Wazuh en Active Response

Wazuh Active-Response

Jeffrey Menick

Jeffrey Menick

Omdat Wazuh een HID (Hostbased Intrusion Detection) systeem is, is het mogelijk om meer uit Wazuh te halen dan alleen maar logging en alerts te sturen. Men kan gebruiken maken van "Active-Response" wanneer er een alert wordt gegenereerd. Dus op een actie een reactie sturen.

Active Response als voorbeeld

Active-Response wordt op de agent zijde ingesteld in de ossec.conf file. Wij hebben als voorbeeld gesteld een Linux server met SSH actief, waarbij veelvuldig logon pogingen het source-ip adres wordt geblokkeerd voor een bepaalde periode van tijd.

Hoe werkt de active response?

Active-response diagram

Actieve reacties zijn ofwel stateful ofwel stateless reacties. Stateful reacties zijn geconfigureerd om de actie ongedaan te maken na een bepaalde tijdsperiode, terwijl stateless reacties zijn geconfigureerd als eenmalige acties.

Elke actieve reactie specificeert waar het bijbehorende commando zal worden uitgevoerd: op de agent die de waarschuwing heeft geactiveerd, op de manager, op een andere gespecificeerde agent of op alle agenten, die ook de manager (s) omvat.

Ossec.conf file

Op de linux agent is in de /var/ossec/etc/ossec.conf het volgende aangepast zodat Active-Response in werking zal treden.

<active-response>
<command>host-deny</command>
<location>local</location>
<level>10</level>
<rules_id>2501, 5710, 5712</rules_id>
<timeout>600</timeout>
<repeated_offenders>600,2400,18800,86400,172800</repeated_offenders>
</active-response>

  • Bij een alert trigger met level 10 gebaseerd op rules_id 2501,5710,5712 wordt een script uitgevoerd host-deny.sh. Dit is een voor gedefineerd script die we gebruiken. De locatie hiervan is: /var/ossec/active-response/bin
Wazuh active response
  • Het script host-deny.sh voort een reset van de verbinding uit tussen de betreffende source-ip adres en de server voor een periode van 600 seconden. Na deze periode wordt het source-ip weer vrijgegeven van de blocklist. Mocht hetzelfde source-ip na deze periode weer proberen in te loggen, wordt er gekeken naar "repeated_offender" en treed er een timeout mechanisme in werking zodat de periode van blokkade langer zal duren.

Active-response.log file

In de active-response.log file (/var/ossec/log/) op de agent kun je de informatie inzien betreft de uitvoering van de "Active-Response" van de host-deny.sh script.

active-response.log

Bovenstaande log geeft weer dat een bepaalde source-ip adres is toegevoegd of verwijderd uit de blocklist en is getriggerd op basis van Rule-id 5710.

Rule-id 5710

rule-id 5710

Active-response whitelist

Om ervoor te zorgen dat de "Active-response" niet in werking treedt bij beheer activiteiten die geoorloofd zijn van bepaalde source-ip adressen, wordt er geen active-response uitgevoerd wanneer het betreffende ip adres of netwerk adres in de "Whitelist" staat op de Wazuh Manager. De Wazuh Manager (Server) stuurt dan GEEN actie uit naar de agent voor het uitvoeren van het script.

In de ossec.conf van de Wazuh Manager hoort een whitelist aanwezig te zijn: (voorbeeld)

<ossec_config>
<global>
<jsonout_output>yes</jsonout_output>
<email_notification>no</email_notification>
<logall>yes</logall>
<white_list>10.0.0.6</white_list>
</global>

De host met ip adres 10.0.0.6 wordt hiervan uitgesloten.

  • Interesse in Security Information and Event Management, neem contact met ons op!
  • Ethical services
Web assessment

Web Application assessment

Het visitekaartje van uw organisatie wordt vaak vertegenwoordigd door uw webapplicatie. Het impliceert wat u doet en waar het bedrijf voor staat. Het is van belang dat de informatie die hier vermeld wordt actueel en up to date is. Net als het up to date zijn van de informatie van uw webapplicatie, is het eveneens van belang dat uw webapplicatie ook up to date is betreffende beveiligingsupdates. Hoe vervelend is het wanneer uw webapplicatie misbruikt is door kwaadwillenden? Dit kan als gevolg hebben; reputatie schade en eventueel het veroorzaken van een datalek. Het is daarom van belang om uw webapplicatie periodiek te updaten en te laten checken op mogelijke aanwezige kwetsbaarheden.

Andere Blogs

Ethical Hacking

Experts in hacking for an innovating business.