Tutoriales y Manuales
Entradas Mensuales
-
►
2024
(Total:
1090
)
- ► septiembre (Total: 50 )
-
►
2023
(Total:
710
)
- ► septiembre (Total: 65 )
-
▼
2022
(Total:
967
)
-
▼
noviembre
(Total:
78
)
- Disponible qBittorrent 4.5
- Meta es multada en Europa con 265M€ por no cumplir...
- Proyecto OWASP: cabeceras de seguridad
- Estados Unidos prohíbe equipos de telecomunicacion...
- Puppet: la navaja suiza para la automatización de ...
- ¿Qué es la función Overdrive de un monitor?
- A la venta casi 500 millones de números de teléfon...
- MEGA Backup, nueva función de copia de seguridad p...
- En San Francisco (EE.UU.) los robots policía ya ti...
- Stable Diffusion 2.0, una AI capaz de sintetizar y...
- Reino Unido pide desconectar cámaras de seguridad ...
- La webcam cumple 31 años y nació para vigilar una ...
- Detectan páginas falsas de MSI Afterburner que min...
- Adobe te obliga a pagar una suscripción para rotar...
- Pagar para desbloquear toda la potencia de los Mer...
- Llevar tu PC o portátil a reparar puede poner en r...
- Los trabajadores del iPhone (FoxConn) en China se ...
- Europa tiene 2 de los 5 superodenadores más potent...
- Generali sufre un ciberataque a sus sistemas de in...
- La página web del Parlamento Europeo, víctima de u...
- Intel On Demand: el pago por desbloquear caracterí...
- Prohiben en las escuelas de Francia usar versiones...
- Wazuh: plataforma de seguridad de código abierto
- Twitter e Instagram preparan el cifrado de extremo...
- Polícia Italiana crea servicio IPTV falso para pod...
- Vanuatu: un país entero paralizado por un ataque d...
- Google pagó 360M$ a Activision Blizzard para evita...
- Donald Trump vuelve a Twitter tras la ajustada enc...
- La nueva Inteligencia Artificial de Google es capa...
- ¿Qué es el Subsistema de Windows para Linux? WSL
- La NSA recomienda dejar de usar C y C++ por altern...
- Meta descubre a más empleados vendiendo cuentas de...
- Arrestados dos rusos responsables de Z-Library, un...
- Los empleados de Twitter dimiten en masa tras el u...
- Tecnología de Intel FakeCatcher es capaz de detect...
- La VPN de Google One disponible para Windows y Mac
- La UE estudia mandar al espacio los centros de dat...
- Seagate presenta discos duros tan rápidos como los...
- Google implementará Privacy Sandbox en Android 13 ...
- Las peores contraseñas del 2022
- Activar el bloqueo dinámico en Windows 10-11 usand...
- PayPal te cobrará una comisión si no la utilizas e...
- Polícia de España desarticula red contenidos pirat...
- Google acuerda pagar una multa de 391 millones $ p...
- El CEO de FTX había implementado una puerta traser...
- C1b3rWall Academy: edición 2022‑2023 del curso gra...
- Dimiten de Twitter los directores de seguridad y p...
- Apple podría estar rastreando a sus usuarios aunqu...
- Detenido un importante operador ruso del ransomwar...
- Un hackeo roba a Hacienda de España datos de medio...
- El Gobierno de Catar hackeó a la FIFA para obtener...
- Crean un casco de realidad virtual que te mata de ...
- Diferencias entre Proxy's, VPN's y TOR
- Las nuevas cuentas verificadas de pago crean confu...
- Mozilla se plantea seguir dando soporte a Firefox ...
- Robados a Telefónica 2 millones de € en iPhones de...
- Herramienta oculta de Facebook te permite eliminar...
- EE.UU. incauta U$S1,4 mil millones en Bitcoin roba...
- ¿Qué es Mastodon? el Twitter descentralizado
- Orange España sufre una filtración de datos privad...
- Encuentran software Gimp con malware en la primera...
- Aumentan los intentos de robo de cuentas verificad...
- Elon Musk despide por error trabajadores de Twitte...
- PortMaster es una aplicación gráfica cortafuegos b...
- El fabricante alemán de neumáticos Continental es ...
- Cómo escanear códigos QR de forma segura
- China podrá acceder a los datos de usuarios europe...
- Un exempleado de Apple se enfrenta a 25 años de pr...
- AMD presenta nuevas tarjetas gráficas Radeon RX 79...
- Flipper Zero: dispositivo para pruebas radiofrecue...
- Google dice adiós a Hangouts y a la app de Street ...
- Elon Musk tiene previsto despedir a la mitad de lo...
- EnCodec es el nuevo códec de audio de Meta
- Los parches de OpenSSL ya están disponibles
- La Guardia Civil detiene a un menor de 17 años por...
- Hackearon el teléfono personal de Liz Truss
- Vulnerabilidades en la interfaz web de dispositivo...
- Elon Musk cobrará 8$ al mes en Twitter por la veri...
- ► septiembre (Total: 72 )
-
▼
noviembre
(Total:
78
)
-
►
2021
(Total:
730
)
- ► septiembre (Total: 56 )
-
►
2020
(Total:
212
)
- ► septiembre (Total: 21 )
-
►
2019
(Total:
102
)
- ► septiembre (Total: 14 )
-
►
2017
(Total:
231
)
- ► septiembre (Total: 16 )
-
►
2016
(Total:
266
)
- ► septiembre (Total: 38 )
-
►
2015
(Total:
445
)
- ► septiembre (Total: 47 )
-
►
2014
(Total:
185
)
- ► septiembre (Total: 18 )
-
►
2013
(Total:
100
)
- ► septiembre (Total: 3 )
-
►
2011
(Total:
7
)
- ► septiembre (Total: 1 )
Blogroll
Etiquetas
Entradas populares
-
Después de ver qué es una vCPU y la diferencia entre núcleos (cores) e hilos en los procesadores, pasamos a explicar toda la nomenclatura d...
-
iperf3 es la última versión del popular programa iperf para medir el ancho de banda entre dos o más equipos en red local o Internet . Es...
-
A finales del mes de agosto hablábamos de que los legisladores estadounidense habían solicitado la investigación de TP-Link . Y así, ya ten...
Wazuh: plataforma de seguridad de código abierto
Wazuh es una plataforma gratuita y de código abierto utilizada para la prevención, detección y respuesta a las amenazas. Es capaz de proteger cargas de trabajo en entornos locales, virtualizados, en contenedores y en la nube. Permite integración con otras conocidas herramientas como Yara, VirusTotal, o Suricata.
La solución Wazuh consta de un agente de seguridad para puntos finales, desplegado en los sistemas supervisados, y un servidor de gestión, que recoge y analiza los datos recopilados por los agentes. Además, Wazuh se ha integrado totalmente con Elastic Stack, proporcionando un motor de búsqueda y una herramienta de visualización de datos que permite a los usuarios navegar por sus alertas de seguridad.
Detección de intrusos
Los agentes de Wazuh escanean los sistemas monitorizados en busca de malware, rootkits y anomalías sospechosas. Pueden detectar archivos ocultos, procesos encubiertos o escuchas de red no registradas, así como incoherencias en las respuestas a las llamadas del sistema.
Además de las capacidades de los agentes, el componente del servidor utiliza un enfoque basado en firmas para la detección de intrusiones, utilizando su motor de expresiones regulares para analizar los datos de registro recogidos y buscar indicadores de compromiso.
Análisis de datos de registro (logs)
Los agentes de Wazuh leen los registros del sistema operativo y de las aplicaciones, y los envían de forma segura a un gestor central para su análisis y almacenamiento basado en reglas. Cuando no hay ningún agente desplegado, el servidor también puede recibir datos a través de syslog de los dispositivos o aplicaciones de la red.
Las reglas de Wazuh te ayudan a estar al tanto de los errores de las aplicaciones o del sistema, de las malas configuraciones, de los intentos y/o de las actividades maliciosas exitosas, de las violaciones de las políticas y de una variedad de otros problemas de seguridad y operativos.
Monitorización de la integridad de los archivos
Wazuh supervisa el sistema de archivos, identificando los cambios en el contenido, los permisos, la propiedad y los atributos de los archivos que necesita vigilar. Además, identifica de forma nativa a los usuarios y las aplicaciones utilizadas para crear o modificar archivos.
Las capacidades de supervisión de la integridad de los archivos pueden utilizarse en combinación con la inteligencia de amenazas para identificar amenazas o hosts comprometidos. Además, varias normas de cumplimiento normativo, como PCI DSS, lo exigen.
Detección de vulnerabilidades
Los agentes de Wazuh extraen los datos del inventario de software y envían esta información al servidor, donde se correlaciona con las bases de datos CVE (Common Vulnerabilities and Exposure) continuamente actualizadas, con el fin de identificar el software vulnerable conocido.
La evaluación automatizada de vulnerabilidades te ayuda a encontrar los puntos débiles de tus activos críticos y a tomar medidas correctivas antes de que los atacantes los exploten para sabotear tu negocio o robar datos confidenciales.
Respuesta a incidentes
Wazuh proporciona respuestas activas listas para usar para llevar a cabo varias contramedidas para hacer frente a las amenazas activas, como bloquear el acceso a un sistema desde el origen de la amenaza cuando se cumplen ciertos criterios.
Además, Wazuh puede utilizarse para ejecutar remotamente comandos o consultas del sistema, identificando indicadores de compromiso (IOC) y ayudando a realizar otras tareas forenses en vivo o de respuesta a incidentes.
Cumplimiento Normativa
Wazuh provee algunos de los controles de seguridad necesarios para cumplir con los estándares y regulaciones de la industria. Estas características combinadas con su escalabilidad y soporte multiplataforma ayuda a las organizaciones al cumplimiento técnico de los requerimientos. Wazuh es ampliamente usado en compañías que procesan pagos e instituciones financieras para lograr requerimientos PCI DSS (Payment Card Industry Data Security Standard) . Su interfaz web provee reportes y dashboard que puede ayudar con esta y otras regulaciones (e.g. GPG13 or GDPR).
Seguridad en la nube
Wazuh ayuda a monitorizar la infraestructura de la nube a nivel de API, utilizando módulos de integración que son capaces de extraer datos de seguridad de proveedores de nube bien conocidos, como Amazon AWS, Azure o Google Cloud. Además, Wazuh proporciona reglas para evaluar la configuración de su entorno en la nube, detectando fácilmente los puntos débiles.
Además, los agentes ligeros y multiplataforma de Wazuh se utilizan habitualmente para supervisar los entornos de la nube a nivel de instancia.
Seguridad de los contenedores
Wazuh proporciona visibilidad de seguridad en sus hosts y contenedores Docker, monitoreando su comportamiento y detectando amenazas, vulnerabilidades y anomalías. El agente de Wazuh tiene una integración nativa con el motor de Docker que permite a los usuarios monitorizar imágenes, volúmenes, configuraciones de red y contenedores en ejecución.
Wazuh recoge y analiza continuamente información detallada en tiempo de ejecución. Por ejemplo, alerta de los contenedores que se ejecutan en modo privilegiado, las aplicaciones vulnerables, un shell que se ejecuta en un contenedor, los cambios en los volúmenes o imágenes persistentes, y otras posibles amenazas.
WUI
El Wazuh WUI proporciona una potente interfaz de usuario para la visualización y el análisis de datos. Esta interfaz también se puede utilizar para gestionar la configuración de Wazuh y para supervisar su estado.
Arquitectura de Wazuh
La arquitectura Wazuh se basa en agentes que se ejecutan en hosts monitoreados que envían datos de registro a un servidor central.
Además, los dispositivos sin agente (como contrafuegos, conmutadores, enrutadores, puntos de accesos, etc.) son compatibles y pueden enviar activamente datos de registro a través de syslog y/o una sonda periódica de sus cambios de configuración para luego enviar los datos al servidor central.
El servidor central decodifica y analiza la información entrante y pasa los resultados a un clúster Elasticsearch para su indexación y almacenamiento.
Componentes
El servidor Wazuh consta de 3 elementos:
- El propio servidor: Analiza los datos recibidos de los agentes, los procesa a través de decodificadores y reglas, y usa inteligencia de amenazas para buscar indicadores de compromiso (IOC) conocidos. Un solo servidor puede analizar datos de cientos o miles de agentes y escalar horizontalmente cuando se configura como un clúster. El servidor también se utiliza para administrar los agentes, configurándolos y actualizándolos de forma remota cuando sea necesario.
- Un agente: Instalado en terminales como portátiles, equipos de escritorio, servidores, instancias en la nube o máquinas virtuales, proporciona capacidades de prevención, detección y respuesta. Es compatible con las plataformas Windows, Linux, MacOS, HP-UX, Solaris y AIX.
- Elastic stack: Indexa y almacena alertas generadas por el servidor Wazuh. Además, la integración entre Wazuh y Kibana proporciona una potente interfaz de usuario para la visualización y el análisis de datos. Esta interfaz también se usa para administrar la configuración de Wazuh y monitorear su estado.
Los agentes de Wazuh son utilizados para almacenar diferentes tipos de datos provenientes de sistemas o aplicaciones. Los datos son transmitidos desde el agente hacia el servidor de Wazuh por medio de un canal encriptado y autenticado. A modo de establecer un canal seguro, se realiza un proceso de registro del agente por medio de una clave pre-compartida.
Los agentes pueden utilizarse para monitorear servidores físicos, virtuales e instancias Cloud y existen para Windows, Linux, Mac, Solaris y BSD.
Hay agentes como el Rootcheck: que realiza múltiples tareas relacionadas con la detección de rootkits, malware y anomalías del sistema y ejecuta ciertas comprobaciones de seguridad básicas contra los archivos de configuración del sistema, el Log collector que lee los mensajes de registro del sistema operativo y de la aplicación, el Syscheck que realiza un monitoreo de integridad de archivos (FMI) y también puede monitorear claves de registros en sistemas Windows. Es capaz de detectar cambios en el contenido de un archivo, la propiedad y otros atributos, así como observar la creación y eliminación de archivos o el OpenSCAP que utiliza los perfiles de seguridad de línea base OVAL (Open Vulnerability Assessment Language) y XCCDF (Extensible Configuration Checklist Descripction Format) publicados para escanear periódicamente un sistema.
Los agentes Wazuh utilizan el protocolo de mensajes OOSEC para enviar eventos recopilados al servidor Wazuh a través del puerto 1514 (UDP o TCP).
El servidor Wazuh luego decodifica y verifica las reglas de los eventos recibidos con el motor de análisis, se encarga de analizar los datos recibidos de los agentes y generar alertas cuando un evento coincide con una regla (por ejemplo cambio de archivo, configuración que no cumple con la política, posible rootkit, etc.)
Fuentes:
https://unpocodejava.com/2022/07/11/un-poco-de-wazuh/
https://www.sysadminsdecuba.com/2022/02/servidor-wazuh-siem/
https://esgeeks.com/wazuh-plataforma-seguridad-codigo-abierto/
0 comentarios :
Publicar un comentario
Los comentarios pueden ser revisados en cualquier momento por los moderadores.
Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.
Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.