integracion sophos antivirus con wazuh

[Yanina]

Hola, estoy integrando antivirus sophos en wazuh pero no me da registro 

primera vez que configuro una api en wazuh .

esta es la configuracion en ossec.conf

<integration>
  <name>SophosAntivirus</name>
  <hook_url>https://api1.central.sophos.com/gateway</hook_url>
  <api_key>***********************************L4PF</api_key>
  <alert_format>json</alert_format>
  <rule_id>64270,64271,64272,64273,64274,64275</rule_id>
</integration>

me faltara alguna otra configuración ?

[Mauricio Ruben Santillan]

Hola Yanina!

Ten en cuenta que el módulo integration de Wazuh permite enviar alertas a otras APIs externas. No ingestar eventos.

De ser el caso, primero necesitarías crear un script que haga tal envío de eventos (ya que Wazuh no incluye integración con Sophos) y configurarlo como una integración custom.

El módulo que muestras no funcionaría ya que es para integración custom con nombre incorrecto (el nombre debe comenzar en custom-) y no cuenta con un script para si mismo.

Ahora en el caso que necesitaras ingestar eventos de Sophos en Wazuh, si tu idea es monitorear los endpoints directamente, seguramente puedas utilizar el módulo log collector para leer algún archivo de logs del propio Sophos.

Por otro lado, en caso que necesites ingestar eventos de Sophos Central API, Sophos proveé un script aquí que permite consultar eventos a su API utilizando las credenciales necesarias. Dicho script permite guardar los eventos extraídos en formato JSON (100% compatible con Wazuh) o enviarlos via syslog. En cualquier caso, vas a necesitar crear reglas custom para estos eventos.

Espero esto sea de ayuda. Quedo atento a cualquier comentario de tu parte!