Implementar SOC: Instalación Wazuh

Artículos relacionados

Proxmox: Configurar storage con DRBD

49 mins hace

Linux: Comandos y Directorios básicos

23 horas hace

Mikrotik: Hardening configuraciones Router

4 días hace

Implementar SOC: Instalación Wazuh

Seguimos implementando nuestro SOC con software OpenSource.

Como hablamos en la anterior entrada, necesitaremos implementar una solución que nos permita recopilar y analizar los diferentes registros que nos entreguen nuestros sistemas. Para ello usaré Wazuh:

• • WEB OFICIAL: https://wazuh.com/
  • PAQUETES WAZUH: https://documentation.wazuh.com/current/installation-guide/packages-list.html
  • Descripción: Permite recopilar y analizar datos de seguridad de un host en el cual se instala un agente. Es una herramienta muy completa, compuesta por una gestión de eventos e información de seguridad (SIEM) y otra de detección y respuesta extendidas (XDR)

Se puede implementar tanto en un host dedicado, en un clúster o en la nube. Tiene la ventaja que es multiplataforma, con lo que podremos traernos con sus diferentes agentes, datos de casi cualquier sistema operativo:

Componentes Wazuh

Wazuh se compone de cuatro componentes:

• ENLACE: https://documentation.wazuh.com/current/getting-started/components/index.html
• Wazuh Indexer: Es el componente central, el motor del sistema, lo que permite buscar. almacenar y analizar registros casi en tiempo real. Es totalmente escalable.
• Wazuh Server: Desde este componente se actualizan los agentes, se gestionan y permite analizar los datos que entregan los agentes. Utiliza reglas para gestionar la información y saber si es relevante o no. Un solo servidor puede analizar cientos de registros y puede ser escalado horizontalmente.
• Wazuh Dashboard: Es la parte visual, como su propio nombre indica el dashboard para el usuario administrador. Desde él realizaremos desde la propia gestión de sistema como su configuración
• Wazuh Agents: Los agentes que hemos hablado en el apartado anterior, que permiten entregar los datos a Wazuh Server.

Os dejo el diagrama de los diferentes componentes:

Requisitos de Software y Hardware servidor Wazuh

Wazuh debe ser instalado en un sistema Linux de 64 bits, siendo recomendadas las siguientes distribuciones:

A nivel de hardware, para un nodo necesitaréis un mínimo de RAM y CPU, os dejo la tabla. Entender que cuanto más administradores hagan filtros o consultas al sistema, más capacidad necesitará para procesarla o dependerá del volumen de equipos a gestionar:

A nivel de disco, dependerá de los registros que queráis almacenar en el tiempo y las alertas generadas por segundo (APS). Por ejemplo, para un entorno con 80 estaciones de trabajo, 10 servidores y 10 dispositivos de red, el almacenamiento necesario en el servidor indexador de Wazuh para 90 días de alertas es de 230 GB:

Una vez que tenemos los datos más importantes de Wazuh, vamos a implementarlo bajo una máquina virtual Proxmox, usaré Ubuntu 22.04, una de las distribuciones que recomiendan.

Instalación servidor Wazuh bajo Ubuntu 22.04 en Proxmox

Me salto la instalación de la máquina virtual en Proxmox que hay varios ejemplos en el blog, y me centro la instalación de los componentes. Lo voy a montar sobre un LXC Ubuntu 22.04 que como es para LAB con estos recursos hardware me valen:

• Ubuntu 22.04
• 4 vCPU
• 4 GB RAM
• 60 GB Disco

Antes de empezar actualizamos el sistema:

Instalamos los requerimientos:

Descargamos el script de instalación, en la versión 4.7 al escribir este artículo, que hará una instalación completa de todos los componentes:

Veréis al final de la instalación el usuario y la contraseña que lo va a gestionar:

Si queréis cambiar la contraseña:

• DOCUMENTACION: https://documentation.wazuh.com/current/user-manual/user-administration/password-management.html

Ahora sólo tendremos que acceder a la URL de nuestro servidor Wazuh desde una máquina con permisos vía “https://<wazuh-dashboard-ip>:443” :

Veremos el dashboard, donde deberemos ir agregando los agentes:

Instalación agente Wazuh

Para instalar el agente y que comunique con el servidor, necesitaremos definir el puerto de comunicación, que por defecto es el 1514 TCP:

Os dejo el resto de valores por defecto: https://documentation.wazuh.com/current/user-manual/reference/ossec-conf/client.html

Para la instalación os dejo los diferentes manuales: https://documentation.wazuh.com/current/installation-guide/wazuh-agent/index.html

El consumo del agente es de unos 36MB, así que no es un problema para cualquier sistema crítico o con bajos recursos.

Lo haré bajo Linux, en mi caso en mi Ubuntu LXC del Suricata, descargamos las keys:

Agregamos los repos:

Actualizamos el repo:

E instalamos editando la IP de nuestro servidor:

Y preparamos el servicio:

Como recomendación deshabilitamos los updates automáticos para tener el control:

Para desinstalarlo:

Si todo va bien, veremos que hemos agregado un agente:

Ahora sólo tenemos que ir agregando más agentes y ver como se van generando los eventos y las estadísticas. Más adelante veremos como explotar estos datos cuando todo el SOC esté montado o como montar un clúster de varios nodos para un escalado rápido.

¿Te ha gustado la entrada SÍGUENOS EN TWITTER O INVITANOS A UN CAFE?

Follow @@elblogdenegu