Las alertas que se generan en el SIEM y XDR Wazuh se pueden enviar a PagerDuty para crear incidentes o casos a resolver.
El siguiente procedimiento fue probado con Wazuh version 4.3.7.
Asumiendo que Wazuh está instalado y funcionando, además que se cuenta con una cuenta de PagerDuty aun asi sea trial, el procedimiento es el siguiente:
1- Una vez creado el servicio en PagerDuty, vamos a la pestaña de Integrations
2- Seleccionamos Events API V2 y click en el botón azul Add
3- Expandimos el Events API V2 y copiamos la Integration Key, esta será nuestra API key en Wazuh
4- En Wazuh Web UI vamos a Management > Configuration
5- Hacemos click en Edit configuration
6- Añadimos el bloque con los parámetros que deseemos para generar alertas en PagerDuty, más información sobre estos parámetros aquí, agregamos la Integration Key y usamos una rule de prueba en este caso, click en Save y finalmente en Restart Manager. Alternativamente esta configuración también se puede hacer desde /var/ossec/etc/ossec.conf y luego reiniciar el Wazuh Server con systemctl restart wazuh-manager
Probando la integración
Usamos una regla simple que es la 5760, esta generará una alerta cuando se intenta ingresar a un Agente o el mismo Manager con un usuario existente pero contraseña incorrecta, lo podemos ver desde Security Events en Wazuh
Si regresamos a PagerDuty vamos a ver el incidente asociado con el Servicio.
Hacemos clic en Wazuh Alert: ‘sshd: authentication failed.’ y nos mostrará mas detalles
También se puede notar que Events API V2 cambio de «No Test Alert Received» a «Success»
