De integratie testen

cat >>tmp/test_alert.json <<'JSON'
{
  "agent": { "id": "001", "name": "test-agent", "ip": "127.0.0.1" },
  "data": { "win": { "eventdata": { "queryName": "fact-pendientes.com" } } }
}
JSON

sudo /var/ossec/integrations/custom-alienvault /tmp/test_alert.json

Indien kwaadaardig → Geïdentificeerd als potentieel kwaadaardig Indien veilig → Onbekend of niet geïdentificeerd als kwaadaardig

---

Logboeken controleren

Controleer integratielogboeken:

cat /var/ossec/logs/integrations.log | grep buitenaardse kluis

---

Laatste opmerkingen

Als u de foutmelding 'Ongeldige API-sleutel' ontvangt, verifieert u uw sleutel of genereert u een nieuwe op de OTX-portal. Zorg er altijd voor dat in uw Python-omgeving binnen Wazuh de OTXv2-bibliotheek is geïnstalleerd.