Интеграция Wazuh с MISP для автоматизации обнаружения угроз

Компьютерная безопасность icon

Темя сегодняшней статьи — настройка Wazuh для работы с API MISP. Основная цель — упростить работу безопасников, избавив их от необходимости вручную соотносить оповещения Wazuh с данными в MISP для IoC (индикатор компрометации). Выглядит моя задумка так: например, какое-то устройство делает DNS-запрос, Wazuh извлекает домен и отправляет его в MISP, чтобы узнать, есть ли этот домен в базе угроз. Если MISP находит совпадение, он возвращает идентификатор события и метаданные о найденном IoC. В случае положительного ответа от MISP, Wazuh генерирует оповещение с сообщением «Найден IoC». Таким образом, SOC-команда сразу получает уведомление с уже готовые данные, а не занимается ручным поиском IoC.

Еще по теме: Использование Wazuh на Raspberry Pi

Настройка правил для Wazuh

Для начала нужно настроить Wazuh, чтобы он знал, когда делать API-запрос к MISP и какие данные передавать. Для этого мы воспользуемся правилами Sysmon, которые собирают массу информации. Очень важно, чтобы на Wazuh были загружены наши кастомные правила Sysmon, а агенты имели корректную конфигурацию Sysmon, иначе интеграция работать не будет.

Вот какие группы событий Sysmon подходят для этой интеграции:

  • sysmon_event1
  • sysmon_event3
  • sysmon_event6
  • sysmon_event7
  • sysmon_event_15
  • sysmon_event_22
  • syscheck

Все эти события содержат поля с потенциальными IoC, такими как IP-адреса, домены, хэши и т.д. Например, в событии Sysmon Event 22 фиксируется DNS-запрос, и в Wazuh можно увидеть этот запрос в поле data.win.eventdata.queryName.

Настройка правил Wazuh

Wazuh Manager получает значение opensecure.co и спрашивает MISP, содержится ли это значение в каких-либо базах угроз.

Скрипт на Python для интеграции с MISP

Для того чтобы эта интеграция работала, нам нужно настроить Wazuh для выполнения API-запроса к MISP. Для этого мы будем использовать собственный Python-скрипт. Есть несколько шагов, которые нужно выполнить для успешного запроса.

  1. Скрипт Custom-MISP.py.
  2. Настройка пользовательских опций в скрипте.
  3. Добавление блока интеграции в файл ossec.conf Wazuh.
  4. Добавление пользовательских правил MISP.

Еще по теме: Использование MISP для защиты от киберугроз

Скрипт Custom-MISP.py

Теперь мы создадим скрипт, который будет отвечать за выполнение API-запроса к MISP. Перейдите в каталог /var/ossec/integrations на вашем Wazuh Manager, и поместите туда наш скрипт custom-misp.py.

Настройка пользовательских опций

Так как урл и API-токен MISP могут отличаться в разных средах, нам нужно внести соответствующие изменения в скрипт custom-misp.py. Для этого нужно изменить переменные misp_base_url и misp_api_auth_key, так, чтобы они соответствовали вашему урлу MISP и API-ключу.

Добавление блока интеграции в ossec.conf

Теперь нужно настроить Wazuh так, чтобы он запускал скрипт custom-misp.py при срабатывании определенных событий. Для этого добавляем новый блок интеграции в файл ossec.conf:

Обратите внимание, что Manager будет запускать скрипт только при срабатывании одной из групп событий Sysmon.

После этого перезагрузите Wazuh Manager.

Добавление кастомных правил MISP

Теперь нужно создать кастомные правила для Wazuh, чтобы он мог генерировать оповещения при положительном ответе от MISP.

Добавление кастомных правил MISP

Для этого создайте файл misp.xml с правилами и добавьте следующее:

Если MISP возвращает положительный ответ, сработает правило с id 100622.

Пример работы Wazuh с MISP

Давайте рассмотрим живой пример. На тестовом устройстве я выполню команду ping по домену, который уже существует в MISP. Это вызовет событие Sysmon Event 22, которое затем заставит Manager сделать API-запрос к MISP. MISP вернет положительный результат, и Wazuh сгенерирует оповещение.

Пример работы Wazuh MISP

Мы увидим, что в Wazuh пришло оповещение от Sysmon Event 22 о DNS-запросе. Далее Wazuh получит от MISP оповещение о положительном результате.

Работа Wazuh MISP

Затем мы видим, что менеджер Wazuh получает положительное оповещение от MISP.

Wazuh MISP интеграция

В оповещении будет указано несколько полей MISP, включая идентификатор события, оригинальное оповещение и найденное значение (например, домен tikonam.com).

Wazuh MISP интеграция

Данная интеграция значительно упрощает работу SOC-команды, так как им больше не нужно вручную искать IoC в оповещениях и MISP. Весь процесс теперь автоматизирован, что снижает риск пропуска IoC и ускоряет время реагирования. Оставшиеся шаги включают настройку оповещений через Elastalert или Shuffle, чтобы тикеты автоматически создавались при срабатывании правила MISP.

ПОЛЕЗНЫЕ ССЫЛКИ:

QUASAR

Этичный хакер и компьютерный ниндзя. Новые статьи в нашей Телеге!

Добавить комментарий