Wazuh

JaimeAlberto
Seguridad, Wazuh

Según la Wikipedia “ Wazuh es un sistema de detección de intrusos basado en host de código abierto y libre (HIDS). Realiza análisis de registro, comprobación de integridad, supervisión del registro de Windows, detección de rootkits, alertas basadas en el tiempo y respuesta activa. Proporciona detección de intrusiones para la mayoría de los sistemas operativos, incluyendo Linux, AIX, HP-UX, macOS, Solaris y Windows. Wazuh tiene una arquitectura centralizada y multiplataforma que permite que múltiples sistemas sean fácilmente monitoreados y administrados ”.

Personalmente creo que es una gran aportación y ejemplo de como se puede vivir con esfuerzo y un buen enfoque del software de código abierto. Sin nada que esconder para gobiernos o grandes corporaciones, dando la oportunidad de tener al alcance un buen producto a cualquiera que lo necesite en su empresa .. etc.

Componentes

En la siguiente imagen podemos ver la arquiectura con sus componentes y flujo de trabajo:

Como se puede observar en el imagen anterior Wazuh se basa la recopilación de datos con un en el agente Wazuh, que se despliega en los puntos finales ( Endpoint ).En la parte del servidor o servidores, según necesidades se puede clusterizar Tenemos:

  • Wazuh indexer.
  • Wazuh server.
  • Wazuh dashboard.

Indexer es el motor de búsqueda y análisis altamente escalable. Su función es indexar y almacena las alertas generadas por el server.

Server analiza los datos recibidos de los agentes. Los procesa buscando indicadores de compromiso (IOC) conocidos. también tiene como función gestionar los agentes, configurándolos y actualizándolos de forma remota.

Dashboard es el interfaz de usuario web para la visualización y el análisis de datos recopilados por los agentes. Incluye cuadros de mando listos para explotar toda la información disponible:

• Eventos de seguridad
• Cumplimiento normativo (PCI DSS GDPR CIS HIPAA NIST 800-53)
• Detección de vulnerabilidades.
• Integridad de los ficheros (FIM)
• Resultados de test de hardening.
• Monitorizar infraestructura en nube.
• etc.

Agente se instalan portátiles, sobremesas, servidores, instancias en la nube o máquinas virtuales. Se encarga de recopilar todos los datos que luego enviá al server. Se ejecuta en sistemas operativos como Linux, Windows, macOS, Solaris, AIX y HP-UX. En el caso de no existir agente nativo tiene la capacidad de enviar log´s dispositivos sin agente (firewalls, routers, NDS, IDS, etc). Es habitual que los log´s de varios sistemas se centralicen a través de Syslog, y los envié un agente. También admite envío directo utilizando protocolo syslog, según la infraestructura de cada uno tenemos esas opciones y alguna mas que veremos en los laboratorios. laboratorios, en continua actualización.

Fuentes