davidalvk

Instalando y Configurando un EDR (Wazuh) para Proteger Dispositivos

1. Introducción

Este post es la resolución al ejercicio: https://github.com/breatheco-de/wazuh-configuration-as-edr.git

En este ejercicio, aprenderemos a instalar y configurar Wazuh, una plataforma de seguridad que permite monitorizar y detectar amenazas en una red mediante el uso de Endpoint Detection and Response (EDR). Para ello, completaremos tres etapas clave:

  • Instalaremos Wazuh en una máquina virtual para usarla como servidor.
  • Configuraremos un agente de Wazuh en otro sistema (en este caso, Kali Linux) para que actúe como endpoint.
  • Evaluaremos y monitorearemos la actividad de este agente a través del dashboard de Wazuh.

2. Instalar Wazuh en una máquina para usarla como servidor.

Empecemos con su instalación basada en virtualbox.

  1. Descargar la imagen OVA de Wazuh desde la web oficial.
  2. Cambia el controlador gráfico en VirtualBox Apaga la máquina virtual si está corriendo y ve a la configuración de la máquina en VirtualBox. Navega a la sección de Pantalla (Display) y en la sección de Controlador gráfico, selecciona VMSVGA.
  3. Guarda los cambios, arranca de nuevo la máquina virtual e inicia sesión con las contraseñas proporcionadas en la documentación oficial.
  4. Podemos obtener permiso sudo ejecutando lo siguiente:
sudo -i

Busca la IP de la máquina y utiliza la IP obtenida para acceder al dashboard de Wazuh desde un navegador con la siguiente url:

https://<IP_DE_TU_MAQUINA>/app/login?
  1. Finalmente, logueate en la interfaz de Wazuh con las credenciales proporcionadas por la documentación. Accederás al siguiente panel:

user: admin

password: admin

3. Configurar los Endpoints

Para realizar una prueba con Wazuh como EDR, puedes agregar algunos endpoints (máquinas con agentes de Wazuh) que simularán la actividad en una red.

Los agentes en Wazuh son un software que se instala en endpoints, como servidores, estaciones de trabajo o dispositivos, para monitorizar la seguridad de esos sistemas. Estos agentes recogen datos y eventos de seguridad desde los endpoints y los envían al Wazuh Manager, donde se analizan para detectar amenazas, vulnerabilidades y anomalías.

3.1 Instalar y configurar el agente de Wazuh en Linux (en nuestro caso kali linux)

  1. En la opción Agents management > summary agregas un nuevo agente. Tendrás una vista como esta.
     
  2. Selecciona el sistema operativo del endpoint que quieres agregar, su arquitectura, la dirección IP del servidor wazuh que creamos anteriormente y una etiqueta/nombre de ese endpoint. Una vez hecho esto, te va generar un comando para que lo ejecutes en el endpoint (en nuestro caso la maquina linux).
  3. Una vez que hayas pegado el comando generado por wazuh y se haya realizado la instalación debemos correr los siguientes comandos en la misma maquina endpoint:
sudo systemctl daemon-reload

sudo systemctl enable wazuh-agent

sudo systemctl start wazuh-agent

Si todo sale bien, haz clic en cerrar y busca en el panel, los agentes activos. Tendrás una vista como esta.

4. Monitorear la actividad en el Wazuh Dashboard

Para monitorear cambios y eventos en el dashboard de Wazuh utilizando la funcionalidad de EDR, puedes realizar varias acciones en tu sistema Kali que generen alertas y eventos.

4.1 Simulación de Amenazas

Simula Acceso no autorizado

Intenta iniciar sesión repetidamente con credenciales incorrectas en el endpoint de kali linux. Wazuh debería detectar estos intentos como un comportamiento sospechoso y generar alertas.

 Simula cambios en archivos y carpetas del endpoint kali linux

Modificación de archivos:
echo "Cambio de prueba en archivo" | sudo tee /etc/hosts

Esto agregará una línea al archivo /etc/hosts y será detectado como una modificación.

Creación de archivos:
sudo touch /tmp/archivo_prueba.txt
Eliminación de archivos:
sudo rm /tmp/archivo_prueba.txt
Cambiar permisos de archivos:
sudo chmod 777 /etc/hosts

Después de realizar estas acciones, puedes revisar el dashboard de Wazuh en la opción Threat Hunting del endpoint especifico (se actualiza cada 15 minutos). Verás algo asi:

(Imagen del Dashboard donde nos muestra los fallos de autenticación)

(Imagen de los eventos creados a partir de nuestra actividad maliciosa)

5. Conclusión Final

Este proyecto permitió explorar las capacidades de Wazuh como una plataforma integral de Endpoint Detection and Response (EDR), demostrando su eficacia en la monitorización y detección de amenazas en sistemas en red. A lo largo del ejercicio, se logró:

  1. Instalación y configuración del servidor Wazuh: Se desplegó correctamente el servidor en una máquina virtual, accediendo al dashboard para gestionar la seguridad de los endpoints.
  2. Implementación del agente en Kali Linux: Se configuró un agente en un sistema Linux, estableciendo comunicación con el servidor para enviar eventos y alertas.
  3. Simulación y detección de amenazas: Mediante acciones como intentos de acceso no autorizado, modificaciones de archivos y cambios de permisos, se verificó que Wazuh detecta y reporta actividades sospechosas en tiempo real.

Los resultados confirmaron que Wazuh es una herramienta poderosa para la seguridad proactiva, capaz de identificar comportamientos anómalos y generar alertas que permiten una respuesta rápida ante posibles intrusiones.

Comparte esta Publicación en Redes Sociales