Athem
  • Descarga de Responsabilidades
  • CTF
    • 🐧Trust - dockerlabs.es
    • 🙂FirstHacking - dokerlabs.es
    • 🏖️Vacaciones - dokerlabs.es
    • 💉Injection
  • 🔧Herramientas
    • Detección de sistema operativo por TTL
  • 💙Blue Team
    • ⛑️Instalación de ``Splunk Universal Forwarder``
    • Wazuh
Powered by GitBook
On this page
  • Wazuh
  • Que es Wazuh
  • Instalación de un cliente en Wazuh
  1. Blue Team

Wazuh

Wazuh

Que es Wazuh

Es una herramienta completa que proporciona una amplia gama de funciones para proteger los entornos de TI. Wazuh es conocido por su flexibilidad y capacidad para integrarse con otros sistemas de seguridad, proporcionando una visión unificada de la seguridad de la infraestructura de TI.

Principales funciones de Wazuh:

  1. Detección de amenazas:

    • Utiliza un sistema de detección de intrusos basado en host (HIDS) para identificar actividad maliciosa.

    • Analiza registros y eventos en tiempo real para detectar comportamientos sospechosos.

  2. Monitorización de la integridad de archivos (FIM):

    • Detecta cambios en archivos y directorios críticos.

    • Garantiza que no se hayan realizado modificaciones no autorizadas en archivos importantes del sistema.

  3. Análisis de vulnerabilidades:

    • Escanea sistemas en busca de vulnerabilidades conocidas.

    • Proporciona informes detallados sobre las vulnerabilidades encontradas y recomendaciones para su mitigación.

  4. Monitorización de la seguridad en la nube:

    • Ofrece soporte para la monitorización de entornos en la nube, como AWS, Azure y Google Cloud.

    • Analiza la seguridad y conformidad de los servicios y recursos en la nube.

  5. Respuesta a incidentes:

    • Facilita la investigación y respuesta a incidentes de seguridad.

    • Proporciona herramientas para la recopilación y análisis de datos forenses.

  6. Cumplimiento normativo:

    • Ayuda a las organizaciones a cumplir con normativas de seguridad como GDPR, PCI DSS, HIPAA, entre otras.

    • Proporciona auditorías y reportes detallados sobre el estado de conformidad.

  7. Integración con SIEM:

    • Se puede integrar con sistemas de gestión de eventos e información de seguridad (SIEM) para mejorar la visibilidad y la correlación de eventos.

    • Proporciona datos enriquecidos y análisis avanzado.

  8. Análisis de registros:

    • Recopila y analiza registros de diferentes fuentes, incluyendo sistemas operativos, aplicaciones, y dispositivos de red.

    • Identifica patrones y anomalías en los registros.

  9. Monitorización de rendimiento:

    • Realiza seguimiento del rendimiento y la disponibilidad de sistemas y aplicaciones.

    • Genera alertas sobre problemas de rendimiento y posibles cuellos de botella.

  10. Soporte para múltiples plataformas:

    • Funciona en una amplia variedad de sistemas operativos, incluyendo Windows, Linux y macOS.

    • Permite la gestión centralizada de la seguridad en entornos heterogéneos.

En resumen, Wazuh es una solución integral de seguridad que proporciona una variedad de funciones esenciales para la protección, monitorización y gestión de la seguridad en infraestructuras de TI modernas. Su capacidad para integrarse con otros sistemas y su enfoque en la flexibilidad y la escalabilidad lo convierten en una herramienta valiosa para cualquier organización.

Instalación de un cliente en Wazuh

Linux

Wazuh se puede instalar en una gran variedad de herramientas pero para este laboratorio vamos a instalarlo en una maquina con Ubuntu Server. la forma de instalar wazuh es bastante sencilla tanto que este laboratorio será muy corto y sencillo

Paso 1

una ves tenemos wazuh instalado lo veremos completa mente en un dashbord como este.

en la parte superior izquierda damos click en lo que yo conozco como hamburguesa o las tres líneas para que nos despliegue un Dock de navegación

una ves con el dock desplegado nos dirigimos a la sección de Server Management Damos click en Endpoints Summary

Paso 2

  • Arquitectura Y sistema Operativo

  • La dirección del servidor de wazuh

  • Parámetros OPCIONALES

    • Nombre del Agente

    • Grupo Es recomendable usar grupos para la gestión de host esto lo veremos en próximos laboratorios con la gestión de configuraciones distribuidas que ofrece wazuh.

Una ves con todo esto lleno vamos al ultimo paso

Paso Final

Instalación de wazuh-agent en el cliente

Wazuh facilita la instalación ya que en el paso 4 del asistente de instalación de un nuevo Host genera los comandos necesarios para instalar el agente con solo un copiar y pegar

wget https://packages.wazuh.com/4.x/apt/pool/main/w/wazuh-agent/wazuh-agent_4.8.0-1_amd64.deb && sudo WAZUH_MANAGER='10.0.2.15' WAZUH_AGENT_NAME='Ubuntu' dpkg -i ./wazuh-agent_4.8.0-1_amd64.deb

Este comando lo que hace es descargar el agente mas actualizado a la fecha y después crea dos variables WAZUH_MANAGER y WAZUH_AGENT_NAME estas dos contienen la dirección del servidor de wazuh y el nombre del agente en caso de lo deseen colocar, después instala el agente descargado y rellena con la información de la variables

En caso de querer configurar manual podemos editar el archivo:

/var/ossec/etc/ossec.conf

Listo con esto ya tenemos wazuh en nuestro cliente

de forma default ya tenemos múltiples vistas como el FIM

o información común como puertos y mas

Entre otras que iremos parametrizando

PreviousInstalación de ``Splunk Universal Forwarder``

Last updated 10 months ago

Damos click en Dentro del menu de desplegar nuevo agente vamos a tener que completar un formulario para indicar lo siguiente.

💙
Análisis de Vulnerabilidades