· 🚨 Implementación del SIEM Wazuh 🚨 ·
Implementación y testeo del SIEM Wazuh con VirtualBox
Descripción
En este proyecto, desplegué y testeé un entorno SIEM utilizando Wazuh en máquinas virtuales con VirtualBox.
🎯 Objetivo 🎯
El objetivo fue simular un entorno SIEM y visualizar las alertas generadas tras realizar ataques a un endpoint
💻 MVs utilizadas 💻
El entorno virtual se estructuró con 2 máquinas virtuales Ubuntu:
- Ubuntu Server 24.04 (Servidor): Esta máquina aloja el núcleo del sistema, y contiene:
- Wazuh Manager: Responsable de recopilar, analizar y correlacionar los datos de seguridad.
- Wazuh Dashboard: Proporciona la interfaz web centralizada donde se visualizan las alertas, los informes y la gestión de agentes.
- Ubuntu Desktop 22.04 (Endpoint/Agente): Esta máquina actúa como el endpoint monitorizado, y contiene:
- Wazuh Agent: Es el componente que se instala en los endpoints que queremos monitorizar.
Recopila datos de seguridad internos del sistema y los envía de forma segura al Manager para su análisis.
- Wazuh Agent: Es el componente que se instala en los endpoints que queremos monitorizar.
🛠️ Herramientas externas usadas 🛠️
También implementé capacidades avanzadas en el endpoint:
- Suricata (IDS/IPS): Implementé Suricata para mejorar la detección y prevención de intrusiones a nivel de red,
configurando el reenvío de eventos generados por Suricata al Wazuh Manager. - FIM y YARA (Detección de malware y cambios):
- FIM (File Integrity Monitoring): Es un proceso de seguridad que permite monitorear y verificar la integridad de archivos y directorios críticos.
- YARA: Son reglas que permiten identificar y clasificar archivos sospechosos mediante patrones (firmas de malware).
🔬 Metodología de acceso 🔬
Tras configurar el entorno, descargué muestras de malware de prueba en el endpoint y las coloqué en el directorio monitorizado.
Inmediatamente, YARA detectó los patrones sospechosos y las alertas aparecieron en tiempo real en el dashboard de Wazuh.
✔️ Conclusiones ✔️
Esta práctica me ha permitido entender mejor el funcionamiento de un SIEM como Wazuh
y la importancia de la implementación de herramientas como Suricata, FIM y YARA para reforzar la capacidad de detección.