wazuh transport sector

MONITORING 6

Wazuh Transport Sector

Peter Oldenburger – CSAD – Year 2 Groepsopdrachten en Individuele Opdrachten

1

Global Index

1. Index A: Wazuh – Transport Sector - Comprehensive Report

2. Index B: Wazuh – Transport Sector - Weekly Overview

3. Index C: Wazuh - Technical Details

4. Index D: Wazuh - Transport Specific

In deze rapporten wordt de implementatie van Wazuh als SIEM-oplossing voor de transportsector behandeld.

Index A:

Wazuh Comprehensive ReportEen volledig en zeer gedetailleerd overzicht Rapport Wazuh Transport

Index B:

Wazuh Weekly Overview

gebundelde weekopdrachten

Index C:

Wazuh Technical Details

1. Login SSH @ AWS Wazuh Manager 2. SSH_Key3. Login Shell4. Wazuh Dashboard Access

5. Wazuh Install & Configuration Validation

Index D:

Wazuh Transport-Specific

1. Rules2. Decoders 3. Logs

2

Inleiding

De transportsector vormt een essentieel onderdeel van de economie en infrastructuur, maar staat steeds vaker bloot aan ernstige cyberdreigingen. Denk hierbij aan aanvallen zoals Ransomware, SSH-brute-force aanvallen en Denial-of-Service (DoS)-aanvallen.

Deze dreigingen kunnen niet alleen de operationele continuïteit verstoren, maar ook leiden tot economische schade, dataverlies en verstoring van kritieke processen binnen logistieke en transportnetwerken.

Om deze uitdagingen effectief aan te pakken, is Wazuh ingezet als een Security Information and Event Management (SIEM)-oplossing. Wazuh biedt real-time monitoring, dreigingsdetectie en uitgebreide incidentanalyse, die essentieel zijn voor het beschermen van systemen en data tegen kwaadaardige aanvallen.

De belangrijkste onderdelen van dit project zijn:

1. Custom regels en decoders:Specifieke Wazuh-regels en decoders zijn ontworpen om sectorgerichte cyberdreigingen te detecteren.

2. Logbeheerconfiguratie:Logbestanden van transport-specifieke bronnen worden geanalyseerd en geconfigureerd in Wazuh, waardoor afwijkend gedrag en verdachte activiteiten vroegtijdig kunnen worden geïdentificeerd.

3. Visuele dashboards:Geavanceerde dashboards zijn ontwikkeld om de verzamelde data visueel weer te geven.

De integratie van Wazuh zorgt voor een proactieve detectie van dreigingen, maar stelt organisaties ook in staat om gerichte maatregelen te nemen om risico’s te mitigeren. Dit resulteert in robuustere systemen, een snellere reactietijd op incidenten en betere beveiliging.

Peter Oldenburger

CyberSecurityAD.com

3

Index A:

Wazuh Transport Sector – An Comprehensive Report 1. Inleiding

• Context en doel van het project

• Het belang van cybersecurity in de transportsector

• Overzicht van de implementatie met Wazuh

  2. Voorwoord

• 2.1 Projectleden en bijdragen

• 2.2 Doelstellingen en leerdoelen

• 2.3 Sectorvereisten voor cybersecurity

  3. Sectoranalyse en Risico’s

• 3.1 Sectoranalyse: Transport

• 3.2 Belangrijke dreigingen

• 3.3 Compliance-eisen

• 3.4 Specifieke risico’s

  4. Wazuh Configuratie

• 4.1 Toegevoegde sector-specifieke regels

• 4.2 Toegevoegde decoders

• 4.3 Logbeheer configuratie

• 4.4 File Integrity Monitoring (FIM)

• Screenshot 4.1: Voorbeeld van aangepaste Wazuh-regels

• Screenshot 4.2: Toegevoegde decoders

  5. Installatie en Validatie

• 5.1 Wazuh installatieoverzicht

• 5.2 Configuratievalidatie

• 5.3 HTTPS-certificaten

• Screenshot 5.1: Wazuh installatie en certificaten

• Screenshot 5.2: Wazuh dashboard toegang

4

6. Monitoring en Incidentdetectie

• 6.1 Logoverzicht voor sector-specifieke dreigingen

• 6.2 Incidentmeldingen en triggers

• 6.3 Realtime detectie van dreigingen

• Screenshot 6.1: Voorbeeld van logmeldingen

  7. Dashboardontwikkeling

• 7.1 Sector-specifieke dashboards

• 7.2 Data-analyse en inzichten

• 7.3 Grafieken en visualisaties o 3xScreenshots

• Screenshot 7.1: Transport Security Dashboard

• Screenshot 7.2: SSH-authenticatiepogingen

  8. Analyse en Resultaten

• 8.1 Samenvatting van bevindingen

• 8.2 Impactanalyse van incidenten

• 8.3 Top gedetecteerde dreigingen

• Screenshot 8.1: Grafiek met topdreigingen

  9. Aanbevelingen

• 9.1 Beveiligingsmaatregelen tegen SSH-aanvallen

• 9.2 Beperking van ongeautoriseerde toegang

  10. Individuele Bijdrage en Reflectie

• 10.1 Technische wijzigingen in configuratie

• 10.2 Dashboardontwikkeling en impact

• 10.3 Reflectie op leerdoelen

5

11. Wazuh Technische Documentatie

• 11.1 SSH-toegang tot Wazuh Manager

• 11.2 SSH-Key

• 11.3 SSL-certificaten

• 11.4 SSH-clustering

• 11.3 Validatie van Wazuh-installatie

• 11.4 Toegang tot het Wazuh Dashboard

  12. Bijlagen en Bewijsstukken

  10.1 Toegevoegde bestanden• 100001-transport-rules.xml • decoder-transport.xml

  12.2 Logbestandvoorbeelden

• Logs voor brute-force, GPS-spoofing en frauduleuze betalingen

12.3 Overzicht van configuraties• ossec.conf log- en meldingsinstellingen

13. Conclusie en Toekomstvisie

• 12.1 Effectiviteit van Wazuh-configuraties

• 12.2 Toekomstige implementatie bij CyberSecurityAD.com

• 12.3 Slotreflectie

  14. Referenties

  • Bronnen en documentatie

  • Compliance-eisen: GDPR, NIS2, ISO/IEC 27001

6

Voorwoord

Dit rapport is het resultaat van een gezamenlijk project waarin de beveiligingsrisico’s binnen de transportsector zijn geanalyseerd en vertaald naar een effectieve oplossing voor logregistratie, analyse, detectie, signalering en waarschuwing van cyberdreigingen.

De transportsector, als onderdeel van de kritieke infrastructuur, wordt dagelijks geconfronteerd met talloze cyberdreigingen die de operationele continuïteit kunnen verstoren.

Als voorzitter en technische adviseur van dit project heb ik me gericht op het configureren van Wazuh, met nadruk op OS Configuration Assessment, sectorspecifieke transportregels en decoders. Daarnaast heb ik de specifieke transport-logs geanalyseerd en teruggekoppeld via ElasticSearch naar Wazuh voor efficiënte monitoring en alerting.

Yannick heeft geholpen met het ontwikkelen van de visuele dashboards, Erdem heeft technische ondersteuning gegeven en Shafiq heeft het algeheel getest.

Presentatie:In de demonstratie wordt een SSH Brute-Force aanval gesimuleerd op een Debian 10- besturingssysteem waarop de Wazuh-Agent is geïnstalleerd.

Deze aanval wordt real-time gelogd, geregistreerd en weergegeven in het ontwikkelde Transport Dashboard, daarnaast wordt er een per aanval een actief alert verzonden naar het speciale Wazuh-Transport Telegram-account voor directe notificatie van de SSH- BruteForce alerts, zodat men gelijk kan ingrijpen om evetuele hackers uit te sluiten.

Nulwaarde:Mijn kennis van Wazuh was beperkt tot de basisprincipes, waardoor dit project een uitstekende gelegenheid bood om mijn expertise op het gebied van Wazuh verder uit te breiden en toe te passen in een praktijksituatie!

Eindwaarde:

Dit traject heeft mij waardevolle inzichten opgeleverd in het afstemmen van beveiligingsoplossingen op sectorspecifieke dreigingen.

Het eindresultaat is een praktisch, sectorgericht dashboard dat bedrijven ondersteunt bij het real-time detecteren van bedreigingen en het nemen van gerichte maatregelen.

7

Toekomstwaarde:

Met de opgedane kennis en ervaring ben ik vastbesloten om Wazuh verder te implementeren in mijn toekomstige cybersecurity-startup CyberSecurityAD.com.

Mijn doel is om hoogwaardige, op maat gemaakte beveiligingsdiensten te leveren aan diverse sectoren en daarmee de cyberweerbaarheid van (overheids) organisaties aanzienlijk te vergrotenJ

Speciale dank:Deze gaat uit naar de HVA docenten en begeleiders, met name Young Professional Wicky, die met zijn expertise in Wazuh, motivatie en feedback een onmisbare rol heeft gespeeld in het succes van dit en toekomstige Wazuh projecten.

Peter Oldenburger

CyberSecurityAD.com

8

Week 1: Groepsopdracht:

Wazuh Transport Sector – Analyse

Belangrijke dreigingen in de transportsector:

• Cyberaanvallen op verkeersbeheersystemen: DDoS-aanvallen of cyberinbraken die de werking van verkeerssystemen verstoren.

• Data-exfiltratie en diefstal van vertrouwelijke gegevens: Het lekken van klantgegevens, vrachtinformatie of gevoelige bedrijfsinformatie.

• Ransomware-aanvallen: Aanvallen die systemen versleutelen en betaling eisen.

• GPS-spoofing en locatiediefstal: Misbruik van GPS-systemen voor het vervalsen van

  locatie-informatie.

  Compliance-eisen voor de transportsector:

  • GDPR (General Data Protection Regulation): Bescherming van persoonsgegevens van klanten en medewerkers binnen de transportketen.

  • NIS2 Directive (Network and Information Systems): Eisen voor netwerk- en informatiebeveiliging voor sectoren die essentiële diensten leveren, zoals transport.

  • ISO/IEC 27001: Standaard voor het beheer van informatiebeveiliging die van toepassing is op transportbedrijven die gevoelige gegevens verwerken.

  Specifieke risico’s voor de transportsector:

  • IoT-apparaten: Verkeersmanagementsystemen en voertuigen die verbonden zijn via het Internet of Things (IoT), met als risico een kwetsbaarheid voor hacking.

  • Bedreigingen vanuit de supply chain: Kwaadwillende actoren in de toeleveringsketen kunnen kwetsbaarheden exploiteren en toegang krijgen tot het netwerk van een transportbedrijf.

9

Individuele opdracht:Reflectie over persoonlijke verwachtingen en leerdoelen

Mijn belangrijkste verwachting voor de integratie van Wazuh in mijn bedrijf, CybersecurityAd, is dat ik de voordelen van de SIEM-oplossingen van Wazuh kan benutten voor een ehectievere monitoring van netwerken en systemen.

Het doel is om afwijkend gedrag en potentiële dreigingen sneller te detecteren en ehectiever te reageren. Dit is essentieel voor het leveren van hoogwaardige cybersecurity- diensten en het verbeteren van de algehele veiligheid van de systemen die we monitoren.

Wat betreft mijn leerdoelen, wil ik mijn kennis uitbreiden over het configureren en beheren van Wazuh. Ik ben vooral geïnteresseerd in het afstemmen van Wazuh op specifieke dreigingen binnen verschillende sectoren.

Deze kennis stelt me in staat om meer op maat gemaakte beveiligingsmaatregelen te ontwikkelen, zodat we onze klanten nauwkeuriger kunnen monitoren en beveiligen. Daarnaast wil ik me verder verdiepen in de integratie van File Integrity Monitoring (FIM) en loganalyse, wat cruciaal is voor het tijdig detecteren van incidenten en het naleven van compliance-eisen.

Kortom, door Wazuh te integreren in CybersecurityAd en deze nieuwe vaardigheden te ontwikkelen, verwacht ik zowel mijn eigen kennis als de dienstverlening van mijn bedrijf te verbeteren, en zo CybersecurityAd.com verder te versterken als een betrouwbare speler in de cybersecurity-industrie.

10 December 2024

Peter Oldenburger

10

Week 2: Groepsopdracht:

Moinitoring WAZUH-Configuratie in Transport- Sector

Toegevoegde regels en decoders:

Om de Wazuh-configuratie af te stemmen op de transportsector en specifieke dreigingen te monitoren, zijn de volgende aangepaste regels toegevoegd. Deze regels richten zich op dreigingen zoals GPS-spoofing, ransomware, anomalieën in IoT-apparaten, denial-of- service (DoS) aanvallen, brute-force inlogpogingen, ongeautoriseerde API-toegang, frauduleuze betalingen, onverwachte voertuigroute-afwijkingen, ongeautoriseerde modificaties in transportsystemen en verdachte externe verbindingen.

Toegevoegde regels (rules): 1. GPSSpoofingScript:

<group name="custom, transport"><rule id="300200" level="12"> <program_name>powershell</program_name><field name="command">"gps-spoofing-script.ps1"</field> <group>gps,transport</group>

<description>Suspicious GPS Spoofing PowerShell script execution</description> </rule></group>

2. RansomwareEncryptie:

<group name="custom, transport"><rule id="301200" level="14"><field name="extension">"*.rans"</field><group>ransomware,transport</group><description>Potential ransomware encryption detected on logistics files</description> </rule></group>

11

3. AnomalieëninIoT-apparaten:

<group name="custom, transport"><rule id="301300" level="11"><field name="activity">"reset"</field><group>iot,anomalies,transport</group><description>Anomalous behavior detected in IoT devices in transport</description> </rule>

</group>

4. DoS-aanvallenoptransportservers:

<group name="custom, transport"><rule id="301400" level="15"><field name="request_count">"500"</field><group>dos,transport</group><description>Potential DoS attack detected on transport control servers</description> </rule></group>

5. Brute-forceloginpogingen:

<group name="custom, transport"><rule id="301500" level="13"><program_name>login_service</program_name><field name="attempts">"10"</field><group>authentication,transport</group><description>Brute-force login attempts detected on transport systems</description> </rule></group>

!! Deze Rule is als voorbeeld genomen als Dashboard en Presentatie.

6. UnauthorizedAPIAccess:

<group name="custom, transport"><rule id="301600" level="12"><field name="status_code">"401"</field><group>api,transport</group><description>Unauthorized API access attempt detected in transport </description> </rule>

</group>

12

7. Frauduleuzebetalingsactiviteit:

<group name="custom, transport"><rule id="301700" level="13"><field name="transaction_status">"declined"</field><field name="amount">"1000"</field><group>fraud,transport</group><description>Fraudulent high-value payment attempt detected in transport</description> </rule></group>

8. Onverwachtevoertuigrouteafwijkingen:

<group name="custom, transport"><rule id="301800" level="12"><field name="route_change">"unexpected"</field><group>route,transport</group><description>Unexpected vehicle route deviation detected in transport </description> </rule></group>

9. Ongeautoriseerdemodificatieintransportsystemen:

<group name="custom, transport"><rule id="301900" level="14"><group>control_systems,transport</group><description>Unauthorized modification attempt in transport control systems</description> </rule>

</group>

10. Verdachte externe verbindingen:

<group name="custom, transport"><rule id="302000" level="13"><field name="destination_ip">"203.0.113.25"</field> <group>network,external,transport</group><description>Suspicious external connection from transport network</description> </rule></group>

11. Mislukte ticketvalidatiepogingen:

<group name="custom, transport"><rule id="302100" level="10"><field name="status">"failed"</field><field name="attempt_count">"5"</field><group>ticketing,fraud,transport</group><description>Repeated failed ticket validation attempts detected transport</description> </rule>

</group>

13

Individuele opdracht:

Documenteer en verklaar de wijzigingen die je zelf hebt aangebracht aan de WAZUH-configuratie

In de configuratie van Wazuh voor sector-specifieke dreigingen, heb ik nieuwe regels toegevoegd die gericht zijn op het monitoren van kritieke dreigingen die specifiek relevant zijn voor de transportsector.

De toegevoegde regels behandelen een breed scala aan bedreigingen, waaronder GPS spoofing, ransomware, anomalieën in IoT-apparaten, DoS-aanvallen, brute-force pogingen, frauduleuze betalingen en verdachte externe verbindingen.

Deze regels helpen om afwijkend gedrag in de netwerken en systemen van transportbedrijven te detecteren, wat belangrijk is voor een proactieve benadering van incidentdetectie.

De configuratie is specifiek gericht op de eisen van de transportsector, die te maken heeft met specifieke cyberdreigingen zoals GPS spoofing voor logistieke systemen en netwerkgerelateerde aanvallen.

Met deze regels kunnen we de Wazuh SIEM-oplossing afstemmen op de specifieke risico’s van de sector, waardoor we betere bescherming kunnen bieden en sneller kunnen reageren op incidenten.

14

Proof: Custom Transport Rules in Wazuh Desktop

15

Week 3:

Groepsopdracht:Configureer logbeheer en stel sector-specifieke triggers in voor incidentmeldingen (bv. aanvallen op industriële systemen of data exfiltratie in telecom).

Logbeheer:

localfile: Specifieke logbestanden worden geconfigureerd voor netwerkverkeer, GPS- spoofing, IoT-resetgedragingen, frauduleuze betalingen, mislukte API-toegang en ticketverificatie.

command: Zoekopdrachten worden ingesteld om specifieke incidenten, zoals DoS- aanvallen, frauduleuze betalingen en ongewone gedragingen van IoT-apparaten, te detecteren.

Triggers voor Incidentmeldingen:

alerts: Deze sectie configureert het meldingsniveau voor incidenten die zich voordoen in de transportsector, bijvoorbeeld bij verdachte netwerkverkeer of frauduleuze betalingen.

email_alert_level: Dit stelt in dat meldingen met een hoger niveau dan 12 per e-mail worden verzonden, wat nuttig is voor het bijhouden van kritieke incidenten.

File Integrity Monitoring (FIM):

Het syscheck-gedeelte is geconfigureerd om bestandssystemen regelmatig te controleren, vooral voor wijzigingen in kritieke directories zoals /etc, /usr/bin en /usr/sbin.

Dit helpt bij het identificeren van ongeautoriseerde wijzigingen aan belangrijke systeembestanden.

16

Hoe Deze Configuratie Bijdraagt aan Incidentdetectie

Detectie van Netwerkaanvallen:

Logs voor DoS-aanvallen en verdachte netwerkverbindingen helpen bij het identificeren van potentiële aanvallen op de transportnetwerken. Dit kan helpen bij het beschermen van de infrastructuur tegen DDoS-aanvallen en andere netwerkgerelateerde dreigingen.

Monitoring van IoT-apparaten:

Door IoT-apparaten te monitoren voor resetgedragingen, kunnen bedrijven in de transportsector snel reageren op anomalieën die duiden op een mogelijk beveiligingsincident.

Fraudebestrijding:

Het loggen van frauduleuze betalingen en mislukte ticketverificaties helpt bij het snel identificeren van verdachte financiële transacties, wat essentieel is voor het voorkomen van fraude in de transportsector.

Detectie van GPS-spoofing:

Door GPS-spoofing te detecteren via logbestanden, kunnen transportbedrijven onmiddellijk reageren op pogingen tot manipulatie van voertuiglocaties, wat een belangrijke dreiging is voor de veiligheid en het beheer van voertuigen.

Beveiliging van API’s en externe verbindingen:

Het monitoren van API-toegang en verdachte externe verbindingen helpt bij het beschermen van gevoelige gegevens en voorkomt ongeautoriseerde toegang tot belangrijke systemen.

17

Individuele opdracht:Maak een log-overzicht en verklaar hoe deze meldingen bijdragen aan het monitoren van sector-specifieke dreigingen.

Log-overzicht voor het monitoren van sector-specifieke dreigingen

In deze opdracht worden de logbestanden en meldingen besproken die betrekking hebben op de transportsector en hun rol bij het monitoren van specifieke dreigingen. De logs worden gegenereerd door Wazuh, een Security Information and Event Management (SIEM) systeem, dat real-time monitoring van systemen en netwerken uitvoert.

Wazuh Log-Overzicht

Hieronder volgen enkele voorbeeldmeldingen en de bijbehorende logoverzichten die voortkomen uit de regels voor de transportsector:

1. SuspiciousGPSSpoofingScript• Log: “gps-spoofing-script.ps1 uitgevoerd”

• Regel-ID: 300200

• Beschrijving: Deze melding wordt gegenereerd wanneer er verdachte activiteiten plaatsvinden die wijzen op een GPS-spoofing-aanval, wat kan leiden tot ongeautoriseerde manipulatie van locatie-informatie.

• Bijdrage aan dreigingen: In de transportsector kunnen GPS-spoofing-aanvallen ernstige gevolgen hebben voor de nauwkeurigheid van logistieke systemen en voertuigen. Het detecteren van een dergelijk script helpt bij het vroegtijdig identificeren van pogingen tot fraude of sabotage in het transportsysteem.

18

2. RansomwareFileEncryption

• Log: “Bestand versleuteld: logistics_file.rans”

• Regel-ID: 301200

• Beschrijving: Deze melding wordt gegenereerd wanneer een bestand wordt versleuteld met de extensie “.rans”, wat wijst op een mogelijke ransomware-aanval.

• Bijdrage aan dreigingen: Ransomware-aanvallen kunnen een aanzienlijke impact hebben op transportbedrijven door belangrijke bestanden zoals vrachtinformatie en klantgegevens te versleutelen. Deze melding draagt bij aan de vroegtijdige opsporing van aanvallen die de operationele continuïteit verstoren.

3. UnusualIoTBehavior• Log: “IoT-apparaat gereset: device123” • Regel-ID: 301300

• Beschrijving: Deze melding wordt gegenereerd wanneer een IoT-apparaat in een transportnetwerk een reset uitvoert, wat kan wijzen op ongebruikelijke of verdachte activiteiten.

• Bijdrage aan dreigingen: De transportsector maakt gebruik van verschillende IoT- apparaten voor realtime monitoring van voertuigen, lading en infrastructuur. Ongewone resets kunnen duiden op een poging om apparaten te manipuleren of onjuiste gegevens in het systeem te introduceren.

4. Denial-of-Service(DoS)Attack

• Log: “DoS-aanval gedetecteerd: bron-IP: 192.168.1.1”

• Regel-ID: 301400

• Beschrijving: Deze melding wordt gegenereerd wanneer er een Denial-of-Service-aanval wordt gedetecteerd die probeert de controle over de transportinfrastructuur te verstoren.

• Bijdrage aan dreigingen: DoS-aanvallen kunnen leiden tot systeemuitval en verminderde beschikbaarheid van kritieke diensten binnen de transportsector, zoals ticketing of tracking van vracht. Deze meldingen helpen bij het snel detecteren en mitigeren van dergelijke aanvallen.

19

5. Brute-forceLoginAttempts• Log: “Mislukte inlogpoging: 10 pogingen van 192.168.1.10” • Regel-ID: 301500

• Beschrijving: Deze melding wordt gegenereerd wanneer er meerdere mislukte inlogpogingen worden gedetecteerd, wat kan wijzen op een brute-force aanval op systemen die gevoelig zijn voor ongeautoriseerde toegang.

• Bijdrage aan dreigingen: Brute-force aanvallen kunnen gericht zijn op systemen die gevoelige informatie bevatten, zoals klantgegevens of voertuiginformatie. Door deze meldingen te monitoren, kunnen aanvallen vroegtijdig worden.

6. UnauthorizedAPIAccess• Log: “Unauthorized access: API endpoint /login” • Regel-ID: 301600

• Beschrijving: Deze melding wordt gegenereerd wanneer er ongeautoriseerde toegang wordt gedetecteerd via een API, wat kan wijzen op een poging tot gegevensdiefstal of systeemmisbruik.

• Bijdrage aan dreigingen: In de transportsector worden API’s gebruikt voor het communiceren met verschillende systemen, zoals klanten, leveranciers en vervoerders. Ongeautoriseerde toegang kan leiden tot verlies van gevoelige gegevens en moet snel worden geïdentificeerd en aangepakt.

7. FraudulentPaymentActivity• Log: “Frauduleuze betaling gedetecteerd: bedrag: 1000, status: geweigerd” • Regel-ID: 301700

• Beschrijving: Deze melding wordt gegenereerd wanneer een frauduleuze betaling wordt gedetecteerd, vaak gekoppeld aan onrechtmatige transacties binnen het betalingssysteem van het transportbedrijf.

• Bijdrage aan dreigingen: Frauduleuze betalingen kunnen een ernstig financieel risico vormen voor transportbedrijven.

20

8. VehicleRouteDeviation

• Log: “Route afwijking gedetecteerd: voertuig-ID: 12345”

• Regel-ID: 301800

• Beschrijving: Deze melding wordt gegenereerd wanneer een voertuig van zijn geplande route afwijkt, wat kan wijzen op diefstal, sabotage of andere verdachte activiteiten.

• Bijdrage aan dreigingen: Route-afwijkingen kunnen wijzen op misbruik van voertuigen of een poging tot het omzeilen van beveiligde routes. Dit is een belangrijke indicator voor het monitoren van voertuigen in de transportsector.

9. SuspiciousExternalConnection• Log: “Suspicious external connection: IP 203.0.113.25” • Regel-ID: 302000

• Beschrijving: Deze melding wordt gegenereerd wanneer er een verdachte externe verbinding wordt gedetecteerd die mogelijk een inbraakpoging of gegevensdiefstal kan aanduiden.

• Bijdrage aan dreigingen: Ongebruikelijke verbindingen van externe bronnen kunnen wijzen op een aanval van buitenaf die gericht is op het compromis van systemen in de transportsector. Het snel detecteren van dergelijke verbindingen is cruciaal voor het beschermen van netwerken tegen externe dreigingen.

Log Conclusie

Het monitoren van deze logbestanden en het configureren van meldingen via Wazuh draagt bij aan het vroegtijdig detecteren van sector-specifieke dreigingen, zoals aanvallen op industriële systemen, fraude, en datalekken in de transportsector.

Door deze meldingen te analyseren, kunnen we snel ingrijpen en maatregelen trehen om schade aan systemen, data en de reputatie van het bedrijf te voorkomen. De logs zijn cruciaal voor het behouden van de beveiliging en compliance binnen de transportsector.

21

Proof: Log toevoegingen ossec.conf

22

Week 5:

Geavanceerde Analyse en Rapportage Groepsopdracht:

Ontwikkelen van Wazuh Sector-Specifieke Dashboards

Transport Security Dashboard Rapport Auteurs: Yannick, Technische Adviseur: Peter

Datum: 13-12-2024 Inleiding

De transportsector bevat kritische infrastructuren die gevoelig zijn voor cyberdreigingen zoals GPS-spoofing, ransomware, brute-force-aanvallen en DoS-aanvallen.

Dit rapport beschrijft de inrichting en analyse van een beveiligingsdashboard met behulp van Wazuh.

Het doel is om potentiële dreigingen te detecteren en aanbevelingen te doen voor verbeteringen.

De ingestelde rules die zich richten op de transport sector, monitoren gebeurtenissen zoals:

• Ransomware-activiteit op (logistieke) bestanden

• Verdachte API-verzoeken

• Brute-force-inlogpogingen

• Potentiële ransomware geëncrypte bestanden

  Data en Bevindingen

  Gebruikte Methode

• Een Wazuh-manager en een agent zijn opgezet in een AWS-omgeving.

• Transport-specifieke rules werden geïmplementeerd in Wazuh.

• Bij het generen van de testdata hebben wij alle ingestelde rules gemonitord

23

Samenvatting van Waarnemingen

Succesvolle of mislukte SSH authenticatiepogingen

Impact:

• Veel misluke pogingen kunnen duiden op interne bedreigingen, van ontevreden medewerkers tot externe aanvallers.

• Mislukte pogingen kunnen zorgen voor Account-lockouts, wat operaties stillegt

  Mislukte authenticatiepogingen

  Impact:

• Herhaalde pogingen kunnen servers overbelasten, met prestatie verlies als gevolg.

• Een succesvolle inbraak kan hiernaast ook leiden tot ongeautoriseerde toegang tot

  kritieke systemen met gegevens verlies als gevolg.

• Ongeautoriseerde modificatiepogingen in een transport control systeem

  Impact:

  • Een aanvaller kan proberen wijzigingen aan te brengen in routes of communicatie modules, wat kan zorgen voor onveilige situaties of storingen.

  • Door wijzigingen in systemen kunnen voertuigen naar ongeautoriseerde locaties worden gestuurd, wat kan leiden tot enorme economische verliezen of vertragingen.

24

Grafieken en Visualisaties

Hieronder staan enkele screenshots van het beveiligingsdashboard, waarin de belangrijkste bevindingen binnen 24 uur worden gevisualiseerd:

Dashboard: SSH Authentication

SSH authenticatie pogingen: ~ 600 keer

25

Dashboard: Mislukte en succesvolle ssh pogingen (Authenication & inlog)

Mislukte SSH Inlog *authenticatie pogingen: ~ 250 keer

26

Dashboard: Ongeautoriseerde modificatiepogingen in transport control systeem

Ongeautoriseerde modificaties in een transport control systeem: ~ 5.000 keer

Transport Dashboard: Conslusie & Resultaat

Top gedetecteerde dreigingen per type:

• SSH authenticatie pogingen: ~ 600 keer

• Mislukte SSH Inlog *authenticatie pogingen: ~ 250 keer

• Ongeautoriseerde modificaties in een transport control systeem: ~ 5.000 keer

27

Aanbevelingen

Op basis van de analyse van de verkregen data doen we de volgende aanbevelingen:

Mitigatie van SSH authenticatie pogingen:

• Beperking van ssh toegang: Sta alleen toegang toe van vertrouwde IP-adressen.

• Gebruik tools om IP's te blokkeren na meerdere mislukte pogingen.

  Mitigatie van Mislukte authenticatie pogingen:

• Limiteer het aan logingpogingen per tijdsperiode.

• Implementeer een sterk wachtwoordbeleid, om de kans op successvolle

  pogingen nog sterker te verkleinen.

• Versleutel alle datacomunicatie tussen transport systemen, om de veiligheid in de communicatie te garanderen.

• Zorg dat alle software en systemen up-to-date blijven, om bekende kwetsbaarheden automatisch te verhelpen.

  Dashboard Finals

  Dit rapport toont aan dat de rules die specifiek zijn ingesteld met de transport sector voor ogen, effectief zijn in het detecteren van potentiële dreigingen.

  Door de data uit te lezen, hebben we een functioneel dashboard ontwikkeld dat inzicht biedt in de beveiligingsstatus van transportsystemen.

  Door bovenstaande aanbevelingen te implementeren, kunnen organisaties risico’s verder verminderen en beveiliging optimaliseren.

Mitigatie van Ongeautoriseerde modificatiepogingen in een transport control

systeem:

28

Transport Security Dashboard

Individueel Technisch Rapport

Stap 1: Sectorvereisten

Sector: TransportDe transportsector is een kritieke infrastructuur die gevoelig is voor diverse

cyberdreigingen. De belangrijkste vereisten voor dit dashboard waren:

1. DetectievanGPS-spoofing:Ommanipulatievanvoertuiglocatiestevoorkomen.

2. Monitoringvanbrute-forceaanvallen:Beschermingvanbeheersystementegen

   ongeautoriseerde toegang.

3. Preventievanfrauduleuzebetalingen:Voorkomenvanfinancieelverliesdoor

   onrechtmatige transacties.

4. AnalysevanIoT-gedrag:Identificerenvananomalieëninverkeers-of

   voertuigapparaten.

5. Verdachtenetwerkverbindingen:Monitorenvanexterneverbindingendiekunnen

   wijzen op datalekken of inbraken.

Deze vereisten vormden de basis voor de toegevoegde custom Wazuh-regels en het dashboardontwerp.

Stap 2: Data-analyse en Risico-identificatie

Om risico’s te identificeren, heb ik de volgende stappen uitgevoerd:

1. Logverzamelingenconfiguratie:• Specifieke logs van netwerkverkeer, IoT-resets en API-aanroepen werden geconfigureerd

via ossec.conf.

• Regels toegevoegd voor brute-force detectie, GPS-spoofing scripts en ransomware activiteit.

29

2. Regelimplementatie: Voorbeeldregel:

<rule id="301500" level="13"><program_name>login_service</program_name><field name="attempts">"10"</field><group>authentication,transport</group><description>Brute-force login attempts detected on transport systems</description> </rule>

Deze regel detecteert meerdere mislukte inlogpogingen binnen een korte periode.

3. Dashboardontwikkeling:

• Gegevens uit logs en Wazuh alerts werden visueel weergegeven met behulp van Wazuh

  dashboards.

• Grafieken, tijdreeksen en heatmaps werden gebruikt om trends en kritieke incidenten

  te identificeren.

  4. Analysevanpatronen:

  • Door brute-force meldingen te koppelen aan IP-adressen en timestamps, werd

    vastgesteld dat bepaalde systemen herhaaldelijk doelwit waren van inlogpogingen.

  • IoT-resetgedragingen lieten anomalieën zien die wijzen op ongeautoriseerde acties.

  • GPS-spoofing meldingen kwamen voornamelijk voor in specifieke gebieden, wat duidt op gerichte aanvallen.

30

Stap 3: Mijn Individuele Bijdrage en Impact van het Dashboard

Bijdrage aan het dashboard:

1. Configuratievanspecifiekeregels:IkontwikkeldeenimplementeerdeWazuh-

   regels om GPS-spoofing, brute-force, en ransomware-activiteit te detecteren.

2. Analyseenlogbeheer:Ikconfigureerdelocalfile-sectiesenFileIntegrity

   Monitoring (FIM) om wijzigingen in kritieke bestanden te monitoren.

3. Visualisatie:Ikontwierpdashboardsdiedevolgendedreigingeninzichtelijkmaken:

4. Heatmaps voor GPS-spoofing locaties.

5. Grafieken voor brute-force aanvallen en API-toegangsincidenten.

   Impact van het dashboard:

6. Verbeterdedreigingsdetectie:Degeïmplementeerderegelszorgenvoorreal-time monitoring van sector-specifieke dreigingen. Dit verkort de reactietijd bij incidenten.

7. Inzichtinkwetsbaresystemen:Doorlogsenvisualisatieskunnenknelpunten, zoals frequente brute-force pogingen of IoT-gedragsafwijkingen, direct worden geïdentificeerd.

8. Proactieverisicovermindering:Dedata-analysehelpttransportbedrijvenom gerichte maatregelen te nemen, zoals het beperken van SSH-toegang of het versterken van API-beveiliging.

Conclusie Dashboard Individueel

Mijn bijdrage aan dit dashboard heeft bijgedragen aan een effectieve en sector-specifieke oplossing voor dreigingsmonitoring.

Door Wazuh-configuraties te optimaliseren en dashboards te ontwikkelen, bieden we transportbedrijven real-time inzicht in hun beveiligingsstatus. Dit helpt bij het detecteren van kritieke incidenten en het verbeteren van hun beveiligingsmaatregelen.

31

Index B:

Inhoudsopgave Wazuh-Transport Weekly Overview 1. Inleiding

• Context en doel van het project

• Belang van cybersecurity in de transportsector

• Overzicht van groeps- en individuele opdrachten

  2. Sectoranalyse2.1 Groepsopdracht

  • Analyse van dreigingen en compliance-eisen

  • Belangrijkste cyberdreigingen:

  • GPS-spoofing

  • Brute-force aanvallen

  • DoS-aanvallen

  • Ransomware

    Compliance-eisen:

  • GDPR

  • NIS2 Directive

  • ISO/IEC 27001

    • Output/Deliverable: Sectoranalyse-document

    2.2 Individuele opdracht:

    Reflectie op persoonlijke verwachtingen en leerdoelen

    3. Wazuh Configuratie

• 3.1 Groepsopdracht

• Aanpassingen aan Wazuh-configuratie voor sector-specifieke aanvallen

  Toegevoegde regels en decoders:

• Brute-force login detectie

• Ransomware-meldingen

• DoS-aanvallen

32

• Screenshot 3.1: Toegevoegde regels in 100001-transport-rules.xml

• Screenshot 3.2: Toegevoegde decoders

• 3.2 Individuele opdracht• Documentatie van wijzigingen in configuratie • Bewijsstukken:• Toegevoegde regels en decoders• Logbestand voorbeelden

  4. Logbeheer en Triggers

• 4.1 Groepsopdrachto Configuratie van logbeheer en triggers o Logbeheer voor:o Netwerkverkeero API-aanvalleno GPS-spoofingo Triggers voor incidentmeldingen

• Screenshot 4.1: Logconfiguratie in ossec.conf

• 4.2 Individuele opdracht

o Log-overzicht van sector-specifieke dreigingen: o Brute-force meldingeno Verdachte externe verbindingeno Frauduleuzebetalingen

5. Dashboardontwikkeling

• 5.1 Groepsopdracht• Ontwikkeling van sector-specifieke dashboards • Rapportage van:• SSH-authenticatiepogingen• GPS-spoofing incidenten• Ongeautoriseerde wijzigingen

• Screenshot 5.1: Transport Security Dashboard

• Screenshot 5.2: Grafiek voor brute-force meldingen

• 5.2 Individuele opdracht • Technisch rapport:

  • Persoonlijke bijdrage aan het dashboard • Sectoreisen en risico’s• Analyse van kritieke incidenten

33

6. Analyse en Resultaten

• 6.1 Bevindingen uit het dashboard

• 6.2 Top gedetecteerde dreigingen:• SSH-authenticatiepogingen

  • Ransomware-activiteit • IoT-anomalieën

• 6.3 Grafieken en visualisaties

• Screenshot 6.1: SSH-authenticatiepogingen

• Screenshot 6.2: Ransomware detective

  7. Aanbevelingen

• 7.1 Risicobeperking voor SSH-aanvallen

• 7.2 Preventie van ransomware en frauduleuze activiteiten

• 7.3 IoT-beveiligingsmaatregelen

  8. Conclusie en Reflectie

• 8.1 Effectiviteit van Wazuh-configuratie

• 8.2 Reflectie op persoonlijke bijdrage en leerdoelen

• 8.3 Toekomstvisie: Implementatie binnen CyberSecurityAD.com

  9. Bijlagen en Referenties

  • Toegevoegde bestanden:

  • 100001-transport-rules.xml

  • decoder-transport.xml

  • Logbestanden

    10. Bronnen en documentatie

34

1. Inleiding

De transportsector vormt een cruciale pijler van de economie en infrastructuur. Echter, deze sector staat bloot aan diverse cyberdreigingen, zoals GPS-spoofing, ransomware, brute-force aanvallen op SSH en DoS-aanvallen.

Dit rapport beschrijft de implementatie van Wazuh als SIEM-oplossing binnen de transportsector, waarbij real-time monitoring en incidentdetectie centraal staan. Het project richt zich op:

• Sector-specifieke regels voor loganalyse.

• Configuratie van logbeheer en triggers.

• Visuele dashboards voor transportveiligheid.

  Het doel is om specifieke dreigingen binnen de transportsector te identificeren, mitigeren en uiteindelijk te voorkomen.

  2. Sectoranalyse 2.1 Groepsopdracht

  In deze opdracht is een diepgaande analyse gemaakt van de dreigingen en compliance- eisen die relevant zijn voor de transportsector.

  Belangrijkste cyberdreigingen:

• GPS-spoofing: Manipulatie van voertuiglocaties.

• Brute-force aanvallen: Herhaalde pogingen tot ongeautoriseerde toegang.

• DoS-aanvallen: Overbelasting van systemen en netwerkdiensten.

• Ransomware: Versleuteling van belangrijke bestanden tegen losgeld.

  Compliance-eisen:

• GDPR (General Data Protection Regulation): Bescherming van persoonsgegevens.

• NIS2 Directive: Netwerk- en informatiebeveiliging voor kritieke infrastructuur.

• ISO/IEC 27001: Standaard voor informatiebeveiligingsbeheer. Output/Deliverable:

  Sectoranalyse-document dat bovenstaande dreigingen en eisen gedetailleerd beschrijft. 35

2.2 Individuele opdrachtReflectie op persoonlijke verwachtingen en leerdoelen:

Mijn verwachting is om Wazuh in te zetten binnen mijn cybersecuritybedrijf CyberSecurityAD.com voor effectieve monitoring. Mijn leerdoelen zijn:

• Verdieping in het configureren van Wazuh-regels.

• Monitoring van sector-specifieke dreigingen.

• Integratie van File Integrity Monitoring (FIM) en loganalyse.

Screenshot: Wazuh Agents on Windows, MacOS, Ubuntu & Debian

36

3. Wazuh Configuratie 3.1 Groepsopdracht

De Wazuh-configuratie is aangepast voor sector-specifieke aanvallen. Toegevoegde regels:

1. Brute-forcelogindetectie2. GPS-spoofingdetectie3. Ransomwarebestandsencryptie 4. DoS-aanvallenopservers

Screenshots:

• Screenshot 3.1: Toegevoegde regels in 100001-transport-rules.xml.

• Screenshot 3.2: Toegevoegde decoders voor transportlogs. 3.2 Individuele opdracht

  Documentatie van wijzigingen in configuratie:

  De wijzigingen omvatten:- Toevoegen van custom rules- Configuratie van logbestanden en triggers.

  Bewijsstukken:

  - Toegevoegde bestanden in ossec.conf.= Voorbeelden van logbestanden met specifieke meldingen.

37

4. Logbeheer en Triggers 4.1 Groepsopdracht

De opdracht richtte zich op het configureren van logbeheer en instellen van triggers. Logbeheer configuratie:

• Netwerkverkeer: Monitoring van DoS-aanvallen en verdachte verbindingen.

• API-aanvallen: Logs voor ongeautoriseerde toegang tot API’s.

• GPS-spoofing: Monitoring van scripts voor locatie-aanvallen.

  Triggers:

• Email_alert_level: Meldingen boven niveau 12 worden via e-mail verzonden.

  Screenshot:

• Screenshot 4.1: Logconfiguratie in ossec.conf.

  4.2 Individuele opdrachtLog-overzicht van sector-specifieke dreigingen:

  1. Brute-forcemeldingen:Detectievanmeerderemislukteinlogpogingen.2. Verdachteexterneverbindingen:Logsvanongeautoriseerdeverbindingen.3. Frauduleuzebetalingen:Monitoringvangeweigerdetransactiesboven€1.000.

38

Screenshot: Ossec_config Email & Telegram Alert

39

5. Dashboardontwikkeling 5.1 Groepsopdracht

Er zijn sector-specifieke dashboards ontwikkeld voor inzicht in kritieke dreigingen. Rapportage van gebeurtenissen:

• SSH-authenticatiepogingen: Grafieken voor mislukte en succesvolle pogingen.

• GPS-spoofing incidenten: Heatmaps van verdachte scripts.

• Ongeautoriseerde wijzigingen: Logs van wijzigingen in

  transportbesturingssystemen.

  5.2 Individuele opdracht Technisch rapport:

• Persoonlijke bijdrage: Ontwikkeling van Wazuh-regels en configuratie Dashb.

• Sectoreisen: Detectie van GPS-spoofing, brute-force en ransomware.

• Analyse van kritieke incidenten: Inzicht in trends en kwetsbare systemen.

40

6. Analyse en Resultaten6.1 Bevindingen uit het dashboardDe dashboards tonen de belangrijkste dreigingen binnen 24 uur.

6.2 Top gedetecteerde dreigingen:

1. SSH-authenticatiepogingen:~600keer.2. MislukteSSHinlogpogingen:~250keer.3. Ongeautoriseerdewijzigingen:~5.000meldingen.

6.3 Grafieken en visualisaties:

• Screenshot 6.1: SSH-authenticatiepogingen.

• Screenshot 6.2: Ransomware detectie.

41

7. Aanbevelingen

Op basis van de analyse zijn de volgende aanbevelingen opgesteld:

7.1 Risicobeperking voor SSH-aanvallen:

• Beperk SSH-toegang tot vertrouwde IP-adressen.

• Implementeer tools die IP’s blokkeren na meerdere mislukte pogingen.

  7.2 Preventie van ransomware en frauduleuze activiteiten:

• Maak gebruik van File Integrity Monitoring (FIM) om wijzigingen te monitoren.

• Zorg voor een up-to-date patchbeleid.

  7.3 IoT-beveiligingsmaatregelen:

• Versleutel alle communicatie tussen IoT-apparaten.

• Stel monitoring in voor verdachte reset-gedragingen.

42

8. Conclusie en Reflectie8.1 Effectiviteit van Wazuh-configuratie:

De geïmplementeerde Wazuh-regels zijn effectief in het monitoren van sector-specifieke dreigingen zoals brute-force aanvallen, GPS-spoofing en ransomware.

8.2 Reflectie op persoonlijke bijdrage en leerdoelen:

Dit project bood de mogelijkheid om mijn technische kennis in Wazuh te verdiepen en aan te passen aan specifieke risico’s binnen de transportsector.

8.3 Toekomstvisie:

De opgedane kennis zal worden toegepast in mijn toekomstige cybersecurity-startup CyberSecurityAD.com voor het leveren van sectorgerichte beveiligingsoplossingen.

9. Bijlagen en Referenties Bijlagen:

• 100001-transport-rules.xml• decoder-transport.xml• Voorbeelden van logbestanden en meldingen.

43

Index C:

Wazuh Technische Documentatie

INDEX

1. Wazuh Manager SSH Login2. SSH_Key3. Login Shell4. Wazuh Dashboard Access5. Wazuh Install & Configuration Validation

1. Wazuh Manager SSH login @ AWS

Client =

Public IP = Command $ =

Client =

Public IP = Command $ =

Wazuh Manager @ Ubuntu 24.04LTS

18.212.170.32

ssh -i "wazuh ssh.pem" ubuntu@18.212.170.32

Wazuh Agent @ OS Debian

3.80.188.39

ssh -i "wazuh ssh.pem" admin@3.80.188.39

2. SSH_Key Access RSA_key: “wazuh ssh.pem”

3. LOGIN SHELLZSH (For Workaround in BASH goto: .Bashrc)

Plugins: ZSH Auto + complete + Oh-My-ZSH

4. WAZUH Dashboard Access

•User = adminPassword = xDiHnOpuDtJGpL.zp5?1YvZDLzbUQ0k2

• op https://18.212.170.32

44

5. Setup: Wazuh Install & Configuration Validation

1. SystemValidationConfirmed that the system meets hardware requirements.

2. CertificatesGenerated successfully for Filebeat, Wazuh Indexer, and Dashboard.

3. ClusterInitializationWazuh indexer cluster initialized.

4. Services:Wazuh Indexer Wazuh Server FilebeatWazuh Dashboard

• :  Started

• :  Started

• :  Installed and Initialized

• :  Initialized

• InternalUserBackup:Savedat/etc/wazuh-indexer/internalusers-backup.

• FinalOutput:

  Access the Wazuh web interface using the credentials provided above.

  Wazuh Manager

  • Configuration Finished• Vulnerability Detection Initialized|

  Wazuh Indexer

  • Configuration Finished

  • Service Started

    Wazuh Dashboard

  • Configuration Finished

  • Web Access

45

HTTPS Certificates Generation

Components Secured:

• Wazuh Root

• Wazuh Admin

• Wazuh Indexer

• Filebeat

• Wazuh Dashboard (SSL Enabled for HTTPS)

  Proof: Wazuh Install Referenties

46

Index D-1:

Transport-Specific Rules

/var/ossec/etc/rules/100001-transport-rules-peter.xml

#--start:

<group name="custom, transport"> <rule id="300200" level="12"> <program_name>powershell</program_name> <field name="command">"gps-spoofing-script.ps1"</field> <group>gps,transport</group> <description>Suspicious GPS Spoofing PowerShell script execution</description> </rule> </group>

<group name="custom, transport"> <rule id="301200" level="14"> <field name="extension">"*.rans"</field> <group>ransomware,transport</group> <description>Potential ransomware encryption detected on logistics files</description> </rule> </group>

<group name="custom, transport"> <rule id="301300" level="11"> <field name="activity">"reset"</field> <group>iot,anomalies,transport</group> <description>Anomalous behavior detected in IoT devices used in transport systems</description> </rule> </group>

<group name="custom, transport"> <rule id="301400" level="15"> <field name="request_count">"500"</field> <group>dos,transport</group> <description>Potential DoS attack detected on transport control servers</description> </rule> </group>

<group name="custom, transport"> <rule id="301500" level="13"> <program_name>login_service</program_name> <field name="attempts">"10"</field> <group>authentication,transport</group> <description>Brute-force login attempts detected on transport systems</description> </rule> </group>

<group name="custom, transport"> <rule id="301600" level="12"> <field name="status_code">"401"</field> <group>api,transport</group> <description>Unauthorized API access attempt detected in transport systems</description> </rule> </group>

<group name="custom, transport"> <rule id="301700" level="13"> <field name="transaction_status">"declined"</field> <field name="amount">"1000"</field> <group>fraud,transport</group> <description>Fraudulent high-value payment attempt detected in transport systems</description> </rule> </group>

<group name="custom, transport"> <rule id="301800" level="12"> <field name="route_change">"unexpected"</field> <group>route,transport</group> <description>Unexpected vehicle route deviation detected in transport systems</description> </rule> </group>

<group name="custom, transport"> <rule id="301900" level="14"> <group>control_systems,transport</group> <description>Unauthorized modification attempt in transport control systems</description> </rule> </group>

<group name="custom, transport"> <rule id="302000" level="13"> <field name="destination_ip">"203.0.113.25"</field> <group>network,external,transport</group> <description>Suspicious external connection from transport network</description> </rule> </group>

<group name="custom, transport"> <rule id="302100" level="10"> <field name="attempt_count">"5"</field> <group>ticketing,fraud,transport</group> <description>Repeated failed ticket validation attempts detected in transport systems</description> </rule> </group>

#--end--

47

Index D-2:

#--Start:

<!-- Unauthorized IoT Data Access Decoder --> <decoder name="transport-iot"> <program_name>iot_tracker</program_name> </decoder> <decoder name="transport-iot"> <parent>transport-iot</parent> <regex>Unauthorized access to IoT device at (\\S+)</regex> <order>iot_access_info, device_id, access_time</order> </decoder>

<!-- GPS Spoofing Decoder --> <decoder name="gps-spoofing"> <program_name>powershell</program_name> </decoder>

<decoder name="gps-spoofing"> <parent>gps-spoofing</parent> <regex>Executed script: gps-spoofing- script.ps1</regex> <order>script_name, execution_time, parameters</order> </decoder>

<!-- Ransomware Encryption Attempt Decoder --> <decoder name="ransomware-encryption"> <program_name>file_logs</program_name> </decoder>

<decoder name="ransomware-encryption"> <parent>ransomware-encryption</parent> <regex>Encrypted file: (\\S+). Extension: (\\S+)</regex> <order>file_name, extension, action</order> </decoder>

<!-- IoT Device Reset Anomaly Decoder --> <decoder name="iot-reset"> <program_name>iot_logs</program_name> </decoder> <decoder name="iot-reset"> <parent>iot- reset</parent> <regex>IoT device reset detected: (\\S+)</regex> <order>device_id, reset_time, status</order> </decoder>

<!-- DoS Attack Network Traffic Decoder --> <decoder name="network-dos"> <program_name>network_traffic</program_name> </decoder>

<decoder name="network-dos"> <parent>network-dos</parent> <regex>DoS attack detected: (\\S+). Source: (\\S+)</regex> <order>attack_type, source_ip, target_ip</order> </decoder> <!-- Brute- force Login Attempt Decoder --> <decoder name="login-brute-force"> <program_name>login_service</program_name> </decoder>

<decoder name="login-brute-force"> <parent>login-brute-force</parent> <regex>Failed login attempt from (\\S+). Attempts: (\\d+)</regex> <order>source_ip, attempt_count, username</order> </decoder>

<!-- Unauthorized API Access Decoder --> <decoder name="api-unauthorized"> <program_name>api_logs</program_name> </decoder>

<decoder name="api-unauthorized"> <parent>api-unauthorized</parent> <regex>Unauthorized access: (\\S+). Status code: 401</regex> <order>access_time, endpoint, status_code</order> </decoder>

<!-- Fraudulent Payment Attempt Decoder --> <decoder name="payment-fraud"> <program_name>payment_logs</program_name> </decoder>

<decoder name="payment-fraud"> <parent>payment-fraud</parent> <regex>Fraudulent payment detected. Amount: (\\d+). Status: (\\S+)</regex> <order>transaction_amount, status, transaction_time</order> </decoder>

<!-- Vehicle Route Deviation Decoder --> <decoder name="vehicle-route-deviation"> <program_name>route_logs</program_name> </decoder>

<decoder name="vehicle-route-deviation"> <parent>vehicle-route-deviation</parent> <regex>Route deviation detected: (\\S+). Vehicle ID: (\\S+)</regex> <order>route_deviation, vehicle_id, deviation_time</order> </decoder>

Transport-Specific Decoders

/var/ossec/etc/decoders/decoder-transport.xml

48

<!-- Unauthorized Modification in Transport Control Systems Decoder --> <decoder name="control- system-modifications"> <program_name>control_logs</program_name> </decoder>

<decoder name="control-system-modifications"> <parent>control-system-modifications</parent> <regex>Unauthorized modification detected in (\\S+) system</regex> <order>modification_type, affected_system, timestamp</order> </decoder>

<!-- Suspicious External Connections Decoder --> <decoder name="external-suspicious-connections"> <program_name>network_traffic</program_name> </decoder>

<decoder name="external-suspicious-connections"> <parent>external-suspicious-connections</parent> <regex>Suspicious external connection: (\\S+)</regex> <order>connection_ip, connection_time</order> </decoder>

<!-- Failed Ticket Validation Decoder --> <decoder name="ticketing-failure"> <program_name>ticketing_logs</program_name> </decoder>

<decoder name="ticketing-failure"> <parent>ticketing-failure</parent> <regex>Failed ticket validation. Attempt count: (\\d+)</regex> <order>ticket_id, attempt_count, validation_status</order> </decoder>

#--END

49

Index D-3:Vanaf #toevoegingen

<!-- Logbeheer voor netwerken en beveiliging in de transportsector -->

<localfile><log_format>syslog</log_format> <location>/var/log/syslog</location> <!-- Systeemlogs monitoren --> </localfile>

<!-- Logbeheer voor netwerkverkeer (bijvoorbeeld DoS-aanvallen op transportnetwerken) --> <localfile><log_format>syslog</log_format><location>/var/log/network_traffic.log</location>

<command>grep "DoS attack detected"</command>

<!-- Zoek naar DoS-aanvallen --><frequency>360</frequency> <!-- Verzamel logs elke 6 minuten --> </localfile>

<!-- Logbeheer voor GPS-spoofing in de transportsector --> <localfile><log_format>syslog</log_format> <location>/var/log/gps_spoofing.log</location> <command>grep "gps-spoofing-script.ps1"</command>

<!-- Zoek naar GPS-spoofing-scripts --> <frequency>360</frequency></localfile>

<!-- Logbeheer voor IoT-resetgedragingen binnen de transportsector --> <localfile><log_format>syslog</log_format> <location>/var/log/iot_device.log</location>

<command>grep "IoT device reset detected"</command>

<!-- Zoek naar resets van IoT-apparaten --> <frequency>360</frequency></localfile>

<!-- Logbeheer voor mislukte API-toegangspogingen --> <localfile><log_format>syslog</log_format> <location>/var/log/api_access.log</location> <command>grep "Unauthorized access attempt"</command>

<!-- Zoek naar ongeautoriseerde API-toegang --> <frequency>360</frequency></localfile>

<!-- Logbeheer voor frauduleuze betalingen in de transportsector --> <localfile><log_format>syslog</log_format> <location>/var/log/payment_fraud.log</location>

<command>grep "Fraudulent payment detected"</command>

Transport-Specific Logging

/var/ossec/etc/ossec.conf

50

<!-- Zoek naar frauduleuze betalingen --> <frequency>360</frequency></localfile>

<!-- Logbeheer voor verdachte netwerkverbindingen --> <localfile><log_format>syslog</log_format> <location>/var/log/network_connections.log</location> <command>grep "Suspicious external connection"</command>

<!-- Zoek naar verdachte externe verbindingen --> <frequency>360</frequency></localfile>

<!-- Logbeheer voor ticketverificatiewaarschuwingen --> <localfile><log_format>syslog</log_format> <location>/var/log/ticketing.log</location> <command>grep "Failed ticket validation"</command>

<!-- Zoek naar mislukte ticketverificaties --> <frequency>360</frequency></localfile>

<!-- Trigger voor verdachte netwerkaanvallen --> <localfile><log_format>syslog</log_format> <location>/var/log/network.log</location> <command>grep "DoS attack detected"</command>

<!-- Zoek naar DoS-aanvallen --> <frequency>360</frequency> </localfile>

51

Referenties

1. Wazuh.(2024).WazuhDocumentation.GeraadpleegdNovember&December

   2024, van https://documentation.wazuh.com.

2. Ramrattan,W.(2024).LecturerandExperiencedProfessionalinCybersecuritywith

   a demonstrated history of working in the private and public sector.

3. Kazan,A.(2024).LecturerinHBOCybersecurity,ProfessionalatCisco.

4. GitHub.(2024).WazuhRulesRepository.Opgehaaldop20november2024,van https://github.com/wazuh.

5. SourceForge.(2024).WazuhOpenSourceSIEM.Beschikbaargesteldop22 november 2024, via https://sourceforge.net/projects/wazuh/.

6. Medium.(2024).CreatingWazuhRulesforTransport-SpecificThreatDetection. Geconsulteerd op 28 november 2024, van https://medium.com/tag/wazuh.

7. WazuhBlog.(2024).OptimizingWazuhforLogAnalysisinCriticalInfrastructure. Opgevraagd op 2 december 2024, van https://wazuh.com/blog.

8. Wazuh+Transport.(2024).ImplementingWazuhtoSecureTransportSystems Against Cyber Threats. Geraadpleegd op 8 december 2024, via https://wazuh.com/solutions/transport.

9. Wazuh+Dashboard.(2024).BuildingCustomDashboardsforSecurityAnalysis Wazuh. Gezien op 14 december 2024, van https://wazuh.com/blog/dashboard.

52

Nawoord

De kennis en ervaring die ik heb opgedaan tijdens dit project zet ik nu actief in binnen mijn cybersecuritybedrijf CyberSecurityAD.com.

Technische Toekomstvisie:Door middel van Wazuh als SIEM-oplossing kan ik gerichte beveiligingsmonitoring en incidentdetectie bieden aan mijn klanten.

Daarnaast onderzoek ik geavanceerde methoden, zoals code-injectie met tools als Frida, om Wazuh Agents verder uit te breiden en optimaliseren.

Praktijkvoorbeeld:Een interessante toepassing hiervan is het uitvoeren van Configuration Assessments op Debian-systemen, met een focus op CIS Debian Benchmark.

Door Frida te injecteren in een Wazuh Agent, open ik mogelijkheden voor diepgaande inspectie en realtime aanpassingen van systeemprestaties en -compliance. Dit biedt organisaties een proactieve aanpak voor kwetsbaarheidsdetectie en configuratiebeheer.

Met deze technische innovaties wil ik CyberSecurityAD.com verder ontwikkelen tot een toonaangevende leverancier van maatwerk cybersecurityoplossingen, afgestemd op de specifieke dreigingen en compliance-eisen van diverse sectoren.

Amsterdam17 December 2024 Peter Oldenburger

53