AlienVault OTX 与 Wazuh 集成(完整指南)
2025 年 10 月 22 日
葡萄牙语版本
概述
本详细指南分步说明如何将 AlienVault OTX (开放威胁交换) 与 Wazuh 集成,使您的监控环境能够自动检测已知的恶意域和 IP 地址。每当检测到特定事件时,集成就会利用 Wazuh 中的 Python 脚本和自定义规则来查询 OTX API。
对于想要自动化事件关联和威胁情报、提高可见性和事件响应的安全团队来说,该集成特别有用。
先决条件
开始之前,请检查您的环境是否有:
- 安装 Wazuh Manager(版本 4.x 或更高版本)
- Wazuh 环境中安装的 Python 和 OTXv2 模块
- root访问或管理权限
- 有效的 OTX API 密钥,可从 AlienVault 门户 (https://otx.alienvault.com) 免费获取
要安装所需的模块,请运行:
sudo /var/ossec/framework/python/bin/python3 -m pip install OTXv2
所需文件
为了简化流程,现在可以直接从 GitHub 存储库下载主要文件:
除此之外,您还需要直接从官方 OTX SDK 存储库下载 get_malicious.py 文件:
下载文件后,将它们全部移动到目录中:
/var/ossec/集成/
权限和所有权
为了确保Wazuh能够正确运行脚本,请设置适当的权限:
chown root:wazuh custom-alienvault custom-alienvault.py get_malicious.py
chmod 750 自定义-alienvault 自定义-alienvault.py get_malicious.py
API 密钥配置
打开 custom-alienVault.py 文件并替换以下行:
API_KEY = 'APIKEY'
对于您的有效的 OTX API 密钥。示例:
API_KEY = 'yor_api_key_here'
此密钥将用于验证对 AlienVault API 的查询。
配置 Wazuh (ossec.conf)
打开 Wazuh 配置文件:
sudo nano /var/ossec/etc/ossec.conf
并在<ossec_config>标签内添加以下集成:
```xml
<整合>
<名称>自定义 AlienVault</名称>
<组>sysmon_event_22</组>
此配置指示每当生成来自 **sysmon_event_22** 组的警报(例如 DNS 查询事件)时,Wazuh 应触发 **custom-alienvault.py** 脚本。
---
### 向 Wazuh 添加规则
将规则文件**alienOTX.xml**复制到目录:
````bash
sudo cp AlienOTX.xml /var/ossec/etc/rules/
该文件的基本内容是:
```xml
<组名称=“alienVault_alert,”>
<规则id =“100010”级别=“12”>
这些规则定义了 Wazuh 在识别 OTX 数据库中存在的域时的行为。
---
### 重新启动 Wazuh
完成所有更改后,重新启动服务以应用设置:
````bash
sudo systemctl 重新启动 wazuh-manager
测试集成
要进行测试,请创建一个示例警报文件:
猫 >>tmp/test_alert.json <<'JSON'
{
“代理”:{“id”:“001”,“名称”:“测试代理”,“ip”:“127.0.0.1”},
“日期”:{
“赢”:{
“事件数据”:{
“queryName”:“fact-pendientes.com”
}
}
}
}
JSON
现在手动运行脚本:
sudo /var/ossec/integrations/custom-alienvault /tmp/test_alert.json
如果该域名在 OTX 上列出,您将看到以下消息:
被识别为潜在恶意
否则:
未知或未被识别为恶意
检查日志
可以查看集成日志文件中明确:
/var/ossec/logs/integrations.log
查找包含“alienVault”或“OTX”的条目,以确认事件正在正确处理。
提示和故障排除
- 如果出现“无效的 API 密钥”错误,请在 OTX 门户上生成新密钥。
- 检查 OTXv2 模块是否安装在 Wazuh Python 环境中 (
/var/ossec/framework/python/bin/python3)。 - 使用
systemctl status wazuh-manager检查服务是否正在运行。
英文版
概述
本完整指南分步说明了如何将 AlienVault OTX(开放威胁交换) 与 Wazuh 集成,从而使您的监控环境能够自动检测已知的恶意域和 IP 地址。该集成利用 Python 脚本和自定义 Wazuh 规则在触发特定事件时查询 OTX API。
此设置对于想要自动化威胁情报关联和事件检测、提高可见性和响应时间的安全团队特别有用。
要求
开始之前,请确保您拥有:
- Wazuh 管理器(4.x 或更高版本)
- 安装了 Python 和 OTXv2 模块
- root 或管理权限
- 有效的 OTX API 密钥,可从 https://otx.alienvault.com 免费获取
要安装所需的模块:
sudo /var/ossec/framework/python/bin/python3 -m pip install OTXv2
所需文件
从 GitHub 存储库下载主要集成文件:
此外,从官方 OTX SDK 下载 get_malicious.py 脚本:
将所有这些文件移至:
/var/ossec/集成/
设置权限
chown root:wazuh custom-alienvault custom-alienvault.py get_malicious.py
chmod 750 自定义-alienvault 自定义-alienvault.py get_malicious.py
配置 API 密钥
编辑 custom-alienVault.py 并替换:
API_KEY = 'APIKEY'
使用您当前的 API 密钥,例如:
API_KEY = 'yor_api_key_here'
使用 OTX API 进行身份验证需要此密钥。
编辑 Wazuh 配置
在/var/ossec/etc/ossec.conf中,添加:
```xml
<整合>
<名称>自定义 AlienVault</名称>
<组>sysmon_event_22</组>
---
### 添加规则
将 **alienOTX.xml** 文件复制到 `/var/ossec/etc/rules/`。
---
### 重新启动 Wazuh
````bash
sudo systemctl 重新启动 wazuh-manager
测试集成
猫 >>tmp/test_alert.json <<'JSON'
{
“代理”:{“id”:“001”,“名称”:“测试代理”,“ip”:“127.0.0.1”},
"data": { "win": { "eventdata": { "queryName": "fact-pendientes.com" } } }
}
JSON
sudo /var/ossec/integrations/custom-alienvault /tmp/test_alert.json
如果是恶意的→被识别为潜在恶意的
如果安全→“未知或未被识别为恶意”
检查日志
检查集成日志:
猫 /var/ossec/logs/integrations.log | grep 外星人保险库
最后的注释
如果您收到“无效的 API 密钥”错误,请验证您的密钥或在 OTX 门户重新生成一个新密钥。始终确保 Wazuh 内的 Python 环境安装了 OTXv2 库。