WAZUH: la plataforma de seguridad de código abierto

Inicia en el mundo de Microsoft .NET con estos cursos.

Wazuh es una plataforma gratuita y de código abierto utilizada para la prevención, detección y respuesta a las amenazas. Es capaz de proteger cargas de trabajo en entornos locales, virtualizados, en contenedores y en la nube.

Wazuh consta de un agente de seguridad para puntos finales, desplegado en los sistemas supervisados, y un servidor de gestión, que recoge y analiza los datos recopilados por los agentes. Además, Wazuh se ha integrado totalmente con Elastic Stack, proporcionando un motor de búsqueda y una herramienta de visualización de datos que permite a los usuarios navegar por sus alertas de seguridad.

Detección de instrusos

Los agentes de Wazuh escanean los sistemas monitorizados en busca de malware, rootkits y anomalías sospechosas. Pueden detectar archivos ocultos, procesos encubiertos o escuchas de red no registradas, así como incoherencias en las respuestas a las llamadas del sistema.

Además de las capacidades de los agentes, el componente del servidor utiliza un enfoque basado en firmas para la detección de intrusiones, utilizando su motor de expresiones regulares para analizar los datos de registro recogidos y buscar indicadores de compromiso.

Análisis de datos de registro

Los agentes de Wazuh leen los registros del sistema operativo y de las aplicaciones, y los envían de forma segura a un gestor central para su análisis y almacenamiento basado en reglas. Cuando no hay ningún agente desplegado, el servidor también puede recibir datos a través de syslog de los dispositivos o aplicaciones de la red.

Las reglas de Wazuh te ayudan a estar al tanto de los errores de las aplicaciones o del sistema, de las malas configuraciones, de los intentos y/o de las actividades maliciosas exitosas, de las violaciones de las políticas y de una variedad de otros problemas de seguridad y operativos.


Monitorización de la integridad de los archivos

Wazuh supervisa el sistema de archivos, identificando los cambios en el contenido, los permisos, la propiedad y los atributos de los archivos que necesita vigilar. Además, identifica de forma nativa a los usuarios y las aplicaciones utilizadas para crear o modificar archivos.

Las capacidades de supervisión de la integridad de los archivos pueden utilizarse en combinación con la inteligencia de amenazas para identificar amenazas o hosts comprometidos. Además, varias normas de cumplimiento normativo, como PCI DSS, lo exigen.

Detección de vulnerabilidad

Los agentes de Wazuh extraen los datos del inventario de software y envían esta información al servidor, donde se correlaciona con las bases de datos CVE (Common Vulnerabilities and Exposure) continuamente actualizadas, con el fin de identificar el software vulnerable conocido.

La evaluación automatizada de vulnerabilidades te ayuda a encontrar los puntos débiles de tus activos críticos y a tomar medidas correctivas antes de que los atacantes los exploten para sabotear tu negocio o robar datos confidenciales.

Evaluación de la configuración

Wazuh supervisa los ajustes de configuración del sistema y de las aplicaciones para garantizar que cumplen con tus políticas de seguridad, estándares y/o guías de endurecimiento. Los agentes realizan exploraciones periódicas para detectar aplicaciones que se sabe que son vulnerables, no tienen parches o están configuradas de forma insegura.

Además, las comprobaciones de configuración se pueden personalizar, adaptándolas para que se ajusten adecuadamente a tu organización. Las alertas incluyen recomendaciones para mejorar la configuración, las referencias y la correspondencia con el cumplimiento de la normativa.

Respuesta a incidentes

Wazuh proporciona respuestas activas listas para usar para llevar a cabo varias contramedidas para hacer frente a las amenazas activas, como bloquear el acceso a un sistema desde el origen de la amenaza cuando se cumplen ciertos criterios.

Además, Wazuh puede utilizarse para ejecutar remotamente comandos o consultas del sistema, identificando indicadores de compromiso (IOC) y ayudando a realizar otras tareas forenses en vivo o de respuesta a incidentes.

Cumplimiento normativo

Wazuh proporciona algunos de los controles de seguridad necesarios para cumplir con las normas y regulaciones de la industria. Estas características, combinadas con su escalabilidad y soporte multiplataforma ayudan a las organizaciones a cumplir con los requisitos de cumplimiento técnico.

Wazuh es ampliamente utilizado por las empresas de procesamiento de pagos y las instituciones financieras para cumplir con los requisitos de PCI DSS (Payment Card Industry Data Security Standard). Su interfaz de usuario web proporciona informes y cuadros de mando que pueden ayudar con esta y otras regulaciones (por ejemplo, GPG13 o GDPR).

Seguridad en la nube

Wazuh ayuda a monitorizar la infraestructura de la nube a nivel de API, utilizando módulos de integración que son capaces de extraer datos de seguridad de proveedores de nube bien conocidos, como Amazon AWS, Azure o Google Cloud. Además, Wazuh proporciona reglas para evaluar la configuración de su entorno en la nube, detectando fácilmente los puntos débiles.

Además, los agentes ligeros y multiplataforma de Wazuh se utilizan habitualmente para supervisar los entornos de la nube a nivel de instancia.

Seguridad de los contenedores

Wazuh proporciona visibilidad de seguridad en sus hosts y contenedores Docker, monitoreando su comportamiento y detectando amenazas, vulnerabilidades y anomalías. El agente de Wazuh tiene una integración nativa con el motor de Docker que permite a los usuarios monitorizar imágenes, volúmenes, configuraciones de red y contenedores en ejecución.

Wazuh recoge y analiza continuamente información detallada en tiempo de ejecución. Por ejemplo, alerta de los contenedores que se ejecutan en modo privilegiado, las aplicaciones vulnerables, un shell que se ejecuta en un contenedor, los cambios en los volúmenes o imágenes persistentes, y otras posibles amenazas.

Wui

El Wazuh WUI proporciona una potente interfaz de usuario para la visualización y el análisis de datos. Esta interfaz también se puede utilizar para gestionar la configuración de Wazuh y para supervisar su estado.

Wazuh

Queremos seguir creando cursos gratuitos en nuestro canal de YouTube. Solo te pedimos tu ayuda para crecer más. Suscríbete por favor. (Cursos, talleres y charlas gratis para ti).

Ernesto Mota
Nací en el d.f., sigo siendo defeño, hoy radico en la hermosa ciudad de Cuernavaca, Morelos, soy Ing. en Sistemas computacionales, con un posgrado en Tecnologías de información, Doctorando en ambientes virtuales de aprendizaje y realidad aumentada, Tecnólogo es mi categoría laboral, y mi linea de investigación es la realidad aumentada aplicada a nuevos entornos de aprendizaje.

Últimos artículos

a

Publicasciones relaciodadas