Maestría en Ciberseguridad

Módulo
Monitoreo y Gestión de Eventos

Caso Práctico Final

Grupo 7

Integrantes
Alejandro Sebastián Moreno Escobar
Kleber Roberto Alvarado Manzur
José Luis Soto Alcívar
William René Chiluisa Chasi
ÍNDICE
1. Objetivos

 Realizar un estudio para elaborar y sustentar un informe técnico que contenga las acciones
desarrolladas por un equipo de Blue Team.
 Contextualizar el espacio de trabajo donde se desarrolló todo el ejercicio de monitoreo y
gestión de datos
 Plantear recomendaciones que deben seguirse para proteger al sistema auditado con base
en los resultados obtenidos.

2. Alcance
Para las pruebas realizadas en modalidad Purple Team, en las cuales se ejecutarán pruebas de
intrusión y en paralelo se monitoreará dicha actividad mediante la generación de alertas en una
plataforma SIEM, se utilizarán tres maquinas virtuales listadas a continuación:
· Máquina atacante Kali Linux 2023.2
· SIEM Wazuh implementado sobre Debian 12.1.0
· Maquina víctima Debian 12.1.0
· Máquina víctima Ubuntu 8.0.4

3. Desarollo

3.1. Descripción de la plataforma SIEM Wazuh

Wazuh es una plataforma de seguridad de código abierto especializada en el monitoreo, detección y
respuesta a amenazas de seguridad en tiempo real en toda la infraestructura de TI de una
organización.

Wazuh integra varias capacidades muy importantes como la gestión de logs, la detección de
intrusiones y la gestión de eventos e información de seguridad (SIEM),

Las caracterpisticas principales de Wazuh son las siguientes:

· Detección y respuesta a amenazas en tiempo real: Posee altas capacidades para detectar
incidentes de seguridad en tiempo real. Monitoriza activamente los datos de registro, los
eventos del sistema y el tráfico de red, aprovechando una combinación de reglas,
decodificadores e integración con herramientas de seguridad para identificar posibles
amenazas.
· Escalabilidad y flexibilidad: La arquitectura de Wazuh está diseñada para ser escalable, lo
que la hace adecuada tanto para pequeñas como grandes empresas. Admite
implementaciones distribuidas y puede manejar fácilmente un gran volumen de datos de
registro generados por numerosos dispositivos.
· Sistema de detección de intrusiones en el host: Wazuh tiene capacidades de HIDS
heredadas de su predecesor, OSSEC. HIDS implica monitorear y analizar los aspectos
internos de un sistema para identificar actividades sospechosas, intentos de acceso no
autorizados y posibles violaciones de seguridad. El agente HIDS se instala en cada sistema y
recopila datos relacionados con la integridad de los archivos, la configuración del sistema, la
actividad del usuario y mucho más.
· Detección y evaluación de vulnerabilidades: Wazuh incorpora capacidades de detección
de vulnerabilidades. La plataforma aprovecha la Base de Datos Nacional de Vulnerabilidades
(NVD) y otras fuentes para identificar vulnerabilidades conocidas que afectan a los sistemas
monitoreados.
La plataforma SIEM Wazuh consta de 3 elementos como se puede ver en la siguiente imagen:

Figura 01. Componentes de Wazuh

· Wazuh Server: Analiza los datos recibidos de los agentes, los procesa a través de
decodificadores y reglas, y usa inteligencia de amenazas para buscar indicadores de
compromiso (IOC) conocidos. El servidor también se utiliza para administrar los agentes,
configurándolos y actualizándolos de forma remota cuando sea necesario. El servidor está
compuesto por los siguientes módulos:
ü Wazuh Manager: Es el componente central que recopila y analiza los datos
recopilados por los agentes HIDS. El Manager realiza el análisis de seguridad y
genera alertas.
ü Wazuh API: Proporciona una interfaz web y una API REST para acceder y gestionar
los datos y alertas generadas por Wazuh.
ü Filebeat: Encargado de recolectar y enviar logs de eventos de seguridad y actividad
del sistema desde diferentes fuentes, como archivos de registro y otros, hacia el
sistema central de Wazuh para su análisis y detección de amenazas.
· Elastic stack: Indexa y almacena alertas generadas por el servidor Wazuh. Esta interfaz
también se usa para administrar la configuración de Wazuh y monitorear su estado.Elastic
stack está compuesto por los siguientes módulos
ü Elasticsearch: Wazuh utiliza Elasticsearch como motor de búsqueda y
almacenamiento de datos.
ü Kibana: Es la interfaz de usuario para visualizar y analizar los datos almacenados en
Elasticsearch. Permite crear paneles, gráficos y realizar búsquedas en los datos.
ü Wazuh App: Es una interfaz web que permite visualizar y analizar los eventos de
seguridad detectados por Wazuh, proporcionando paneles interactivos, consultas y
gráficos para monitorear y gestionar la seguridad de sistemas y redes de manera
eficiente.
· Agente: Proporciona capacidades de prevención, detección y respuesta. Es compatible con
las plataformas Windows, Linux, MacOS, HP-UX, Solaris y AIX.

3.2. Topología de red implementado

El espacio de trabajo está formado por cuatro máquinas virtuales listadas en las tabla 01 y la
topología de red utilizada se muestra en la figura 02.
 Tabla 01. Listado de máquinas a utilizar

No Dirección IP S.O. Funcionalidad

1 172.164.44.164 Debian 12.1.0 Máquina víctima
2 172.164.44.165 Ubuntu 8.0.4 Máquina víctima
3 172.164.44.163 Debian 12.1.0 Server con Wazuh 4.5.0
4 172.164.44.134 Kali Linux 2023.2 Máquina atacante

Figura 02. Arquitectura de red

3.3. Repositorios utilizados

Las imágenes de los sistemas operativos así como los aplicativos y herramientas utilizados en el
entorno de trabajo, se listan a continuación.

Tabla 02. Origen de las herramientas utilizadas

No Componente Fuente
Imagen Metasploitable2 –
1 https://sourceforge.net/projects/metasploitable/files/latest/download
Ubuntu 8.0.4
https://cdimage.debian.org/debian-cd/current/amd64/iso-cd/debian-12.1.0-
2 Imagen Debian 12.1.0
amd64-netinst.iso

3 Imagen Kali Linux 2023.2 https://cdimage.kali.org/kali-2023.2/kali-linux-2023.2-vmware-amd64.7z

4 ELK stack Key https://artifacts.elastic.co/GPG-KEY-elasticsearch

5 ELK Libraries https://artifacts.elastic.co/packages/7.x/apt
6 Wazuh Libraries https://packages.wazuh.com/4.x/apt
7 Kibana Plugin for Wazuh https://packages.wazuh.com/4.x/ui/kibana/wazuh_kibana-4.0.3_7.9.3-1.zip

8 Filebeat Wazuh Module https://packages.wazuh.com/4.x/filebeat/wazuh-filebeat-0.1.tar.gz

https://packages.wazuh.com/4.x/alpine/v3.12/main/x86_64/wazuh-agent-
9 Wazuh-agent 4.5.0
4.5.0-r1.apk
3.4. Instalación de la plataforma Wazuh
A continuación se describe cómo instalar Wazuh con integración Elastic Stack sobre un servidor con
sistema operativo Debian 12 previamente montado.

Paso 1: Instalar las dependencias necesarias

Para instalar Wazuh manager con ELK en Debian 12, se debe comenzar configurando el Elastic
Stack; Kibana, Elasticsearch y Filebeat. Por lo que primero es necesario instalar las dependencias
necesarias a través de la ejecución del siguiente comando con privilegios de administrador:
· apt install curl apt-transport-https unzip wget libcap2-bin software-properties-common
lsb-release gnupg2

Figura 03. Instalación de dependencias

Paso 2: Instalar el Elastic Stack en Debian

Se ejecuta los siguientes comandos para agregar la clave de pila ELK y el repositorio
· wget -qO - https://artifacts.elastic.co/GPG-KEY-elasticsearch \
| sudo gpg --dearmor -o /etc/apt/trusted.gpg.d/elastic.gpg

Figura 04. Descarga de la clave de pila

· echo "deb https://artifacts.elastic.co/packages/7.x/apt stable main" \

> /etc/apt/sources.list.d/elastic-7.x.list

Figura 05. Descarga del Elastic Stack

Paos 3: Instalar Elasticsearch 7.17.9 en Debian 12

A continuación se instala Elasticsearch mediante el siguiente comando:
· apt install elasticsearch=7.17.9

Figura 06. Instalación de Elasticsearch

Paso 4: Configurar Elasticsearch

Se inicia y habilita Elasticsearch para que se ejecute en el arranque del sistema a través del siguiente
comando:
· systemctl enable --now elasticsearch

Figura 07. Iniciar y habilitar Elasticsearch

Paso 5: Instalar y configurar Kibana 7.17.9 en Debian 12

Se procede a instalar el módulo Kibana mediante el siguiente comando:
· apt install kibana=7.17.9

Figura 08. Instalación de kibana

Ahora se configura la dirección IP del servidor Kibana para permitir el acceso externo. Por lo general,
solo escucha en la interfaz de bucle invertido. Para esto se utiliza el siguiente comando:
· sed -i '/server.host:/s/^#//;s/localhost/171.16.44.163/' /etc/kibana/kibana.yml

Figura 09. Configuración de IP en Kibana

Para terminar con kibana se inicia y habilita Kibana para que se ejecute en el arranque del sistema
mediante el siguiente comando.
· systemctl enable --now kibana

Figura 10. Inicio y habilitado de Kibana

Paso 6: Instalar y habilitar Filebeat en Debian 12

Filebeat es necesario para reenviar las alertas del administrador de Wazuh y los eventos archivados
a Elasticsearch. Se instala la versión 7.17.9 de filebeat utilizando el siguiente comando
· apt install filebeat=7.17.9 -y
 Figura 11. Instalación de filebeat 7.17.9

A continuación se habilita el servicio filebeat a través del siguiente comando

· systemctl enable filebeat

Figura 12. Inicio y habilitado de Filebeat

Paso 7:Instalar Wazuh en Debian 12

Se linstalar la clave GPG Wazuh a través de los siguientes comandos
· curl -s https://packages.wazuh.com/key/GPG-KEY-WAZUH | \
gpg --dearmor > /etc/apt/trusted.gpg.d/wazuh.gpg

Figura 13. Instalación de la clave GPG de Wazuh

A continuación se instalan todos los paquetes de Wazuh mediante los siguientes comandos:
· echo "deb https://packages.wazuh.com/4.x/apt stable main" >
/etc/apt/sources.list.d/wazuh.list

Figura 14. Instalación de librerías de Wazuh

Se continúa con la instalación de Wazuh manager en Debian 12 utilizando los siguientes comandos
· apt install wazuh-manager
 Figura 15. Instalación de Wazuh manager

Una vez completada la instalación,se inicia y habilita Wazuh-manager para que se ejecute en el
arranque del sistema
· systemctl enable --now wazuh-manager

Figura 16. Inicio y habilitado de Wazuh manager

Paso 8: Instalar el plugin Wazuh Manager Kibana App

Para instalar Wazuh manager/server Kibana App, primero se establece de los directorios de kibana
de la siguiente manera;
· mkdir /usr/share/kibana/plugins
· chown -R kibana: /usr/share/kibana/plugins
· systemctl restart kibana

Figura 17. Configuración de directorios de kibana

Paso 9: Configurar Filebeat para Wazuh Manager

Se realiza una copia de seguridad del archivo de configuración predeterminado y se lo reemplaza con
las siguientes configuraciones.
 Figura 18. Configuración de Filebeat para Wazuh Manager

Se debe instalar el módulo Filebeat Wazuh utilizando el siguiente comando:

· wget -qO- https://packages.wazuh.com/4.x/filebeat/wazuh-filebeat-0.2.tar.gz \
| tar -xz -C /usr/share/filebeat/module/

Posteriormente se descargua e instala la plantilla de Elasticsearch de alertas de Wazuh mediante los siguientes
comandos;
· wget -O /etc/filebeat/wazuh-template.json \
https://raw.githubusercontent.com/wazuh/wazuh/4.4/extensions/elasticsearch/7.x/wazuh-template.json
· chmod go+r /etc/filebeat/wazuh-template.json

Finalmente se prueba la configuración de Filebeat a través del siguiente comando:

· filebeat test config
 Figura 19. Instalación de Filebeat para Wazuh

Paso 10: Habilitar el registro de syslog en Debian 12

En los sistemas Debian más actuales rsyslog se ha hecho opcional y, por lo tanto, no se instala de
forma predeterminada, por lo tanto se procede a la instalación de rsyslog con los siguientes
comandos
· apt install rsyslog

Figura 20. Instalación de Rsyslog

Una vez completada la instalación, se inicia y habilita rsyslog para que se ejecute en el arranque del
sistema. Adicionalmente para evitar el almacenamiento de registros dobles en el sistema, se elimina
el directorio de registro de Journald
· systemctl enable --now rsyslog
· rm -rf /var/log/journal
· systemctl restart systemd-journald

Figura 21. Inicializar rsyslog y remover journald

A continuación, se configura Wazuh-manager para incluir sus registros de Syslog en su a través del
siguiente comando:
· vim /var/ossec/etc/ossec.conf
Se agrega las siguientes líneas entre el <ossec_config></ossec_config>
<localfile>
<log_format>syslog</log_format>
<location>/var/log/syslog</location>
</localfile>
<localfile>
<log_format>syslog</log_format>
<location>/var/log/auth.log</location>
</localfile>

Figura 22. Configuración de OSSEC para monitorear syslog y auth.log

Finalmente, con todo configurado, se reinicia Kibana, Elasticsearch, Filebeat y Wazuh-manager

utilizando el siguiente comando
· systemctl restart elasticsearch kibana filebeat wazuh-manager

Una vez realizados todos los pasos descritos anteriormente ya se puede acceder a la plataforma
SIEM Wazuh, tanto por SSH como por HTTPS
 Figura 23. Acceso a Wazuh por HTTPS

3.5. Integración activos y recopílación de logs en Wazuh

En Wazuh SIEM, hay tres formas de recopilar logs para la detección de amenazas, estas son:
mediante agente, por syslog y con API REST.

En este trabajo se ha realizado una integración de activos a través agente Wazuh. Estos agentes
tienen la capacidad de recopilar logs y eventos locales del sistema y enviarlos al servidor central de
Wazuh para su análisis y detección de amenazas. El funcionamiento de la recopilación de logs por
medio de agente se resume de la siguiente manera:
· Envío de Datos al Servidor Wazuh:}
ü El agente envía los logs y eventos recopilados al servidor Wazuh a través de
conexiones seguras.
ü Los datos se transmiten en tiempo real o en intervalos programados, según la
configuración del agente.
· Recepción y Procesamiento en el Servidor Wazuh:
ü En el servidor Wazuh, los datos recibidos de los agentes se procesan y almacenan
en una base de datos central.
ü Wazuh normaliza y enriquece los eventos, lo que significa que los eventos de
diferentes sistemas se formatean de manera coherente y se les agrega información
adicional para un análisis más completo.
· Detección de Amenazas:
ü Wazuh SIEM utiliza reglas predefinidas y personalizadas para analizar los eventos
recopilados y detectar patrones de comportamiento sospechoso o malicioso.
ü Cuando una regla detecta una posible amenaza, se genera una alerta que se envía
al equipo de seguridad para su revisión y acción.

A continuación, se decribe el procedimiento de obtención e instalación del agente wazuh en las

máquinas que se desea monitorizar

Para obtener el agente wazuh se sigue la siguiente secuencia de pasos dentro de la consola:
· Ir a Wazuh > Agents y haga clic en Deploy new agent (Implementar nuevo agente).
 Figura 24. Despliegue de nuevo agente

A continuación, el panel de Wazuh muestra la información que se debe llenar para implementar un
nuevo agente. En este caso se implementará un agente para una máquina con sistema operativo
Ubuntu
 Figura 25. Ingreso de parámetros para el agente

Wazuh genera una secuencia de comandos que debe ejecutarse en la máquina a monitorizar para
proseguir con la instalación del agente. En este caso los comandos generados son:
· curl -so wazuh-agent.deb https://packages.wazuh.com/4.x/apt/pool/main/w/wazuh-
agent/wazuh-agent_4.5.0-1_amd64.deb && sudo WAZUH_MANAGER='172.164.44.163'
WAZUH_AGENT_GROUP='default' WAZUH_AGENT_NAME='Endpoint1' dpkg -i
./wazuh-agent.deb
Una vez instalado el agente se lo inicia utilizando el siguiente comando:
· service wazuh-agent start

Figura 26. Inicialización del agente en la máquina Ubuntu

Finalmente se observa que la consola Wazuh ya registra las comunicaciones con el nuevo agente,
por lo que ya se encuentra monitorizada la máquina

Figura 27. Agente activo en la consola

3.6. Directorios y archivos de Logs

Dentro del entorno del SIEM Wazuh, se generan una serie de registros y archivos que desempeñan
un papel esencial en el monitoreo y la detección de amenazas. Estos registros, almacenados en
ubicaciones específicas del sistema, proporcionan información crítica sobre el funcionamiento, las
alertas y la configuración del sistema.

A continuación se resumen los direcotrios y archivos de logs más relevantes que deben revisarse
antes, durante y después de la implementaciónd e Wazuh

· Directorio "/var/log/":
Este directorio es esencial en sistemas Unix/Linux porque se almacenan los registros generados por
servicios y aplicaciones del sistema. Los archivos aquí almacenados contienen información sobre la
actividad del sistema, errores y advertencias. Durante la implementación de Wazuh, el análisis de los
registros en este directorio es fundamental para comprender la salud.
 Figura 28. Contenido del directorio /var/log

· Directorio "/var/ossec/logs":
Este directorio almacena los registros generados por el sistema Wazuh, incluyendo alertas de
seguridad, registros de agentes y eventos relacionados con la seguridad. Durante la implementación
y operación continua de Wazuh, el monitoreo de los registros en este directorio es vital para la
detección y respuesta a incidentes, proporcionando insights sobre amenazas y vulnerabilidades en
tiempo real.

Figura 29. Contenido del directorio /var/ossec/log

· Archivos “/var/ossec/logs/ossec.log”:
Este archivo es el repositorio de los registros generales del sistema Wazuh. Aquí se registran
eventos importantes como el inicio y el cierre del sistema, cambios en la configuración y actividad de
los agentes. Su contenido es esencial para comprender la salud general del sistema y diagnosticar
cualquier problema en el entorno durante y después de la implementación de Wazuh.

Figura 30. Contenido del archivo /var/ossec/log/ossec.log

· Archivo /var/ossec/logs/alerts/alerts.json:
Registra detalladamente las alertas generadas por las reglas de correlación que hayan sido activadas
en el sistema. Cada alerta incluye información relevante sobre el evento detectado, como la fuente de
los logs, el tipo de ataque o actividad sospechosa, la fecha y hora, y otros detalles específicos. Estos
registros son fundamentales para el análisis y la respuesta a incidentes, ya que permiten rastrear y
entender el contexto de las amenazas detectadas.

Figura 31. Contenido del archivo /var/ossec/log/alerts/alerts.json

3.7. Reglas de detección en Wazuh

Las reglas de detección en Wazuh son patrones predefinidos o personalizados que permiten
identificar comportamientos inusuales en los logs recopilados. Estas reglas actúan como criterios de
búsqueda que comparan los eventos con patrones específicos y generan alertas cuando se
encuentra una coincidencia.
A continuación se detallan las reglas de detección más relevantes utilizadas en este trabajo:

Tabla 03. Detalle de reglas de detección utilizado

No Nombre Descripción Rule ID

Detecta la presencia del siguiente patrón:

1 SQL injection attempt. =%27|select%2B|insert%2B|%2Bfrom%2B|%2Bwhere 31164
%2B|%2Bunion%2B

Connection to rshd from

Detecta la presencia del siguiente patrón:
2 unprivileged port. Possible 2551
^Connection from \S+ on illegal port$
network scan.
Detecta la presencia del siguiente patrón:
3 Web server 400 error code 31101
^4

vsftpd: Login failed Detecta la presencia del siguiente patrón:

4 11403
accessing the FTP server FAIL LOGIN:

Detecta la presencia del siguiente patrón:

vsftpd: FTP brute force
5 FAIL LOGIN: 11451
(multiple failed logins)
Frequency: 8 Timeframe:120
Detecta la presencia del siguiente patrón:
6 PAM: User login failed 5503
authentication failure; logname=
Detecta la presencia del siguiente patrón:
PAM: Multiple failed logins
7 authentication failure; logname= 5551
in a small period of time
Frequency: 8 Timeframe:180
A web attack returned code Detecta la presencia del siguiente patrón:
8 31106
200 (success) ^200
 Detecta la presencia del siguiente patrón:
FAILED LOGIN |authentication failure|Authentication
failed for|invalid password for|LOGIN FAILURE|auth
9 User authentication failure 2501
failure: |authentication error|authinternal failed|Failed to
authorize|Wrong password given for|login failed|Auth:
Login incorrect|Failed to authenticate user
Remote host established a Detecta la presencia del siguiente patrón:
10 5602
telnet connection connected from
Detecta la presencia del siguiente patrón:
^apache$|^mysql$|^www$|^nobody$|^nogroup$|
System user successfully ^portmap$|^named$|^rpc$|^mail$|^ftp$|^shutdown$|
11 40101
logged to the system ^halt$|^daemon$|^bin$|^postfix$|^shell$|^info$|
^guest$|^psql$|^user$|^users$|^console$|^uucp$|^lp$|
^sync$|^sshd$|^cdrom$|^ossec$
Detecta la presencia del siguiente patrón:
12 FTP session opened 11401
CONNECT: Client
Rejected by access list
Detecta la presencia del siguiente patrón:
13 (Requested action not 3302
^550$
taken)
Multiple attempts to send e-
Detecta la presencia del siguiente patrón:
14 mail from a rejected sender 3352
Frequency: $POSTFIX_FREQ Timeframe: 120
IP (access)
PHP CGI-bin vulnerability Detecta la presencia del siguiente patró n:
15 31110
attempt. ?-d|?-s|?-a|?-b|?-w

3.8. Resumen de ataques y alertas

1) Blind SQL Injection
Origen: 172.164.44.134
Destino: 172.164.44.165
Puerto destino: 80

Figura 32. Ataque de SQL ejecutado sobre 172.164.44.165

 Figura 33. Alerta de SQL asociada 172.164.44.165

2) Escaneo de puertos
Origen: 172.164.44.134
Destino: 172.164.44.165
Puerto destino: 1 a 65535

Figura 34. Escaneo de puertos sobre 172.164.44.165

Figura 35. Alerta de escaneo sobre 172.164.44.165

3) Ataque de fuerza bruta

Origen: 172.164.44.134
Destino: 172.164.44.165
Puerto destino: 21
 Figura 36. Ataque de fuerza bruta sobre el servicio ftp

Figura 37. Alerta de fuerza bruta sobre 172.164.44.165

4) Ataque del tipo Acceso - Inicial Web Attack

Origen: 172.164.44.134
Destino: 172.164.44.165
Puerto destino: 80

Figura 38. Ataque Web sobre 172.164.44.165

 Figura 39. Alerta de Ataque Web sobre 172.164.44.165

5) Ataque de descubrimiento de WAF

Origen: 172.164.44.134
Destino: 172.164.44.165
Puerto destino: 80

Figura 40. Ataque de descubrimiento de WAF

 Figura 41. Alerta generada por el ataque WAFWOOF

6) Conexión anónima por FTP

Origen: 172.164.44.134
Destino: 172.164.44.165
Puerto destino: 22

Figura 42. Altaque de acceso anónimo a FTP

 Figura 43. Alerta generada al abrirse una sesión FTP

7) Ataque de enumeración de usuarios de correo

Origen: 172.164.44.134
Destino: 172.164.44.165
Puerto destino: 25

Figura 44. Ataque de enumeracion de usuarios de correo

 Figura 45. Alerta del acceso a lista en Postfix

8) Explotación de vulnerabilidad de PHP

Origen: 172.164.44.134
Destino: 172.164.44.165
Puerto destino: 80

Figura 46. Explotación de vulnerabilidad de php

 Figura 47. Alerta de explotación de vulnerabilidad PHP.

9) Ataque CRLF Injection

Origen: 172.164.44.134
Destino: 172.164.44.165
Puerto destino: 80

Figura 48. Ataque de CRLF Injection

 Figura 49. Alerta del taque de CRLF Injection soobre 172.164.44.165

4. Conclusiones
· Se ha instalado la plataforma SIEM Wazuh con ELK Stack sobre un servidor hardenizado con
sistema operativo Debian 12. Si bien en la documentación oficial de Wazuh se establece
como requerimiento una versión de Debian igual a 11, esto no ha representado
inconvenientes en la instalación y operación de Wazuh
· Se ha definido un entorno de trabajo que consta de una máquina atacante Kali Linux, dos
estaciones a monitorizar con sistemas operativos Debian 12 y Ubuntu 8.0.4 y la plataforma
SIEM Wazuh
· La recopilación de logs utilizada fue a través de agente-wazuh. La secuencia de comandos
utilizados para instalar y configurar los agentes se obtiene fácilmente desde la consola
Wazuh simplemente introduciendo los datos de: sistema operativo y arquitectura de la
máquina que se desea monitorizar.
· Los ataques generados fueron detectados por Wazuh a través del rastreo de patrones y
parámetros específicos en las conexiones y códigos enviados hacia las máquinas víctima.

5. Recomendaciones
· Utilizar siempre imágenes y herramientas descargadas de las fuentes oficiales, para evitar
errores de instalación o funcionamiento y para evitar intrusiones por aplicativos que pudieran
haver sido inyectados con carga maliciosa
· Durante la implementación y funcionamiento de las máquinas virtuales, principalmente la
mpaquina de wazuh, es recomendable tomar snapshots antes de realizar algun cambio o
modificación considerbale en el sistema para que en caso de que la máquina resulte dañada,
se pueda retornar a una versión funcional previa.
· En caso de presentarse errores en el servidor Wazuh se debe revisar los logs generados en
los direcotrios /var/log y /var/ossec/logs para identificar y corregir los errores.

6. Fuentes:

· https://dotcommagazine.com/2023/07/wazuh-top-five-important-things-you-need-to-know/
· https://www.sysadminsdecuba.com/2022/02/servidor-wazuh-siem/
· https://tutorialesit.com/instalacion-y-configuracion-agentes-de-wazuh-en-windows-y-linux/
· https://techviewleo.com/how-to-install-wazuh-server-on-debian/