Wazuh es una plataforma gratuita y de código abierto utilizada para la prevención, detección y respuesta a las amenazas. Es capaz de proteger cargas de trabajo en entornos locales, virtualizados, en contenedores y en la nube. Permite integración con otras conocidas herramientas como Yara, VirusTotal, o Suricata.

 La solución Wazuh consta de un agente de seguridad para puntos finales, desplegado en los sistemas supervisados, y un servidor de gestión, que recoge y analiza los datos recopilados por los agentes. Además, Wazuh se ha integrado totalmente con Elastic Stack, proporcionando un motor de búsqueda y una herramienta de visualización de datos que permite a los usuarios navegar por sus alertas de seguridad.

Detección de intrusos

Los agentes de Wazuh escanean los sistemas monitorizados en busca de malware, rootkits y anomalías sospechosas. Pueden detectar archivos ocultos, procesos encubiertos o escuchas de red no registradas, así como incoherencias en las respuestas a las llamadas del sistema.

Además de las capacidades de los agentes, el componente del servidor utiliza un enfoque basado en firmas para la detección de intrusiones, utilizando su motor de expresiones regulares para analizar los datos de registro recogidos y buscar indicadores de compromiso.

Análisis de datos de registro (logs)

Los agentes de Wazuh leen los registros del sistema operativo y de las aplicaciones, y los envían de forma segura a un gestor central para su análisis y almacenamiento basado en reglas. Cuando no hay ningún agente desplegado, el servidor también puede recibir datos a través de syslog de los dispositivos o aplicaciones de la red.

Las reglas de Wazuh te ayudan a estar al tanto de los errores de las aplicaciones o del sistema, de las malas configuraciones, de los intentos y/o de las actividades maliciosas exitosas, de las violaciones de las políticas y de una variedad de otros problemas de seguridad y operativos.

Monitorización de la integridad de los archivos

Wazuh supervisa el sistema de archivos, identificando los cambios en el contenido, los permisos, la propiedad y los atributos de los archivos que necesita vigilar. Además, identifica de forma nativa a los usuarios y las aplicaciones utilizadas para crear o modificar archivos.

Las capacidades de supervisión de la integridad de los archivos pueden utilizarse en combinación con la inteligencia de amenazas para identificar amenazas o hosts comprometidos. Además, varias normas de cumplimiento normativo, como PCI DSS, lo exigen.

Detección de vulnerabilidades

Los agentes de Wazuh extraen los datos del inventario de software y envían esta información al servidor, donde se correlaciona con las bases de datos CVE (Common Vulnerabilities and Exposure) continuamente actualizadas, con el fin de identificar el software vulnerable conocido.

La evaluación automatizada de vulnerabilidades te ayuda a encontrar los puntos débiles de tus activos críticos y a tomar medidas correctivas antes de que los atacantes los exploten para sabotear tu negocio o robar datos confidenciales.

Respuesta a incidentes

Wazuh proporciona respuestas activas listas para usar para llevar a cabo varias contramedidas para hacer frente a las amenazas activas, como bloquear el acceso a un sistema desde el origen de la amenaza cuando se cumplen ciertos criterios.

Además, Wazuh puede utilizarse para ejecutar remotamente comandos o consultas del sistema, identificando indicadores de compromiso (IOC) y ayudando a realizar otras tareas forenses en vivo o de respuesta a incidentes.

Cumplimiento Normativa

Wazuh provee algunos de los controles de seguridad necesarios para cumplir con los estándares y regulaciones de la industria. Estas características combinadas con su escalabilidad y soporte multiplataforma ayuda a las organizaciones al cumplimiento técnico de los requerimientos. Wazuh es ampliamente usado en compañías que procesan pagos e instituciones financieras para lograr requerimientos PCI DSS (Payment Card Industry Data Security Standard) . Su interfaz web provee reportes y dashboard que puede ayudar con esta y otras regulaciones (e.g. GPG13 or GDPR). 

Seguridad en la nube

Wazuh ayuda a monitorizar la infraestructura de la nube a nivel de API, utilizando módulos de integración que son capaces de extraer datos de seguridad de proveedores de nube bien conocidos, como Amazon AWS, Azure o Google Cloud. Además, Wazuh proporciona reglas para evaluar la configuración de su entorno en la nube, detectando fácilmente los puntos débiles.

Además, los agentes ligeros y multiplataforma de Wazuh se utilizan habitualmente para supervisar los entornos de la nube a nivel de instancia.

Seguridad de los contenedores

Wazuh proporciona visibilidad de seguridad en sus hosts y contenedores Docker, monitoreando su comportamiento y detectando amenazas, vulnerabilidades y anomalías. El agente de Wazuh tiene una integración nativa con el motor de Docker que permite a los usuarios monitorizar imágenes, volúmenes, configuraciones de red y contenedores en ejecución.

Wazuh recoge y analiza continuamente información detallada en tiempo de ejecución. Por ejemplo, alerta de los contenedores que se ejecutan en modo privilegiado, las aplicaciones vulnerables, un shell que se ejecuta en un contenedor, los cambios en los volúmenes o imágenes persistentes, y otras posibles amenazas.

WUI

El Wazuh WUI proporciona una potente interfaz de usuario para la visualización y el análisis de datos. Esta interfaz también se puede utilizar para gestionar la configuración de Wazuh y para supervisar su estado.

Arquitectura de Wazuh

La arquitectura Wazuh se basa en agentes que se ejecutan en hosts monitoreados que envían datos de registro a un servidor central.

Además, los dispositivos sin agente (como contrafuegos, conmutadores, enrutadores, puntos de accesos, etc.) son compatibles y pueden enviar activamente datos de registro a través de syslog y/o una sonda periódica de sus cambios de configuración para luego enviar los datos al servidor central.

El servidor central decodifica y analiza la información entrante y pasa los resultados a un clúster Elasticsearch para su indexación y almacenamiento.

Componentes

El servidor Wazuh consta de 3 elementos:

• El propio servidor: Analiza los datos recibidos de los agentes, los procesa a través de decodificadores y reglas, y usa inteligencia de amenazas para buscar indicadores de compromiso (IOC) conocidos. Un solo servidor puede analizar datos de cientos o miles de agentes y escalar horizontalmente cuando se configura como un clúster. El servidor también se utiliza para administrar los agentes, configurándolos y actualizándolos de forma remota cuando sea necesario.
• Un agente: Instalado en terminales como portátiles, equipos de escritorio, servidores, instancias en la nube o máquinas virtuales, proporciona capacidades de prevención, detección y respuesta. Es compatible con las plataformas Windows, Linux, MacOS, HP-UX, Solaris y AIX.
• Elastic stack: Indexa y almacena alertas generadas por el servidor Wazuh. Además, la integración entre Wazuh y Kibana proporciona una potente interfaz de usuario para la visualización y el análisis de datos. Esta interfaz también se usa para administrar la configuración de Wazuh y monitorear su estado.

Los agentes de Wazuh son utilizados para almacenar diferentes tipos de datos provenientes de sistemas o aplicaciones. Los datos son transmitidos desde el agente hacia el servidor de Wazuh por medio de un canal encriptado y autenticado. A modo de establecer un canal seguro, se realiza un proceso de registro del agente por medio de una clave pre-compartida.

Los agentes pueden utilizarse para monitorear servidores físicos, virtuales e instancias Cloud y existen para Windows, Linux, Mac, Solaris y BSD.

Hay agentes como el Rootcheck: que realiza múltiples tareas relacionadas con la detección de rootkits, malware y anomalías del sistema y ejecuta ciertas comprobaciones de seguridad básicas contra los archivos de configuración del sistema, el Log collector que lee los mensajes de registro del sistema operativo y de la aplicación, el Syscheck que realiza un monitoreo de integridad de archivos (FMI) y también puede monitorear claves de registros en sistemas Windows. Es capaz de detectar cambios en el contenido de un archivo, la propiedad y otros atributos, así como observar la creación y eliminación de archivos o el OpenSCAP que utiliza los perfiles de seguridad de línea base OVAL (Open Vulnerability Assessment Language) y XCCDF (Extensible Configuration Checklist Descripction Format) publicados para escanear periódicamente un sistema.

Los agentes Wazuh utilizan el protocolo de mensajes OOSEC para enviar eventos recopilados al servidor Wazuh a través del puerto 1514 (UDP o TCP).

El servidor Wazuh luego decodifica y verifica las reglas de los eventos recibidos con el motor de análisis, se encarga de analizar los datos recibidos de los agentes y generar alertas cuando un evento coincide con una regla (por ejemplo cambio de archivo, configuración que no cumple con la política, posible rootkit, etc.)

Fuentes:
https://unpocodejava.com/2022/07/11/un-poco-de-wazuh/

https://www.sysadminsdecuba.com/2022/02/servidor-wazuh-siem/ 

https://esgeeks.com/wazuh-plataforma-seguridad-codigo-abierto/