Page 18 - INATEL - Revista Fetin 44ª-completa
P. 18

Automação de Resposta a



        Incidentes com Wazuh






        ORIGEM DO PROJETO

        O  problema  foi  baseado  na  dificuldade  de  resposta  rápida  e  eficiente  a  ameaças  cibernéticas,  exigindo  soluções
        automatizadas de mitigação.



        PROBLEMÁTICA
        O projeto buscou resolver a dificuldade das equipes de segurança em responder de forma rápida e eficiente a ciberataques
        que ocorrem em ambientes corporativos. Atualmente, a maioria das respostas a incidentes ainda depende de ações manuais,
        o que aumenta o tempo de reação e a probabilidade de erros humanos. Nosso sistema visa automatizar esse processo,
        integrando  detecção,  análise  e  execução  de  contramedidas.  O  cenário  envolve  empresas  que  utilizam  ferramentas  de
        monitoramento de segurança e analistas responsáveis pela mitigação de ameaças, permitindo que as respostas ocorram
        em tempo real e com menor esforço operacional.


        MATERIAIS E MÉTODOS

        O projeto utilizou o Wazuh para monitorar e automatizar respostas a incidentes de segurança, sendo configurado em um
        ambiente com Docker Desktop e WSL, em um computador com processador Intel de 12ª geração, placa de vídeo RTX
        3050 e 16 GB de memória RAM. O desenvolvimento seguiu a metodologia incremental, permitindo ajustes constantes nas
        regras de detecção e resposta. A validação foi feita por meio de testes práticos: um agente do Wazuh foi configurado para
        observar uma pasta que recebia logs gerados por um sistema de login em Python, simulando tentativas de acesso indevido
        e verificando se o alerta e a reação automatizada ocorriam corretamente.


        PROJETO E SOLUÇÃO

        O projeto funciona integrando o Wazuh a um sistema de automação de respostas a incidentes. Ele monitora arquivos de
        log gerados por um programa de login em Python e, ao detectar atividades suspeitas, envia alertas e executa ações pré-
        definidas para mitigar possíveis ataques. Como requisito, o sistema utiliza o Wazuh Manager, um agente configurado e o
        Docker Desktop em conjunto com o WSL, já que o ambiente Linux foi simulado por meio dessa configuração. Suas principais
        características incluem detecção em tempo real, respostas automáticas, flexibilidade para novas regras e compatibilidade
        com diferentes plataformas, garantindo rapidez e eficiência operacional.














         18     INSTITUTO NACIONAL DE TELECOMUNICAÇÕES - INATEL
   13   14   15   16   17   18   19   20   21   22   23