Интеграция AlienVault OTX с Wazuh (Полное руководство)

22.10.2025

Португальская версия

Обзор

В этом подробном руководстве шаг за шагом объясняется, как интегрировать AlienVault OTX (Open Threat Exchange) с Wazuh, что позволит вашей среде мониторинга автоматически обнаруживать известные вредоносные домены и IP-адреса. Интеграция использует сценарии Python и специальные правила в Wazuh для запроса API OTX при обнаружении определенных событий.

Эта интеграция особенно полезна для групп безопасности, которые хотят автоматизировать корреляцию событий и анализ угроз, улучшая видимость и реагирование на инциденты.

---

Предварительные условия

Прежде чем начать, проверьте, есть ли в вашей среде:

• Установлен Wazuh Manager (версия 4.x или выше)
• Python и модуль OTXv2 установлены в среде Wazuh.
• Корневой доступ или административные разрешения
• Действительный ключ API OTX, полученный бесплатно на портале AlienVault (https://otx.alienvault.com)

Для установки необходимого модуля выполните:

sudo /var/ossec/framework/python/bin/python3 -m pip install OTXv2

---

Необходимые файлы

Чтобы упростить процесс, основные файлы теперь доступны для скачивания прямо из репозитория GitHub:

• custom-alienvault
• custom-alienvault.py
• alienOTX.xml

В дополнение к этому вам необходимо загрузить файл get_malicious.py непосредственно из официального репозитория OTX SDK:

• get_malicious.py (официальный репозиторий)

После скачивания файлов переместите их все в каталог:

/var/ossec/интеграции/

---

Разрешения и право собственности

Чтобы гарантировать, что Wazuh сможет корректно запускать скрипты, установите соответствующие разрешения:

chown root: wazuh custom-alienvault custom-alienvault.py get_malicious.py
chmod 750 custom-alienvault custom-alienvault.py get_malicious.py

---

Конфигурация API-ключа

Откройте файл custom-alienvault.py и замените строку:

API_KEY = 'APIKEY'

Для вашего действительного ключа OTX API. Пример:

API_KEY = 'yor_api_key_here'

Этот ключ будет использоваться для аутентификации запросов к API AlienVault.

---

Настройка Wazuh (ossec.conf)

Откройте файл конфигурации Wazuh:

sudo nano /var/ossec/etc/ossec.conf

И добавьте следующую интеграцию внутри тега <ossec_config>:

<интеграция>
    <name>custom-alienvault</name>
    <group>sysmon_event_22</group>
    <alert_format>json</alert_format>
</интеграция>

Эта конфигурация указывает, что Wazuh должен запускать сценарий custom-alienvault.py всякий раз, когда генерируется оповещение из группы sysmon_event_22 (например, события DNS-запроса).

---

Добавление правил в Wazuh

Скопируйте файл правил alienOTX.xml в каталог:

sudo cp AlienOTX.xml /var/ossec/etc/rules/

Основное содержимое файла:

<group name="alienvault_alert,">
  <правило id="100010" уровень="12">
    <field name="integration">хранилище пришельцев</field>
    <description>AlienVault — найден OTX-ДОМЕН</description>
    <options>no_full_log</options>
  </правило>
</группа>

Эти правила определяют поведение Wazuh при идентификации домена, присутствующего в базе данных OTX.

---

Перезапуск Wazuh

После всех изменений перезапустите службу, чтобы настройки вступили в силу:

sudo systemctl перезапустить wazuh-manager

---

Тестирование интеграции

Для проверки создайте образец файла оповещения:

кот >>tmp/test_alert.json <<'JSON'
{
  "агент": { "id": "001", "name": "test-agent", "ip": "127.0.0.1" },
  "дата": {
    "победа": {
      "данные события": {
        "queryName": "fact-pendientes.com"
      }
    }
  }
}
JSON

Теперь запустите скрипт вручную:

sudo /var/ossec/integrations/custom-alienvault /tmp/test_alert.json

Если домен указан на OTX, вы увидите сообщение:

Идентифицирован как потенциально вредоносный

В противном случае:

Неизвестно или не идентифицировано как вредоносное

---

Проверка журналов

Журналы интеграции можно просмотретьзафиксировано в файле:

/var/ossec/logs/integrations.log

Найдите записи, содержащие «alienvault» или «OTX», чтобы убедиться, что события обрабатываются правильно.

---

Советы и устранение неполадок

• Если появится ошибка «Неверный ключ API», сгенерируйте новый ключ на портале OTX.
• Проверьте, установлен ли модуль OTXv2 в среде Wazuh Python (/var/ossec/framework/python/bin/python3).
• Используйте systemctl status wazuh-manager, чтобы проверить, запущена ли служба.

---

Английская версия

Обзор

В этом полном руководстве шаг за шагом объясняется, как интегрировать AlienVault OTX (Open Threat Exchange) с Wazuh, что позволит вашей среде мониторинга автоматически обнаруживать известные вредоносные домены и IP-адреса. Интеграция использует сценарии Python и пользовательские правила Wazuh для запроса API OTX при каждом запуске определенных событий.

Эта настройка особенно полезна для групп безопасности, которые хотят автоматизировать корреляцию данных об угрозах и обнаружение событий, улучшая видимость и время реагирования.

---

Требования

Прежде чем начать, убедитесь, что у вас есть:

• Wazuh Manager (версия 4.x или выше)
• Установлен модуль Python и OTXv2.
• Корневые или административные привилегии
• Действительный ключ OTX API, который можно бесплатно получить на сайте https://otx.alienvault.com.

Для установки необходимого модуля:

sudo /var/ossec/framework/python/bin/python3 -m pip install OTXv2

---

Необходимые файлы

Загрузите основные файлы интеграции из репозитория GitHub:

• custom-alienvault
• custom-alienvault.py
• alienOTX.xml

Кроме того, загрузите скрипт get_malicious.py из официального OTX SDK:

• get_malicious.py (официальный репозиторий)

Переместите все эти файлы в:

/var/ossec/интеграции/

---

Установка разрешений

chown root: wazuh custom-alienvault custom-alienvault.py get_malicious.py
chmod 750 custom-alienvault custom-alienvault.py get_malicious.py

---

Настройка ключа API

Отредактируйте custom-alienvault.py и замените:

API_KEY = 'APIKEY'

с вашим текущим ключом API, например:

API_KEY = 'yor_api_key_here'

Этот ключ необходим для аутентификации с помощью OTX API.

---

Редактирование конфигурации Wazuh

В /var/ossec/etc/ossec.conf добавьте:

<интеграция>
    <name>custom-alienvault</name>
    <group>sysmon_event_22</group>
    <alert_format>json</alert_format>
</интеграция>

---

Добавление правил

Скопируйте файл alienOTX.xml в /var/ossec/etc/rules/.

---

Перезапуск Wazuh

sudo systemctl перезапустить wazuh-manager

---

Тестирование интеграции

кот >>tmp/test_alert.json <<'JSON'
{
  "агент": { "id": "001", "name": "test-agent", "ip": "127.0.0.1" },
  "data": { "win": { "eventdata": { "queryName": "fact-pendientes.com" } } }
}
JSON

sudo /var/ossec/integrations/custom-alienvault /tmp/test_alert.json

Если вредоносный → Идентифицирован как потенциально вредоносный Если безопасно → Неизвестно или не идентифицировано как вредоносное

---

Проверка журналов

Проверьте журналы интеграции:

кот /var/ossec/logs/integrations.log | grep чужое хранилище

---

Заключительные замечания

Если вы получили сообщение об ошибке «Неверный ключ API», подтвердите свой ключ или создайте новый на портале OTX. Всегда убедитесь, что в вашей среде Python внутри Wazuh установлена ​​библиотека OTXv2.