{"id":30932,"date":"2024-05-27T10:06:49","date_gmt":"2024-05-27T08:06:49","guid":{"rendered":"https:\/\/inlab.fib.upc.edu\/noticias\/wazuh-una-plataforma-de-codigo-abierto-que-unifica-siem-y-xdr\/2024\/"},"modified":"2024-05-28T08:54:21","modified_gmt":"2024-05-28T06:54:21","slug":"wazuh-una-plataforma-de-codigo-abierto-que-unifica-siem-y-xdr","status":"publish","type":"post","link":"https:\/\/inlab.fib.upc.edu\/es\/articulos\/wazuh-una-plataforma-de-codigo-abierto-que-unifica-siem-y-xdr","title":{"rendered":"Wazuh – Una plataforma de C\u00f3digo Abierto que unifica SIEM y XDR"},"content":{"rendered":"\n

C\u00f3digo Abierto (Open Source<\/em>), SIEM y XDR<\/strong><\/h2>\n\n

Antes que nada tendremos que explicar estos conceptos introducidos en el t\u00edtulo para entender el marco de trabajo de Wazuh; SIEM y XDR.<\/p>\n\n

SIEM (Security Information and Event Management<\/em>) es una tecnolog\u00eda que recopila, analiza y correlaciona datos de diferentes fuentes en tiempo real para identificar y responder a amenazas de seguridad. Las fuentes pueden ser registros (logs<\/em>) de sistemas, aplicaciones o dispositivos de red o finales. Utiliza t\u00e9cnicas de correlaci\u00f3n y an\u00e1lisis para identificar patrones de comportamiento malicioso y as\u00ed generar alertas cuando se detecten estas actividades sospechosas. Incorpora tambi\u00e9n funciones de generaci\u00f3n de informes, as\u00ed como formas gr\u00e1ficas de representaci\u00f3n visual.<\/p>\n\n

XDR (Extended Detection and Response<\/em>) va m\u00e1s all\u00e1, puesto que ampl\u00eda su alcance, llegando a una gama m\u00e1s amplia de dispositivos y\/o servicios (fuentes).<\/p>\n\n

Adem\u00e1s, no solo tiene un papel pasivo de detecci\u00f3n, sino que tambi\u00e9n dispone de la capacidad de respuesta activa automatizada, que permite actuar en caso de detectar comportamientos maliciosos.<\/p>\n\n

Wazuh incorpora, pues, toda una serie de caracter\u00edsticas y funcionalidades que le permiten trabajar como SIEM y XDR. Pero primero exploraremos su arquitectura.<\/p>\n\n

Arquitectura de Wazuh<\/strong><\/h2>\n\n

La soluci\u00f3n se basa en desplegar un agente en los dispositivos finales (endpoints<\/em>) monitorizados y de tres componentes centrales: el indexador, el servidor y el dashboard<\/em>, instalaci\u00f3n que se puede llevar a cabo en uno o varios nodos, llegando a formar un cl\u00faster, mejorando as\u00ed el rendimiento, la seguridad y la disponibilidad.<\/p>\n\n

Estos son todos los componentes necesarios para el funcionamiento de Wazuh.<\/p>\n\n

<\/div>\n\n
\"\"<\/a><\/figure>\n\n
<\/div>\n\n

El indexador <\/strong> es altamente escalable y dispone de un motor de b\u00fasqueda y an\u00e1lisis de texto completo. Indexa y almacena las alertas generadas por el servidor en documentos en formato JSON. Estos documentos se reparten en diferentes contenedores que reciben el nombre de fragmentos (shards<\/em>), y distribuyendo estos fragmentos en diferentes nodos se puede asegurar la redundancia, aumentar la tolerancia a errores de hardware <\/em> as\u00ed como incrementar la capacidad de query<\/em>(cerca) cuando se cogen los nodos en un cl\u00faster.<\/p>\n\n

Adem\u00e1s de velocidad, escalabilidad y capacidad de recuperaci\u00f3n, el indexador de Wazuh tambi\u00e9n incluye funciones como data roll-ups, alertas, anormaly detection<\/em> y gesti\u00f3n del ciclo de vida de los \u00edndices<\/em>.<\/p>\n\n

<\/div>\n\n
\"\"<\/a><\/figure>\n\n
<\/div>\n\n

El servidor analiza los datos recibidos de los agentes y los procesa mediante descodificadores y reglas, utilizando inteligencia sobre amenazas para detectar indicadores de compromiso (IOC) conocidos. Un solo servidor puede analizar datos de cientos y miles de agentes y puede escalarse horizontalmente en forma de cl\u00faster. Adem\u00e1s, a trav\u00e9s del servidor, es posible gestionar los agentes a distancia. Las alertas utilizan el marco ATT&CK de MITRE y requisitos de compliance <\/em> como el GDPR.<\/p>\n\n

El servidor <\/strong> ejecuta los siguientes servicios: el motor de an\u00e1lisis, la RESTful API, el servicio de registro de agentes, el daemon de cl\u00faster y Filebeat, que se utiliza para enviar informaci\u00f3n al indexador.<\/p>\n\n

<\/div>\n\n
\"\"<\/a><\/figure>\n\n
<\/div>\n\n

El dashboard<\/em><\/strong> es la interfaz web para que el usuario pueda visualizar los datos recogidos y el an\u00e1lisis de los eventos y alertas de seguridad generados. Incorpora varias funcionalidades que veremos m\u00e1s adelante.<\/p>\n\n

<\/div>\n\n
\"\"<\/a><\/figure>\n\n
<\/div>\n\n

Los agentes <\/strong> se instalan en dispositivos finales, como ordenadores de sobremesa, servidores, instancias en la nube o m\u00e1quinas virtuales. Permiten prevenir, detectar y responder a las amenazas, con capacidad para operar en distintos sistemas operativos.<\/p>\n\n

Un punto interesante de Wazuh es que los dispositivos finales mencionados est\u00e1n basados en agentes (requieren la instalaci\u00f3n de software<\/em>), pero tambi\u00e9n permite monitorizar dispositivos agent-less<\/em> (sin agentes) como cortafuegos (firewalls<\/em>), comutadors (switches<\/em>), routers <\/em> o NIDS (Network Intrusion Detection System<\/em>).<\/p>\n\n

Por lo tanto, la estructura global de Wazuh y sus componentes es la siguiente:<\/p>\n\n

<\/div>\n\n
\"\"<\/a><\/figure>\n\n
<\/div>\n\n

Funcionalidades y casos de uso de Wazuh<\/strong><\/h2>\n\n
<\/div>\n\n
    \n
  • SCA (Security Configuration Assessment):<\/strong>Wazuh supervisa la configuraci\u00f3n del sistema y de las aplicaciones para garantizar el cumplimiento de las normas y pol\u00edticas de seguridad. Los agentes de Wazuh realizan escaneos peri\u00f3dicos para detectar errores de configuraci\u00f3n o agujeros de seguridad en los dispositivos finales que podr\u00edan ser explotados por actores maliciosos. Estos controles de configuraci\u00f3n pueden configurarse para adaptarlos a las necesidades de la organizaci\u00f3n.<\/li>\n\n\n\n
  • Detecci\u00f3n de malware<\/em>:<\/strong>Wazuh detecta la actividad maliciosa y genera indicadores de compromiso que se producen en los dispositivos finales como resultado de infecciones de malware <\/em> o ciberataques.<\/li>\n\n\n\n
  • FIM (File Integrity Monitoring):<\/strong>Wazuh monitoriza el sistema de carpetas, identificando cambios en el contenido, permisos, propiedad y atributos de los archivos a monitorizar.<\/li>\n\n\n\n
  • Threat detection:<\/strong>Wazuh ofrece una visibilidad completa de los dispositivos finales y de la infraestructura supervisada. Dispone de funciones de conservaci\u00f3n de registros, indexaci\u00f3n y consulta que ayudan a investigar amenazas que pueden haber eludido los controles de seguridad iniciales.<\/li>\n\n\n\n
  • Log Data Analysis:<\/strong>Los agentes de Wazuh recopilan registros del sistema operativo y las aplicaciones y los env\u00edan de forma segura al servidor de Wazuh para su an\u00e1lisis y asignaci\u00f3n basados en reglas.<\/li>\n\n\n\n
  • Detecci\u00f3n de vulnerabilidades:<\/strong>Los agentes de Wazuh recogen los datos del inventario del programa y env\u00edan esta informaci\u00f3n al servidor de Wazuh. Los datos de inventario recopilados se correlacionan con bases de datos CVE actualizadas continuamente para identificar software vulnerable conocido.<\/li>\n\n\n\n
  • Respuesta a incidentes:<\/strong>Wazuh tiene respuestas activas predefinidas para llevar a cabo diversas contramedidas contra las amenazas en curso.<\/li>\n\n\n\n
  • Cumplimiento normativo:<\/strong>Wazuh ofrece algunos de los controles de seguridad necesarios para el cumplimiento de las normas y reglamentos del sector, como GDPR, NIST, TSC e HIPAA, que tambi\u00e9n se logran a trav\u00e9s de las funciones SCA y FIM.<\/li>\n\n\n\n
  • Higiene de TI:<\/strong>Wazuh construye un inventario actualizado del sistema de todos los dispositivos finales monitorizados. Este inventario ayuda a las organizaciones a optimizar la visibilidad de los activos y a mantener una buena higiene inform\u00e1tica.<\/li>\n\n\n\n
  • Seguridad de los contenedores:<\/strong>Wazuh proporciona visibilidad de seguridad a hosts y contenedores Docker, monitorizando su comportamiento y detectando amenazas, vulnerabilidades y anomal\u00edas.<\/li>\n\n\n\n
  • Protecci\u00f3n del trabajo e integraci\u00f3n de terceros:<\/strong>Wazuh se integra con plataformas en la nube, recopilando y agregando datos de seguridad. Alerte sobre los riesgos de seguridad y las vulnerabilidades descubiertas para garantizar la seguridad y el cumplimiento de las normas reglamentarias. Wazuh vigila y protege a los trabajadores tanto en el lugar de trabajo como en el entorno local. Puede integrarse con plataformas en la nube como AWS, Microsoft Azure, GCP, Microsoft 365 y GitHub para supervisar servicios, m\u00e1quinas virtuales y las actividades que se producen en estas plataformas.<\/li>\n<\/ul>\n","protected":false},"excerpt":{"rendered":"

    C\u00f3digo Abierto (Open Source), SIEM y XDR Antes que nada tendremos que explicar estos conceptos introducidos en el t\u00edtulo para entender el marco de trabajo de Wazuh; SIEM y XDR. SIEM (Security Information and Event Management) es una tecnolog\u00eda que recopila, analiza y correlaciona datos de diferentes fuentes en tiempo real para identificar y responder […]<\/p>\n","protected":false},"author":1242,"featured_media":30902,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[496],"tags":[],"experteses":[],"class_list":["post-30932","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-articulos"],"acf":[],"_links":{"self":[{"href":"https:\/\/inlab.fib.upc.edu\/es\/wp-json\/wp\/v2\/posts\/30932","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/inlab.fib.upc.edu\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/inlab.fib.upc.edu\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/inlab.fib.upc.edu\/es\/wp-json\/wp\/v2\/users\/1242"}],"replies":[{"embeddable":true,"href":"https:\/\/inlab.fib.upc.edu\/es\/wp-json\/wp\/v2\/comments?post=30932"}],"version-history":[{"count":3,"href":"https:\/\/inlab.fib.upc.edu\/es\/wp-json\/wp\/v2\/posts\/30932\/revisions"}],"predecessor-version":[{"id":30937,"href":"https:\/\/inlab.fib.upc.edu\/es\/wp-json\/wp\/v2\/posts\/30932\/revisions\/30937"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/inlab.fib.upc.edu\/es\/wp-json\/wp\/v2\/media\/30902"}],"wp:attachment":[{"href":"https:\/\/inlab.fib.upc.edu\/es\/wp-json\/wp\/v2\/media?parent=30932"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/inlab.fib.upc.edu\/es\/wp-json\/wp\/v2\/categories?post=30932"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/inlab.fib.upc.edu\/es\/wp-json\/wp\/v2\/tags?post=30932"},{"taxonomy":"experteses","embeddable":true,"href":"https:\/\/inlab.fib.upc.edu\/es\/wp-json\/wp\/v2\/experteses?post=30932"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}