Estimados amigos de Inseguros !!!
Hoy vamos a hablar de Wazuh. He hablado varias veces de este SIEM, y algunos sabéis que no es mi favorito. Yo soy de Azure Sentinel, por eso tengo el curso potente de este SIEM en la academia, pero entiendo que hay empresas que optan por esta solución, y por eso le doy cobertura. Con un curso económico, y con estos post/videos etc.
Qué pasa con Wazuh en muchas empresas?
Ves cuatro dashboards bonitos, dos o tres referencias a MITRE, unas cuantas alertas en pantalla, un poco de Azure, algo de Office 365, unas reglas por aquí, unas detecciones por allá… y acabas pensando que has encontrado una especie de navaja suiza mágica que detecta sola, correlaciona sola y te resuelve media vida.
Y no.
Wazuh, en esencia, es una plataforma apoyada en un HIDS, en recogida de logs, en reglas y en una base de gestión de eventos bastante potente. Esa es la realidad. En el transcript se explica bastante bien esa diferencia entre IDS de red y HIDS: una cosa es ver tráfico e intentos a nivel de red, y otra leer logs directamente en el host y construir detección desde ahí. Wazuh juega en esta segunda liga.
Y eso tiene ventajas claras.
La principal es que leer el host te da mucho contexto. Puedes ver eventos de Windows, logs de autenticación, cambios en ficheros, claves de registro, estado de configuraciones, actividad en Azure, integraciones con Office 365 y bastante más. Es decir, no estás ciego dentro del equipo. Tienes una visibilidad bastante interesante si sabes configurarla.
También tiene una parte menos bonita.
Si te apoyas demasiado en reglas genéricas, en lo que viene por defecto o en documentación regular, puedes terminar con una mezcla curiosa de falsos positivos, pruebas a medias y cosas que “deberían funcionar” pero no funcionan exactamente como te las habían contado. Y esto, sinceramente, también forma parte del aprendizaje con Wazuh. En el propio material se insiste varias veces en cosas como el troubleshooting, la mala calidad de algunas documentaciones o el hecho de que determinadas configuraciones “como dicen los papeles” luego no van finas si no las ajustas.
A mí esto no me parece un defecto pequeño. Me parece una característica importante de la herramienta.
Porque Wazuh no es una caja cerrada, pulida y perfecta. Tiene una parte muy buena, que es ser software libre, flexible y bastante potente para aprender y montar entornos útiles. Pero a cambio te exige algo: criterio técnico. Si no lo tienes, te puedes perder bastante rápido.
De hecho, una de las ideas más interesantes del transcript es esa visión de Wazuh como una capa apoyada sobre una infraestructura de logs y búsqueda. Por debajo hay recogida, indexación, búsquedas, workers, normalización y visualización. Por encima, Wazuh añade módulos, reglas, dashboards, contexto de seguridad y funciones prácticas como respuesta activa, evaluación de configuraciones, monitorización de Azure, FIM y más.
Y aquí es donde la herramienta gana bastante.
Porque no se queda solo en “ver eventos”. Puede hacer respuesta activa, lanzar acciones, evaluar configuraciones contra ciertos benchmarks, monitorizar integridad de ficheros y claves de registro, e incluso ayudarte a construir un cierto modelo de EDR básico en algunos contextos. Todo eso aparece bastante bien resumido en el contenido del curso.
La parte de FIM, por ejemplo, me sigue pareciendo de las más útiles.
Le das una carpeta trampa, un fichero concreto o ciertas rutas sensibles y Wazuh te puede alertar cuando alguien modifica, crea o borra contenido ahí. Eso, para detectar movimientos raros, ransomware, cambios en directorios sensibles o simplemente actividad donde no debería haberla, tiene bastante valor. En el transcript se insiste bastante en esa capacidad de monitorizar directorios, claves de registro y cambios relevantes dentro del host.
Otra parte que me gusta es la de evaluación de configuración y marcos de referencia.
Porque al final no todo va de detectar al atacante cuando ya está dentro. También tiene valor saber cómo de bien o de mal tienes configurados los equipos respecto a benchmarks, cumplimiento o controles básicos. Wazuh puede darte una lectura de madurez bastante útil si la interpretas con cabeza.
Y luego está la parte cloud, que cada vez pesa más.
En el transcript se ve cómo Wazuh puede conectarse a Azure Log Analytics y también a Office 365 para recoger actividad relacionada con identidades, auditoría, SharePoint, Exchange y otras señales útiles. Esto no es trivial de montar, pero una vez funciona, le da a la herramienta una dimensión mucho más interesante, porque deja de ser “lo que pasa en el endpoint” y empieza a tocar también actividad del entorno cloud.
Ahora bien, si hay una idea con la que me quedaría de todo este material, sería esta.
Lo importante no son las miles de reglas.
Lo importante es el criterio.
Y esto lo dice el transcript de una forma que comparto bastante: da igual que te vendan 300, 5000 o 8000 reglas. Si no las tuneas, si no las adaptas a tu negocio y si no entiendes qué señales tienen de verdad alta fidelidad para tu entorno, acabarás con mucho ruido y poca utilidad. Al final, lo valioso no suele ser tener muchísimas reglas genéricas, sino construir unas cuantas buenas reglas orientadas a tu contexto, a tus activos trampa, a tus indicadores y a tus casos de uso reales.
Eso, para mí, es justo donde Wazuh deja de ser una herramienta bonita y empieza a ser una herramienta útil.
Cuando lo usas no para presumir de consola, sino para sacar información accionable…Mira que nos gusta un dashboard en la tv xD xD xD
Cuando conectas alertas al correo porque quieres enterarte de algo concreto.
Cuando defines una carpeta trampa porque sabes que tocarla no debería ser normal.
Cuando te montas una integración con Azure porque necesitas ver actividad real de identidad.
Cuando dejas de fiarte del “por defecto” y empiezas a construir detección con cabeza.
Porque aprender Wazuh de verdad no debería consistir en memorizar pantallas, sino en entender qué puede darte, cómo exprimirlo, dónde se queda corto y cómo convertirlo en una herramienta útil dentro de una operativa real.
Y con esto ya queda bastante bien dibujado el terreno: qué es Wazuh, qué puede hacer, qué partes merecen la pena y por qué, aunque sea una muy buena tecnología para aprender y trabajar, sigue necesitando lo de siempre en ciberseguridad: criterio, contexto y muchas horas de pelearse con la realidad.
Gracias por leerme !!!
