Lucas Barbosa
A integração do Blockbit com o Wazuh ou qualquer outro SIEM, é baseada em encaminhamento via Syslog ou Netflow.
No Blockbit:
Configurar Syslog no Blockbit:
- Acesse o painel de administração do Blockbit pelo endereço: https://192.168.1.X:98.
- Vá para as configurações de Log
Configurações > Sistema > Logging.
- Adicione um novo servidor Syslog e porta (geralmente 514) com o endereço IP do seu servidor Wazuh.
No Wazuh:
- No Wazuh, certifique-se a entrada de logs seja criada, adicione uma entrada (localfile) no arquivo de configuração (ossec.conf) para monitorar o arquivo ou a porta onde os logs do Blockbit serão recebidos.
Criação de decoders e regras customizadas:
- Se o formato dos logs do Blockbit não for reconhecido pelos decodificadores padrão do Wazuh, será necessário criar um decoder customizado que extraia os campos relevantes (como IP de origem, tipo de evento, severidade etc.).
Com o decoder em mãos, crie também regras de alerta (no arquivo de regras do Wazuh) para que os eventos do Blockbit gerem alertas conforme a criticidade dos incidentes.
