Estimados amigos de Inseguros !!!
Seguimos con la serie sobre Wazuh, y hoy vamos a tocar una de las partes más básicas y más importantes a la vez: las alertas. Pero recuerda, aquí te comentamos «cosas» , si quieres aprender de verdad, tienes un pedazo de curso de Wazuh Low Cost, y un pack más avanzado con Wazuh y Azure Sentinel…
Porque al final, cuando alguien monta un SIEM, una de las primeras expectativas que tiene es bastante simple: quiero enterarme de cosas. Quiero saber cuándo pasa algo relevante. Quiero ver eventos que merecen atención. Quiero que el sistema me avise.
Eso, dicho así, parece muy obvio. Pero luego se queda en la famosa pantalla para que tu jefe al entrar vea «cosas de informáticos» xD xD xD
Pero luego la realidad es que muchas veces se instala una herramienta, se conectan fuentes, empiezan a llegar eventos… y nadie termina de tener claro qué convierte un evento en alerta, dónde se guarda, cómo se clasifica o cómo se reenvía para que tenga utilidad operativa.
Y aquí Wazuh, como cualquier tecnología de este tipo, tiene una lógica bastante clara.
Las alertas se generan cuando los eventos recogidos por un agente coinciden con una regla. Es decir, no cualquier evento acaba siendo una alerta. Primero hay un evento. Luego ese evento se procesa. Y si encaja con una regla definida, entonces se genera la alerta correspondiente. Después, esa alerta queda almacenada, por defecto, en formato JSON dentro de alerts.json.
Esto es importante entenderlo bien porque cambia bastante la forma de pensar.
Wazuh no está simplemente acumulando cosas y lanzando avisos al azar. Hay una lógica de detección detrás. Hay reglas. Hay condiciones. Y eso significa que, para sacar valor de la herramienta, no basta con “mirar qué sale”. Hay que entender qué reglas existen, qué eventos disparan esas reglas y qué importancia le das a cada caso.
Porque cuando alguien empieza con monitorización, muchas veces se fija solo en el mensaje bonito del dashboard. Pero una alerta no es solo una frase llamativa. Es una pieza de información estructurada. Y entender bien esa estructura ayuda mucho luego a priorizar, investigar y construir mejores casos de uso.
Luego viene una parte que también tiene bastante valor práctico: el reenvío de alertas.
Porque una alerta que solo existe en el dashboard está bien… hasta que nadie mira el dashboard. Y eso pasa más de lo que debería. Por eso resulta útil poder redirigir alertas a otros sistemas, como correo electrónico, bases de datos o syslog. En el material se trabaja sobre todo con el envío por email, que sigue siendo una opción bastante razonable para determinados escenarios, sobre todo cuando quieres notificaciones directas de ciertos niveles de severidad.
Además, hay un detalle importante: no todo tiene por qué notificarse.
De hecho, normalmente no debería.
En la configuración se define un nivel mínimo de criticidad a partir del cual una alerta se envía. Esto tiene bastante sentido, porque si mandas absolutamente todo, dejas de tener alertas y pasas a tener ruido por correo. Y cuando todo es urgente, no hay nada urgente.
Aquí entra una idea bastante útil para cualquiera que esté montando monitorización de verdad: una alerta no solo tiene que existir, tiene que llegar de forma proporcionada. Algunas cosas merecen verse en consola. Otras merecen email. Otras igual deberían ir a un canal de coordinación del equipo. Y otras, sinceramente, no deberían molestar a nadie fuera del histórico.
La monitorización no consiste solo en detectar. También consiste en enrutar bien la información. Hacer que llegue donde toca. Ponerla al servicio del equipo. Y adaptar el aviso al flujo real de trabajo. Porque una alerta bien diseñada pero mal distribuida acaba sirviendo bastante menos de lo que podría.
Porque entender alertas no es solo saber que “saltó algo”. Es aprender cómo se generan, cómo se priorizan, cómo se envían y cómo se integran en una operativa real de monitorización.
Seguiremos con más partes de Wazuh, porque precisamente estas bases son las que luego permiten entender mejor cosas más avanzadas: reglas, correlación, hunting, integraciones y casos prácticos de detección.
Gracias por leerme !!!
