說明

SOAR (Security Orchestration, Automation, and Response)不一定要侷限使用什麼工具，既有的Script腳本也行。
Shuffle內建與許多資安產品介接，方便直接使用。
參考: 將 Wazuh 與 Shuffle 集成
https://wazuh.com/blog/integrating-wazuh-with-shuffle/

作法

環境

• Server2019 建立AD
  • HostOnly: 192.168.22.100
• Win10 加入AD
  • HostOnly: 192.168.22.101
• Wazuh
  • wazuh-4.5.3.ova
  • NAT: 192.168.228.138
  • HostOnly: 192.168.22.132
    • https://documentation.wazuh.com/current/deployment-options/virtual-machine/virtual-machine.html
  • https://[IP]
• Shuffle
  • NAT: 192.168.228.135
  • HostOnly: 192.168.22.131
  • 照著用Docker建立Shuffle
    • https://shuffler.io/docs/configuration
    • shuffle-frontend:1.2.0
    • shuffle-backend:1.2.0
    • shuffle-orborus:1.2.0
    • opensearch:2.5.0
  • https://[IP]:3443

Shuffle

1. 到Workflows建立一個新工作流程
   
2. 點選左下角的「Triggers」，然後將Webhook拖曳到工作區
   
3. 命名為Wazuh Alerts並點選START啟動，複製Webhook URI(因環境內部主機是用HostOnly，換內部IP)
   https://192.168.22.131:3443/api/v1/hooks/webhook_82c7a57c-cc0c-4f8f-9ee9-083b88258ee5
   

Wazuh

1. 修改/var/ossec/etc/ossec.conf檔案在<ossec_config>間插入
   

  <integration>
    <name>shuffle</name>
    <hook_url>https://192.168.22.131:3443/api/v1/hooks/webhook_82c7a57c-cc0c-4f8f-9ee9-083b88258ee5</hook_url>
    <level>3</level>
    <alert_format>json</alert_format>
  </integration>

#除了上面設定還可增加下面設定，讓特定告警才送出
<rule_id>: 轉發特定警報
<group>: 轉送屬於某個規則群組的所有警報
<event_location>: 轉送來自指定事件位置的警報

2. 重啟服務 (好像要一段時間同步到Agent)
   sudo systemctl restart wazuh-manager

Shuffle 設定SOAR

1. Change me改名Receive_Wazuh_alerts，call內容改成$exec
   
2. 點選下面的小人 (show executions )，右邊跳出一堆exec
   
3. 隨便點一個展開
   
4. 比對是WAZUH告警，這裡是用來測試介接是否成功
   

小結

這邊試驗把WAZUH Level3的事件傳到Shuffle，後面再試試偵測到異常後停用使用者帳號