Entrada

Wazuh

Publicado Actualizado
Preview Image
Por Pablo Martínez Rivas
3 min de lectura
Wazuh

Acerca de este artículo

Este artículo no pretende ser una guía completa de Wazuh dado que este es muy extenso, solo está orientado a una instalación/configuración mínima y comprensión de que es lo que hace y como podemos empezar a manejarnos con él. Está sujetos a cambios/correrciones y ampliaciones si en el futuro lo veo necesario. Las imágenes de marca y ejemplo son propiedad de Wazuh

Que es Wazuh

Wazuh es una plafaforma OpenSource donde se unifican XDR y SIEM.

  • XDR (Extended Detection and Response) Detección de amenazas y respuesta, recoge los datos de múltiples fuentes ya sean endpoints, correo, nube, red, etc. Además permite responder a estos eventos de una forma ágil y/o automática pues con estos sistemas podemos aislar equipos o bloquear procesos.

  • SIEM (Security Information and Event Management) Recoge y centraliza los logs de una infraestrucctura. Analiza los eventos para detectar actividades sospechosas por lo que es muy útil para la monitorización, la auditoría y cumplimiento en ciberseguridad. A diferencia del anterior solo alerta.

https://wazuh.com/wp-content/themes/wazuh-v3/assets/images/platform/security-platform-diagram.gif

En resumen Wazuh es una solución integral de ciberseguridad y monitorización tanto para el cumplimiento de regulaciones en la nube como cualquier tipo de infraestructuras PCI DSS, GDPR, HIPAA, NIST 800-53, TSC, etc. Además sirve como detector de vulnerabilidades y amenazas. Se puede integrar con el un IDS. Todo a un precio razonable.

Instalar Wazuh

Wazuh se instala en tres máquinas distintas, la guía completa de como instalarla se encuentra en la web de Wazuh https://documentation.wazuh.com/current/installation-guide/index.html. Yo lo instalé con la plataforma de virtualización Proxmox y tres máquinas Ubuntu Server 24.04, recuerda que una vez instaladas las máquinas puedes clonarlas, lo que acelera la instalación, si bien luego tendrás que reasignar las ips con netplan.

wazuh_proxomox

Componentes de Wazuh

Wazuh Indexer

El indexador de Wazuh es un motor de búsqueda y análisis de texto completo altamente escalable. Este componente central indexa y almacena las alertas generadas por el servidor de Wazuh.

Wazuh Server

El servidor de Wazuh analiza los datos recibidos de los agentes. Los procesa mediante decodificadores y reglas, utilizando inteligencia de amenazas para buscar indicadores de compromiso (IOC) conocidos. Un solo servidor puede analizar datos de cientos o miles de agentes y escalar horizontalmente al configurarse como un clúster. Este componente central también se utiliza para administrar los agentes, configurándolos y actualizándolos de forma remota cuando sea necesario.

Wazuh Dashboard

El panel de control de Wazuh es la interfaz web para la visualización y el análisis de datos. Incluye paneles preconfigurados para la búsqueda de amenazas, el cumplimiento normativo (p. ej., PCI DSS, GDPR, CIS, HIPAA, NIST 800-53), las aplicaciones vulnerables detectadas, los datos de monitorización de la integridad de los archivos, los resultados de la evaluación de la configuración, los eventos de monitorización de la infraestructura en la nube, entre otros. También se utiliza para administrar la configuración de Wazuh y monitorizar su estado.

Wazuh Agents

Los agentes de Wazuh se instalan en dispositivos como portátiles, ordenadores de sobremesa, servidores, instancias en la nube o máquinas virtuales. Proporcionan capacidades de prevención, detección y respuesta ante amenazas. Se ejecutan en sistemas operativos como Linux, Windows, macOS, Solaris, AIX y HP-UX.

Instalar un Agente

Añadir nuevos agentes a Wazuh es una tarea sencilla, se realiza en pocos pasos y nos permite hacerlo tanto para GNU/Linux, como Windows y MacOS.

deploy_win_agent1

Una vez seleccionado el SO y configurado el server address, Wazuh nos indica un comando para iniciar la instalación en dicho sistema.

deploy_win_agent2

Como Wazuh detecto una vulnerabilidad en Kali

Una vez instalado los 3 componentes de Wazuh, instalé una máquina Kali para generar “ruído”. De paso le instalé un agente para que me dijese el estado de la máquina y si podía detectar alguna vulnerabilidad. El caso es que así fue, Wazuh detecto una vulnerabilidad grave en Kali. https://nvd.nist.gov/vuln/detail/CVE-2025-68616 No es tan grave para un entorno controlado pero sí grave para un entorno de producción.

cve_22025-68616

Conclusiones

Hay otras plataformas de bajo coste o coste 0 cercanas a Wazuh, pero probablemente son más complejas de manejar como Security Onion, diría que el enfoque de facilidad de instalación y configuración está más enfocado al IDS que al endpoint. Wazuh parece estar a un nivel muy alto en este momento y además permite la integración de un IDS por lo que parece que se está imponiendo.

hacking, ciberseguridad
ciberseguridad wazuh
Esta entrada está licenciada bajo CC BY 4.0 por el autor.