Estimados amigos de Inseguros !!!
Seguimos con la serie de Wazuh, y hoy toca uno de esos módulos que, sin hacer mucho ruido, puede dar bastante juego en un entorno real: el FIM.
FIM viene de File Integrity Monitoring. Dicho en cristiano, vigilar archivos y rutas para saber cuándo cambian, cuándo aparece algo nuevo o cuándo alguien toca algo que no debería haber tocado.
Porque muchas veces nos obsesionamos con grandes ataques, con malware sofisticado, con correlaciones muy bonitas y con dashboards llenos de colores. Pero luego resulta que en una máquina alguien modifica un archivo sensible, te mete un fichero nuevo en una ruta importante, altera una configuración crítica o cambia algo en una carpeta que nadie estaba vigilando… y eso ya te puede montar una fiesta curiosa.
La idea es poder auditar en tiempo real determinadas rutas y archivos del sistema. No solo un fichero concreto, sino también directorios completos, de forma que si se crea, modifica o altera algo dentro de ellos, el sistema lo detecte y lo refleje como evento.
A mí este tipo de módulo me gusta porque aterriza muy bien la seguridad en algo que cualquiera entiende.
El módulo FIM trabaja apoyándose en dos bases de datos. Una está en el propio agente, es decir, en la máquina monitorizada, ya sea Windows, Linux o macOS. La otra se encuentra en el servidor de Wazuh. Lo que ocurre en el endpoint se registra localmente y luego se sincroniza con el servidor, donde entran en juego reglas y generación de alertas.
Esto es importante entenderlo porque ayuda a ver que no estamos hablando solo de “mirar una carpeta”. Estamos hablando de un flujo completo: monitorización en el agente, sincronización con el manager, aplicación de reglas y generación de eventos visibles en el dashboard.
Luego viene la parte práctica, que además es bastante sencilla de comprender.
Se configura syscheck en el agente, indicando qué rutas o archivos queremos auditar. En el ejemplo de la lección se hace sobre un agente Windows, añadiendo tanto un archivo concreto como una ruta más amplia, y activando además el modo en tiempo real. Después se reinicia el servicio del agente para que la configuración entre en funcionamiento.
Y a partir de ahí ya empiezan a salir cosas útiles.
En el laboratorio se modifica un archivo llamado prueba.txt y se crea otro archivo nuevo en la ruta monitorizada. ¿Resultado? Wazuh registra ambos eventos: el archivo modificado y el archivo añadido, mostrando esa actividad en el dashboard.
Esto parece básico, pero no lo es tanto.
Porque si piensas en escenarios reales, este tipo de visibilidad puede servir para muchas cosas. Cambios no autorizados en scripts. Alteraciones en ficheros de configuración. Aparición de archivos inesperados. Modificaciones en rutas sensibles. Incluso movimientos previos o posteriores a un incidente más grande. Muchas veces el rastro de que algo va mal no empieza en una gran alerta. Empieza en un pequeño cambio donde no tocaba. Y si nadie lo está mirando, se te escapa. La idea de que FIM puede usarse sobre “rutas más expuestas” o especialmente sensibles aparece de forma bastante clara en la lección.
Además, este tipo de módulo tiene una ventaja muy importante para quien está aprendiendo monitorización y análisis.
Te obliga a pensar como alguien que protege sistemas de verdad.
No basta con instalar Wazuh y esperar a que “detecte cosas”. Hay que decidir qué merece vigilancia. Qué rutas son sensibles. Qué archivos tienen valor. Qué cambios serían normales y cuáles deberían levantar la ceja. Ahí es donde empieza a aparecer el criterio, que al final vale bastante más que saber pulsar botones en una consola.
También encaja muy bien con otras piezas que ya hemos ido viendo en esta serie. Por ejemplo, con trazabilidad, con auditoría, con cumplimiento, con investigación de incidentes o con la simple necesidad de tener más contexto sobre lo que está ocurriendo en un endpoint. Al final, un SOC no vive solo de eventos de red o de inicios de sesión. Vive de contexto. Y FIM añade bastante contexto útil.
Porque entender Wazuh no es solo aprender a ver alertas. Es aprender para qué sirve cada módulo, qué problema resuelve y cómo encaja en un trabajo real de monitorización. Ya sabes que tienes el curso de Wazuh a MUY BAJO COSTE
Seguiremos con más partes de Wazuh, porque precisamente este tipo de módulos son los que ayudan a construir una visión más seria y más práctica de lo que supone trabajar en detección y operación de seguridad.
Gracias por leerme !!!
