wazuh-pagerduty

Las alertas que se generan en el SIEM y XDR Wazuh se pueden enviar a PagerDuty para crear incidentes o casos a resolver.

El siguiente procedimiento fue probado con Wazuh version 4.3.7.

Asumiendo que Wazuh está instalado y funcionando, además que se cuenta con una cuenta de PagerDuty aun asi sea trial, el procedimiento es el siguiente:

1- Una vez creado el servicio en PagerDuty, vamos a la pestaña de Integrations

pagerduty-wazuh1
pagerduty-wazuh2

2- Seleccionamos Events API V2 y click en el botón azul Add

pagerduty-wazuh3

3- Expandimos el Events API V2 y copiamos la Integration Key, esta será nuestra API key en Wazuh

pagerduty-wazuh4

4- En Wazuh Web UI vamos a Management > Configuration

pagerduty-wazuh5

5- Hacemos click en Edit configuration

pagerduty-wazuh6

6- Añadimos el bloque con los parámetros que deseemos para generar alertas en PagerDuty, más información sobre estos parámetros aquí, agregamos la Integration Key y usamos una rule de prueba en este caso, click en Save y finalmente en Restart Manager. Alternativamente esta configuración también se puede hacer desde /var/ossec/etc/ossec.conf y luego reiniciar el Wazuh Server con systemctl restart wazuh-manager

pagerduty-wazuh7

Probando la integración

Usamos una regla simple que es la 5760, esta generará una alerta cuando se intenta ingresar a un Agente o el mismo Manager con un usuario existente pero contraseña incorrecta, lo podemos ver desde Security Events en Wazuh

pagerduty-wazuh8

Si regresamos a PagerDuty vamos a ver el incidente asociado con el Servicio.

pagerduty-wazuh9

Hacemos clic en Wazuh Alert: ‘sshd: authentication failed.’ y nos mostrará mas detalles

pagerduty-wazuh10

También se puede notar que Events API V2 cambio de «No Test Alert Received» a «Success»

pagerduty-wazuh11


Ingeniero de Seguridad informática, Administrador IT, anteriormente docente de tecnología, apasionado por la ingeniería y como aprovechar la tecnología para nuestro beneficio

Artículos relacionados

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *