UNIVERSIDAD NACIONAL DE CAJAMARCA

FACULTAD DE INGENIERÍA

CARRERA PROFESIONAL DE INGENIERÍA DE SISTEMAS

PROPUESTA DE SOLUCIÓN SIEM

CURSO

GESTIÓN DE RIESGOS Y SEGURIDAD DE LA INFORMACIÓN

INTEGRANTES

GRUPO 3
1 CHAMORRO GIL DANIEL MICHAEL
2 GUTIÉRREZ TERRONES MOISÉS
3 HERNÁNDEZ MENDOZA VÍCTOR JAVIER
4 HORNA COTRINA GUSTAVO ANIBAL
5 OCAS FLORES ROBERTO CARLOS

GRUPO 6
1 ACUÑA ALARCON ELMER ARMANDO
2 CHAVEZ LUDEÑA NEISER
3 LEZAMA SALDARRIAGA DIEGO

DOCENTE

ING. PAUL OMAR CUEVA ARAUJO

CAJAMARCA – PERÚ - 2022

 ÍNDICE

OBJETIVOS 3

DESCRIPCIÓN DEL PROBLEMA 3

MARCO TEÓRICO 3
Wazuh 3
Componentes de software 4

DESARROLLO 5
4.1. Instalación del sistema operativo Ubuntu y Wazuh 5
4.2. Instalación de servidores, servicios y agentes de monitoreo para el SIEM 7
4.2.1. Sistemas operativos instalados 7
Sistema operativo Linux (centOS 7) 8
Sistema operativo windows server 17
Maquinas windows 25
4.2.2. Instalación de agentes wazuh 25
4.3. Monitorizando sistemas 29
4.4. Ataque 31
4.4.1. ARP Poison 31
4.4.2. Capturando el tráfico con wireshark 32

CONCLUSIONES 42
1. OBJETIVOS

Implementar un SIEM para detectar, responder y neutralizar amenazas informáticas.

Conocer el estado de los equipos en una determinada red..

2. DESCRIPCIÓN DEL PROBLEMA

En la actualidad existen diversos programas maliciosos que amenazan con arrebatar o

manipular la información de las empresas o instituciones, ante esto es de vital importancia
establecer medidas preventivas y reactivas que permitan responder ante un ataque cibernético
dirigido, por lo cual la práctica de implementación de un SIEM (Security Information and
Event Management) en empresas que manejen información sensible se ha vuelto casi
obligatoria.

Ante esta constante necesidad, el equipo de trabajo se propuso elaborar un SIEM que permita
a las empresas detectar y neutralizar posibles amenazas de seguridad de manera rápida y
segura.

3. MARCO TEÓRICO

Wazuh

Wazuh es un sistema de detección de intrusos basado en host de código abierto y libre

(HIDS). Realiza análisis de registro, comprobación de integridad, supervisión del registro de
Windows, detección de rootkits, alertas basadas en el tiempo y respuesta activa. Proporciona
detección de intrusiones para la mayoría de los sistemas operativos, incluyendo Linux, AIX,
HP-UX, macOS, Solaris y Windows. Wazuh tiene una arquitectura centralizada y
multiplataforma que permite que múltiples sistemas sean fácilmente monitoreados y
administrados.
Componentes de software

Los principales componentes de Wazuh son el agente, el servidor y Elastic Stack.

El agente ligero de Wazuh está diseñado para realizar una serie de tareas con el objetivo de
detectar amenazas y, cuando sea necesario, activar respuestas automáticas. Puede funcionar en
diversas plataformas, incluyendo Windows, Linux, macOS, AIX, Solaris y HP-UX. Estos
agentes pueden ser configurados y administrados desde el servidor de Wazuh.

El servidor de Wazuh se encarga de analizar los datos recibidos de los agentes, procesar los
eventos a través de decodificadores y reglas, y utilizar la inteligencia de amenazas para buscar
los conocidos IOC (Indicadores de Compromiso). Un solo servidor Wazuh puede analizar los
datos de cientos o miles de agentes, y escalar de manera horizontal cuando se configura en
modo cluster.

El servidor también se utiliza para gestionar los agentes, configurándose y actualizándose a

distancia cuando sea necesario. Además, el servidor es capaz de enviar órdenes a los agentes,
por ejemplo, para activar una respuesta cuando se detecta una amenaza.

Las alertas generadas por Wazuh son enviadas a Elasticsearch, donde son indexadas y
almacenadas. El plugin Wazuh Kibana proporciona una potente interfaz de usuario para la
visualización y el análisis de datos, que también puede utilizarse para gestionar y supervisar la
configuración y el estado de los agentes.

La interfaz de usuario de la web de Wazuh incluye tableros listos para usar para el
cumplimiento de la normativa (por ejemplo, PCI DSS, GDPR, CIS), aplicaciones vulnerables
detectadas, supervisión de la integridad de los archivos, evaluación de la configuración,
eventos de seguridad, supervisión de la infraestructura de la nube y otros.
4. DESARROLLO

4.1. Instalación del sistema operativo Ubuntu y Wazuh

Primeramente para evitar errores al instalar el siem Wazuh, es recomendable instalar el siem
por medio de comandos en un sistema operativo base. Para la presente práctica de laboratorio
se tomará como sistema operativo base a ubuntu, tal como se ve en la imagen.

Como siguiente paso se debe buscar información sobre los requerimientos del sistema y
dependencias necesarias para su instalación, debido a que los requisitos mínimos para este
tipo de implementación son 4 GB de RAM y 2 núcleos de CPU, y los recomendados son 16
GB de RAM y 8 núcleos de CPU.

El tipo de instalación elegida para la instalación es el de “instalación desatendida”. Para ello

accedemos al sistema operativo ubuntu, en la consola con permisos de superusuario
ejecutamos:

“# curl -so ~/unattended-installation.sh

https://packages.wazuh.com/resources/4.2/opendistro/unattended-installation/unattended-inst
allation.sh && bash ~/unattended-installation.sh “

El script realiza una verificación de estado para asegurarse de que el host tenga suficientes
recursos para garantizar un rendimiento adecuado.
Después de ejecutar el script, la salida son todas las contraseñas de usuarios para las
aplicaciones de wazu acompañadas de un mensaje el cual confirma que la instalación se
realizó correctamente.

Con esta información ya es posible utilizar la plataforma web:

Para utilizar la plataforma de wazuh se debe acceder a la ip del servidor y colocar las
credenciales obtenidas al instalar el siem.

4.2. Instalación de servidores, servicios y agentes de monitoreo para el SIEM

4.2.1. Sistemas operativos instalados

Para la instalación de máquinas agente se logró instalar:

● 1 Servidor de aplicaciones en CentOS 7

● 3 Servidor windows server 2019

● 4 Máquinas con sistema operativo windows 10

● 1 Maquina con sistema operativo windows 11

A continuación se muestran capturas de pantalla de los sistemas operativos y

servicios implementados para los servidores.

xxx capturas de sistemas operativos xxx

 1. Sistema operativo Linux (centOS 7)

Se procede a visualizar la interfaz inicial y seleccionar la primera opción:

❖ Luego se elige el lenguaje y país

❖ A continuación se configura el modo de particionamiento del

almacenamiento, configuración de red y cambio de nombre:
❖ Finalmente se procede a poner una contraseña para el root y también
se puede ingresar usuarios. Luego, sereiniciará para iniciar ya con el
SO instalado y a continuación se instalará los servicios de Servidor
de Aplicaciones y DBMS.
❖ A continuacion Instalamos y configuramos el Servidor de
Aplicaciones Web con Linux en Centos 7: Lo primero que se hace es
instalar todo el software que se necesita: httpd, net-tools, php y
mariadb-server.

❖ Luego ponemos en marcha el httpd y mariadb y probamos con los

siguientes comandos para ver que procesos se están ejecutando en la
red.
❖ Como podemos ver en la imagen, en el puerto 80 está el httpd, en el
puerto 3306 está la base de datos mysql mariadb. Luego se crea el
test.php; esto se hace con el objetivo de que el php esté funcionando.

❖ Y al momento de darle la dirección IP en el buscador Firefox del

servidor, nos sale la base de datos instalada.
❖ Luego de esto, podemos instalar aplicaciones tipo Joonla, pero primero
descargamos en archivo zip Joonla, con los siguientes comandos.
❖ Procedemos a descomprimir el archivo Joomla.

❖ En la siguiente imagen se muestra el Joomla descomprimido en un

directorio llamado blogger.

❖ Se muestra en el servidor web todos los procesos que se ejecutan

identificando quien es el usuario y que permisos tiene.
❖ Entonces ahora podemos ver en el buscador Firefox todo lo instalado
Joomla por que apache tiene todos los permisos.

Y ahora ya estamos en el instalador y configuración de Joomla.

❖ Ahora hacemos la configuración para hacer un sitio web.

❖ Ahora mediante comandos creamos usuario, creamos base de datos y
unimos usuario y base de datos.

❖ Ahora ingresamos los valores en el sitio web Joomla.

❖ Podemos ver toda la configuración del blogger php, el usuario, la

base de datos que hemos creado podemos verlo.
 ❖ Y ahora podemos ver como la instalación y configuración Joomla
funciona correctamente.

2. Sistema operativo windows server

❖ Instalamos windows server de la siguiente manera:

❖ Al terminar carga la intefaz deWindows Server, luego se inicia como
administrador.

❖ Se abre el Manager y se cambia el nombre del servidor en primer

lugar:
 ❖ Luego se instala los roles DNS, IIS en el servidor quedando asi:

❖ Luego se instala mySQL y crea una base de datos para la

herramienta WORDPRESS que utilizaremos para crear nuestro sitio
web:
❖ A continuación descargaremos la extensión IIS para obtener la
version 8.0 de PHP :
❖ Se verifica que la configuración apunte a la documentación ingresada
instalada.
❖ Se creael archivo PHP para obtener la información:

❖ Se comprueba si el servidor ya tiene salida desde otra maquina:

❖ Se comprueba si se tiene acceso al archivo phpinfo.php:

❖ Luego se descarga el comprimido de WORDPRESS y se extrae en la

carpeta de wwwroot donde se procede a modificar los datos PHP con
los datos instalados en la consola cliente al crear la base de datos
wordpress. Y al mostrarse en cualquier navegador ya podemos
observar nuestro sitio web.
3. Maquinas windows

● Windows 10-1

● Windows 10-2

● Windows 11
4.2.2. Instalación de agentes wazuh

El agente se ejecuta en el host que desea monitorear y se comunica con el

administrador de Wazuh, enviando datos casi en tiempo real a través de un canal
encriptado y autenticado.

Instalación para sistemas operativos windows

● Paso 1: Instalar el instalador en Windows .

● Paso 2: Ejecutar el ejecutable para verse gráficamente en la interfaz de
Windows:

Al iniciar el agente aparecerá la siguiente interfaz, en la que se deberá

establecer la ip del servidor y colocar las credenciales.
 Pero para que se pueda ejecutar es necesario ejecutar en la terminal el
siguiente comando: NET START WazuhSvc

Instalación del agente de wazuh para CentOS 7 (Con Servidor

de Aplicaciones):

Importar la clave GPG:

rpm --import https://packages.wazuh.com/key/GPG-KEY-WAZUH

Agrega el repositorio:

cat > /etc/yum.repos.d/wazuh.repo << EOF

[wazuh]
gpgcheck=1
gpgkey=https://packages.wazuh.com/key/GPG-KEY-WAZUH
enabled=1
name=EL-\$releasever - Wazuh
baseurl=https://packages.wazuh.com/4.x/yum/
protect=1
EOF

A continuación se digita el comando con la IP del administrador:

WAZUH_MANAGER="10.0.0.2" yum install wazuh-agent

Siguiente se habilita los agentes de servicio de wazuh con los comandos:

#systemctl daemon-reload
# systemctl enable wazuh-agent
# systemctl start wazuh-agent
Y se elimina el repositorio para posibles actualizaciones y
desaestabilizaciones; con el siguiente comando: #sed -i
"s/^enabled=1/enabled=0/" /etc/yum.repos.d/wazuh.repo
4.3. Monitorizando sistemas

Para acceder a la plataforma de wazuh colocamos la ip del servidor e iniciamos sesión.

Dashboard wazuh

Agentes wazuh
Vista de eventos
Auditando los equipos agente

Seleccionando un agente

Visualizando alertas de seguridad para los equipos

4.4. Ataque

4.4.1. ARP Poison

Para probar el ataque se realizó un envenenamiento ARP por medio de la herramienta

Ettercap de kali linux, el ataque consiste en configurar las tablas ARP, de modo que la
máquina atacante quede intermediaria entre la conexión de la maquina victima con el router.

Se configuró la interfaz de red para ettercap y se inició el sniffer.

Se seleccionan los objetivos e inicia el envenenamiento de ARP (ARP Poison)

4.4.2. Capturando el tráfico con wireshark

Abrimos la aplicación wireshark desde kali linux, seleccionamos la interfaz de red y

analizamos el tráfico.
5. CONCLUSIONES

La implementación del SIEM nos permitirá detectar amenazas de seguridad, asegurando así
una respuesta eficaz que minimice los daños generados a los dispositivos.