Wazuh Intégration VirusTotal
FIKARA BILALTable of contents
Pré-requis
Configuration des alertes -FIM et Brute Force Attack - (facultatif)
Intégration
Wazuh est en mesure de renforcer les détections, avec une intégration VirusTotal, qui génère des alertes sur les fichiers et URL suspects. Il est possible de faire l'intégration soit avec une API public ou privée. Même si l'API publique a quelques limitations, elle est largement suffisante ici. Pour cela, il faut d'abord créer un compte VirusTotal afin d'obtenir la clé de l'API. La clé API privée requiert un compte premium pour des configurations plus avancées.
La documentation complète se trouve sur le site officiel de Wazuh. Une fois le compte crée, vous pouvez récupérer la clé.
Alles dans le fichier /var/ossec/etc/ossec.conf du serveur et ajouter le code suivant:
<integration>
<name>virustotal</name>
<api_key>API_KEY</api_key>
<group>syscheck</group>
<alert_format>json</alert_format>
</integration>
Remplacez API_KEY par votre clé récupérée au niveau de votre compte Virus Total.
Il faut maintenant configurer les machines où sont installées l'agent wazuh, en modifiant le fichier ossec.conf.
Pour les systèmes Windows, il se trouve dans le répertoire C:\Program Files (x86)\ossec-agent\ et pour les systèmes Windows il se trouve dans /var/ossec/etc/
Ajoutez le code suivant au fichier:
<syscheck>
<directories check_all="yes" realtime="yes">C:\PATH</directories>
</syscheck>
Redémarrez le wazuh manager
systemctl restart wazuh-manager
Vous pouvez maintenant tester la configuration en téléchargeant un fichier potentiellement malicieux. Vous pouvez essayer le fichier eicar, qui est un fichier non vulnérable pour vos sytèmes, mais concu pour être détecté.
curl -Lo /home/kali/Desktop/suspicious-file.exe https://secure.eicar.org/eicar.com
Une alerte est créée, accessible dans la section VirusTotal sur le dashboard.
Il offre un lien associé vers l'interface Virus Total pour avoir beaucoup plus d'informations. À chaque fois qu'un nouveau fichier malveillant sera téléchargé, il sera détecté par le module.
Il est aussi possible d'automatiser la suppression de ces fichiers.
L'intégration de Wazuh avec VirusTotal améliore la détection des menaces et renforce la sécurité des sytèmes en fournissant des alertes détaillées et en facilitant une réponse rapide aux fichiers malveillants.
Vous pouvez aussi ajouter des configurations d'alertes FIM ou la détection des attaques par force brute. Un article est disponible sur ce sujet ici.
Références
La photo de couverture provient de Aravind Raja sur LinkedIn
Subscribe to my newsletter
Read articles from FIKARA BILAL directly inside your inbox. Subscribe to the newsletter, and don't miss out.
Written by
FIKARA BILAL
FIKARA BILAL
As a newcomer to the cybersecurity industry, I'm on an exciting journey of continuous learning and exploration. Join me as I navigate, sharing insights and lessons learned along the way