Gestión de Vulnerabilidades con Wazuh
Tienes una pequeña granja de servidores y necesitas gestionar e identificar las vulnerabilidades. Con Wazuh puedes hacerlo sin ningún tipo de licenciamiento. Aquí te mostramos como hacerlo en unos sencillos pasos.
Wazuh server es una herramienta de código abierto enfocado en seguridad. Existen módulos e integraciones que lo pueden llevar desde un syslog, un SIEM hasta un SOC.
En esta ocasión mostraremos como gestionar las vulnerabilidades de nuestros servidores utilizando Wazuh y sin requerir adquirir ningún tipo de licenciamiento.
Los requisitos mínimos recomendados para instalar Wazuh se detallan en la página del desarrollador. Wazuh puede tener módulos dispersos que le ayudan a comportarse de mejor manera en ambientes complejos. Pero siendo este un laboratorio, instalaremos todos los componentes en el mismo servidor.
Este laboratorio constará de 3 partes.
- Instalación de servidor.
- Ubuntu 20.04
- 4 Gb de RAM
- 4 Cores
- 500 Gb de Disco Duro (Expansión dinámica)
- Ubuntu 20.04
- Instalación del agente
- Windows 2019 Server
- 4 Gb de RAM
- 50 Gb de Disco Duro
- 2 Cores
- Windows 2019 Server
- Habilitar la Gestión de Vulnerabilidades en Wazuh.
Instalación del servidor
Para instalar el servidor, utilizaremos el script para instalación desatendida. Este instalará todos los componentes de Wazuh en un solo servidor (Dashboard, indexer y Servidor).
sudo curl -so ~/unattended-installation.sh https://packages.wazuh.com/resources/4.2/open-distro/unattended-installation/unattended-installation.sh && bash ~/unattended-installation.sh
Al finalizar el script, es necesario guardar las contraseñas que se generarán. Ingresamos a la url de nuestro servidor (https://IP ) y nos solicitará la contraseña generada al finalizar el script para el usuario "wazuh".
Instalación de Agente.
Al iniciar sesión por primera vez se nos indicará que no tenemos agentes desplegados. Podemos descargar el agente y desplegarlo mediate políticas de grupo a nuestra granja. Yo lo descargué y lo coloqué físicamente en nuestro cliente a monitorear, un servidor Windows 2019.
Ejecuté el siguiente comando:
.\wazuh-agent-4.2.5.msi /q WAZUH_MANAGER='192.168.101.53' WAZUH_REGISTRATION_SERVER='192.168.101.53' WAZUH_AGENT_GROUP='default'
Esto creará un servicio denominado Wazuh en la lista de servicios del sistema operativo. Hay que iniciarlo y nuestro cliente se conectará al servidor Wazuh.
Para este laboratorio me aseguré que el servicio "Windows Update" del cliente Windows 2019 no estuviera corriendo (para evitar actualizaciones automáticas).
Habilitar Gestion de Vulnerabilidades en Wazuh.
Ya que tenemos conectado nuestro cliente Windows 2019 a nuestro servidor Wazuh, configuramos el servicio de análisis de vulnerabilidades para detectar la cantidad y criticidad de vulnerabilidades en nuestro Windows 2019.
Mediante ssh nos conectamos al servidor Wazuh y editamos el siguiente archivo: /var/ossec/etc/ossec.conf
Habilitamos el servicio cambiando "no" a "yes" y para este laboratorio, cambiamos "6h" a "1h". Una vez finalizado el cambio, nos aseguramos que la detección para el sistema operativo que necesitamos esté en la lista. En este caso, Windows.
Para finalizar, guardamos y reiniciamos el servicio:
systemctl restart wazuh-manager
Esperamos la hora que configuramos y, si todo salió bien, podremos ver las vulnerabilidades detectadas.
Resumen:
¿Como lo hace? La magia la puedes consultar en:
How it works - Vulnerability detection · Wazuh documentation
![Ron Wyden - NSA Compra Ilegalmente [Meta]Datos de Americanos](https://www.rootednations.com/uploads/images/202401/image_750x415_65b5e777aa9d8.jpg)
