Table of contents
Pré-requis
Configuration des alertes -FIM et Brute Force Attack - (facultatif)
Intégration
Wazuh est en mesure de renforcer les détections, avec une intégration VirusTotal, qui génère des alertes sur les fichiers et URL suspects. Il est possible de faire l'intégration soit avec une API public ou privée. Même si l'API publique a quelques limitations, elle est largement suffisante ici. Pour cela, il faut d'abord créer un compte VirusTotal afin d'obtenir la clé de l'API. La clé API privée requiert un compte premium pour des configurations plus avancées.
La documentation complète se trouve sur le site officiel de Wazuh. Une fois le compte crée, vous pouvez récupérer la clé.
Alles dans le fichier /var/ossec/etc/ossec.conf
du serveur et ajouter le code suivant:
<integration>
<name>virustotal</name>
<api_key>API_KEY</api_key>
<group>syscheck</group>
<alert_format>json</alert_format>
</integration>
Remplacez API_KEY
par votre clé récupérée au niveau de votre compte Virus Total.
Il faut maintenant configurer les machines où sont installées l'agent wazuh, en modifiant le fichier ossec.conf
.
Pour les systèmes Windows, il se trouve dans le répertoire C:\Program Files (x86)\ossec-agent\
et pour les systèmes Windows il se trouve dans /var/ossec/etc/
Ajoutez le code suivant au fichier:
<syscheck>
<directories check_all="yes" realtime="yes">C:\PATH</directories>
</syscheck>
Redémarrez le wazuh manager
systemctl restart wazuh-manager
Vous pouvez maintenant tester la configuration en téléchargeant un fichier potentiellement malicieux. Vous pouvez essayer le fichier eicar
, qui est un fichier non vulnérable pour vos sytèmes, mais concu pour être détecté.
curl -Lo /home/kali/Desktop/suspicious-file.exe https://secure.eicar.org/eicar.com
Une alerte est créée, accessible dans la section VirusTotal sur le dashboard.
Il offre un lien associé vers l'interface Virus Total pour avoir beaucoup plus d'informations. À chaque fois qu'un nouveau fichier malveillant sera téléchargé, il sera détecté par le module.
Il est aussi possible d'automatiser la suppression de ces fichiers.
L'intégration de Wazuh avec VirusTotal améliore la détection des menaces et renforce la sécurité des sytèmes en fournissant des alertes détaillées et en facilitant une réponse rapide aux fichiers malveillants.
Vous pouvez aussi ajouter des configurations d'alertes FIM ou la détection des attaques par force brute. Un article est disponible sur ce sujet ici.
Références
La photo de couverture provient de Aravind Raja sur LinkedIn