Lima, Perú
+51946145467
Search
Lima, Perú
+5113014109

Mejore su ciberdefensa con integraciones de inteligencia contra amenazas de Wazuh

Mejore su ciberdefensa con integraciones de inteligencia contra amenazas de Wazuh
jatun jatun
Blog
18 de junio de 2024

[ad_1]

La ciberdefensa protege los sistemas de información, las redes y los datos de las amenazas cibernéticas mediante medidas de seguridad proactivas. Implica implementar estrategias y tecnologías para protegerse contra amenazas en evolución que pueden dañar la continuidad y la reputación del negocio. Estas estrategias incluyen evaluación y gestión de riesgos, detección de amenazas y planificación de respuesta a incidentes, y recuperación ante desastres.

Threat Intelligence (TI) desempeña un papel crucial en la ciberdefensa al proporcionar información valiosa a partir del análisis de indicadores de compromiso (IoC), como nombres de dominio, direcciones IP y valores hash de archivos relacionados con amenazas de seguridad activas y potenciales. Estos IoC permiten a las organizaciones identificar tácticas, técnicas y procedimientos de los actores de amenazas, mejorando su capacidad para defenderse contra posibles vectores de ataque.

La inteligencia sobre amenazas ayuda a los equipos de seguridad a convertir los datos sin procesar en conocimientos prácticos, proporcionando una comprensión más profunda de los ciberataques y permitiéndoles anticiparse a nuevas amenazas. Algunos beneficios de utilizar inteligencia sobre amenazas en una organización incluyen:

  • Seguridad más efectiva: Threat Intelligence ayuda a las organizaciones a priorizar la seguridad al comprender las amenazas más frecuentes y su impacto en sus entornos de TI. Esto permite una asignación efectiva de recursos de personal, tecnología y presupuesto.
  • Postura de seguridad mejorada: Al comprender el panorama de amenazas en evolución, las organizaciones pueden identificar y abordar las vulnerabilidades en sus sistemas antes de que los atacantes puedan explotarlas. Este enfoque garantiza un seguimiento continuo de las amenazas actuales mientras se anticipa y se prepara para amenazas futuras.
  • Respuesta mejorada a incidentes: La inteligencia sobre amenazas proporciona un contexto valioso sobre amenazas potenciales, lo que permite a los equipos de seguridad responder de forma más rápida y eficaz. Esto ayuda a las organizaciones a minimizar el tiempo de inactividad y los posibles daños a sus activos digitales.
  • Eficiencia de costo: Las organizaciones pueden ahorrar dinero previniendo ciberataques y filtraciones de datos mediante inteligencia sobre amenazas. Una filtración de datos puede generar costos significativos, como reparación de daños al sistema, reducción de la productividad y multas debido a violaciones regulatorias.

wazuh es una solución de seguridad gratuita y de código abierto que ofrece protección SIEM y XDR unificada en varias plataformas. Proporciona capacidades como detección y respuesta a amenazas, monitoreo de la integridad de archivos, detección de vulnerabilidades, evaluación de la configuración de seguridad y otras. Estas capacidades ayudan a los equipos de seguridad a detectar y responder rápidamente a las amenazas en sus sistemas de información.

Wazuh proporciona soporte listo para usar para fuentes de inteligencia sobre amenazas como VirusTotal, NIÑOS, maltiverse, AbusoIPDBy listas de CDB para identificar direcciones IP, dominios, URL y hashes de archivos maliciosos conocidos. Al asignar eventos de seguridad al marco MITRE ATT&CK, Wazuh ayuda a los equipos de seguridad a comprender cómo las amenazas se alinean con los métodos de ataque comunes y priorizarlas y responder a ellas de manera efectiva. Además, los usuarios pueden realizar integraciones personalizadas con otras plataformas, lo que permite un enfoque más personalizado para su programa de inteligencia sobre amenazas.

La siguiente sección muestra ejemplos de integraciones de Wazuh con soluciones de inteligencia de amenazas de terceros.

Integración MITRE ATT&CK

El marco MITRE ATT&CK, una integración lista para usar con Wazuh, es una base de datos constantemente actualizada que clasifica las tácticas, técnicas y procedimientos (TTP) de los ciberdelincuentes a lo largo del ciclo de vida de un ataque. Wazuh mapea tácticas y técnicas con reglas para priorizar y detectar amenazas cibernéticas. Los usuarios pueden crear reglas personalizadas y asignarlas a las tácticas y técnicas apropiadas de MITRE ATT&CK. Cuando ocurren eventos que involucran estos TTP en puntos finales monitoreados, se activan alertas en el panel de Wazuh, lo que permite a los equipos de seguridad responder de manera rápida y eficiente.

Foto 1 wazuh

Figura 1: Tácticas y técnicas de MITRE ATT&CK en el panel de Wazuh

La siguiente regla lista para usar detecta cuando hay un intento de iniciar sesión en un servidor usando SSH con un usuario inexistente.

5700

usuario ilegal|usuario no válido

sshd: intento de iniciar sesión con un usuario inexistente

T1110.001

T1021.004

autenticación_failed,gdpr_IV_35.7.d,gdpr_IV_32.2,gpg13_7.1,hipaa_164.312.b,invalid_login,nist_800_53_AU.14,nist_800_53_AC.7,nist_800_53_AU.6,pci_dss_10.2.4,pci _dss_10.2.5,pci_dss_10.6.1,tsc_CC6. 1,tsc_CC6.8,tsc_CC7.2,tsc_CC7.3,

Dónde:

  • 001 se refiere a las tácticas de MITRE ATT&CK de fuerza bruta o adivinación de contraseñas.
  • 004 se refiere a las tácticas de MITRE ATT&CK de movimiento lateral utilizando servicios remotos como SSH
imagen2 wazuh

Figura 2: Alertas en el panel de Wazuh que muestran técnicas y tácticas de MITRE ATT&CK

Integración YARA

YARA es una herramienta de código abierto para comparar patrones e identificar firmas de malware. Wazuh se integra con YARA para mejorar la detección de amenazas mediante la identificación de patrones y firmas asociadas con archivos maliciosos. YARA utiliza el FIM módulo para escanear puntos finales monitoreados en busca de archivos maliciosos.

La efectividad de la integración de YARA se demuestra en cómo Wazuh responde a ransomware Kuiper en un punto final de Windows infectado.

imagen3 wazuh

Figura 3: Detección de ransomware Kuiper mediante la integración de Wazuh y YARA.

VirusIntegración total

VirusTotal es una plataforma de seguridad para agregar firmas de malware y otros artefactos de inteligencia sobre amenazas. Wazuh se integra con la API de VirusTotal para identificar indicadores conocidos de compromiso, mejorando la velocidad y precisión de la detección de amenazas.

Por ejemplo, la guía de prueba de concepto de Wazuh muestra cómo detectar y eliminar malware mediante la integración de VirusTotal.

El siguiente bloque en el archivo de configuración de Wazuh /var/ossec/etc/ossec.conf detecta cambios en los archivos y consulta sus hashes en la API de VirusTotal.

virus total

554,550

json

Además, la configuración de monitoreo del comando Wazuh en el archivo de configuración del servidor Wazuh /var/ossec/etc/ossec.conf activa el ejecutable remove-threat.sh para eliminar el archivo malicioso del punto final monitoreado cuando hay una coincidencia positiva de VirusTotal.

eliminar amenaza

eliminar-amenaza.sh

No

No

eliminar amenaza

local

87105

La siguiente figura muestra las alertas de detección y respuesta en el panel de Wazuh.

imagen4 wazuh

Figura 4: Alerta de VirusTotal en el panel de Wazuh

Wazuh es una plataforma SIEM y XDR gratuita y de código abierto con muchas capacidades listas para usar que brindan seguridad en todas las cargas de trabajo en entornos locales y en la nube. La integración de Wazuh con fuentes y plataformas de inteligencia sobre amenazas como YARA, VirusTotal y Maltiverse mejora sus capacidades de detección y respuesta a amenazas.

Obtenga más información sobre Wazuh explorando nuestro documentación y uniéndote a nuestro profesional comunidad.

Copyright © 2024 IDG Communications, Inc.

[ad_2]

Enlace fuente

amenazas ciberdefensa CON contra integraciones Inteligencia mejore Wazuh
-
Related Posts
Close
Search

Hit enter to search or ESC to close

Potenciado por Ujjina.com

cookie Al utilizar este sitio web, acepta nuestra política de cookies. Close