Etiquetas

WAZUH - KASPERSKY

WAZUH - AMBASSADORS

🛡️Integración de Wazuh con Kaspersky OpenTIP para la Detección de Archivos Maliciosos y Enriquecimiento con Gemini AI

En esta práctica integraremos Wazuh con Kaspersky OpenTIP para comprobar automáticamente si un archivo es malicioso utilizando una API Key / token de Kaspersky. El objetivo es construir un flujo completo de detección y análisis de archivos, comenzando por la monitorización del sistema y terminando con alertas enriquecidas mediante Gemini AI.

Primero habilitaremos la monitorización de archivos en un equipo Ubuntu Server, verificando que la integración con Kaspersky funciona correctamente mediante reglas específicas.
Una vez validado el funcionamiento, desplegaremos un sitio web completamente funcional con Docker, a partir de un repositorio de Clockwork Computer, que permitirá subir archivos a través de una interfaz web. Cada archivo subido al directorio /srv/uploads será analizado automáticamente por Kaspersky OpenTIP, y las alertas generadas serán enriquecidas con Gemini AI.

Este escenario simula un entorno real de protección de aplicaciones web y análisis de ficheros en tiempo real.

🧰 Tecnologías empleadas

Wazuh

Wazuh es una plataforma de seguridad que permite la monitorización de sistemas, análisis de logs, detección de amenazas y generación de alertas mediante reglas. En esta práctica actúa como motor central de detección y correlación de eventos relacionados con archivos.

Kaspersky OpenTIP

Kaspersky OpenTIP es un servicio de inteligencia de amenazas que permite consultar la reputación de archivos, hashes, URLs e IPs mediante una API. Utilizando su API Key, Wazuh puede comprobar si un archivo es malicioso basándose en inteligencia global de Kaspersky.

Gemini AI

Gemini AI es un modelo de inteligencia artificial capaz de enriquecer alertas de seguridad proporcionando explicaciones ampliadas, contexto adicional, impacto potencial y recomendaciones iniciales. En esta práctica se utilizará para enriquecer las alertas generadas tras la detección de archivos maliciosos.

Docker

Docker se utilizará para desplegar un sitio web funcional de forma rápida y reproducible. Este entorno permitirá simular un escenario real de subida de archivos desde una aplicación web.

Ubuntu Server

Ubuntu Server será el sistema monitorizado por Wazuh, donde se habilitará la supervisión de archivos y se ejecutará el entorno Docker.

🎯 Objetivos de la práctica

  • Integrar Wazuh con Kaspersky OpenTIP mediante API Key.

  • Habilitar la monitorización de archivos en un equipo Ubuntu Server.

  • Detectar archivos sospechosos y consultar su reputación en Kaspersky.

  • Crear y validar reglas de detección basadas en el resultado del análisis.

  • Desplegar un sitio web funcional con Docker.

  • Monitorizar el directorio /srv/uploads donde se suben archivos.

  • Generar alertas cuando se detecten archivos maliciosos.

  • Enriquecer las alertas con Gemini AI.

  • Validar todo el flujo con pruebas reales.

🧩 Aspectos clave de la práctica

🔍 Monitorización de archivos en Ubuntu Server

Se habilitará la monitorización de un sistema Ubuntu Server para detectar la creación y modificación de archivos.
Esta monitorización permitirá a Wazuh identificar cualquier archivo nuevo que aparezca en el sistema, lo que constituye el primer paso para el análisis de amenazas.

🧠 Integración de Wazuh con Kaspersky OpenTIP

Cuando Wazuh detecte un archivo nuevo o modificado:

  • Se extraerá la información relevante del archivo.

  • Se consultará Kaspersky OpenTIP mediante la API.

  • Se obtendrá un veredicto sobre la reputación del archivo.

Este proceso permitirá clasificar automáticamente los archivos como benignos o maliciosos basándose en inteligencia de amenazas externa.

🚨 Reglas de detección y validación inicial

Se crearán reglas específicas en Wazuh para:

  • Identificar resultados maliciosos devueltos por Kaspersky.

  • Generar alertas cuando un archivo sea considerado peligroso.

  • Ajustar niveles de severidad en función del riesgo.

Antes de avanzar, se comprobará que estas reglas funcionan correctamente mediante pruebas controladas.

🌐 Despliegue del sitio web con Docker

Una vez validada la integración básica, se descargará un repositorio de Clockwork Computer que contiene un sitio web completamente funcional desplegado con Docker.

Este sitio web permitirá:

  • Subir archivos desde una interfaz web.

  • Almacenar los archivos en el directorio /srv/uploads.

  • Simular un escenario real de carga de archivos en una aplicación web.

📂 Monitorización del directorio /srv/uploads

El directorio /srv/uploads será monitorizado de forma específica.
Cada archivo subido al sitio web:

  • Será detectado automáticamente por Wazuh.

  • Se enviará a Kaspersky OpenTIP para su análisis.

  • Generará una alerta si se detecta comportamiento malicioso.

Este flujo reproduce un sistema real de protección frente a cargas maliciosas.

🤖 Enriquecimiento de alertas con Gemini AI

Las alertas generadas por detección de archivos maliciosos serán procesadas por Gemini AI, que añadirá:

  • Explicación clara del tipo de amenaza.

  • Contexto sobre el posible impacto.

  • Riesgos asociados a la subida del archivo.

  • Recomendaciones iniciales de respuesta.

El resultado será una alerta mucho más completa y fácil de interpretar.

🧪 Prueba práctica de validación

Para validar todo el sistema:

  1. Se subirá un archivo al sitio web.

  2. El archivo se almacenará en /srv/uploads.

  3. Wazuh detectará el nuevo archivo.

  4. Se consultará Kaspersky OpenTIP.

  5. Se generará una alerta si el archivo es malicioso.

  6. Gemini AI enriquecerá la alerta.

  7. Se verificará la alerta enriquecida en el sistema.

Esta prueba confirma el funcionamiento completo del flujo.

🔍 ¿Por qué es importante esta práctica?

Esta práctica combina detección de amenazas, inteligencia externa, aplicaciones web e inteligencia artificial en un único escenario realista. Permite comprender:

  • Cómo analizar archivos automáticamente en servidores.

  • Cómo integrar inteligencia de amenazas comercial con Wazuh.

  • Cómo proteger aplicaciones web frente a cargas maliciosas.

  • Cómo enriquecer alertas para mejorar la respuesta.

  • Cómo construir flujos de seguridad modernos y automatizados.

Es especialmente relevante para entornos donde se gestionan cargas de archivos desde aplicaciones web.

✅ Resultados esperados

  • Wazuh integrado correctamente con Kaspersky OpenTIP.

  • Monitorización activa de archivos en Ubuntu Server.

  • Reglas funcionando para detectar archivos maliciosos.

  • Sitio web funcional desplegado con Docker.

  • Directorio /srv/uploads monitorizado correctamente.

  • Alertas generadas al subir archivos maliciosos.

  • Alertas enriquecidas automáticamente con Gemini AI.

  • Validación completa del flujo de detección y análisis.

🔗 Enlaces de interés

      DOCUMENTACIÓN                        

⚙️ Estructura de red

🛡️Integrating Wazuh with Kaspersky OpenTIP for Malicious File Detection and Gemini AI Enrichment

In this practice, we will integrate Wazuh with Kaspersky OpenTIP to automatically determine whether a file is malicious using a Kaspersky API Key / token. The objective is to build a complete file detection and analysis workflow, starting with system monitoring and ending with Gemini AI–enriched alerts.

First, we will enable file monitoring on an Ubuntu Server, validating that the integration with Kaspersky works correctly using dedicated detection rules.
Once the integration is confirmed, we will deploy a fully functional website using Docker, based on a Clockwork Computer repository, which allows users to upload files through a web interface. Every file uploaded to the /srv/uploads directory will be automatically analyzed using Kaspersky OpenTIP, and any generated alerts will be enriched with Gemini AI.

This scenario simulates a real-world web application file upload protection system with automated threat intelligence and alert enrichment.

🧰 Technologies Used

Wazuh

Wazuh is a security platform that provides system monitoring, log analysis, threat detection, and alerting through rule-based correlation. In this practice, it acts as the central detection and correlation engine for file-related events.

Kaspersky OpenTIP

Kaspersky OpenTIP is a threat intelligence service that allows querying the reputation of files, hashes, URLs, and IP addresses through an API. Using an API key, Wazuh can automatically check whether a file is malicious based on Kaspersky’s global threat intelligence.

Gemini AI

Gemini AI is an advanced artificial intelligence model capable of enriching security alerts by providing extended explanations, contextual analysis, potential impact, and initial response recommendations. In this practice, it enhances alerts generated from malicious file detections.

Docker

Docker is used to deploy a fully functional website in a fast and reproducible manner. This environment simulates a real-world file upload application.

Ubuntu Server

Ubuntu Server is the monitored system where file integrity monitoring and Docker services are enabled and managed by Wazuh.

🎯 Objectives of the Practice

  • Integrate Wazuh with Kaspersky OpenTIP using an API Key.

  • Enable file monitoring on an Ubuntu Server system.

  • Detect new or modified files and check their reputation with Kaspersky.

  • Create and validate detection rules based on analysis results.

  • Deploy a fully functional website using Docker.

  • Monitor the /srv/uploads directory for uploaded files.

  • Generate alerts when malicious files are detected.

  • Enrich alerts automatically using Gemini AI.

  • Validate the entire workflow with real test scenarios.

🧩 Key Aspects of the Practice

🔍 File Monitoring on Ubuntu Server

File monitoring will be enabled on the Ubuntu Server to detect file creation and modification events.
This allows Wazuh to identify new files appearing on the system, which serves as the first step in the threat analysis workflow.

🧠 Integrating Wazuh with Kaspersky OpenTIP

When Wazuh detects a new or modified file:

  • Relevant file information is extracted.

  • The file is analyzed through the Kaspersky OpenTIP API.

  • A reputation verdict is returned.

This process enables automatic classification of files as benign or malicious using external threat intelligence.

🚨 Detection Rules and Initial Validation

Custom Wazuh rules will be created to:

  • Identify malicious verdicts returned by Kaspersky.

  • Generate alerts when files are considered dangerous.

  • Assign appropriate severity levels based on risk.

Before moving forward, these rules will be validated using controlled test cases.

🌐 Deploying the Web Application with Docker

Once the integration is verified, a Clockwork Computer repository will be deployed using Docker, providing a fully functional web application.

This application will:

  • Allow users to upload files through a web interface.

  • Store uploaded files in the /srv/uploads directory.

  • Simulate a realistic web-based file upload scenario.

📂 Monitoring the /srv/uploads Directory

The /srv/uploads directory will be specifically monitored.
Each file uploaded through the web application will:

  • Be detected automatically by Wazuh.

  • Be analyzed using Kaspersky OpenTIP.

  • Trigger an alert if identified as malicious.

This mirrors real-world web application security workflows.

🤖 Enriching Alerts with Gemini AI

Alerts generated from malicious file detections will be processed by Gemini AI, which will add:

  • Clear explanations of the detected threat.

  • Context about potential impact.

  • Associated risks.

  • Initial response or remediation recommendations.

This results in enriched alerts that are easier to understand and act upon.

🧪 Practical Validation Test

To validate the complete system:

  1. A file is uploaded to the web application.

  2. The file is stored in /srv/uploads.

  3. Wazuh detects the new file.

  4. Kaspersky OpenTIP analyzes the file.

  5. An alert is generated if the file is malicious.

  6. Gemini AI enriches the alert.

  7. The enriched alert is verified in the monitoring system.

This confirms the full detection and enrichment workflow.

🔍 Why This Practice Is Important

This practice combines file monitoring, external threat intelligence, web application security, and artificial intelligence into a single realistic scenario. It helps demonstrate:

  • How to automatically analyze uploaded files.

  • How to integrate commercial threat intelligence with Wazuh.

  • How to protect web applications from malicious uploads.

  • How to enrich alerts for improved incident response.

  • How to build modern, automated security workflows.

It is particularly relevant for environments that manage file uploads and need real-time threat detection.

✅ Expected Results

  • Wazuh successfully integrated with Kaspersky OpenTIP.

  • Active file monitoring enabled on Ubuntu Server.

  • Detection rules working correctly for malicious files.

  • Fully functional web application deployed using Docker.

  • /srv/uploads directory correctly monitored.

  • Alerts generated when malicious files are uploaded.

  • Alerts automatically enriched with Gemini AI.

  • Successful validation of the complete detection workflow.

Enviar entrada por correo electrónico
Labels:

Comentarios

Publicar un comentario

Entradas populares