Envío de alertas por correo Wazuh manager
Para configurar Wazuh para enviar alertas por correo electrónico, los ajustes de correo electrónico deben configurarse en la sección del archivo principal de configuración ossec.conf.
sudo nano /var/ossec/etc/ossec.conf<ossec_config>
<global>
<email_notification>yes</email_notification>
<email_to>me@test.com</email_to>
<smtp_server>mail.test.com</smtp_server>
<email_from>wazuh@test.com</email_from>
</global>
</ossec_config>Una vez configurado el apartado anterior, se debe establecer en el nivel de alerta mínimo que activará un correo electrónico. De forma predeterminada, este nivel se establece en 12.email_alert_level.
<ossec_config>
<alerts>
<email_alert_level>12</email_alert_level>
</alerts>
</ossec_config>Para aplicar los cambios se debe reiniciar el servidor de Wazuh:
systemctl restart wazuh-managerPara que los cambios surtan efecto se debe realizar la configuración SMTP. Las alertas de correo electrónico de Wazuh no admiten servidores SMTP con autenticación como Gmail. Sin embargo, puede usar una retransmisión de servidor, como Postfix, para enviar estos correos electrónicos. Para configurar Postfix con Gmail seguimos los pasos a continuación:
El tipo de configuración del servidor de correo se establece en: sin configuración.
sudo apt-get update && apt-get install postfix mailutils libsasl2-2 ca-certificates libsasl2-modulesPara configurar Postfix se debe crear el archivo main de configuración.
sudo nano /etc/postfix/main.cfrelayhost = [smtp-mail.outlook.com]:587
smtp_sasl_auth_enable = yes
smtp_sasl_password_maps = hash:/etc/postfix/sasl_passwd
smtp_sasl_security_options = noanonymous
smtp_tls_CAfile = /etc/ssl/certs/ca-certificates.crt
smtp_use_tls = yes
smtpd_relay_restrictions = permit_mynetworks, permit_sasl_authenticated, defer_unauth_destinationEstablezca la dirección de correo electrónico y la contraseña del remitente reemplazando USERNAME y PASSWORD con datos reales.
Para este paso se tiene que crear una contraseña de aplicación para que no se solicite la autenticación en 2 pasos y se pueda utilizar para las notificaciones.
echo [smtp-mail.outlook.com]:587 correo@outlook.com:******** > /etc/postfix/sasl_passwd
postmap /etc/postfix/sasl_passwd
chmod 400 /etc/postfix/sasl_passwdCambiamos los permisos de base de datos de contraseña para que solo usuario root pueda verla.
chown root:root /etc/postfix/sasl_passwd /etc/postfix/sasl_passwd.db
chmod 0600 /etc/postfix/sasl_passwd /etc/postfix/sasl_passwd.dbSe debe reiniciar Postfix para aplicar los cambios:
systemctl restart postfixPrueba de configuración:
Reemplazando los datos de dirección de correo electrónico. Verificamos que se reciba este correo electrónico de prueba.you@example.com:
echo "Prueba de correo electrónico" | mail -s "Prueba n°1" -r "correo_que_envia@outlook.com" correo_que_recibe@outlook.comEn la bandeja de entrada tenemos:
Con la prueba realizada se configuran las notificaciones por correo electrónico en el archivo de configuración de Wazuh.
sudo nano /var/ossec/etc/ossec.conf<global>
<email_notification>yes</email_notification>
<smtp_server>localhost</smtp_server>
<email_from>USERNAME@gmail.com</email_from>
<email_to>you@example.com</email_to>
</global>
Para este ejemplo modificamos el nivel de alerta de correo a nivel 7 para ver distintos tipos de alertas enviados al correo electrónico, sin embargo en un entorno de producción es recomendable que sean alertas de nivel máximo.
Reiniciamos el servidor para aplicar los cambios:
systemctl restart wazuh-managerEl correo de prueba es un e-mail temporal al cual nos llega la prueba de eventos, se puede configurar el mismo destinatario y origen con el mismo correo pero para probar la funcionalidad de reenvío se realizó la prueba con 2 correos diferentes.
Alerta en el correo de prueba noxatrubaudi-8034@yopmail.com.
