Estimados amigos de Inseguros !!!
Seguimos con la serie sobre Wazuh, y hoy toca una parte bastante interesante porque ya empezamos a salir del laboratorio simple y nos metemos en integraciones que sí tienen bastante sentido en entornos reales: Wazuh con Azure Log Analytics, es decir, integrar «el Azure» xD.
La idea no es “poner Azure porque queda moderno”. La idea es conseguir que Wazuh pueda beber de una fuente muy relevante dentro de entornos Microsoft, como es Log Analytics, para tener más visibilidad sobre actividad, autenticaciones, auditoría y eventos que ya están pasando en Azure o en Entra ID. Y eso, en un entorno híbrido o cloud, tiene bastante valor.
Muchos equipos ya tienen cosas enviándose a Log Analytics. Logs de auditoría, inicios de sesión, aprovisionamiento, actividad de identidad, señales varias… El problema no suele ser que no haya datos. El problema es qué haces luego con ellos, dónde los cruzas, cómo los consultas y cómo los integras en una visión más amplia de monitorización.
El proceso, aunque tiene varias partes, es bastante lógico cuando lo ordenas.
Primero necesitas una aplicación registrada en Entra ID, que será la identidad que usará Wazuh para autenticarse contra la API. Esa aplicación necesita su Client ID, sus permisos adecuados y el consentimiento de administrador para poder acceder a los datos que quieres consultar. En el ejemplo se añade permiso de lectura sobre Log Analytics API y también se menciona Microsoft Graph.
Aquí ya aparece una de esas cosas que conviene entender bien.
La integración no va de “conectar dos herramientas y listo”. Va de dar identidad, permisos y acceso controlado a una aplicación para que pueda consultar una fuente concreta. Es decir, seguridad también en la propia integración.
Después entra en juego el Workspace de Log Analytics.
Si no tienes uno, hay que crearlo. Si ya lo tienes, toca localizar su identificador, porque será una de las piezas que vas a necesitar más adelante. Además, a la aplicación registrada hay que asignarle el rol adecuado sobre ese workspace, concretamente Log Analytics Reader, para que pueda leer la información. Sin eso, por mucha ilusión que le pongas al resto, no va a funcionar.
Y aquí es donde mucha gente se cae. Monta integración, crea aplicación, copia IDs, genera secretos, toca configuración… y luego resulta que al workspace no llega lo que esperaban. No porque Wazuh esté roto, sino porque la fuente no estaba bien configurada.
Una vez tienes esos datos, toca bajar ya al servidor de Wazuh, que en este caso está sobre Ubuntu Server, y editar la configuración correspondiente. Ahí se define el módulo, se habilita para que arranque con el servicio y se indican parámetros como el tenant, el workspace y las rutas de autenticación. Después se crean los archivos de credenciales en el directorio adecuado, separando lo que corresponde a Log Analytics, Graph y Azure Storage.
Aquí es donde ya se ve claramente la arquitectura mental de este tipo de integración.
Por un lado, Azure: aplicación, permisos, workspace, secretos, logs.
Por otro lado, Wazuh: módulo, configuración, credenciales, servicio.
Y entre ambos, una relación autenticada y controlada para que el manager pueda consultar esa fuente cloud.
Y además, para quien trabaje o quiera trabajar con entornos Microsoft, este tipo de unión entre Wazuh, Azure y otras plataformas como Sentinel ayuda bastante a construir una visión más completa del trabajo real en un SOC.
Gracias por leerme !!!
