Как настроить отправку оповещений Wazuh в Telegram и Bitrix24: полное руководство

Введение

Wazuh — мощная открытая платформа для мониторинга безопасности, обнаружения угроз и соответствия нормативным требованиям. Но по умолчанию она отправляет алерты только в логи или SIEM-систему.
Что делать, если вы хотите оперативно получать уведомления в Telegram и автоматически создавать задачи в Bitrix24 при критических событиях — например, при изменении членства в группе администраторов или блокировке учётной записи?

В этой статье мы рассмотрим, как:

• Настроить кастомные правила Wazuh для отслеживания событий Active Directory и Kaspersky Security Center
• Написать универсальный скрипт интеграции на Python
• Отправлять уведомления в Telegram с маршрутизацией по темам
• Создавать задачи в Bitrix24 с разными исполнителями и без дублирования
• Избежать типичных ошибок при работе с <integration> и active-response

1. Подготовка: что нам понадобится

• Wazuh Manager (версия 4.x)
• Аккаунт Telegram Bot (получите у @BotFather)
• Вебхук Bitrix24 с правами на создание задач
• Доступ к файловой системе сервера Wazuh

2. Создание кастомных правил

Wazuh использует XML-правила для сопоставления событий. Мы создадим правила для:

• Изменения в группах Domain Admins, Enterprise Admins
• Работы с кастомными группами вроде Enable-access
• Блокировки учётных записей (EventID 4740)

Пример: правило для добавления в кастомную группу

Файл: /var/ossec/etc/rules/local_group_security_changed.xml

<group name="windows,ad_security,critical_group">

<rule id="100114" level="14">

<if_sid>60141</if_sid> <!-- EventID 4728 -->

<field name="win.eventdata.targetUserName">^Enable-access$</field>

<description>CRITICAL: Добавление в группу 'Enable-access'</description>

<group>pci_dss_10.2.5,gdpr_IV_35.7.d</group>

</rule>

</group>

🔹 Важно: используйте <if_sid>60141</if_sid> для добавления (4728) и <if_sid>60148</if_sid> для изменения/удаления (4737).

Аналогично создаются правила 100111–100129 для других групп и операций.

Для блокировки учётной записи можно использовать встроенное правило 60115, которое уже ловит EventID 4740.

3. Интеграция через <integration>

Wazuh поддерживает отправку алертов в сторонние системы через механизм <integration>, который вызывает скрипт при срабатывании указанных правил.

Добавьте в /var/ossec/etc/ossec.conf:

<integration>

<name>custom-telegram</name>

<level>9</level>

<hook_url>https://api.telegram.org/bot{TOKEN_TELEGRAM}/sendMessage<</hook_url>

<rule_id>

60115, 100110 ,100111 ,100112 ,100113 ,100114 ,100115 ,100116 ,100117 ,100118, 100119, 100120 ,100121 , 100122, 100123, 100124, 100125, 100126, 100127, 100128, 100129, 100150

</rule_id>

<alert_format>json</alert_format>

</integration>

4. Скрипт интеграции на Python

Скрипт должен:

• Парсить JSON-алерт из stdin
• Обогащать данные (например, извлекать targetUserName)
• Отправлять сообщение в Telegram
• Создавать задачу в Bitrix24 (кроме событий вроде 60115, где задача не нужна)

Ключевые фрагменты

Маршрутизация в Telegram по содержимому

if "Попытка ввода трёх неверных паролей" in telegram_msg:

telegram_chat_id = "-{TELEGRAMM_CHAT_ID}"

telegram_thread_id = 3  # Тема "Брутфорс"

Создание задачи в Bitrix24

bitrix_payload = {

"fields": {

"TITLE": title,

"DESCRIPTION": description,

"RESPONSIBLE_ID": RESPONSIBLE_MAP[rule_id],

"AUDITORS": [1161, 1135],

"STATUS": "2",  # "В работе"

"PRIORITY": "1" # Высокий

}

}

requests.post(BITRIX_WEBHOOK, json=bitrix_payload)

Исключение для 60115 (только Telegram)

if rule_id != "60115":

# отправка в Bitrix24

Полный скрипт, и примеры правил в xml размещены на https://github.com/Kosmofil/custom-telegram