Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Módulo
Monitoreo y Gestión de Eventos
Grupo 7
Integrantes
Alejandro Sebastián Moreno Escobar
Kleber Roberto Alvarado Manzur
José Luis Soto Alcívar
William René Chiluisa Chasi
ÍNDICE
1. Objetivos
Realizar un estudio para elaborar y sustentar un informe técnico que contenga las acciones
desarrolladas por un equipo de Blue Team.
Contextualizar el espacio de trabajo donde se desarrolló todo el ejercicio de monitoreo y
gestión de datos
Plantear recomendaciones que deben seguirse para proteger al sistema auditado con base
en los resultados obtenidos.
2. Alcance
Para las pruebas realizadas en modalidad Purple Team, en las cuales se ejecutarán pruebas de
intrusión y en paralelo se monitoreará dicha actividad mediante la generación de alertas en una
plataforma SIEM, se utilizarán tres maquinas virtuales listadas a continuación:
· Máquina atacante Kali Linux 2023.2
· SIEM Wazuh implementado sobre Debian 12.1.0
· Maquina víctima Debian 12.1.0
· Máquina víctima Ubuntu 8.0.4
3. Desarollo
Wazuh integra varias capacidades muy importantes como la gestión de logs, la detección de
intrusiones y la gestión de eventos e información de seguridad (SIEM),
· Detección y respuesta a amenazas en tiempo real: Posee altas capacidades para detectar
incidentes de seguridad en tiempo real. Monitoriza activamente los datos de registro, los
eventos del sistema y el tráfico de red, aprovechando una combinación de reglas,
decodificadores e integración con herramientas de seguridad para identificar posibles
amenazas.
· Escalabilidad y flexibilidad: La arquitectura de Wazuh está diseñada para ser escalable, lo
que la hace adecuada tanto para pequeñas como grandes empresas. Admite
implementaciones distribuidas y puede manejar fácilmente un gran volumen de datos de
registro generados por numerosos dispositivos.
· Sistema de detección de intrusiones en el host: Wazuh tiene capacidades de HIDS
heredadas de su predecesor, OSSEC. HIDS implica monitorear y analizar los aspectos
internos de un sistema para identificar actividades sospechosas, intentos de acceso no
autorizados y posibles violaciones de seguridad. El agente HIDS se instala en cada sistema y
recopila datos relacionados con la integridad de los archivos, la configuración del sistema, la
actividad del usuario y mucho más.
· Detección y evaluación de vulnerabilidades: Wazuh incorpora capacidades de detección
de vulnerabilidades. La plataforma aprovecha la Base de Datos Nacional de Vulnerabilidades
(NVD) y otras fuentes para identificar vulnerabilidades conocidas que afectan a los sistemas
monitoreados.
La plataforma SIEM Wazuh consta de 3 elementos como se puede ver en la siguiente imagen:
· Wazuh Server: Analiza los datos recibidos de los agentes, los procesa a través de
decodificadores y reglas, y usa inteligencia de amenazas para buscar indicadores de
compromiso (IOC) conocidos. El servidor también se utiliza para administrar los agentes,
configurándolos y actualizándolos de forma remota cuando sea necesario. El servidor está
compuesto por los siguientes módulos:
ü Wazuh Manager: Es el componente central que recopila y analiza los datos
recopilados por los agentes HIDS. El Manager realiza el análisis de seguridad y
genera alertas.
ü Wazuh API: Proporciona una interfaz web y una API REST para acceder y gestionar
los datos y alertas generadas por Wazuh.
ü Filebeat: Encargado de recolectar y enviar logs de eventos de seguridad y actividad
del sistema desde diferentes fuentes, como archivos de registro y otros, hacia el
sistema central de Wazuh para su análisis y detección de amenazas.
· Elastic stack: Indexa y almacena alertas generadas por el servidor Wazuh. Esta interfaz
también se usa para administrar la configuración de Wazuh y monitorear su estado.Elastic
stack está compuesto por los siguientes módulos
ü Elasticsearch: Wazuh utiliza Elasticsearch como motor de búsqueda y
almacenamiento de datos.
ü Kibana: Es la interfaz de usuario para visualizar y analizar los datos almacenados en
Elasticsearch. Permite crear paneles, gráficos y realizar búsquedas en los datos.
ü Wazuh App: Es una interfaz web que permite visualizar y analizar los eventos de
seguridad detectados por Wazuh, proporcionando paneles interactivos, consultas y
gráficos para monitorear y gestionar la seguridad de sistemas y redes de manera
eficiente.
· Agente: Proporciona capacidades de prevención, detección y respuesta. Es compatible con
las plataformas Windows, Linux, MacOS, HP-UX, Solaris y AIX.
https://packages.wazuh.com/4.x/alpine/v3.12/main/x86_64/wazuh-agent-
9 Wazuh-agent 4.5.0
4.5.0-r1.apk
3.4. Instalación de la plataforma Wazuh
A continuación se describe cómo instalar Wazuh con integración Elastic Stack sobre un servidor con
sistema operativo Debian 12 previamente montado.
Ahora se configura la dirección IP del servidor Kibana para permitir el acceso externo. Por lo general,
solo escucha en la interfaz de bucle invertido. Para esto se utiliza el siguiente comando:
· sed -i '/server.host:/s/^#//;s/localhost/171.16.44.163/' /etc/kibana/kibana.yml
Para terminar con kibana se inicia y habilita Kibana para que se ejecute en el arranque del sistema
mediante el siguiente comando.
· systemctl enable --now kibana
A continuación se instalan todos los paquetes de Wazuh mediante los siguientes comandos:
· echo "deb https://packages.wazuh.com/4.x/apt stable main" >
/etc/apt/sources.list.d/wazuh.list
Se continúa con la instalación de Wazuh manager en Debian 12 utilizando los siguientes comandos
· apt install wazuh-manager
Figura 15. Instalación de Wazuh manager
Una vez completada la instalación,se inicia y habilita Wazuh-manager para que se ejecute en el
arranque del sistema
· systemctl enable --now wazuh-manager
Posteriormente se descargua e instala la plantilla de Elasticsearch de alertas de Wazuh mediante los siguientes
comandos;
· wget -O /etc/filebeat/wazuh-template.json \
https://raw.githubusercontent.com/wazuh/wazuh/4.4/extensions/elasticsearch/7.x/wazuh-template.json
· chmod go+r /etc/filebeat/wazuh-template.json
Una vez completada la instalación, se inicia y habilita rsyslog para que se ejecute en el arranque del
sistema. Adicionalmente para evitar el almacenamiento de registros dobles en el sistema, se elimina
el directorio de registro de Journald
· systemctl enable --now rsyslog
· rm -rf /var/log/journal
· systemctl restart systemd-journald
Una vez realizados todos los pasos descritos anteriormente ya se puede acceder a la plataforma
SIEM Wazuh, tanto por SSH como por HTTPS
Figura 23. Acceso a Wazuh por HTTPS
En este trabajo se ha realizado una integración de activos a través agente Wazuh. Estos agentes
tienen la capacidad de recopilar logs y eventos locales del sistema y enviarlos al servidor central de
Wazuh para su análisis y detección de amenazas. El funcionamiento de la recopilación de logs por
medio de agente se resume de la siguiente manera:
· Envío de Datos al Servidor Wazuh:}
ü El agente envía los logs y eventos recopilados al servidor Wazuh a través de
conexiones seguras.
ü Los datos se transmiten en tiempo real o en intervalos programados, según la
configuración del agente.
· Recepción y Procesamiento en el Servidor Wazuh:
ü En el servidor Wazuh, los datos recibidos de los agentes se procesan y almacenan
en una base de datos central.
ü Wazuh normaliza y enriquece los eventos, lo que significa que los eventos de
diferentes sistemas se formatean de manera coherente y se les agrega información
adicional para un análisis más completo.
· Detección de Amenazas:
ü Wazuh SIEM utiliza reglas predefinidas y personalizadas para analizar los eventos
recopilados y detectar patrones de comportamiento sospechoso o malicioso.
ü Cuando una regla detecta una posible amenaza, se genera una alerta que se envía
al equipo de seguridad para su revisión y acción.
Para obtener el agente wazuh se sigue la siguiente secuencia de pasos dentro de la consola:
· Ir a Wazuh > Agents y haga clic en Deploy new agent (Implementar nuevo agente).
Figura 24. Despliegue de nuevo agente
A continuación, el panel de Wazuh muestra la información que se debe llenar para implementar un
nuevo agente. En este caso se implementará un agente para una máquina con sistema operativo
Ubuntu
Figura 25. Ingreso de parámetros para el agente
Wazuh genera una secuencia de comandos que debe ejecutarse en la máquina a monitorizar para
proseguir con la instalación del agente. En este caso los comandos generados son:
· curl -so wazuh-agent.deb https://packages.wazuh.com/4.x/apt/pool/main/w/wazuh-
agent/wazuh-agent_4.5.0-1_amd64.deb && sudo WAZUH_MANAGER='172.164.44.163'
WAZUH_AGENT_GROUP='default' WAZUH_AGENT_NAME='Endpoint1' dpkg -i
./wazuh-agent.deb
Una vez instalado el agente se lo inicia utilizando el siguiente comando:
· service wazuh-agent start
Finalmente se observa que la consola Wazuh ya registra las comunicaciones con el nuevo agente,
por lo que ya se encuentra monitorizada la máquina
A continuación se resumen los direcotrios y archivos de logs más relevantes que deben revisarse
antes, durante y después de la implementaciónd e Wazuh
· Directorio "/var/log/":
Este directorio es esencial en sistemas Unix/Linux porque se almacenan los registros generados por
servicios y aplicaciones del sistema. Los archivos aquí almacenados contienen información sobre la
actividad del sistema, errores y advertencias. Durante la implementación de Wazuh, el análisis de los
registros en este directorio es fundamental para comprender la salud.
Figura 28. Contenido del directorio /var/log
· Directorio "/var/ossec/logs":
Este directorio almacena los registros generados por el sistema Wazuh, incluyendo alertas de
seguridad, registros de agentes y eventos relacionados con la seguridad. Durante la implementación
y operación continua de Wazuh, el monitoreo de los registros en este directorio es vital para la
detección y respuesta a incidentes, proporcionando insights sobre amenazas y vulnerabilidades en
tiempo real.
· Archivos “/var/ossec/logs/ossec.log”:
Este archivo es el repositorio de los registros generales del sistema Wazuh. Aquí se registran
eventos importantes como el inicio y el cierre del sistema, cambios en la configuración y actividad de
los agentes. Su contenido es esencial para comprender la salud general del sistema y diagnosticar
cualquier problema en el entorno durante y después de la implementación de Wazuh.
2) Escaneo de puertos
Origen: 172.164.44.134
Destino: 172.164.44.165
Puerto destino: 1 a 65535
4. Conclusiones
· Se ha instalado la plataforma SIEM Wazuh con ELK Stack sobre un servidor hardenizado con
sistema operativo Debian 12. Si bien en la documentación oficial de Wazuh se establece
como requerimiento una versión de Debian igual a 11, esto no ha representado
inconvenientes en la instalación y operación de Wazuh
· Se ha definido un entorno de trabajo que consta de una máquina atacante Kali Linux, dos
estaciones a monitorizar con sistemas operativos Debian 12 y Ubuntu 8.0.4 y la plataforma
SIEM Wazuh
· La recopilación de logs utilizada fue a través de agente-wazuh. La secuencia de comandos
utilizados para instalar y configurar los agentes se obtiene fácilmente desde la consola
Wazuh simplemente introduciendo los datos de: sistema operativo y arquitectura de la
máquina que se desea monitorizar.
· Los ataques generados fueron detectados por Wazuh a través del rastreo de patrones y
parámetros específicos en las conexiones y códigos enviados hacia las máquinas víctima.
5. Recomendaciones
· Utilizar siempre imágenes y herramientas descargadas de las fuentes oficiales, para evitar
errores de instalación o funcionamiento y para evitar intrusiones por aplicativos que pudieran
haver sido inyectados con carga maliciosa
· Durante la implementación y funcionamiento de las máquinas virtuales, principalmente la
mpaquina de wazuh, es recomendable tomar snapshots antes de realizar algun cambio o
modificación considerbale en el sistema para que en caso de que la máquina resulte dañada,
se pueda retornar a una versión funcional previa.
· En caso de presentarse errores en el servidor Wazuh se debe revisar los logs generados en
los direcotrios /var/log y /var/ossec/logs para identificar y corregir los errores.
6. Fuentes:
· https://dotcommagazine.com/2023/07/wazuh-top-five-important-things-you-need-to-know/
· https://www.sysadminsdecuba.com/2022/02/servidor-wazuh-siem/
· https://tutorialesit.com/instalacion-y-configuracion-agentes-de-wazuh-en-windows-y-linux/
· https://techviewleo.com/how-to-install-wazuh-server-on-debian/