Recopila registros de Wazuh

Descripción general

Este analizador de Wazuh transfiere registros con formato SYSLOG y JSON, normaliza los campos en un formato común y los enriquece con metadatos específicos de Wazuh. Luego, usa una serie de sentencias condicionales basadas en los campos event_type y rule_id para asignar los datos de registro sin procesar al tipo y los campos de eventos de la UDM adecuados, lo que permite controlar varios formatos de registro y casos extremos dentro del ecosistema de Wazuh.

Antes de comenzar

• Asegúrate de tener una instancia de Google SecOps.
• Asegúrate de tener una instancia de Wazuh activa.
• Asegúrate de tener acceso con privilegios a los archivos de configuración de Wazuh.

Configura un feed en Google SecOps para transferir registros de Wazuh

1. Ve a Configuración de SIEM > Feeds.
2. Haz clic en Agregar nueva.
3. En el campo Nombre del feed, ingresa un nombre para el feed (por ejemplo, Registros de Wazuh).
4. Selecciona Webhook como el Tipo de origen.
5. Selecciona Wazuh como el Tipo de registro.
6. Haz clic en Siguiente.
7. Opcional: Especifica valores para los siguientes parámetros de entrada:
   • Delimitador de división: Es el delimitador que se usa para separar las líneas de registro, como \n.
   • Espacio de nombres de recursos: Es el espacio de nombres de recursos.
   • Etiquetas de transferencia: Es la etiqueta que se aplica a los eventos de este feed.
8. Haz clic en Siguiente.
9. Revisa la configuración del feed en la pantalla Finalizar y, luego, haz clic en Enviar.
10. Haz clic en Generate Secret Key para generar una clave secreta que autentique este feed.
11. Copia y almacena la clave secreta. No podrás volver a ver esta clave secreta. Si es necesario, puedes volver a generar una clave secreta nueva, pero esta acción hace que la clave secreta anterior quede obsoleta.
12. En la pestaña Detalles, copia la URL del extremo del feed del campo Información del extremo. Debes especificar esta URL de extremo en tu aplicación cliente.
13. Haz clic en Listo.

Crea una clave de API para el feed de webhook

1. Ve a consola de Google Cloud > Credenciales.

   Ir a Credenciales

2. Haz clic en Crear credenciales y selecciona Clave de API.

3. Restringe el acceso de la clave de API a la API de Google Security Operations.

Especifica la URL del extremo

1. En tu aplicación cliente, especifica la URL del extremo HTTPS que se proporciona en el feed de webhook.

2. Para habilitar la autenticación, especifica la clave de API y la clave secreta como parte del encabezado personalizado en el siguiente formato:

   X-goog-api-key = API_KEY
   X-Webhook-Access-Key = SECRET
   

   Recomendación: Especifica la clave de API como un encabezado en lugar de hacerlo en la URL. Si tu cliente de webhook no admite encabezados personalizados, puedes especificar la clave de API y la clave secreta con parámetros de consulta en el siguiente formato:

   ENDPOINT_URL?key=API_KEY&secret=SECRET
   

Reemplaza lo siguiente:

• ENDPOINT_URL: Es la URL del extremo del feed.
• API_KEY: Es la clave de API para autenticarse en Google Security Operations.
• SECRET: Es la clave secreta que generaste para autenticar el feed.

Configura el webhook de Wazuh Cloud

Completa los siguientes pasos para configurar el webhook de Wazuh Cloud:

1. Accede a tu cuenta de Wazuh Cloud.
2. Ve a Configuración, que se encuentra en el menú del panel izquierdo, en Administración del servidor.
3. Haz clic en Editar configuración.

4. Agrega el siguiente bloque de integración dentro de la sección <integration> de la configuración.

   • Si la sección no existe, copia todo el bloque con <integration> para crear una.
   • Reemplaza los valores de los marcadores de posición por tus detalles reales de SecOps de Google:

<integration>
  <name>google-chronicle</name>
  <hook_url>https://<CHRONICLE_REGION>-chronicle.googleapis.com/v1alpha/projects/<GOOGLE_PROJECT_NUMBER>/locations/<LOCATION>/instances/<CUSTOMER_ID>/feeds/<FEED_ID>:importPushLogs?key=<API_KEY>&secret=<SECRET></hook_url>
  <alert_format>json</alert_format>
  <level>0</level>  <!-- Adjust the level as needed -->
</integration>

• CHRONICLE_REGION: Tu región de Google SecOps (por ejemplo, us, europe-west1).
• GOOGLE_PROJECT_NUMBER: Es el número de tu proyecto de Google Cloud.
• LOCATION: Tu región de Google SecOps (por ejemplo, us, europe-west1).
• CUSTOMER_ID: Es el ID de cliente de Google SecOps.
• FEED_ID: El ID de tu feed de SecOps de Google.
• API_KEY: Es la clave de API de tu cuenta de Google Cloud que aloja Google SecOps.
• SECRET: El secreto de tu feed de SecOps de Google.
• alert_format: Establece en json para la compatibilidad con Google SecOps.
• level: Especifica el nivel mínimo de alerta que se reenviará. 0 envía todas las alertas.

1. Haga clic en el botón Guardar.
2. Haz clic en Reiniciar wazuh-manager.

Configura el webhook de Wazuh On-Premise

Completa los siguientes pasos para configurar el webhook de Wazuh On-Premise:

1. Accede a tu administrador de Wazuh local.
2. Ve al directorio /var/ossec/etc/.
3. Abre el archivo ossec.conf con un editor de texto (por ejemplo, nano o vim).

4. Agrega el siguiente bloque de integración dentro de la sección <integration> de la configuración.

   • Si la sección no existe, copia todo el bloque con <integration> para crear una.
   • Reemplaza los valores de los marcadores de posición por tus detalles reales de SecOps de Google:

   <integration>
      <name>google-chronicle</name>
      <hook_url>https://<CHRONICLE_REGION>-chronicle.googleapis.com/v1alpha/projects/<GOOGLE_PROJECT_NUMBER>/locations/<LOCATION>/instances/<CUSTOMER_ID>/feeds/<FEED_ID>:importPushLogs?key=<API_KEY>&secret=<SECRET></hook_url>
      <alert_format>json</alert_format>
      <level>0</level>  <!-- Adjust the level as needed -->
   </integration>
   

   • CHRONICLE_REGION: Tu región de Google SecOps (por ejemplo, us, europe-west1).
   • GOOGLE_PROJECT_NUMBER: Es el número de tu proyecto de Google Cloud.
   • LOCATION: Tu región de Google SecOps (por ejemplo, us, europe-west1).
   • CUSTOMER_ID: Es el ID de cliente de Google SecOps.
   • FEED_ID: El ID de tu feed de SecOps de Google.
   • API_KEY: Es la clave de API de tu cuenta de Google Cloud que aloja Google SecOps.
   • SECRET: El secreto de tu feed de SecOps de Google.
   • alert_format: Establece en json para la compatibilidad con Google SecOps.
   • level: Especifica el nivel mínimo de alerta que se reenviará. 0 envía todas las alertas.

5. Reinicia el administrador de Wazuh para aplicar los cambios:

   sudo systemctl restart wazuh-manager
   

Tabla de asignación de UDM

Cambios

2024-03-04

• Se agregó compatibilidad con los registros de syslog de SVROSSEC.
• Se asignó "file_path" a "target.file.full_path".
• Se asignó "registry_key" a "target.registry.registry_key".
• Se asignó "user_name" a "principal.user.userid".
• Se asignó "log_description" a "metadata.description".
• Se asignó "action_data" a "security_result.action_details".
• Se asignó "src_host" a "principal.hostname".
• Se asignó "rule_id" a "security_result.rule_id".
• Se asignó "classification" a "security_result.detection_fields".
• Se asignó "rule_summary" a "security_result.summary".
• Asignaciones alineadas para "principal.hostname" y "principal.asset.hostname".
• Asignaciones alineadas para "principal.ip" y "principal.asset.ip".
• Asignaciones alineadas para "target.ip" y "target.asset.ip".

2023-07-17

• Se agregó un patrón Grok para analizar registros de syslog sin analizar.
• Se agregó la verificación de nulo para "predecoder.hostname".

2022-10-14

• Se aumentó el porcentaje de análisis.
• Se agregó compatibilidad para analizar el patrón de syslog.