1. Libros y videos
  2. Resiliencia cibernética en la empresa
  3. La plataforma Wazuh HIPS/SIEM
Extrait - Resiliencia cibernética en la empresa Retos, normas y buenas prácticas
Extractos del libro
Resiliencia cibernética en la empresa Retos, normas y buenas prácticas Volver a la página de compra del libro

La plataforma Wazuh HIPS/SIEM

Introducción

El objetivo de este capítulo técnico es presentar una herramienta de código abierto clave en la caja de herramientas de protección/detección/remediación del SOC: Wazuh, una verdadera plataforma de tipo SIEM combinada con funcionalidades avanzadas de protección de puntos finales (EDR). Este ejemplo es una primera ilustración de la posibilidad de utilizar componentes de software de alta calidad totalmente libres desde el punto de vista de las licencias.

Wazuh

1. Introducción

Bifurcación del proyecto OSSEC, Wazuh está llamado a convertirse en la referencia de código abierto para la detección de amenazas avanzadas a los sistemas de información. Wazuh es utilizado en todo el mundo por grandes grupos (fuente: wazuh.com). También es de gran interés para los MSSP (Managed Security Service Provider) que busquen implantar una solución rápida, fiable y de bajo coste, que pueda utilizarse para una fase inicial de experimentación o evaluación comparativa, o directamente para una fase de producción.

Wazuh es un sistema de protección contra intrusiones en host (HIPS) que aborda los problemas de detección de anomalías de amenazas/intrusiones/comportamiento, supervisión de la seguridad, respuesta a incidentes y cumplimiento de la normativa. Puede utilizarse para gestionar cualquier tipo de activo informático, incluidos puntos finales, servidores, servicios en la nube y contenedores. La funcionalidad HIPS se implementa a través de un agente instalado en puntos finales con un sistema operativo compatible.

Wazuh es también un SIEM que recopila, agrega, indexa y analiza datos de seguridad de fuentes externas.

Wazuh = Detección de amenazas + Supervisión + Respuesta a incidentes + Cumplimiento de normativas

Las principales características de Wazuh son las siguientes:

  • Análisis de seguridad: es la funcionalidad para recoger los registros del "cliente", almacenarlos en el servidor Wazuh y analizarlos lo que hace de Wazuh una auténtica solución SIEM.

  • Detección de intrusos: los agentes se encargan de buscar malware u otros rootkits, así como acciones sospechosas de usuarios o no usuarios. La detección también la gestiona el componente servidor de Wazuh.

  • Análisis de datos de registro.

  • Supervisión de la integridad de los archivos: el agente analiza los cambios de contenido, los derechos de acceso y los atributos de los archivos.

  • Detección de vulnerabilidades: Wazuh es un verdadero escáner interno de vulnerabilidades, que analiza el inventario de aplicaciones de las estaciones de trabajo cliente. Cada inventario se envía al servidor, que lo correlaciona con la base de datos CVE (Common Vulnerabilities and Exposures). A continuación, pueden adoptarse medidas...