WAZUH - CRIMINAL IP

 

WAZUH - AMBASSADORS

🌍🛡️ Integración de Wazuh con Criminal IP para Enriquecimiento de Alertas Web y Resumen Ejecutivo con Gemini AI

En esta práctica se integra Wazuh con Criminal IP con el objetivo de enriquecer automáticamente las alertas generadas por un servidor web Apache. El escenario simula accesos potencialmente maliciosos inyectando diferentes direcciones IP públicas en el archivo access.log, provocando que Wazuh detecte el evento y active el mecanismo de integración.

Cuando el evento es detectado, el Wazuh Manager consulta la API de Criminal IP, obteniendo información contextual sobre la dirección IP implicada, como reputación, pertenencia a redes Tor, uso en infraestructuras cloud, proveedor de hosting y puntuación de riesgo.

Además, al contar con la integración previa de Gemini AI para alertas enriquecidas, el sistema generará automáticamente un resumen ejecutivo enviado por correo electrónico, proporcionando contexto ampliado, interpretación del riesgo y una visión clara orientada a toma de decisiones.

Esta práctica combina detección, inteligencia de amenazas externa y análisis automatizado con IA, construyendo un flujo completo de enriquecimiento de incidentes.

🧰 Tecnologías empleadas

Wazuh

Wazuh actúa como motor de detección y correlación. Analiza los logs del servidor Apache, identifica accesos sospechosos y activa integraciones externas cuando se cumplen determinadas condiciones.

Su capacidad de integración con APIs externas permite ampliar el contexto de una alerta más allá del simple evento registrado.

Apache Web Server

Apache genera registros en access.log que contienen información sobre:

• IP de origen

• Recurso solicitado

• Código de respuesta

• User-Agent

• Fecha y hora

Estos registros son fundamentales para la detección de actividad anómala en aplicaciones web.

Criminal IP

Criminal IP es una plataforma de inteligencia de amenazas basada en reputación de direcciones IP. Proporciona información como:

• Nivel de riesgo

• Uso de redes Tor o proxies

• Infraestructura cloud asociada

• Tipo de proveedor (hosting, residencial, corporativo)

• Historial de actividad sospechosa

Esta información permite contextualizar si una IP representa una amenaza real o simplemente tráfico legítimo.

Gemini AI

Gemini AI permite transformar datos técnicos en información contextualizada y comprensible.

En esta práctica, se utiliza para generar un resumen ejecutivo automático que:

• Interpreta la reputación de la IP.

• Explica el posible impacto.

• Resume el riesgo en términos claros.

• Facilita la toma de decisiones.

Correo electrónico (alerting)

El sistema envía por email el resumen enriquecido, permitiendo:

• Notificación inmediata.

• Comunicación clara a responsables técnicos o directivos.

• Reducción del tiempo de análisis manual.

🎯 Objetivos de la práctica

• Detectar accesos sospechosos en logs de Apache mediante Wazuh.

• Integrar Wazuh con la API de Criminal IP.

• Enriquecer alertas con información de reputación de IP.

• Simular tráfico malicioso mediante inyección controlada en logs.

• Automatizar la consulta de contexto externo.

• Generar alertas enriquecidas con Gemini AI.

• Enviar por correo electrónico un resumen ejecutivo del incidente.

• Comprender el valor del enriquecimiento contextual en un SIEM.

🧩 Aspectos clave de la práctica

🔍 Detección de eventos en Apache

Wazuh monitoriza el archivo access.log del servidor Apache.

Al detectar accesos provenientes de IPs sospechosas:

• Se genera una alerta inicial.

• Se activa la integración externa.

• Se inicia el proceso de enriquecimiento.

Esto demuestra cómo un simple log puede convertirse en un evento de inteligencia accionable.

🌐 Simulación controlada de accesos maliciosos

Para validar el flujo:

• Se inyectan direcciones IP públicas en el access.log.

• Se simulan intentos de acceso sospechosos.

• Se provoca la generación de eventos reales en el SIEM.

Este enfoque permite probar el sistema sin necesidad de ataques reales.

🧠 Consulta automática a Criminal IP

Cuando se genera la alerta:

• El Wazuh Manager consulta la API de Criminal IP.

• Se obtiene reputación y contexto de la IP.

• Se incorporan atributos como riesgo, uso de Tor, tipo de infraestructura o hosting.

Esto convierte una simple IP en un objeto con inteligencia asociada.

🤖 Enriquecimiento avanzado con Gemini AI

Con la integración de Gemini AI:

• Se analiza la información técnica recibida.

• Se genera un resumen interpretativo.

• Se contextualiza el impacto potencial.

• Se presenta un informe comprensible.

La alerta deja de ser puramente técnica y se transforma en conocimiento accionable.

📧 Generación de resumen ejecutivo por email

El sistema envía automáticamente:

• Detalles del evento original.

• Información de reputación de la IP.

• Interpretación del riesgo.

• Resumen ejecutivo claro y estructurado.

Esto reduce la necesidad de análisis manual y acelera la respuesta.

🧪 Validación del flujo completo

Para validar el sistema:

1. Se simula acceso malicioso en Apache.

2. Wazuh detecta el evento.

3. Se ejecuta la integración con Criminal IP.

4. Se obtiene información contextual.

5. Gemini AI genera el resumen enriquecido.

6. Se recibe el email con el informe completo.

Esto confirma el funcionamiento integral del pipeline de enriquecimiento.

🔍 ¿Por qué es importante esta práctica?

En un entorno real, una IP en un log no es suficiente para tomar decisiones.

Esta práctica demuestra:

• La importancia del enriquecimiento contextual.

• Cómo integrar inteligencia externa en un SIEM.

• Cómo reducir el tiempo de análisis.

• Cómo transformar datos técnicos en información estratégica.

• Cómo combinar detección, threat intelligence e inteligencia artificial.

Es un modelo realista de funcionamiento de un SOC moderno.

✅ Resultados esperados

• Apache generando logs correctamente monitorizados.

• Wazuh detectando accesos sospechosos.

• Integración funcional con Criminal IP.

• Información de reputación añadida a la alerta.

• Enriquecimiento automático mediante Gemini AI.

• Recepción de resumen ejecutivo por email.

• Comprensión completa del flujo: detección → inteligencia → interpretación → notificación.

🔗 Enlaces de interés

      DOCUMENTACIÓN                       

⚙️ Estructura de red

🌍🛡️ Integrating Wazuh with Criminal IP for Web Alert Enrichment and Executive Reporting with Gemini AI

In this practice, we integrate Wazuh with Criminal IP to automatically enrich alerts generated by an Apache web server. The scenario simulates potentially malicious access attempts by injecting different public IP addresses into the access.log file. This triggers Wazuh detection and activates the external integration workflow.

When the event is detected, the Wazuh Manager queries the Criminal IP API, retrieving contextual intelligence about the source IP address, including reputation, Tor usage, hosting provider, cloud infrastructure classification, and risk score.

Additionally, since Gemini AI alert enrichment was implemented in previous practices, the system automatically generates an executive summary email, providing contextual interpretation, risk analysis, and decision-oriented insights.

This practice combines log-based detection, external threat intelligence, and AI-powered contextualization, building a complete modern enrichment pipeline.

🧰 Technologies Used

Wazuh

Wazuh acts as the detection and correlation engine. It analyzes Apache logs, identifies suspicious activity, and triggers external integrations when defined rules are matched.

Its ability to integrate with third-party APIs enables contextual expansion beyond raw log data.

Apache Web Server

Apache generates access.log entries containing:

• Source IP address

• Requested resource

• HTTP response code

• User-Agent

• Timestamp

These logs are fundamental for detecting abnormal or suspicious web activity.

Criminal IP

Criminal IP is a threat intelligence platform focused on IP reputation analysis. It provides contextual data such as:

• Risk score

• Tor or proxy usage

• Cloud or hosting classification

• Infrastructure type

• Historical malicious activity

This intelligence transforms a simple IP address into a contextualized threat indicator.

Gemini AI

Gemini AI converts technical alert data into structured, interpretable summaries.
In this practice, it generates an executive-level summary that:

• Interprets IP reputation results

• Explains potential risk impact

• Provides contextual analysis

• Supports decision-making processes

Email Alerting System

The enriched alert is delivered via email, allowing:

• Immediate notification

• Clear communication to technical teams or leadership

• Reduced manual investigation time

🎯 Objectives of the Practice

• Detect suspicious Apache access events using Wazuh.

• Integrate Wazuh with the Criminal IP API.

• Enrich alerts with IP reputation and contextual intelligence.

• Simulate malicious access through controlled log injection.

• Automate external intelligence queries.

• Generate AI-enriched alerts using Gemini.

• Deliver executive summary reports via email.

• Understand the operational value of contextual enrichment in a SIEM.

🧩 Key Aspects of the Practice

🔍 Log-Based Detection in Apache

Wazuh continuously monitors the Apache access.log.
When suspicious activity is identified:

• An initial alert is generated.

• The integration module is triggered.

• The enrichment workflow begins.

This demonstrates how raw log entries can evolve into actionable intelligence.

🌐 Controlled Simulation of Malicious Access

To validate the workflow:

• Public IP addresses are injected into access.log.

• Suspicious access patterns are simulated.

• Real detection events are generated within the SIEM.

This approach enables safe and controlled testing without real external attacks.

🧠 Automatic Intelligence Query to Criminal IP

When the alert is triggered:

• The Wazuh Manager queries the Criminal IP API.

• IP reputation and contextual data are retrieved.

• Attributes such as risk score, Tor usage, or hosting classification are appended.

This transforms raw detection into intelligence-driven context.

🤖 Advanced Enrichment with Gemini AI

With Gemini AI integrated:

• Technical findings are analyzed.

• Risk context is interpreted.

• A structured executive summary is generated.

• The alert becomes decision-oriented rather than purely technical.

This bridges the gap between SOC analysts and leadership stakeholders.

📧 Executive Summary Email Delivery

The system automatically sends:

• Original alert details

• Criminal IP reputation results

• AI-generated contextual analysis

• A concise executive summary

This significantly reduces investigation time and improves response readiness.

🧪 End-to-End Workflow Validation

To validate the full pipeline:

1. Malicious access is simulated in Apache logs.

2. Wazuh detects the event.

3. Criminal IP integration is executed.

4. Contextual intelligence is retrieved.

5. Gemini AI generates enriched analysis.

6. An executive summary email is received.

This confirms the complete detection → enrichment → reporting lifecycle.

🔍 Why This Practice Is Important

In real-world environments, a raw IP address in a log is insufficient for decision-making.
This practice demonstrates:

• The importance of contextual enrichment.

• How to integrate external threat intelligence into a SIEM.

• How to reduce analyst workload.

• How to convert technical events into strategic insights.

• How modern SOCs combine detection, threat intelligence, and AI.

It reflects a realistic and mature security operations workflow.

✅ Expected Results

• Apache logs actively monitored by Wazuh.

• Suspicious access events correctly detected.

• Functional integration with Criminal IP.

• IP reputation data appended to alerts.

• Automated enrichment using Gemini AI.

• Executive summary delivered via email.

• Clear understanding of the full enrichment pipeline:
  Detection → Intelligence → Context → Executive Reporting