Wazuh ile AlienVault OTX Entegrasyonu (Tam Kılavuz)

22.10.2025

Portekizce versiyonu

Genel Bakış

Bu ayrıntılı kılavuz, AlienVault OTX'i (Açık Tehdit Değişimi) Wazuh ile nasıl entegre edeceğinizi adım adım açıklayarak izleme ortamınızın bilinen kötü amaçlı etki alanlarını ve IP adreslerini otomatik olarak algılamasını sağlar. Entegrasyon, belirli olaylar algılandığında OTX API'sini sorgulamak için Wazuh'daki Python komut dosyalarını ve özel kuralları kullanır.

Entegrasyon özellikle olay korelasyonunu ve Tehdit İstihbaratını otomatikleştirmek, böylece görünürlüğü ve olaylara müdahaleyi geliştirmek isteyen güvenlik ekipleri için kullanışlıdır.

---

Önkoşullar

Başlamadan önce ortamınızda aşağıdakilerin bulunup bulunmadığını kontrol edin:

• Wazuh Manager yüklü (sürüm 4.x veya üzeri)
• Wazuh ortamında kurulu Python ve OTXv2 modülü
• Kök erişimi veya yönetim izinleri
• AlienVault portalından (https://otx.alienvault.com) ücretsiz olarak alınan geçerli bir OTX API Anahtarı

Gerekli modülü yüklemek için şunu çalıştırın:

``` bash sudo /var/ossec/framework/python/bin/python3 -m pip kurulumu OTXv2 ''''

---

Gerekli Dosyalar

Süreci basitleştirmek için ana dosyalar artık doğrudan GitHub deposundan indirilebilir:

• özel-alienvault
• custom-alienvault.py
• alienOTX.xml

Bunlara ek olarak get_malicious.py dosyasını doğrudan resmi OTX SDK deposundan indirmeniz gerekir:

• get_malicious.py (resmi depo)

Dosyaları indirdikten sonra hepsini dizine taşıyın:

``` bash /var/ossec/entegrasyonlar/ ''''

---

İzinler ve Sahiplik

Wazuh'un komut dosyalarını doğru şekilde çalıştırabildiğinden emin olmak için uygun izinleri ayarlayın:

``` bash chown kökü:wazuh özel-alienvault özel-alienvault.py get_malicious.py chmod 750 özel-alienvault özel-alienvault.py get_malicious.py ''''

---

API Anahtarı Yapılandırması

custom-alienvault.py dosyasını açın ve şu satırı değiştirin:

```piton API_KEY = 'APIKEY' ''''

Geçerli OTX API anahtarınız için. Örnek:

```piton API_KEY = 'yor_api_key_here' ''''

Bu anahtar, AlienVault API'sine yönelik sorguların kimliğini doğrulamak için kullanılacaktır.

---

Wazuh'u Yapılandırma (ossec.conf)

Wazuh yapılandırma dosyasını açın:

``` bash sudo nano /var/ossec/etc/ossec.conf ''''

Ve <ossec_config> etiketinin içine aşağıdaki entegrasyonu ekleyin:

```xml özel-alienvault sysmon_event_22 json ''''

Bu yapılandırma, sysmon_event_22 grubundan bir uyarı oluşturulduğunda (DNS sorgu olayları gibi) Wazuh'un custom-alienvault.py komut dosyasını tetiklemesi gerektiğini belirtir.

---

Wazuh'a Kural Ekleme

Kural dosyasını alienOTX.xml dizine kopyalayın:

``` bash sudo cp uzaylıOTX.xml /var/ossec/etc/rules/ ''''

Dosyanın temel içeriği şunlardır:

```xml alienvault AlienVault - OTX ALAN ADI Bulundu no_full_log ''''

Bu kurallar, OTX veritabanında bulunan bir alanı tanımlarken Wazuh'un davranışını tanımlar.

---

Wazuh yeniden başlatılıyor

Tüm değişikliklerden sonra ayarları uygulamak için hizmeti yeniden başlatın:

``` bash sudo systemctl wazuh-manager'ı yeniden başlat ''''

---

Entegrasyonu Test Etme

Test etmek için örnek bir uyarı dosyası oluşturun:

``` bash cat >>tmp/test_alert.json <<'JSON' { "agent": { "id": "001", "name": "test-agent", "ip": "127.0.0.1" }, "tarih": { "kazan": { "olay verileri": { "queryName": "fact-pendientes.com" } } } } JSON ''''

Şimdi betiği manuel olarak çalıştırın:

``` bash sudo /var/ossec/integrations/custom-alienvault /tmp/test_alert.json ''''

Alan adı OTX'te listeleniyorsa şu mesajı görürsünüz:

'''' Potansiyel olarak kötü amaçlı olarak tanımlandı ''''

Aksi takdirde:

'''' Bilinmiyor veya kötü amaçlı olarak tanımlanmıyor ''''

---

Günlükleri Kontrol Etme

Entegrasyon günlükleri görüntülenebilirdosyada belirtilmiştir:

``` bash /var/ossec/logs/integrations.log ''''

Olayların doğru şekilde işlendiğini doğrulamak için "alienvault" veya "OTX" içeren girişleri arayın.

---

İpuçları ve Sorun Giderme

• 'Geçersiz API Anahtarı' hatası görüntülenirse OTX portalında yeni bir anahtar oluşturun.
• OTXv2 modülünün Wazuh Python ortamında kurulu olup olmadığını kontrol edin (/var/ossec/framework/python/bin/python3).
• Hizmetin çalışıp çalışmadığını kontrol etmek için 'systemctl status wazuh-manager'ı kullanın.

---

İngilizce Sürüm

Genel Bakış

Bu eksiksiz kılavuz, AlienVault OTX'i (Açık Tehdit Değişimi) Wazuh ile nasıl entegre edeceğinizi adım adım açıklayarak izleme ortamınızın bilinen kötü amaçlı etki alanlarını ve IP adreslerini otomatik olarak algılamasını sağlar. Entegrasyon, belirli olaylar tetiklendiğinde OTX API'sini sorgulamak için Python komut dosyalarından ve özel Wazuh kurallarından yararlanır.

Bu kurulum özellikle tehdit istihbaratı korelasyonunu ve olay tespitini otomatikleştirmek isteyen güvenlik ekipleri için kullanışlı olup hem görünürlüğü hem de yanıt süresini artırır.

---

Gereksinimler

Başlamadan önce aşağıdakilere sahip olduğunuzdan emin olun:

• Wazuh Yöneticisi (sürüm 4.x veya üzeri)
• Python ve OTXv2 modülü yüklü
• Kök veya yönetici ayrıcalıkları
• Geçerli bir OTX API Anahtarı, https://otx.alienvault.com adresinden ücretsiz olarak edinilebilir

Gerekli modülü kurmak için:

``` bash sudo /var/ossec/framework/python/bin/python3 -m pip kurulumu OTXv2 ''''

---

Gerekli Dosyalar

Ana entegrasyon dosyalarını GitHub deposundan indirin:

• özel-alienvault
• custom-alienvault.py
• alienOTX.xml

Ayrıca resmi OTX SDK'sından get_malicious.py betiğini indirin:

• get_malicious.py (resmi depo)

Tüm bu dosyaları şuraya taşıyın:

``` bash /var/ossec/entegrasyonlar/ ''''

---

İzinleri Ayarlama

``` bash chown kökü:wazuh özel-alienvault özel-alienvault.py get_malicious.py chmod 750 özel-alienvault özel-alienvault.py get_malicious.py ''''

---

API Anahtarını Yapılandırma

custom-alienvault.py'yi düzenleyin ve değiştirin:

```piton API_KEY = 'APIKEY' ''''

mevcut API anahtarınızla örneğin:

```piton API_KEY = 'yor_api_key_here' ''''

Bu anahtar, OTX API ile kimlik doğrulama için gereklidir.

---

Wazuh Yapılandırmasını Düzenleme

/var/ossec/etc/ossec.conf dosyasına şunu ekleyin:

```xml özel-alienvault sysmon_event_22 json ''''

---

Kural Ekleme

alienOTX.xml dosyasını /var/ossec/etc/rules/ dizinine kopyalayın.

---

Wazuh yeniden başlatılıyor

``` bash sudo systemctl wazuh-manager'ı yeniden başlat ''''

---

Entegrasyonu Test Etme

``` bash cat >>tmp/test_alert.json <<'JSON' { "agent": { "id": "001", "name": "test-agent", "ip": "127.0.0.1" }, "data": { "win": { "eventdata": { "queryName": "fact-pendientes.com" } } } } JSON

sudo /var/ossec/integrations/custom-alienvault /tmp/test_alert.json ''''

Kötü amaçlıysa → Potansiyel olarak kötü amaçlı olarak tanımlandı Güvenliyse → Bilinmiyor veya kötü amaçlı olarak tanımlanmadı

---

Günlükleri Kontrol Etme

Entegrasyon günlüklerini kontrol edin:

``` bash cat /var/ossec/logs/integrations.log | grep uzaylıvault ''''

---

Son Notlar

'Geçersiz API Anahtarı' hatası alırsanız anahtarınızı doğrulayın veya OTX portalında yeni bir anahtar oluşturun. Her zaman Wazuh içindeki Python ortamınızda OTXv2 kitaplığının kurulu olduğundan emin olun.