Laboratorio Parte 2: Monitoreo,

detección, análisis y gestión con

Wazuh + pfSense + Suricata +
MISP.
Contenido

Introducción......................................................................................................................3
Desarrollo..........................................................................................................................4
Infraestructura.............................................................................................................. 4
Configuración de Herramientas....................................................................................4
Wazuh.....................................................................................................................5
Suricata.................................................................................................................. 7
Integración Suricata con Wazuh.......................................................................9
MISP - Gestión de Indicadores de Compromiso (IoCs)....................................... 12
Conclusión......................................................................................................................13
Referencias..................................................................................................................... 13

​ ​ 2
Introducción
El presente informe tiene como objetivo ampliar la infraestructura de laboratorio
desarrollada en la Etapa 1, incorporando herramientas de detección, análisis de
amenazas y gestión de inteligencia, en un entorno controlado de red
segmentada por pfSense. Esta extensión busca no solo fortalecer las
capacidades técnicas de detección y respuesta, sino también integrar los
conceptos de cumplimiento normativo (BCRA, PCI DSS, GDPR) y el framework
MITRE ATT&CK como eje central para el mapeo de amenazas.

Durante esta etapa se instalarán y configurarán herramientas clave como

Suricata en modo IDS para inspección de tráfico de red y MISP para la gestión
de indicadores de compromiso (IoCs). Cada una de estas herramientas será
vinculada a técnicas específicas de MITRE ATT&CK, evidenciando su aplicación
práctica en escenarios simulados. Asimismo, se presentará un análisis
comparativo que relacione estas configuraciones con los requisitos establecidos
por normativas relevantes en ciberseguridad.

​ ​ 3
Desarrollo
Infraestructura
La infraestructura del laboratorio fue creada en un entorno virtualizado con
VMware y está compuesta por:

●​ Ubuntu Server 22.04 – Servidor con Wazuh y Suricata

●​ Ubuntu Server 24.04 – Servidor con MISP
●​ pfSense – Firewall central con reglas configuradas
●​ Ubuntu Client 22.04 – Cliente con el agente de Wazuh instalado

Configuración de Herramientas
Luego de terminar el laboratorio de la Etapa 1.
Se realizaron modificaciones en las reglas de pfSense para permitir internet en
cliente y servidor, facilitando la conexión cliente a servidor por ssh y viceversa
para una administración más cómoda (luego esto se retirará)

​ ​ 4
Se actualizaron los paquetes del cliente y servidor con:
●​ sudo apt update
●​ sudo apt upgrade -y

Wazuh
Objetivo: Configurar eventos para intentos de sesión fallidos y mapear un
evento a una técnica de MITRE ATT&CK
Se accedió al servidor mediante SSH (ssh ubuntuserver@[Link]).
Luego, se configuraron reglas personalizadas en Wazuh para detectar intentos
fallidos de autenticación.

​ ​ 5
En el servidor Wazuh, buscamos la carpeta donde se encuentran las reglas, allí
nos encontramos que hay 2 tipos de ubicaciones de reglas:
●​ /var/ossec/ruleset/rules -> Ubicación de reglas predefinidas por wazuh
●​ /var/ossec/etc/rules -> Ubicación para reglas personalizadas (custom
rules). Podemos agregar reglas y quedarnos tranquilos que en futuras
actualizaciones no se modificarán
En el dashboard de Wazuh visualizamos en Explorer/Discover todos los eventos
que se van generando, los mismos tienen un [Link] que los identifica, por lo que
generamos un ataque de fuerza bruta con Hydra desde el cliente al servidor
para generar eventos de inicio de sesión fallido al servidor, como consecuencia
obtuvimos el [Link]=5760 y el [Link]=”Failed password for”
A partir de esta información, se creó una regla personalizada en
/var/ossec/etc/rules que permite detectar este tipo de eventos de forma más
precisa y asociarlos a la técnica T1110 – Brute Force del framework MITRE
ATT&CK.

Volvemos a ejecutar un ataque de fuerza bruta y los eventos pudieron

visualizarse correctamente desde el dashboard de Wazuh, evidenciando la
eficacia del sistema en la detección de intentos de acceso no autorizado.

​ ​ 6
Suricata
Objetivo: Instalar y configurar una regla para detectar tráfico anómalo y vincular
la regla a la técnica de MITRE ATT&CK T1046 de exploración de red.
Instalación:
●​ sudo apt-get install software-properties-common
●​ sudo add-apt-repository ppa:oisf/suricata-stable
●​ sudo apt update
●​ sudo apt install suricata -y
●​ sudo systemctl status suricata
●​ sudo suricata-update (nos genera un [Link] con reglas
predefinidas)
Dentro del archivo [Link] (/var/lib/suricata/rules/[Link])
agregamos la siguiente regla personalizada para detectar escaneos de puertos
realizados con Nmap, mapeándola a la técnica T1046 – Network Service
Discovery de MITRE ATT&CK.

Alert tcp any any -> any any (msg:"[ATT&CK] T1046 - Escaneo de puertos
detectado - Nmap Scan"; flags:S;threshold:type both, track by_src, count 10,
seconds 10; classtype:network-scan; sid:100010; rev:1;)

Parte Significado

alert Acción de la regla: genera una alerta si se cumple la

condición.

tcp Aplica solo a tráfico TCP.

any any -> any Aplica a cualquier IP y cualquier puerto de origen y destino.
any

msg:"[ATT&CK] El mensaje que se mostrará en los logs si la regla se activa.

T1046 - Incluye el ID de técnica MITRE ATT&CK T1046, que es
Escaneo de "Network Service Discovery" (escaneo de red).
puertos
detectado -
Nmap Scan"

flags:S; Aplica a paquetes con solo el flag SYN (inicio de conexión

TCP).

​ ​ 7
 threshold:type Condición para evitar falsos positivos: si un host envía al
both, track menos 10 paquetes SYN distintos en 10 segundos, se
by_src, count dispara la alerta. Se cuentan los eventos por IP de origen
10, seconds 10; (track by_src).

classtype:networ Clasificación de la alerta: tipo escaneo de red. Útil para

k-scan; priorización en SIEMs.

sid:100010; ID único de la regla (Suricata ID). No debe repetirse con

otras reglas personalizadas.

rev:1; Revisión de la regla. Aumenta cada vez que hacemos

mejoras.

Ejecutamos el siguiente comando que verifica la sintaxis de la regla agregada

recientemente.
sudo suricata -T -c /etc/suricata/[Link] -v

En caso de éxito, reiniciamos el servicio de suricata para que los cambios

impacten.
sudo systemctl restart suricata

Si en la máquina virtual del servidor nos aparece la siguiente advertencia por

parte de VMWare: “The virtual machine's operating system has attempted to
enable promiscuous mode on adapter 'Ethernet0'. This is not allowed for security
reasons. Please go to the Web page "[Link] for help
enabling promiscuous mode in the virtual machine”, debemos activar el modo
promiscuo en la interfaz de red virtual del servidor para permitir la detección del
tráfico, para esto seguiremos los siguientes pasos:
●​ Apagar la VM, ir a la ruta /home/usuario/vmware/Ubuntu Server 22.04/
●​ Modificar el archivo Ubuntu Server [Link] agregando la siguiente
línea:
○​ [Link] = "accept"

​ ​ 8
 ●​ Volver a prender la máquina y ejecutar tail -fl [Link], al mismo tiempo
desde una máquina cliente ejecutar con sudo un nmap -sS -p- --min-rate
5000 [Link] -Pn -vvv

En el caso de recibir un log como el mostrado en la imágen nos demostrará que

la regla de suricata está funcionando correctamente.

Integración Suricata con Wazuh

Para integrar los logs de Suricata con Wazuh, se debe agregar la siguiente
entrada en el archivo [Link] (/var/ossec/etc/[Link]) del servidor Wazuh:

<localfile>
<log_format>json</log_format>
<location>/var/log/suricata/[Link]</location>
</localfile>

​ ​ 9
Después de reiniciar el servicio wazuh-manager (sudo systemctl restart
wazuh-manager), ejecutamos nuevos escaneos con Nmap desde el cliente. Los
eventos generados fueron correctamente registrados y visualizados en el
dashboard de Wazuh, bajo la alerta con sid=100010, tal como lo configuramos
en la regla.

​ ​ 10
Acontinuación, agregamos en el servidor de Wazuh las reglas custom para este
evento en el archivo [Link] (/var/ossec/etc/[Link]) para relacionarlo
con MITRE ATT&CK.

Ejecutamos un último nmap al servidor para probar la integración que acabamos

de realizar.

Obtenemos el resultado esperado: una demostración de un evento para

detectar tráfico anómalo y la vinculación de la misma a la técnica de MITRE
ATT&CK T1046 de exploración de red.

​ ​ 11
MISP - Gestión de Indicadores de Compromiso (IoCs)
●​ En el servidor Ubuntu 24.04 instalamos MISP siguiendo los siguientes
pasos:
○​ Actualizar el sistema -> sudo apt update && sudo apt upgrade -y
○​ Instalar paquetes necesarios -> sudo apt install -y curl git gnupg
○​ Descargar el script oficial de instalación para Ubuntu 24.04 -> wget
[Link]
[Link] -O [Link]
○​ Dar permisos de ejecución al script -> chmod +x [Link]
○​ Ejecutar el script como root (instala MISP) -> sudo ./[Link]
○​ Agregar hostname local para acceder a MISP como
"[Link] -> sudo nano /etc/hosts -> [Link]​
localhost [Link]
○​ Acceder al portal MISP desde: [Link]

Una vez instalado, se procedió a importar un feed público de amenazas, en este

caso el de [Link], que contiene información útil sobre direcciones IP, dominios
y otros IoCs.

Posteriormente, creamos manualmente un evento que incluyó un Indicador de

Compromiso (IoC) simulado, representado por una dirección IP maliciosa ficticia.
Esto permitió probar la funcionalidad básica de MISP y demostrar su utilidad
para compartir y analizar amenazas de forma colaborativa.

​ ​ 12
Conclusión
La extensión del laboratorio permitió integrar herramientas clave para la
detección, análisis y gestión de amenazas en un entorno simulado, alineado con
buenas prácticas de seguridad y marcos de referencia reconocidos. En síntesis,
se logró una integración técnica y normativa que refuerza tanto los aspectos
operativos como los estratégicos en ciberseguridad.

Referencias
●​ European Parliament and Council. (2016). Regulation (EU) 2016/679
(General Data Protection Regulation). Official Journal of the European
Union. [Link]

●​ MITRE. (2023). MITRE ATT&CK® Framework. [Link]

●​ PCI Security Standards Council. (2022). Payment Card Industry Data

Security Standard: Requirements and Security Assessment Procedures
(Version 4.0). [Link]

●​ Banco Central de la República Argentina. (2023). Comunicación “A” 7724

- Seguridad de la Información. [Link]

●​ Wazuh, Inc. (2024). Wazuh Documentation.

[Link]

●​ Open Information Security Foundation. (2024). Suricata IDS/IPS/NSM

engine. [Link]

●​ MISP Project. (2024). MISP Threat Intelligence Platform Documentation.

[Link]

●​ Netgate. (2024). pfSense Documentation.

[Link]

​ ​ 13