Monitoreo de Microsoft Active Directory administrado por AWS con Wazuh

 Microsoft Active Directory (AD) administrado por AWS es un servicio de directorio de AWS que brinda a los usuarios, empresas y organizaciones diferentes opciones para utilizar Microsoft Active Directory (AD) con otros servicios de AWS. AWS Managed Microsoft AD almacena información sobre usuarios, grupos y dispositivos, y los administradores del sistema utilizan este servicio de directorio para administrar el acceso a esta información. 

AWS Managed Microsoft AD se puede configurar para reenviar registros a AWS CloudWatch. Wazuh extrae y analiza estos registros de AWS CloudWatch.

Wazuh es una plataforma de seguridad empresarial gratuita y de código abierto que ofrece protección contra amenazas de seguridad en entornos en la nube, locales, virtualizados y en contenedores.

En esta publicación de blog, demostramos cómo Wazuh monitorea las actividades realizadas en un servicio de Microsoft AD administrado por AWS.

Infraestructura

Utilizamos la siguiente infraestructura para mostrar cómo Wazuh monitorea el servicio de Microsoft Active Directory administrado por AWS:

• Un Wazuh OVA 4.7.2 prediseñado y listo para usar : consulta esta guía para descargar la máquina virtual (VM). Esta máquina virtual aloja los componentes centrales de Wazuh (servidor Wazuh, indexador Wazuh y panel de control Wazuh). 
• Una cuenta de Amazon Web Services (AWS) : configuramos una cuenta de AWS gratuitamente mediante este enlace .

Configuración

Servicios web de Amazon

Para crear un Microsoft AD administrado por AWS, necesita una VPC de Amazon con al menos dos subredes. Las subredes deben estar en diferentes zonas de disponibilidad. En esta publicación de blog, utilizamos la VPC de Amazon predeterminada para crear un Microsoft AD administrado por AWS. 

Nota : No se puede crear un Microsoft AD administrado por AWS en una VPC utilizando direcciones en el 198.18.0.0/15espacio de direcciones.

Crear un Microsoft AD administrado por AWS

Realice los siguientes pasos para crear un Microsoft AD administrado por AWS

1. Navegue hasta el portal de AWS y escriba directory serviceen la barra de búsqueda. Seleccione Servicio de directorio.

2. Haga clic en Configurar directorio y seleccione AWS Managed Microsoft AD .

3. Haga clic en Siguiente y seleccione Edición estándar .

4. Ingrese un nombre de dominio completo en el campo Nombre DNS del directorio . En nuestro caso utilizamos wazuh.domain.com.

5. Ingrese una contraseña en el campo Contraseña de administrador . La contraseña debe cumplir con los requisitos de contraseñas especificados.

6. Ingrese la misma contraseña en el paso 5 en el campo Confirmar contraseña . Luego haga clic en Siguiente .

7. Seleccione la VPC de Amazon predeterminada en el campo VPC . 

8. Seleccione dos subredes en diferentes zonas de disponibilidad en el campo Subredes . Luego haga clic en Siguiente .

9. Haga clic en Crear directorio .

10. Tome nota del ID del directorio . 

Nota: Su Microsoft AD administrado por AWS tardará aproximadamente entre 20 y 45 minutos en estar listo para su uso.

Instancia de Windows Amazon EC2

Para administrar usuarios y grupos en un Microsoft AD administrado por AWS desde una instancia de Windows de Amazon EC2, debe completar los siguientes requisitos previos.

• Una instancia de Windows de Amazon EC2 en su Microsoft AD administrada por AWS.
• Instale herramientas de administración de Active Directory en la instancia de Windows de Amazon EC2.
• Asigne las políticas AmazonSSMDirectoryServiceAccessy AmazonSSMManagedInstanceCorea la instancia de Windows de Amazon EC2.

Crear una instancia de Windows de Amazon EC2

En esta publicación de blog, creamos un Amazon EC2 Windows Server 2019. Realice los siguientes pasos para crear un Amazon EC2 Windows Server 2019.

1. Navegue hasta el portal de AWS y escriba instancesen la barra de búsqueda. Seleccione Instancias.

2. Haga clic en Iniciar instancias .

3. Introduzca un nombre en el campo Nombre . En nuestro caso utilizamos AD_Server.

4. En Inicio rápido , seleccione Windows .

5. Expanda Imagen de máquina de Amazon (AMI) y seleccione Microsoft Windows Server 2019 Base (elegible para el nivel gratuito).

6. Haga clic en Crear nuevo par de claves e ingrese un nombre en el campo Nombre del par de claves . En nuestro caso utilizamos WindowsKP.

7. Haga clic en Crear par de claves . Se descarga un archivo llamado WindowsKP.pema su computadora local.

8. Haga clic en Iniciar instancia . 

Nota : Su instancia de Windows de Amazon EC2 tardará aproximadamente cinco minutos en estar lista para su uso.

Unirse a una instancia de Amazon EC2 de Windows en AWS Managed Microsoft AD

Realice los siguientes pasos para unir una instancia de Windows de Amazon EC2 a un Microsoft AD administrado por AWS.

1. Navegue hasta el portal de AWS y escriba directoryen la barra de búsqueda. Seleccione Servicio de directorio.

2. Haga clic en el valor de ID del directorio de AWS Managed Microsoft AD creado anteriormente. 

3. Copie y guarde los valores de la dirección DNS en la pestaña Redes y seguridad .

4. Navegue hasta el portal de AWS y escriba instancesen la barra de búsqueda. Seleccione Instancias.

5. Seleccione la instancia AD_Server. Haga clic en Conectar > Cliente RDP . 

6. Haga clic en Obtener contraseña y luego haga clic en Cargar archivo de clave privada para cargar el WindowsKP.pemarchivo descargado anteriormente.

7. Haga clic en Descifrar contraseña . 

8. Copie y guarde los valores de DNS público , Contraseña y Nombre de usuario . Necesita estos valores para RDP en la instancia de Windows de Amazon EC2.

9. Conéctese a su instancia de Windows de Amazon EC2 mediante cualquier cliente de Protocolo de escritorio remoto.

10. Ingrese el valor del DNS público cuando se le solicite ingresar un nombre de computadora.

11. Ingrese los valores de Nombre de usuario y Contraseña , cuando se le soliciten las credenciales.

12. Presione las teclas Windows + R en su teclado para abrir el cuadro de diálogo de ejecución, cuando haya iniciado sesión en la instancia de Windows de Amazon EC2.

13. Escriba ncpa.cplen el cuadro de búsqueda y haga clic en Aceptar para abrir Conexiones de red .

14. Haga clic derecho en la conexión de red habilitada y haga clic en Propiedades .

15. Haga doble clic en Protocolo de Internet versión 4 (TCP/IPv4) .16. Ingrese la dirección IP de los servidores DNS de su AWS Managed Microsoft AD en los campos Servidor DNS preferido y Servidor DNS alternativo y haga clic en Aceptar .

17. Presione las teclas Windows + R en su teclado para abrir el cuadro de diálogo de ejecución .

18. Escriba sysdm.cplen el cuadro de búsqueda y haga clic en Aceptar para abrir el cuadro de diálogo Propiedades del sistema . Luego haga clic en Cambiar .

19. Seleccione Dominio en el campo Miembro de , ingrese wazuh.domain.comen el campo Dominio y haga clic en Aceptar .

20. Ingrese el nombre de usuario Admin y la contraseña, creados al configurar su AWS Managed Microsoft AD , cuando se le solicite ingresar un nombre de usuario y contraseña para unir la instancia EC2 de Windows al dominio. Luego haga clic en Aceptar . 

21. Haga clic en Aceptar cuando reciba un mensaje Bienvenido al wazuh.domain.com dominio .

22. Reinicie la instancia EC2 de Windows cuando se le solicite reiniciar la instancia.

Asignar las políticas requeridas a la instancia EC2 de Windows

Realice los siguientes pasos para asignar AmazonSSMDirectoryServiceAccesspolíticas AmazonSSMManagedInstanceCorea la instancia EC2 de Windows.

1. Navegue hasta el portal de AWS y escriba iamen la barra de búsqueda. Selecciona IAM .

2. Selecciona Funciones > Crear funciones .

3. Seleccione EC2 en el campo Servicio o caso de uso . Luego haga clic en Siguiente .

4. Busque la política AmazonSSMDirectoryServiceAccess. Luego seleccione la política.

5. Busque la política AmazonSSMManagedInstanceCore. Luego seleccione la política.

6. Haga clic en Siguiente. Escriba un nombre en el campo Nombre de función . En nuestro caso utilizamos . EC2_role

7. Luego haga clic en Crear rol.

8. Escriba instancesen la barra de búsqueda del portal de AWS. Seleccione Instancias .

9. Seleccione la instancia de Windows de Amazon EC2. Haga clic en Acciones .

10. Haga clic en Seguridad > Modificar función de IAM .

11. Seleccione la función de IAM EC2_rolecreada en el paso 6 en el campo Función de IAM .

12. Haga clic en Actualizar función de IAM .

Instale las herramientas de administración de Active Directory en la instancia EC2 de Windows

Realice los siguientes pasos para instalar las herramientas de administración de Active Directory en la instancia EC2 de Windows Server.

1. Conéctese a su instancia de Windows de Amazon EC2 mediante cualquier cliente de Protocolo de escritorio remoto.

2. Ingrese el valor del DNS público cuando se le solicite ingresar un nombre de computadora.

3. Ingrese el nombre de usuario en el formato <DIRECTORY-DNS-NAME>\ Admin y la contraseña, creada al configurar su AWS Managed Microsoft AD, cuando se le solicite ingresar las credenciales. Luego haga clic en Aceptar .

Nota : <DIRECTORY-DNS-NAME>es el nombre DNS del directorio de su Microsoft AD administrado por AWS. En nuestro caso, <DIRECTORY-DNS-NAME>es wazuh.domain.com.

4. Presione las teclas Windows + R en su teclado para abrir el cuadro de diálogo de ejecución .

5. Escriba servermanageren el cuadro de búsqueda y haga clic en Aceptar para abrir el Administrador del servidor .

6. Haga clic en Agregar roles y características y luego haga clic en Siguiente .

7. Seleccione Instalación basada en funciones o basada en funciones . Haga clic en Siguiente > Siguiente > Siguiente .

8. Expanda Herramientas de administración remota del servidor > Herramientas de administración de funciones y seleccione Herramientas de AD DS y AD LDS . Desplácese hacia abajo y seleccione Herramientas del servidor DNS , luego haga clic en Siguiente .

9. Haga clic en Instalar > Cerrar .

Reenviar registros de Microsoft AD administrados por AWS a AWS CloudWatch

Reenviamos registros de Microsoft AD administrados por AWS a AWS CloudWatch. Luego, Wazuh extrae estos registros de AWS CloudWatch y los analiza utilizando decodificadores y reglas.

Realice los siguientes pasos para reenviar registros de Microsoft AD administrados por AWS a AWS CloudWatch.

1. Navegue hasta el portal de AWS y busque directory serviceen la barra de búsqueda.

2. Haga clic en el nombre del servicio de directiva wazuh.domain.comque creó anteriormente.

3. Elija la pestaña Redes y seguridad y busque la sección Reenvío de registros .

4. En la sección Reenvío de registros , haga clic en Habilitar .

5. Seleccione Crear un nuevo grupo de registros de CloudWatch y haga clic en Habilitar . Anote el nombre del grupo de registros de CloudWatch /aws/directoryservice/<DIRECTORY_ID>-wazuh.domain.comdebajo del nombre del grupo de registros de CloudWatch . Necesita esta información para configurar el servidor Wazuh para extraer los registros de Microsoft AD administrados por AWS de CloudWatch.

Crear un usuario de IAM

Realice los siguientes pasos para crear un usuario de IAM wazuh_usercon una clave de acceso y una clave de acceso secreta en AWS.

1. Navegue hasta el portal de AWS y busque iamen la barra de búsqueda. Seleccione el servicio IAM y elija Usuarios en la barra lateral del Panel.

2. Haga clic en usuario Crear y escriba un nombre en el campo Nombre de usuario . Luego haga clic en Siguiente > Siguiente > Crear usuario. En nuestro caso utilizamos wazuh_user.

3. Haga clic en el usuario de IAM wazuh_usery luego haga clic en Crear clave de acceso. 

4. Seleccione Interfaz de línea de comando (CLI) y seleccione la casilla de verificación en la parte inferior para confirmar su selección. Luego haga clic en Siguiente > Crear clave de acceso.

5. Copie y guarde la clave de acceso y la clave de acceso secreta . Luego haga clic en Listo .

Advertencia : debe copiar y guardar la clave de acceso secreta, porque cuando haga clic en Listo , no podrá recuperarla más tarde. Sin embargo, puede crear una nueva clave de acceso secreta.

Crear y adjuntar una política de IAM a un usuario de IAM

El usuario de IAM wazuh_userrequiere una política de IAM con los permisos necesarios para recopilar los registros de AWS Managed Microsoft AD de AWS CloudWatch. Realice los siguientes pasos para crear y adjuntar una política de IAM al usuario de IAM wazuh_user.

1. Navegue hasta el portal de AWS y busque iamen la barra de búsqueda. Seleccione el servicio IAM y elija Políticas en la barra lateral del Panel.

2. Haga clic en Crear política y seleccione JSON como su editor de políticas.

3. Eliminar la política predeterminada del espacio de trabajo del editor de políticas.

4. Pegue la siguiente política en el espacio de trabajo del editor de políticas.

{

"Versión": "2012-10-17",

"Declaración": [

{

"Sid": "AWSCloudWatchlog0",

"Efecto": "Permitir",

"Acción": "registros:DescribeLogStreams",

"Recurso" : "arn:aws:logs: <REGIÓN > : < AWS_ACCOUNT_ID > : grupo de registro: < LOG_GROUP_NAME > :*"

},

{

"Sid": "AWSCloudWatchlog1",

"Efecto": "Permitir",

"Acción": "registros:GetLogEvents",

"Recurso": "arn:aws:logs: < REGIÓN > : < AWS_ACCOUNT_ID > : log-group: < LOG_GROUP_NAME > :secuencia de registro:*"

}

]

}

Dónde:

• <REGION>representa la región donde se encuentra su cuenta de AWS.
• <AWS_ACCOUNT_ID>representa su ID de cuenta de AWS.
• <LOG_GROUP_NAME>representa el nombre del grupo de registros del servicio AWS CloudWatch. En nuestro caso, /aws/directoryservice/<DIRECTORY_ID>-wazuh.domain.comes el nombre del grupo de registros.

5. Haga clic en Siguiente e ingrese un nombre en el campo Nombre de la política . En nuestro caso utilizamoswazuh_policy

6. Haga clic en Crear política .

7. Busque la política IAM recién creada wazuh_policy.

8. Seleccione wazuh_policyy haga clic en Acciones > Adjuntar.

9. Busque el usuario wazuh_user, luego selecciónelo y haga clic en Adjuntar política .

Servidor Wazuh

Realice los siguientes pasos en el servidor Wazuh para extraer y analizar registros de AWS CloudWatch.

1. Cree el directorio /root/.awsen el servidor Wazuh:

# sudo mkdir /root/.aws

2. Cree el archivo /root/.aws/credentialsen el servidor Wazuh:

# sudo touch /root/.aws/credentials

3. Edite el archivo /root/.aws/credentialse incluya la siguiente configuración para permitir que el servidor Wazuh acceda a su cuenta de AWS:

[por defecto]

aws_access_key_id =<AWS_ACCESS_KEY_ID>

aws_secret_access_key =<AWS_SECRET_ACCESS_KEY>

región =<REGIÓN>

Dónde:

• <AWS_ACCESS_KEY_ID>representa la clave de acceso para el usuario de IAM wazuh_user.
• <AWS_SECRET_ACCESS_KEY>representa la clave de acceso secreta para el usuario de IAM wazuh_user.
• <REGION>representa la región donde se encuentra su cuenta de AWS.

4. Edite el archivo /var/ossec/etc/ossec.confen el servidor Wazuh para incluir la siguiente configuración:

<ossec_config> _ _ _

< nombre de wodle = "aws-s3" >

< deshabilitado > no </ deshabilitado >

< intervalo > 45m </ intervalo >

< ejecutar _on_start > sí </run_on_start>

< tipo de servicio = "cloudwatchlogs" >

< aws_profile > predeterminado </aws_profile> _

< aws _log_groups > /aws/directoryservice/ < DIRECTORIO _ID > -wazuh.domain.com </aws_log_groups>

< regiones > < REGIÓN > </ regiones >

</servicio> _ _

</wodle> _ _

</ossec_config>

Reemplazar:

• La <REGION>variable con la región donde se encuentra su cuenta de AWS.
• La <DIRECTORY_ID>variable con el ID del directorio del servicio AWS Managed Microsoft Active Directory.

Nota : intervalrepresenta la frecuencia con la que Wazuh extrae registros del servicio AWS CloudWatch. Usamos 45 minutos en esta publicación de blog. Puede configurar un intervalo más largo si los registros en CloudWatch son muy grandes.

5. Edite el archivo /var/ossec/etc/decoders/local_decoder.xmlen el servidor Wazuh e incluya los siguientes decodificadores:

< nombre del descodificador = "AWS_Managed_Microsoft_AD" >

< tipo prematch = "pcre2" > \x3cEventID\x3e\d+\x3c\/EventID\x3e </ prematch >

</descodificador> _ _

< nombre del decodificador = "AWS_Managed_Microsoft_AD_001" >

< padre > AWS_Managed_Microsoft_AD </ padre >

< tipo de expresión regular = "pcre2" > \x3cEventID\x3e(\d+)\x3c\/EventID\x3e\x3cVersion\x3e0\x3c\/Version\x3e\x3cLevel\x3e0\x3c\/Level\x3e\x3cTask\ x3e\ d+\x3c\/Task\x3e\x3cOpcode\x3e\d+\x3c\/Opcode\x3e\x3cKeywords\x3e\S+?\x3c\/Keywords\x3e\x3cTimeCreated\s*SystemTime='\S+?\/ \x3e \x3cEventRecordID\x3e\d+\x3c\/EventRecordID\x3e\x3cCorrelation\/\x3e\x3cExecution\s*ProcessID='\d+'\s*ThreadID='\d+'\/\x3e\x3cChannel\x3eSecurity\ x3c\ /Canal\x3e\x3cEquipo\x3e\S+?\x3c\/Equipo\x3e\x3cSecurity\/\x3e\x3c\/System\x3e\x3cEventData\x3e\x3cData\s*Name='TargetUserName'\x3e( \S+ \s*\S*)?\x3c\/Data\x3e\x3cData\s*Name='TargetDomainName'\x3e(\S+)?\x3c\/Data\x3e\x3cData\s*Name='TargetSid '\ x3e\S+?\x3c\/Data\x3e\x3cData\s*Name='SubjectUserSid'\x3e\S+?\x3c\/Data\x3e\x3cData\s*Name='SubjectUserName'\x3e(\S+ )? \x3c\/Data\x3e.+ </ expresión regular >

< orden > eventid, nombre de usuario objetivo, nombre de dominio objetivo, nombre de usuario sujeto </ orden >

</descodificador> _ _

6. Edite el archivo /var/ossec/etc/rules/local_rules.xmlen el servidor Wazuh e incluya las siguientes reglas de detección:

< nombre del grupo = "amazon, AWS_Managed_Microsoft_AD" >

<!-- Esta regla detecta un registro de Microsoft AD administrado por AWS. Esta regla no genera ninguna alerta. -->

< ID de regla = "100074" nivel = "0" >

< decodificado_as > AWS_Managed_Microsoft_AD </decodificado_as>_

< descripción > No hay alerta para el registro de Microsoft AD administrado por AWS. </ descripción >

</regla> _ _

<!-- Esta regla detecta cuándo se crea un usuario en Microsoft Active Directory administrado por AWS. -->

< ID de regla = "100075" nivel = "6" >

< si_sid > 100074 </if_sid> _

< nombre del campo = "eventid" > 4720 </ campo >

< descripción > Un usuario $(targetusername) fue creado por $(subjectusername) en el dominio $(targetdomainname). </ descripción >

< mitra >

< identificación > T1136.002 </ identificación >

</ mitra >

</regla> _ _

<!-- Esta regla detecta cuando un usuario está deshabilitado en Microsoft Active Directory administrado por AWS. -->

< id de regla = "100076" nivel = "6" >

< si_sid > 100074 </if_sid> _

< nombre del campo = "eventid" > 4725 </ campo >

< descripción > Un usuario $(targetusername) fue deshabilitado por $(subjectusername) en el dominio $(targetdomainname). </ descripción >

< mitra >

< identificación > T1531 </ identificación >

</ mitra >

</regla> _ _

<!-- Esta regla detecta cuándo se habilitó un usuario en Microsoft Active Directory administrado por AWS. -->

< id de regla = "100077" nivel = "6" >

< si_sid > 100074 </if_sid> _

< nombre del campo = "eventid" > 4722 </ campo >

< descripción > Un usuario $(targetusername) fue habilitado por $(subjectusername) en el dominio $(targetdomainname). </ descripción >

< mitra >

< identificación > T1531 </ identificación >

</ mitra >

</regla> _ _

<!-- Esta regla detecta cuándo se elimina un usuario de Microsoft Active Directory administrado por AWS. -->

< ID de regla = "100078" nivel = "6" >

< si_sid > 100074 </if_sid> _

< nombre del campo = "eventid" > 4726 </ campo >

< descripción > Un usuario $(targetusername) fue eliminado por $(subjectusername) en el dominio $(targetdomainname). </ descripción >

< mitra >

< identificación > T1531 </ identificación >

</ mitra >

</regla> _ _

</grupo> _ _

Dónde:

• El ID de regla 100074se activa cuando Wazuh detecta un registro de Microsoft AD administrado por AWS. Esta regla no genera ninguna alerta en el panel de Wazuh.
• El ID de regla 100075se activa cuando Wazuh detecta que se crea un usuario en Microsoft Active Directory administrado por AWS.
• El ID de regla 100076se activa cuando Wazuh detecta que un usuario está deshabilitado en AWS Managed Microsoft Active Directory.
• El ID de regla 100077se activa cuando Wazuh detecta que un usuario está habilitado en AWS Managed Microsoft Active Directory.
• El ID de regla 100078se activa cuando Wazuh detecta que un usuario se elimina de Microsoft Active Directory administrado por AWS.

7. Reinicie el administrador de Wazuh para que los cambios surtan efecto:

# systemctl reiniciar wazuh-manager

Caso de uso

Nuestro caso de uso implica crear, deshabilitar, habilitar y eliminar un usuario de AWS Managed Microsoft AD.

Microsoft AD administrado por AWS

Realice los siguientes pasos para crear, deshabilitar, habilitar y eliminar un usuario de AWS Managed Microsoft AD.

1. Conéctese a su instancia de Windows de Amazon EC2 mediante cualquier cliente de Protocolo de escritorio remoto.

2. Ingrese el valor del DNS público cuando se le solicite ingresar un nombre de computadora.

3. Ingrese el nombre de usuario en el formato <DIRECTORY-DNS-NAME>\ Admin y la contraseña creada al configurar su AWS Managed Microsoft AD, cuando se le solicite ingresar las credenciales. Luego haga clic en Aceptar .

Nota : <DIRECTORY-DNS-NAME>es el nombre DNS del directorio de su Microsoft AD administrado por AWS. En nuestro caso, <DIRECTORY-DNS-NAME>es wazuh.domain.com.

4. Presione las teclas Windows + R en su teclado para abrir el cuadro de diálogo de ejecución .

5. Escriba servermanageren el cuadro de búsqueda y haga clic en Aceptar para abrir el Administrador del servidor .

6. Haga clic en Herramientas > Usuarios y equipos de Active Directory .

7. Navegue a wazuh.dominio.com > wazuh > Usuarios .

8. Haga clic derecho en Usuarios y haga clic en Nuevo > Usuario .

9. Ingrese en el campo Nombre y en el campo Apellido . TestUser

10. Ingrese Test.Uen el campo Nombre de inicio de sesión del usuario .

11. Haga clic en Siguiente e ingrese una contraseña en los campos Contraseña y Confirmar . 

12. Haga clic en Siguiente > Finalizar .

13. Haga clic derecho en el usuario recién creado Test Usery haga clic en Desactivar cuenta. Luego haga clic en Aceptar .

14. Haga clic derecho en el usuario Test Usery haga clic en Habilitar cuenta . Luego haga clic en Aceptar .

15. Haga clic derecho en el usuario Test Usery haga clic en Eliminar . Luego haga clic en Sí .

Panel de control de Wazuh

Realice los siguientes pasos para ver las alertas en el panel de Wazuh.

1. Habilite el módulo de Amazon AWS en el panel de Wazuh navegando a Configuración > Módulos.

2. Navegue a Módulos > Amazon AWS > Eventos .

3. Haga clic en + Agregar filtro . Luego filtre por rule.iden el campo Campo .

4. Filtre por is one ofen el campo Operador .

5. Filtre por 100075, 100076, 100077y 100078en el campo Valores .

6. Haga clic en Guardar .

Nota : Las siguientes alertas tardan aproximadamente 45 minutos en generarse en el panel de Wazuh.

Conclusión  

En esta publicación de blog, demostramos con éxito cómo Wazuh monitorea las actividades realizadas en un servicio Microsoft Active Directory administrado por AWS. Esta integración permite a las organizaciones aprovechar Wazuh para proporcionar información sobre su Microsoft Active Directory administrado por AWS.

Fuente: wazuh.com