(51)2312.5100 comercial@unirede.net

Wazuh e Threat Intelligence

por | 27 jan, 2025 | Monitoramento, Segurança, Wazuh | 0 Comentários

Artigo desenvolvido por Paulo Deolindo, Consultor da Unirede.

Introdução

Wazuh é um software open source que desempenha o papel de SIEM & XDR. Com isso, temos que ele faz a Gestão de Eventos de Segurança da Informação (SIEM) e como complemento, oferece possibilidades de respostas a esses eventos, então potenciais incidentes. 

Threat Intelligence ou, Inteligência de Ameaças (Cibernéticas) é uma disciplina e um esforço universal presente em diversas circustâncias e nesse caso, em diversos softwares, tal como no Wazuh. Com Threat Intelligence, fica mais fácil entender os evenetos de segurança, porque ocorrem, quando, de onde vieram e tantas outras informações importantes que compõem bases de dados desse tipo inteligência. 

Neste artigo, vamos contextualizar Threat Intelligence e seu uso com a ferramenta Wazuh, evidenciando algumas integrações já realizadas pelo desenvolvedor do software e as que nós mesmos podemos realizar para colaborar com a disciplina ou simplesmente para enriquecer nossos projetos. 

 

Os Eventos de Segurança da Informação

Pense no agora e tente responder em até de 5 segundos a pergunta a seguir: sua empresa consegue evidenciar neste exato momento que está ou não sendo atacada por um agente malicioso? Conte até 5 e … vamos analisar algumas possíveis respostas

  • você talvez tenha imaginado que por ter um firewall, conseguiria avaliar as linhas de logs e gerar evidências, depois de alguns filtros e análise 
  • você talvez tenha pensado que as evidências que talvez você tenha podem não ser compreensíveis para uma pessoa não técnicas
  • você tenha chegado à conclusão de que não consegue gerar tais evidências 

Então seja qual tenha sido sua resposta, estando ou não listada acima, pense que em uma auditoria formal que venha a ser realizada na sua empresa, todos esses eventos precisam estar à mão e  

Ocorre que um evento de segurança da informação não necessariamente é um ataque cibernético. Isso mesmo! Existem várias situações que, ao ocorrerem, geram eventos de segurança e nem todos eles são considerados ataques cibernéticos. Vamos citar alguns exemplos de eventos esperados pelo Wazuh SIEM/XDR: 

Level 3: Successful/Authorized events – Estes seriam os eventos que registram uma operação legítima em um sistema. 

Level 5: User generated error – Estes seriam os eventos que registram um erro gerado por um usuário (inicialmente), como errar a senha ao fazer login, por exemplo. 

Level 10: Multiple user generated errors – Estes seriam eventos que, através de regras de correlacionamento e consultas à bases de Threat Intelligence, evidenciam vários erros de login em um sistema, vindos de uma ou várias origens, por um ou vários usuários, podendo inclusive não caracterizar erro humano, por exemplo, por bots gerando Brute Force. 

 

Veja o registro de cada um desses eventos no Wazuh: 

 

 

Veja que em apenas 10 minutos, houve algumas tentativas legítimas de acesso ao sistema (a minha) e as outras, em seus níveis 5 e 10, foram tentativas ilegítimas. Confira também o dashboard desses resultados parciais: 

MITRE ATT&CK

O que são os códigos MITRE? 

Você pode encontrá-los aqui: https://attack.mitre.org/tactics/enterprise/ 

Ainda usando o mesmo filtro de eventos de autenticação, temos que para cada um deles, podemos ter um código MITRE associado. O Wazuh possui nativamente o mapeamento dos eventos com seus respectivos códigos MITRE e quando criamos nossas próprias regras (rules) para detecção dos eventos, também podemos fazer essa associação. 

Vamos ver de perto um desses eventos: 

 

 

Olhando de pertinho, veja que no campo “rule.mitre.id” temos dois códigos associados: T1110.001 e T1021.004. Clicando sobre um deles, teremos o seguinte: 

 

 

E se abrirmos a página correspondente em https://attack.mitre.org/tactics/TA0006, teremos: 

Avançando no menu do Wazuh para a guia “Framework”, temos ainda a relação de códigos MITRE acionados dentro do intervalo de tempo de nosso filtro: 

Detecção de Vulnerabilidades 

O Wazuh também permite que sejam gerados dashboards (nessa etapa, usamos o Opensearch) sobre as vulnerabilidades encontradas nos sistemas. Veja abaixo um exemplo de tabela criada: 

 

E… temos ainda o direito a detalhes: 

E não para por aí. Confira o próximo tópico 

Integrações:

Se já estava bom, vai ficar ainda melhor. 

O Wazuh, por sua natureza Open Source, permite várias integrações para diversas finalidades, sendo uma delas, conexoes com outras bases de Threat Intelligence, aumentando o poder da ferramenta de detecção a ameaças e em tempo real. 

Abaixo, uma pequena lista de integrações que podem elevar exponencialmente o poder do Wazuh: 

 

  • Suricata – open source, permite inspeção profunda de pacotes e reconhece padrões maliciosos em tráfegos de rede 
  • Yara – open source, possui um catálogo 3000 códigos maliciosos encontrados em toda sorte de malwares, permitindo que criemos nossos próprios códigos e criemos nossos próprios padrões 
  • ChatGPT – uma integração paga por consulta à API, contudo, permite enriquecer dados relacionados a um evento específico ocorrigo e detectado pelo Wazuh, enriquecendo a informação 
  • AuseIPDB – com registro, podemos reportar um IP atacante ou suspeito via API (usando o active-response do Wazuh) 

E tantas outras. 

Uma integração especial – Shuffle 

Dentre as várias integrações possíveis, venho destacar uma para enriquecimento de dados, mas não apenas isso, um SOAR (Security Orchestration, Automation, and Response), o Shuffle. 

Um estudo sobre o Shuffle é necessário, mas neste artigo, vamos apensas apontar uma integração realizada para automatizar um fluxo. Veja:

 

Neste fluxo, recebemos o alerta do Wazuh, pesquisamos sua reputação no site https://www.abuseipdb.com/ e abrimos um ticket no GLPI com os dados mais contextualizados sobre o nosso potencial atacante. O resultado seria algo como segue abaixo: 

 

Conclusão

Wazuh tem se mostrado uma ferramenta de SIEM/XDR de ponta. As possibilidades de trabalho são incríveis. As aplicações de um SIEM/XDR, com suas integrações, superam as mais exigentes expectativas das mais exigentes empresas. 

Com Wazuh, durante todo o ciclo de vida de um evento/incidente de segurança, é assistido por etapas de Threat Intelligence. 

Quem saber mais! Fale conosco… 

Enviar Comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *