This content originally appeared on DEV Community and was authored by Aleets Vaaz
¿Que es Wazuh?
Wazuh es una plataforma de seguridad de código abierto que ofrece detección de intrusos, monitoreo de integridad y cumplimiento normativo. Sus reglas analizan eventos como fallos de autenticación, escaneos de puertos o modificaciones no autorizadas de archivos. Las alertas se generan cuando se detectan comportamientos sospechosos, clasificadas por prioridad y enviadas en tiempo real para una rápida respuesta. Wazuh permite personalizar estas reglas y alertas, lo que lo convierte en una solución flexible y eficaz para la detección de intrusos.
Características de Wazuh:
- Detección de intrusos basada en host (HIDS): Monitorea y analiza eventos a nivel de sistema, detectando comportamientos anómalos y posibles ataques.
- Monitoreo de integridad de archivos (FIM): Verifica cambios en archivos críticos y directorios, alertando sobre modificaciones sospechosas.
- Análisis de registros (Log Analysis): Recopila y analiza registros de diferentes fuentes para detectar comportamientos inusuales y correlacionar eventos.
- Cumplimiento normativo: Ayuda a las organizaciones a cumplir con normativas de seguridad como GDPR, PCI DSS, HIPAA, entre otras, proporcionando informes de auditoría y verificando políticas de seguridad.
- Respuesta a incidentes: Permite automatizar acciones correctivas ante la detección de incidentes de seguridad.
- Compatibilidad multi-plataforma: Funciona en sistemas Windows, Linux, macOS, y en infraestructuras de contenedores.
- Monitoreo de la nube: Permite integraciones con servicios en la nube como AWS, Azure, y Google Cloud, monitoreando eventos específicos de esas plataformas.
Ventajas de usar Wazuh:
- Código abierto: Sin costos de licencia, lo que lo hace accesible para organizaciones de cualquier tamaño.
- Escalabilidad: Puede manejar grandes cantidades de datos y dispositivos, siendo adecuado tanto para pequeñas empresas como para grandes organizaciones.
- Integración con herramientas de seguridad: Se integra fácilmente con otras plataformas de seguridad como Elastic Stack, proporcionando capacidades avanzadas de búsqueda y análisis.
- Monitoreo en tiempo real: Proporciona alertas inmediatas ante actividades sospechosas, permitiendo una rápida respuesta a incidentes.
- Interfaz intuitiva: Ofrece una consola de gestión centralizada que facilita la visualización de datos y la administración de múltiples agentes.
Instalación de Wazuh
Wazuh se puede instalar en un entorno de servidor Linux (como Ubuntu o CentOS) y se integra comúnmente con Elastic Stack (para visualización). Aquí te dejo los pasos básicos para la instalación en Ubuntu.
a) Preparar el entorno
- Primero, es fundamental actualizar el sistema y asegurarse de tener las dependencias necesarias instaladas:
sudo apt update
sudo apt upgrade
b) Instalar el servidor Wazuh:
- Para instalar el servidor Wazuh de manera sencilla, ejecuta el siguiente comando que descarga y ejecuta el script de instalación:
curl -sO https://packages.wazuh.com/4.9/wazuh-install.sh && sudo bash ./wazuh-install.sh -a
c) Guarda los datos de acceso al panel de administración
- Al finalizar la instalación, el sistema te proporcionará las credenciales necesarias para acceder al panel de administración. Un ejemplo de credenciales podría ser:
User:admin
Password: aSfTsN92nsAIndw29Ha2e1AE
d) Ingresar al panel de administrador:
- Una vez instalada la herramienta, se crea un servidor en localhost que estará disponible en el puerto 443. Puedes acceder al panel principal de Wazuh desde el siguiente enlace:
htttps://localhost/app/login?
- Al ingresar las credenciales obtenidas en los pasos anteriores, se cargará la interfaz de administración, lista para comenzar a trabajar.
Agregar Agentes (Usuarios)
En la interfaz principal de Wazuh, se nos mostrará información relevante sobre los agentes: el total de agentes conectados, la actividad de los mismos, la cantidad de agentes desconectados, entre otras opciones. En esta sección, también verás un recuadro que te permitirá gestionar y crear nuevos agentes.
Paso 1: Acceder a la opción para agregar un agente
- Desde el panel principal de Wazuh, verás una leyenda subrayada en amarillo que te indica cómo ingresar nuevos agentes. Haz clic en esta opción para comenzar.
Paso 2: Seleccionar el sistema operativo del agente
- En la nueva pantalla, elige el sistema operativo en el que se instalará el agente. En este caso, seleccionaremos Windows.
Paso 3: Seleccionar la versión del sistema operativo
- A continuación, selecciona la versión de Windows que estás utilizando. Si tienes Windows 10, selecciona la opción Windows 7+.
Paso 4: Verificar la arquitectura
- El sistema asignará automáticamente la arquitectura (32 o 64 bits). No es necesario modificar esta opción, así que déjala en su valor por defecto.
Paso 5: Asignar la IP del servidor
- En este paso, introduce la IP del servidor Wazuh al que se conectará el agente. Por ejemplo: 192.168.0.7.
Paso 6: Asignar un nombre al agente (opcional)
- Aunque opcional, es recomendable asignar un nombre específico para una mejor administración. En este caso, podrías nombrarlo UsuarioCentral.
Paso 7: Asignar un grupo al agente
- Si tienes grupos de agentes predefinidos, puedes asignar uno en este paso. Si no, deja esta opción por defecto.
Paso 8: Obtener el código de instalación
- Finalmente, Wazuh te proporcionará un código tipo script que debes ejecutar en el sistema operativo del cliente (en este caso, Windows).
Instalación de un cliente/agente en Windows
Paso 1: Abrir PowerShell
- Abre PowerShell en tu equipo Windows, ya que será necesario para ejecutar el comando que te proporcionó Wazuh al crear el agente.
Paso 2: Ejecutar el script de instalación
- Copia y pega el script que obtuviste anteriormente en PowerShell y ejecútalo. Este comando descargará e instalará todo lo necesario para que el agente se configure en tu equipo.
Paso 3: Iniciar el servicio Wazuh
- Una vez que la instalación haya finalizado, ejecuta el siguiente comando para activar el agente:
NET START Wazuh
Paso 4: Verificar en el servidor
- Regresa al panel principal de Wazuh. Ahí deberías ver reflejado el nuevo agente que acabas de instalar y activar.
Con estos pasos, habrás configurado correctamente un nuevo agente en tu entorno Wazuh, y podrás comenzar a monitorear su actividad desde el servidor.
Conclusiones:
Wazuh es una plataforma de seguridad de código abierto que ofrece detección de intrusos, monitoreo de integridad y cumplimiento normativo. Sus reglas analizan eventos como fallos de autenticación, escaneos de puertos o modificaciones no autorizadas de archivos. Las alertas se generan cuando se detectan comportamientos sospechosos, clasificadas por prioridad y enviadas en tiempo real para una rápida respuesta. Wazuh permite personalizar estas reglas y alertas, lo que lo convierte en una solución flexible y eficaz para la detección de intrusos.
This content originally appeared on DEV Community and was authored by Aleets Vaaz
Aleets Vaaz | Sciencx (2024-09-06T00:19:39+00:00) Wazuh reglas y alertas para detección de intrusos. Retrieved from https://www.scien.cx/2024/09/06/wazuh-reglas-y-alertas-para-deteccion-de-intrusos/
Please log in to upload a file.
There are no updates yet.
Click the Upload button above to add an update.