@media screen and (min-width: 580px) { .flotantewhatsapp{ display:none; } }

Compartir por WhatsApp

implementar-soc-instalacion-wazuh-8

Implementar SOC: Instalación Wazuh

Implementar SOC: Instalación Wazuh

Seguimos implementando nuestro SOC con software OpenSource.

Como hablamos en la anterior entrada, necesitaremos implementar una solución que nos permita recopilar y analizar los diferentes registros que nos entreguen nuestros sistemas. Para ello usaré Wazuh:

Se puede implementar tanto en un host dedicado, en un clúster o en la nube. Tiene la ventaja que es multiplataforma, con lo que podremos traernos con sus diferentes agentes, datos de casi cualquier sistema operativo:

implementar-soc-instalacion-wazuh-1

Componentes Wazuh

Wazuh se compone de cuatro componentes:

  • ENLACE: https://documentation.wazuh.com/current/getting-started/components/index.html
  • Wazuh Indexer: Es el componente central, el motor del sistema, lo que permite buscar. almacenar y analizar registros casi en tiempo real. Es totalmente escalable.
  • Wazuh Server: Desde este componente se actualizan los agentes, se gestionan y permite analizar los datos que entregan los agentes. Utiliza reglas para gestionar la información y saber si es relevante o no. Un solo servidor puede analizar cientos de registros y puede ser escalado horizontalmente.
  • Wazuh Dashboard: Es la parte visual, como su propio nombre indica el dashboard para el usuario administrador. Desde él realizaremos desde la propia gestión de sistema como su configuración
  • Wazuh Agents: Los agentes que hemos hablado en el apartado anterior, que permiten entregar los datos a Wazuh Server.

implementar-soc-instalacion-wazuh-2

Os dejo el diagrama de los diferentes componentes:

implementar-soc-instalacion-wazuh-3

Requisitos de Software y Hardware servidor Wazuh

Wazuh debe ser instalado en un sistema Linux de 64 bits, siendo recomendadas las siguientes distribuciones:

implementar-soc-instalacion-wazuh-4

A nivel de hardware, para un nodo necesitaréis un mínimo de RAM y CPU, os dejo la tabla. Entender que cuanto más administradores hagan filtros o consultas al sistema, más capacidad necesitará para procesarla o dependerá del volumen de equipos a gestionar:

implementar-soc-instalacion-wazuh-5

A nivel de disco, dependerá de los registros que queráis almacenar en el tiempo y las alertas generadas por segundo (APS). Por ejemplo, para un entorno con 80 estaciones de trabajo, 10 servidores y 10 dispositivos de red, el almacenamiento necesario en el servidor indexador de Wazuh para 90 días de alertas es de 230 GB:

implementar-soc-instalacion-wazuh-7

Una vez que tenemos los datos más importantes de Wazuh, vamos a implementarlo bajo una máquina virtual Proxmox, usaré Ubuntu 22.04, una de las distribuciones que recomiendan.

Instalación servidor Wazuh bajo Ubuntu 22.04 en Proxmox

Me salto la instalación de la máquina virtual en Proxmox que hay varios ejemplos en el blog, y me centro la instalación de los componentes. Lo voy a montar sobre un LXC Ubuntu 22.04 que como es para LAB con estos recursos hardware me valen:

  • Ubuntu 22.04
  • 4 vCPU
  • 4 GB RAM
  • 60 GB Disco

Antes de empezar actualizamos el sistema:

Instalamos los requerimientos:

Descargamos el script de instalación, en la versión 4.7 al escribir este artículo, que hará una instalación completa de todos los componentes:

Veréis al final de la instalación el usuario y la contraseña que lo va a gestionar:

Si queréis cambiar la contraseña:

Ahora sólo tendremos que acceder a la URL de nuestro servidor Wazuh desde una máquina con permisos vía “https://<wazuh-dashboard-ip>:443” :

implementar-soc-instalacion-wazuh-8

Veremos el dashboard, donde deberemos ir agregando los agentes:

implementar-soc-instalacion-wazuh-9

Instalación agente Wazuh

Para instalar el agente y que comunique con el servidor, necesitaremos definir el puerto de comunicación, que por defecto es el 1514 TCP:

implementar-soc-instalacion-wazuh-10

Os dejo el resto de valores por defecto: https://documentation.wazuh.com/current/user-manual/reference/ossec-conf/client.html

Para la instalación os dejo los diferentes manuales: https://documentation.wazuh.com/current/installation-guide/wazuh-agent/index.html

El consumo del agente es de unos 36MB, así que no es un problema para cualquier sistema crítico o con bajos recursos.

Lo haré bajo Linux, en mi caso en mi Ubuntu LXC del Suricata, descargamos las keys:

Agregamos los repos:

Actualizamos el repo:

E instalamos editando la IP de nuestro servidor:

Y preparamos el servicio:

Como recomendación deshabilitamos los updates automáticos para tener el control:

Para desinstalarlo:

Si todo va bien, veremos que hemos agregado un agente:

implementar-soc-instalacion-wazuh-11

Ahora sólo tenemos que ir agregando más agentes y ver como se van generando los eventos y las estadísticas. Más adelante veremos como explotar estos datos cuando todo el SOC esté montado o como montar un clúster de varios nodos para un escalado rápido.

¿Te ha gustado la entrada SÍGUENOS EN TWITTER O INVITANOS A UN CAFE?

El Blog de Negu

Acerca de Raul Unzue Pulido

Administrador de sistemas virtuales e infraestructuras IT, linuxero y entusiasta de la tecnología.

Compruebe también

instalar-docker-bajo-contenedor-lxc-proxmox-4

Instalar Docker sobre contenedor LXC Proxmox

Instalar Docker sobre contenedor LXC Proxmox Os voy a mostrar como podemos virtualizar contenedores Docker …

2 comentarios

  1. Buen día, por favor me puedes ayudar, estoy haciendo el paso a paso de la instalación y me saca error al ejecutar este comando: apt install vim curl apt-transport-https unzip wget libcap2-bin software-properties-common lsb-release gnupg2

    Error: Get:3 http://co.archive.ubuntu.com/ubuntu focal-updates/universe amd64 gnupg2 al l 2.2.19-3ubuntu2.2 [5316 B]
    Fetched 176 kB in 0s (749 kB/s)
    perl: warning: Setting locale failed.
    perl: warning: Please check that your locale settings:
    LANGUAGE = (unset),
    LC_ALL = (unset),
    LANG = “es_ES.UTF-8”
    are supported and installed on your system.
    perl: warning: Falling back to the standard locale (“C”).
    locale: Cannot set LC_CTYPE to default locale: No such file or directory
    locale: Cannot set LC_MESSAGES to default locale: No such file or directory
    locale: Cannot set LC_ALL to default locale: No such file or directory
    Selecting previously unselected package apt-transport-https.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

16 + 4 =

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR
Aviso de cookies
Blog Maquinas Virtuales - El Blog de Negu