WAZUH - TEAMS

WAZUH - AMBASSADORS

💬 Integración de Wazuh con Microsoft Teams para el Envío de Alertas y Alertas Enriquecidas con Gemini AI

En esta práctica integraremos Wazuh con Microsoft Teams para enviar alertas de seguridad directamente a un canal de Teams mediante un workflow basado en webhook. De esta forma, cada alerta generada por Wazuh podrá ser notificada en tiempo real dentro de la plataforma de colaboración.

Además, extenderemos la integración para que las alertas enriquecidas con Gemini AI, desarrolladas en una práctica anterior, también se envíen automáticamente al mismo canal de Teams. Esto permitirá recibir no solo la alerta técnica, sino también un análisis ampliado, contextualizado y más fácil de interpretar.

El resultado será un sistema de notificación centralizado, inteligente y orientado a la respuesta rápida ante incidentes.

🧰 Tecnologías empleadas

Wazuh

Wazuh es una plataforma de seguridad que detecta amenazas, analiza logs, correlaciona eventos y genera alertas basadas en reglas. Permite integraciones con herramientas externas mediante webhooks y scripts personalizados.

Microsoft Teams

Microsoft Teams es una plataforma de comunicación y colaboración que permite centralizar conversaciones, notificaciones y flujos de trabajo. Mediante workflows con webhooks, Teams puede recibir mensajes automáticos desde sistemas externos como Wazuh.

Gemini AI

Gemini AI es un modelo de inteligencia artificial capaz de analizar alertas de seguridad y generar explicaciones extendidas, contexto adicional y recomendaciones iniciales. En esta práctica se utilizará para enriquecer las alertas antes de enviarlas a Teams.

🎯 Objetivos de la práctica

• Integrar Wazuh con Microsoft Teams para el envío automático de alertas.

• Crear un workflow en Teams que actúe como webhook receptor.

• Enviar alertas de Wazuh a un canal específico de Teams.

• Integrar las alertas enriquecidas con Gemini AI en el mismo flujo.

• Centralizar notificaciones de seguridad en un canal de Teams.

• Validar la integración generando alertas reales.

🧩 Aspectos clave de la práctica

🔗 Creación del workflow y webhook en Microsoft Teams

Microsoft Teams permite crear workflows que actúan como puntos de entrada para mensajes externos.

En esta práctica se configurará un workflow que:

• Reciba información de alertas mediante un webhook.

• Procese el contenido recibido.

• Publique automáticamente el mensaje en un canal concreto de Teams.

Este workflow será el puente entre Wazuh y Teams.

🚨 Envío de alertas desde Wazuh a Teams

Una vez configurado el webhook, Wazuh enviará:

• Alertas relevantes.

• Alertas críticas.

• Eventos que requieran atención inmediata.

Cada alerta enviada aparecerá en el canal de Teams casi en tiempo real, facilitando la supervisión continua del entorno.

🤖 Integración de alertas enriquecidas con Gemini AI

Siguiendo la práctica anterior de enriquecimiento con Gemini AI:

• Las alertas críticas son analizadas por la IA.

• Se genera una descripción ampliada con contexto, impacto y recomendaciones.

• Wazuh crea una alerta enriquecida adicional.

En esta práctica, dichas alertas enriquecidas también serán enviadas al canal de Teams, permitiendo que el mensaje incluya:

• La alerta original.

• El análisis generado por Gemini.

• Información clara y accionable para una rápida evaluación.

💬 Mensajes enriquecidos en el canal de Teams

Los mensajes que llegarán al canal de Teams contendrán:

• Información clave de la alerta (origen, severidad, agente).

• Detalles técnicos relevantes del evento.

• Análisis extendido generado por Gemini AI.

• Un formato claro y estructurado para facilitar la lectura.

Esto convierte Teams en un centro de notificaciones de seguridad inteligente.

🧪 Prueba práctica de validación

Para validar el funcionamiento completo:

1. Se generará una alerta en Wazuh.

2. La alerta será enviada al workflow de Teams.

3. Teams publicará el mensaje en el canal configurado.

4. Se generará una alerta crítica para activar Gemini AI.

5. La alerta enriquecida será enviada también al canal.

6. Se verificará que ambos mensajes llegan correctamente.

Esta prueba confirma el flujo completo de integración.

🔍 ¿Por qué es importante esta práctica?

Esta práctica combina monitorización de seguridad, comunicación corporativa e inteligencia artificial en un único flujo automatizado. Permite comprender:

• Cómo centralizar alertas en herramientas de colaboración.

• Cómo reducir el tiempo de respuesta ante incidentes.

• Cómo enriquecer alertas para facilitar su comprensión.

• Cómo integrar IA en flujos reales de seguridad.

• Cómo mejorar la eficiencia operativa de un SOC.

Es especialmente útil en entornos donde Teams es la herramienta principal de comunicación.

✅ Resultados esperados

• Workflow y webhook de Teams creados y operativos.

• Wazuh enviando alertas automáticamente a Teams.

• Alertas visibles en el canal correspondiente.

• Integración de alertas enriquecidas con Gemini AI.

• Mensajes claros, estructurados y enriquecidos en Teams.

• Validación correcta mediante alertas de prueba.

• Comprensión completa del flujo: alerta → enriquecimiento → Teams.

🔗 Enlaces de interés

                          DOCUMENTACIÓN

💬 Integrating Wazuh with Microsoft Teams for Alert Delivery and Gemini AI Enriched Alerts

In this practice, we will integrate Wazuh with Microsoft Teams to send security alerts directly to a Teams channel using a workflow-based webhook. This allows every alert generated by Wazuh to be delivered in near real time within the collaboration platform.

In addition, we will extend the integration so that alerts enriched with Gemini AI, developed in a previous practice, are also automatically sent to the same Teams channel. This ensures that notifications include not only the technical alert but also an expanded, contextualized, and more actionable analysis.

The result is a centralized, intelligent alerting system designed for fast incident awareness and response.

🧰 Technologies Used

Wazuh

Wazuh is a security monitoring platform that detects threats, analyzes logs, correlates events, and generates alerts based on rules and behaviors. It supports integration with external tools through webhooks and automation scripts.

Microsoft Teams

Microsoft Teams is a collaboration and communication platform widely used in enterprise environments. Through workflow-based webhooks, Teams can receive automated messages from external systems such as Wazuh and publish them directly to specific channels.

Gemini AI

Gemini AI is an advanced artificial intelligence model capable of analyzing security alerts and generating extended explanations, contextual insights, and initial response recommendations. In this practice, it is used to enrich alerts before they are delivered to Teams.

🎯 Objectives of the Practice

• Integrate Wazuh with Microsoft Teams for automated alert delivery.

• Create a Teams workflow that acts as a webhook receiver.

• Send Wazuh alerts to a dedicated Teams channel.

• Include Gemini AI enriched alerts in the same delivery pipeline.

• Centralize security notifications within Microsoft Teams.

• Validate the integration by generating real alerts.

🧩 Key Aspects of the Practice

🔗 Creating the Workflow and Webhook in Microsoft Teams

Microsoft Teams allows the creation of workflows that act as entry points for external messages.

In this practice, a workflow will be configured to:

• Receive alert data through a webhook.

• Process the incoming information.

• Automatically publish messages to a specific Teams channel.

This workflow serves as the bridge between Wazuh and Teams.

🚨 Sending Alerts from Wazuh to Teams

Once the webhook is configured, Wazuh will send:

• Relevant alerts.

• Critical alerts.

• Events that require immediate attention.

Each alert will appear in the Teams channel almost instantly, providing real-time visibility into security events.

🤖 Integrating Gemini AI Enriched Alerts

Building on the previous Gemini AI enrichment practice:

• Critical alerts are analyzed by Gemini AI.

• An expanded explanation with context, impact, and recommendations is generated.

• Wazuh creates an enriched alert based on the AI analysis.

In this practice, these enriched alerts are also forwarded to Microsoft Teams, ensuring the message includes:

• The original alert information.

• The AI-generated analysis.

• Clear and actionable intelligence for rapid assessment.

💬 Enriched Messages in the Teams Channel

Messages delivered to the Teams channel will include:

• Key alert details (source, severity, affected agent).

• Relevant technical information.

• The extended analysis generated by Gemini AI.

• A clear and structured message format for easy interpretation.

This transforms Microsoft Teams into an intelligent security notification hub.

🧪 Practical Validation Test

To validate the complete workflow:

1. A standard alert is generated in Wazuh.

2. The alert is sent to the Teams workflow.

3. Teams publishes the message in the configured channel.

4. A critical alert is generated to trigger Gemini AI.

5. The enriched alert is also sent to Teams.

6. Both alerts are confirmed to appear correctly in the channel.

This test confirms the full end-to-end integration.

🔍 Why This Practice Is Important

This practice combines security monitoring, enterprise collaboration, and artificial intelligence into a single automated workflow. It helps demonstrate:

• How to centralize alerts in collaboration platforms.

• How to reduce response time to security incidents.

• How to enrich alerts for faster understanding and triage.

• How to integrate AI into real-world security workflows.

• How to improve SOC operational efficiency using familiar tools.

It is especially valuable in environments where Microsoft Teams is the primary communication platform.

✅ Expected Results

• Teams workflow and webhook successfully created and operational.

• Wazuh sending alerts automatically to Microsoft Teams.

• Alerts appearing correctly in the selected Teams channel.

• Gemini AI enriched alerts delivered to Teams.

• Clear, structured, and enriched messages visible in Teams.

• Successful validation using test alerts.

• Full understanding of the workflow: alert → enrichment → Teams notification.