Estimados amigos de Inseguros !!!
Seguimos con Wazuh, ahora toca la gestión de vulnerabilidades.
Porque cuando alguien escucha “SIEM”, muchas veces piensa solo en logs, alertas, correlación y dashboards. Pero en la práctica, un analista SOC necesita bastante más contexto que eso. Necesita saber qué está pasando, sí. Pero también dónde tiene más riesgo, qué activos están más expuestos y qué debilidades pueden ser explotadas antes incluso de que exista un incidente visible.
Aquí es donde entra bien Wazuh.
Uno de los enfoques interesantes que tiene esta tecnología es que no se limita a recoger eventos. También puede ayudarnos a identificar software vulnerable en los equipos monitorizados. Es decir, no solo vemos actividad: también podemos detectar debilidad técnica conocida en los endpoints, relacionándola con CVEs y con niveles de severidad.
Y esto, aunque parezca una función “secundaria”, en realidad tiene bastante valor operativo.
La lógica es sencilla. Primero se identifica el software instalado en el agente. Después, esa información se envía al servidor de Wazuh, donde se compara con bases de datos de vulnerabilidades conocidas. A partir de ahí, el sistema determina si existen coincidencias, calcula su severidad siguiendo CVSS y genera las alertas correspondientes.
Dicho de forma menos bonita: Wazuh puede decirte que en ese servidor o en ese endpoint hay software que ya tiene problemas de seguridad conocidos, y además ayudarte a priorizar si estás ante algo bajo, medio, alto o crítico.
Y eso cambia bastante la película.
Porque gestionar vulnerabilidades no consiste en acumular listados infinitos de fallos para luego meterlos en un Excel y olvidarte de ellos. El proceso serio empieza con la identificación, sigue con la evaluación de criticidad, luego con la priorización del riesgo, después con la remediación y termina verificando si realmente se corrigió el problema. El objetivo final no es tener informes bonitos, sino reducir superficie de ataque y evitar explotación real.
Ese punto es importante.
Muchos entornos tienen alertas, incluso muchas alertas, pero no siempre tienen una visión clara de qué vulnerabilidades presentes en sus sistemas deberían preocuparles más. Y en un SOC, donde el tiempo vale oro, priorizar bien no es un lujo. Es una necesidad.
Además, este tipo de información se puede combinar con automatización y notificaciones. En función del nivel de severidad, podemos configurar avisos por correo o integraciones con canales como Telegram o Discord, de forma que las vulnerabilidades más graves no queden perdidas en mitad del ruido habitual de la consola.
A nivel práctico, la mecánica en Wazuh pasa por habilitar el módulo de detección de vulnerabilidades en la configuración del manager. En versiones antiguas aparece con una etiqueta distinta a la de versiones más modernas, pero la idea es la misma: activar la funcionalidad, hacer que arranque con el servicio y reiniciar el manager para que empiece a trabajar.
Después de eso, si el agente está reportando correctamente, Wazuh empezará a mostrar las vulnerabilidades detectadas, asociándolas al equipo correspondiente y clasificándolas por severidad. En el ejemplo de la lección se trabaja con un Windows Server 2019, pero el planteamiento general es extrapolable a muchos otros casos de laboratorio o de entorno real.
Y aquí hay otra idea interesante para quien esté aprendiendo.
Si quieres montar pruebas de verdad y no quedarte solo en la demo bonita, una buena opción es instalar versiones antiguas de software en un equipo de laboratorio y comprobar cómo Wazuh las detecta. Eso te permite entender mucho mejor qué inventario recoge el agente, cómo cruza la información con las bases de vulnerabilidades y qué tipo de visibilidad vas a obtener luego en dashboard.
Este tipo de ejercicios son los que separan el “he visto una consola” del “entiendo cómo funciona una tecnología en un caso útil”.
Y también ayudan a ver algo que yo repito mucho: el trabajo de un analista SOC no va solo de mirar pantallas. Va de entender contexto técnico, priorizar, relacionar señales y apoyar decisiones de defensa que tengan sentido. Wazuh puede ser muy buena puerta de entrada para eso, y más aún si se combina con otras aproximaciones y otras plataformas de monitorización.
Porque al final no se trata de casarse con una herramienta. Se trata de aprender cómo piensa un entorno de operaciones de seguridad, qué información aporta cada tecnología y cómo convertir eso en criterio técnico. Hoy puedes verlo con Wazuh. Mañana te tocará cruzarlo con otras piezas, con otros logs o con plataformas como Microsoft Sentinel, que responden a contextos distintos pero comparten muchas bases operativas.
Seguiremos con más posts de Wazuh, viendo partes concretas que sí merecen la pena y que, bien entendidas, ayudan bastante a construir una visión práctica del trabajo en monitorización y detección, pero si quieres aprender de verdad, apúntate al curso de Wazuh o al pack de cursos de experto analista SOC.
Gracias por leerme !!!
