Conceptos
- Open Source: el código fuente de la aplicación es abierto
- EDR: Endpoint Detection Response, sistema que se basa en un cliente (agente) y un servidor, permite detectar cambios no previstos o anomalías en los servidor (es la arquitectura cliente y servidor)
- HIDS: Sistema de detección de intrusos en un Host, se compone de un cliente (agente) que envía información a un servidor para se analizada y HIDS es el agente específicamente
- OSSEC: es un software HIDS que se bifurcó y se creo Wazuh
- FIM: monitoreo de integridad de archivos
Qué es?
- OSSEC: detección
- OpenSCAP: normativa
- Elastic: presentación de la información
- Decoders: decodifican las información de los logs para un formato
Cluster
- Si existe más de un servidor de wazuh se la llama cluster y esta divido así:
- Wazuh Manager: manega todos los agentes y recibe la información
- Filebeat: traduce gran parte de los logs
- Wazug API: permite interactuar con otras API’s
- Logstash: para analizar y graficar log’s
- Elasticsearch:
- Kibana: información de los log’s como gráficas en el tiempo
- Wazuh App:
- Wazuh agent: dentro del servidor se monitiriza el mismo
Servidor único
- Análisis de seguridad:
- cambios en el ambiente
- Intento de ingreso al servidor
- Detección de Instrucciones
- Análisis de datos de registro (logs)
- Monitoreo de integridad de archivos
- Detección de vulnerabilidades
Página para descaga de políticas
https://www.gob.pe/institucion/pcm/informes-publicaciones/2654681-politica-de-respuesta-a-incidentes
https://drive.google.com/file/d/1KL7Mrofn0jSibgGxLQvELtPRFhP8L4lx/view
- Hay que agregar un HIDS en todos los servidores
- Tiene un enfoque de SIEM, recolecta información y la procesa
- Se debe estudiar Kibana y Elastic Search
- Se debe crear un balanceador con NGINX para dar soporte a todos los clientes
- Investigar TheHive / cortex / MISP estos hacen la investigación de la alerta
- Permite analizar grandes cantidades de datos
- Kibana permite presentarlos
Funcionalidades de Wazuh
- Detección de intrusos era OSSEC
- Para descargar alertas de seguridad https://www.gob.pe/institucion/pcm/colecciones/791-alerta-integrada-de-seguridad-digital-del-cnsd
- Aquí están todos los programas que corren cuando se levanta el equipo Windows