Home » Uncategories » Wazuh Active Response Configuration for Permanent Automatic Attack Blocking

Wazuh Active Response Configuration for Permanent Automatic Attack Blocking

Kita akan membuat skrip pemblokiran otomatis jika terjadi serangan ke server, berdasarkan ID rule Wazuh berikut:

Rules ID yang dipantau: 31151, 5710, 5760, 31120, 31101

1. Tambahkan Konfigurasi Active Response

Edit file /var/ossec/etc/ossec.conf, lalu tambahkan konfigurasi berikut di dalam tag <ossec_config>:

<active-response>
  <command>firewall-drop-perma</command>
  <location>all</location>
  <rules_id>31151,5710,5760,31120,31101</rules_id>
</active-response>

Catatan: Pastikan penulisan XML tidak berada di luar tag <ossec_config> dan tidak menyebabkan duplikasi tag <active-response> yang tidak valid.

2. Validasi Konfigurasi XML

Gunakan perintah berikut untuk memastikan bahwa file ossec.conf valid secara sintaks XML:

sudo xmllint /var/ossec/etc/ossec.conf --noout

3. Buat Skrip firewall-drop-perma.sh

Buat file baru dengan nama /var/ossec/active-response/bin/firewall-drop-perma.sh, kemudian isi dengan skrip berikut:


#!/bin/bash

# Baca input dari Wazuh
read INPUT

# Ambil IP dan perintah dari input JSON
SRCIP=$(echo "$INPUT" | jq -r '.parameters.alert.data.srcip')
COMMAND=$(echo "$INPUT" | jq -r '.command')

# Lokasi file log untuk mencatat IP yang diblokir
LOGFILE="/var/ossec/block_count.log"

# Validasi input IP
[ "$SRCIP" == "null" ] || [ -z "$SRCIP" ] && exit 1

# Jika perintah adalah "add" (blokir)
if [ "$COMMAND" == "add" ]; then
  # Hitung jumlah kemunculan IP dalam log
  COUNT=$(grep -c "^$SRCIP$" "$LOGFILE")
  echo "$SRCIP" >> "$LOGFILE"

  # Jika sudah muncul minimal 2 kali, lakukan blokir permanen
  if [ "$COUNT" -ge 1 ]; then
    echo "[firewall-drop-perma] Permanently blocking $SRCIP"
    /usr/sbin/iptables -C INPUT -s "$SRCIP" -j DROP 2>/dev/null || \
    /usr/sbin/iptables -I INPUT -s "$SRCIP" -j DROP
  fi
fi

exit 0

4. Berikan Hak Eksekusi

Jalankan perintah berikut agar skrip dapat dieksekusi:

chmod +x /var/ossec/active-response/bin/firewall-drop-perma.sh

5. Restart Wazuh Manager

Lakukan restart pada Wazuh Manager agar konfigurasi baru diterapkan:

sudo service wazuh-manager restart

6. Cek IP yang Diblokir

Gunakan perintah berikut untuk melihat IP yang telah diblokir oleh sistem:

grep 'Host Blocked' /var/ossec/logs/alerts/alerts.json | jq -r '.data.srcip' | sort | uniq -c | sort -nr | head

7. Lakukan Pengujian

 Lakukan restart pada Wazuh Manager agar konfigurasi baru diterapkan:

echo '{
  "parameters": {
    "alert": {
      "data": {
        "srcip": "192.0.2.123"
      }
    }
  },
  "command": "add"
}' | /var/ossec/active-response/bin/firewall-drop-perma.sh

Jalankan dua kali agar masuk ke hitungan ke-2.

Jalankan Perintah 

iptables -L INPUT -n | grep 192.0.2.123




Subscribe to receive free email updates:

0 Response to "Wazuh Active Response Configuration for Permanent Automatic Attack Blocking"

Posting Komentar

Aturan Berkomentar :

1. Berbicara menggunakan bahasa yang enak didengar. Tidak Untuk menyinggung perasaan orang Lain.

2.Spamming (Spam Comment)

3.Kalau Mau ngopy-paste artikel disini, Berikan sumbernya

Langganan: Posting Komentar (Atom)