PROBLEM WITH ALERT GENERATION IN WAZUH

[Aaron Alonso Davila]

Buenas, voy a plantear un problema que me esta costando mucho, estoy tratando de montar Wazuh en una empresa, y estoy experimentando un problema de que no se me generan alertas con los logs de un switch configurado para que mande por syslog, mando los decoder y comandos ejecutados.                                                  local_decoder.xml:                                                                                                                                                                                                                                                             <decoder name="allied_telesis">
  <prematch>\d+\s\w+\s\d+\s\d+:\d+:\d+\s\w+-\w+-\w+\d+</prematch>
</decoder><decoder name="allied_telesis-1">
  <parent>allied_telesis</parent>
  <regex>(\d\d\d\d\s\w\w\w\s\d\d) (\d\d:\d\d:\d\d) (\w\w-\w\w-\w\w\w\d+) (\w+)[\d+]: (\.+)</regex>
  <order>date,hour,host,protocol,message</order>
</decoder><decoder name="ruckus">
  <program_name>^System$</program_name>
  <regex>Interface (\S+) (\S+), state (\S+)</regex>
  <order>interface, id, state</order>
</decoder><decoder name="ruckus2">
  <program_name>^PORT$</program_name>
  <regex>1/1/1 (\w+) by (\w+) from ssh session.</regex>
  <order>state, user</order>
</decoder>                                                                                                                                                                                                                                                                           local_rules.xml:                                                                                                                                                                                                                                                                                <!-- Local rules --><!-- Modify it at your will. -->
<group name="local,syslog,sshd,">  <!--
  Dec 10 01:02:02 host sshd[1234]: Failed none for root from 1.1.1.1 port 1066 ssh2
  -->
  <rule id="100001" level="5">
    <if_sid>5716</if_sid>
    <srcip>1.1.1.1</srcip>
    <description>sshd: authentication failed from IP 1.1.1.1.</description>
    <group>authentication_failed,pci_dss_10.2.4,pci_dss_10.2.5,</group>
  </rule>  <rule id="100002" level="9">
    <decoded_as>ruckus</decoded_as>
    <description>PORTILLO</description>
    <group>PORTILLO_GRUPO</group>
  </rule>  <rule id="100003" level="9">
    <if_sid>100002</if_sid>
    <match>1/1/1</match>
    <description>PORTILLO</description>
  </rule></group>
salida del ruletest:                                                                                                                                                                                                                                                            Mar 29 01:04:02 SW-GP-ACC03 System: PoE: Released complete power of 15000 mwatts on port 1/1/1.                                                                                                             **Phase 1: Completed pre-decoding.
full event: 'Mar 29 01:04:02 SW-GP-ACC03 System: PoE: Released complete power of 15000 mwatts on port 1/1/1.'
timestamp: 'Mar 29 01:04:02'
hostname: 'SW-GP-ACC03'
program_name: 'System'**Phase 2: Completed decoding.
name: 'ruckus'**Phase 3: Completed filtering (rules).
id: '100003'
level: '9'
description: 'PORTILLO'
groups: '["local","syslog","sshd"]'
firedtimes: '2'
mail: 'false'
**Alert to be generated.                                                                                                                                                                                                                                                    Sin embargo no se me genera ningun alerta

image.png 

*********AVISO LEGAL Y PROTECCIÓN DE DATOS **************

En cumplimiento del Reglamento (UE) 2016/679, de 27 de  abril de 2016 general de Protección de Datos y de la Ley Orgánica 3/2018, de 5 de diciembre de Protección de Datos Personales y Garantía de los Derechos Digitales, le informamos que sus datos serán tratados con una finalidad educativa, siendo el objetivo de los mismos la ejecución del contrato de docencia. No se cederán sus datos salvo obligación legal.

Si desea puede ejercer los derechos de acceso, rectificación, supresión, portabilidad limitación del tratamiento y oposición de sus datos dirigiéndose al Centro Educativo. CFP JUAN XXIII, CIF.- A-28879054, C/Nueva 2. CP28921, Alcorcón.- Madrid, o a través de un correo electrónico: in...@juanxxiii.net. Puede consultar la información adicional y detallada sobre protección de datos en nuestra web: www.juanxxiii.net. 

Este correo y los documentos que en su caso lleve anexo, pueden contener información confidencial. Su contenido es de uso exclusivo para su destinatario, por lo tanto queda prohibida la difusión, copia o utilización indebida de dicha información por terceros. 

Si ha recibido este mensaje por error, debe proceder a su eliminación con todas sus copias y comunicarlo a la dirección de correo electrónico arriba indicada.

Cuida el Medio Ambiente, Apadrina un árbol.

Antes de imprimir este mensaje, asegúrese de que es necesario.

[Roman Luna]

Buenas,

Teniendo en cuenta la informacion que proveiste, el log que ingresaste deberia generar una alerta en Wazuh, ya que es nivel 9 (por defecto, a partir de nivel 3 se muestran en el dashboard). Entonces, lo que queda hacer para estar seguros de que estan llegando los logs, es activar el archives: Wazuh archives - Wazuh server · Wazuh documentation

Una vez activado, se va a generar un archivo /var/ossec/logs/archives/archives.json, que va a tener todas las entradas de eventos, hayan matcheado con una regla o no.

Luego de activado por unos minutos (recorda en desactivarlo para no usar mucho disco), revisa que el log que estas queriendo matchear con una regla se encuentra presente. De no ser asi, es porque el syslog no esta llegando al servidor de Wazuh.

Cosas a tener en cuenta por las dudas:

• Suficiente espacio en disco en todos los servidores
• Tener espacio en el Indexer tambien, ya que para que una alerta se vea en el dashboard tiene que estar primero indexado
• Tener suficiente shards en el indexer, el maximo es 1000 por defecto, esto lo podes ver al correr GET _cluster/health en la Dev tools desde el dashboard

Si queres, compartime la ultima informacion para asegurarnos de que esten todos los servicios funcionando.

Saludos.