Estimados amigos de Inseguros ¡!!
En esta ocasión, vamos a por otro buen rato de pérdida de tiempo, esta vez de mi compañero, y un poco del mío.
El propósito de este post es aprender un poquito de wazuh, pero sobre todo, de lecciones de la vida que no te da la IA, de momento xD
Escenario, tenemos un dc+win10+wazuh para nuestras pruebas del curso de Wazuh.
No lo usamos a diario, ya que mi trabajo principalmente lo desarrollo en Sentinel, en cuanto a monitorización. Por eso tenemos el mejor curso de monitorización Azure/Office del mercado, pero bueno…
Después de varias semanas sin tocarlo, le encargo a mi compañero que ejecute un TTP clásico de ataque en Windows, y que compruebe la detección en Wazuh, para crear la alerta, etc…
Resulta que está parado Wazuh. Estas cosas que tienen estos equipos. Si hubiera estado en producción, no me hubiera enterado. Sentinel NUNCA SE CAE, porque es un SaaS, pero bueno… lo primero que le digo es, Linux? Df -h . Ya sabes, el disco suele ser un claro “detonador” de que pare algo en Linux… lleno.
Empezamos a pelear con Claude, porque mi compañero no sabe muy bien como va el almacenamiento. Tienes por un lado los logs que vienen de Ossec, digamos raw, y luego los logs en el Indexer, lo que sería la BBDD. Empieza la pelea de comandos… para liberar espacio.
Luego la pelea se convierte en que no llegan los logs… reiniciamos agente, re-instalamos. Y Wazuh tira por ahí… MAL, MAL, MAL, si “ayer” funcionaba, no te líes con los privilegios de la cuenta de servicio…
Re-instalamos en el windows 10, y también, por lo que pinta que es del server. Se lía con los índices, al estilo Elastic ( te has peleado alguna vez con ELK? Aguita…)
Cuando digo se lía, es 20.000 comandos, intentos, y mareos. Frustración, etc…
Luego el siguiente paso, llegan logs pero solo de la rama Application. No seguridad… empieza el tercer round…
Después de mucha insistencia, me pasa el marrón mi compi a mí. Yo estaba pendiente, pero aún no le había pegado fuego a todo.
Mucho mucho mucho cabreo, una mañana entera de una persona, un rato de los dos. Coste? Un disparate.
Solución al problema de Wazuh
¿Qué pasaba? Este fin de semana en España se cambia la hora. Todo esto lo tenemos en Azure, en una región random, con una idioma EEUU y sin tocar la fecha… Había varias horas de diferencia, y en dashboard de wazuh teníamos pueeso “ los últimos 30 minutos”, y como son servers de pruebas, que no tienen muchos eventos, no se veían.
¿Cómo me di cuenta de esto? Pues porque soy viejo. Cuando dos sistemas no “conectan”. Lo básico es “ping”, es decir, conectividad de red, luego dns, siempre es el dns dicen por ahí xD y luego es la hora… esto es de MANUAL, pero mi compañero es más joven, y sabe mucho de otras cosas, de esto no. Y Claude, al igual que otros LLM, es experto en liarse como las pelotas, y no pensar como un humano con experiencia, porque no es humano, y su “experiencia” no es tal.
10 horas de trabajo perdidas a la basura.
Yo con mi mujer tengo un chiste, sobre Ikea, porque soy muy malo montando estos armarios del demonio, no se me da bien. y en algún “deploy” de muebles en casa, yo “peleaba” ( de risas) con mi mujer, diciéndole que hay muebles que requieren de sierra eléctrica, que cuando faltan agujeros o algo no encaja, es normal tener que usar sierras xD xD xD mi mujer insiste en que no, que soy yo que no lo está haciendo bien ( SIEMPRE TIENE LA RAZÓN).
Pues con estos LLM pasa muchas veces lo mismo.
Ya perdí dos días hace poco arreglando Openvas, cuando re-instalarlo me costó 20 minutos. Eso sí, aprendí de Linux que no veas xD xD xD
Te suena todo esto? A ti te pasan estas cosas?
Gracias por leerme ¡!!
