Coletar registros do Wazuh

Visão geral

Esse analisador do Wazuh processa registros formatados em SYSLOG e JSON, normaliza campos em um formato comum e os enriquece com metadados específicos do Wazuh. Em seguida, ele usa uma série de instruções condicionais com base nos campos event_type e rule_id para mapear os dados brutos do registro para o tipo e os campos de evento UDM adequados, processando vários formatos de registro e casos extremos no ecossistema do Wazuh.

Antes de começar

• Verifique se você tem uma instância do Google SecOps.
• Verifique se você tem uma instância ativa do Wazuh.
• Verifique se você tem acesso privilegiado aos arquivos de configuração do Wazuh.

Configurar um feed no Google SecOps para processar registros do Wazuh

1. Acesse Configurações do SIEM > Feeds.
2. Clique em Adicionar novo.
3. No campo Nome do feed, insira um nome para o feed (por exemplo, Logs do Wazuh).
4. Selecione Webhook como o Tipo de origem.
5. Selecione Wazuh como o Tipo de registro.
6. Clique em Próxima.
7. Opcional: especifique valores para os seguintes parâmetros de entrada:
   • Delimitador de divisão: o delimitador usado para separar linhas de registro, como \n.
   • Namespace de recursos: o namespace de recursos.
   • Rótulos de ingestão: o rótulo aplicado aos eventos desse feed.
8. Clique em Próxima.
9. Revise a configuração do feed na tela Finalizar e clique em Enviar.
10. Clique em Gerar chave secreta para gerar uma chave secreta para autenticar esse feed.
11. Copie e armazene a chave secreta. Não é possível acessar essa chave secreta novamente. Se necessário, você pode gerar uma nova chave secreta, mas essa ação torna a chave secreta anterior obsoleta.
12. Na guia Detalhes, copie o URL do endpoint do feed no campo Informações do endpoint. É necessário especificar esse URL de endpoint no aplicativo cliente.
13. Clique em Concluído.

Criar uma chave de API para o feed de webhook

1. Acesse o console do Google Cloud > Credenciais.

   Ir para Credenciais

2. Clique em Criar credenciais e, em seguida, selecione Chave de API.

3. Restrinja o acesso da chave de API à API Google Security Operations.

Especificar o URL do endpoint

1. No aplicativo cliente, especifique o URL do endpoint HTTPS fornecido no feed de webhook.

2. Ative a autenticação especificando a chave de API e a chave secreta como parte do cabeçalho personalizado no seguinte formato:

   X-goog-api-key = API_KEY
   X-Webhook-Access-Key = SECRET
   

   Recomendação: especifique a chave de API como um cabeçalho em vez de especificar no URL. Se o cliente do webhook não tiver suporte a cabeçalhos personalizados, especifique a chave de API e a chave secreta usando parâmetros de consulta no seguinte formato:

   ENDPOINT_URL?key=API_KEY&secret=SECRET
   

Substitua:

• ENDPOINT_URL: o URL do endpoint do feed.
• API_KEY: a chave de API para autenticação no Google Security Operations.
• SECRET: a chave secreta que você gerou para autenticar o feed.

Configurar o webhook do Wazuh Cloud

Siga estas etapas para configurar o webhook do Wazuh Cloud:

1. Faça login no Wazuh Cloud.
2. Acesse Configurações, localizado no menu do painel à esquerda em Gerenciamento do servidor.
3. Clique em Editar configuração.

4. Adicione o bloco de integração abaixo na seção <integration> da configuração.

   • Se a seção não existir, copie o bloco inteiro com <integration> para criar uma.
   • Substitua os valores de marcador de posição pelos seus detalhes reais do Google SecOps:

<integration>
  <name>google-chronicle</name>
  <hook_url>https://<CHRONICLE_REGION>-chronicle.googleapis.com/v1alpha/projects/<GOOGLE_PROJECT_NUMBER>/locations/<LOCATION>/instances/<CUSTOMER_ID>/feeds/<FEED_ID>:importPushLogs?key=<API_KEY>&secret=<SECRET></hook_url>
  <alert_format>json</alert_format>
  <level>0</level>  <!-- Adjust the level as needed -->
</integration>

• CHRONICLE_REGION: sua região do Google SecOps (por exemplo, us, europe-west1).
• GOOGLE_PROJECT_NUMBER: o número do seu projeto do Google Cloud.
• LOCATION: sua região do Google SecOps (por exemplo, us, europe-west1).
• CUSTOMER_ID: seu ID de cliente do Google SecOps.
• FEED_ID: o ID do seu feed do Google SecOps.
• API_KEY: a chave de API do Google Cloud que hospeda o Google SecOps.
• SECRET: o segredo do seu feed do Google SecOps.
• alert_format: defina como json para compatibilidade com o Google SecOps.
• level: especifica o nível mínimo de alerta a ser encaminhado. 0 envia todos os alertas.

1. Clique no botão Salvar.
2. Clique em Restart wazuh-manager.

Configurar o webhook local do Wazuh

Siga estas etapas para configurar o webhook do Wazuh local:

1. Acesse o Wazuh Manager no local.
2. Acesse o diretório /var/ossec/etc/.
3. Abra o arquivo ossec.conf usando um editor de texto (por exemplo, nano, vim).

4. Adicione o bloco de integração abaixo na seção <integration> da configuração.

   • Se a seção não existir, copie o bloco inteiro com <integration> para criar uma.
   • Substitua os valores de marcador de posição pelos seus detalhes reais do Google SecOps:

   <integration>
      <name>google-chronicle</name>
      <hook_url>https://<CHRONICLE_REGION>-chronicle.googleapis.com/v1alpha/projects/<GOOGLE_PROJECT_NUMBER>/locations/<LOCATION>/instances/<CUSTOMER_ID>/feeds/<FEED_ID>:importPushLogs?key=<API_KEY>&secret=<SECRET></hook_url>
      <alert_format>json</alert_format>
      <level>0</level>  <!-- Adjust the level as needed -->
   </integration>
   

   • CHRONICLE_REGION: sua região do Google SecOps (por exemplo, us, europe-west1).
   • GOOGLE_PROJECT_NUMBER: o número do seu projeto do Google Cloud.
   • LOCATION: sua região do Google SecOps (por exemplo, us, europe-west1).
   • CUSTOMER_ID: seu ID de cliente do Google SecOps.
   • FEED_ID: o ID do seu feed do Google SecOps.
   • API_KEY: a chave de API do Google Cloud que hospeda o Google SecOps.
   • SECRET: o segredo do seu feed do Google SecOps.
   • alert_format: defina como json para compatibilidade com o Google SecOps.
   • level: especifica o nível mínimo de alerta a ser encaminhado. 0 envia todos os alertas.

5. Reinicie o Wazuh manager para aplicar as mudanças:

   sudo systemctl restart wazuh-manager
   

Tabela de mapeamento do UDM

Alterações

2024-03-04

• Foi adicionado suporte a registros syslog do SVROSSEC.
• "file_path" foi mapeado para "target.file.full_path".
• "registry_key" foi mapeado para "target.registry.registry_key".
• "user_name" foi mapeado para "principal.user.userid".
• "log_description" foi mapeado para "metadata.description".
• "action_data" foi mapeado para "security_result.action_details".
• "src_host" foi mapeado para "principal.hostname".
• "rule_id" foi associado a "security_result.rule_id".
• Mapeamos "classificação" para "security_result.detection_fields".
• "rule_summary" foi associado a "security_result.summary".
• Mapeamentos alinhadas para "principal.hostname" e "principal.asset.hostname".
• Mapeamentos alinhadas para "principal.ip" e "principal.asset.ip".
• Mapeamentos alinhados para "target.ip" e "target.asset.ip".

2023-07-17

• Adicionamos um padrão Grok para analisar registros syslog não analisados.
• Foi adicionada uma verificação de valor nulo para "predecoder.hostname".

2022-10-14

• Aumento da porcentagem de análise.
• Adição de suporte para analisar o padrão syslog.