{"id":12018,"date":"2022-08-25T11:38:28","date_gmt":"2022-08-25T17:38:28","guid":{"rendered":"https:\/\/ugit.siua.ac.cr\/?p=12018"},"modified":"2022-08-26T15:15:12","modified_gmt":"2022-08-26T21:15:12","slug":"wazuh-ugit","status":"publish","type":"post","link":"https:\/\/sada.services\/?p=12018","title":{"rendered":"Wazuh: Documentaci\u00f3n"},"content":{"rendered":"\n<ul class=\"wp-block-list\"><li>https:\/\/documentation.wazuh.com\/current\/getting-started\/components\/index.html<\/li><li>Es un sistema open source que brinda caracter\u00edsticas  XDR y SIEM <\/li><li>Incluyen<ul><li>An\u00e1lisis de logs<\/li><li>Detecci\u00f3n de malware y intrusos<\/li><li>Monitorizaci\u00f3n de integridad de archivos<\/li><li>Evaluaci\u00f3n de la configuraci\u00f3n<\/li><li>Detecci\u00f3n de vulnerabilidades<\/li><li>Y soporte en la regulaci\u00f3n de cumplimiento<\/li><\/ul><\/li><li>Esta compuestos de 4 elementos<ul><li><strong>Wazuh indexer:<\/strong> es un motor de an\u00e1lisis y b\u00fasqueda de texto completo altamente escalable. Este componente central indexa y almacena alertas generadas por el servidor Wazuh.<\/li><li><strong>Wazuh server: <\/strong>analiza los datos recibidos de los agentes. Lo procesa a trav\u00e9s de decodificadores y reglas, utilizando inteligencia de amenazas para buscar indicadores de compromiso (IOC) bien conocidos. Un solo servidor puede analizar datos de cientos o miles de agentes y escalar horizontalmente cuando se configura como un cl\u00faster. Este componente central tambi\u00e9n se utiliza para administrar los agentes, configur\u00e1ndolos y actualiz\u00e1ndolos de forma remota cuando sea necesario.<\/li><li><strong>Wazuh Dashboard: <\/strong>es la interfaz de usuario web para visualizaci\u00f3n y an\u00e1lisis de datos. Incluye paneles listos para usar para eventos de seguridad, cumplimiento normativo (por ejemplo, PCI DSS, GDPR, CIS, HIPAA, NIST 800-53), aplicaciones vulnerables detectadas, datos de monitoreo de integridad de archivos, resultados de evaluaci\u00f3n de configuraci\u00f3n, monitoreo de infraestructura en la nube eventos y otros. Tambi\u00e9n se utiliza para administrar la configuraci\u00f3n de Wazuh y monitorear su estado.<\/li><li><strong>Wazuh agents: <\/strong>se instalan en puntos finales como computadoras port\u00e1tiles, computadoras de escritorio, servidores, instancias en la nube o m\u00e1quinas virtuales. Proporcionan capacidades de prevenci\u00f3n, detecci\u00f3n y respuesta ante amenazas. Se ejecutan en sistemas operativos como Linux, Windows, macOS, Solaris, AIX y HP-UX.<\/li><\/ul><\/li><li>Adem\u00e1s de las capacidades de monitoreo basadas en agentes, la plataforma Wazuh puede monitorear dispositivos sin agentes, como firewalls, conmutadores, enrutadores o IDS de red, entre otros. Por ejemplo, los datos de registro de un sistema se pueden recopilar a trav\u00e9s de Syslog y su configuraci\u00f3n se puede monitorear a trav\u00e9s de sondeos peri\u00f3dicos de sus datos, a trav\u00e9s de SSH o a trav\u00e9s de una API.<\/li><\/ul>\n\n\n\n<figure class=\"wp-block-image size-large\"><img fetchpriority=\"high\" decoding=\"async\" width=\"1024\" height=\"462\" src=\"\/wp-content\/uploads\/2022\/08\/data-flow1-1024x462.png\" alt=\"\" class=\"wp-image-12021\" srcset=\"https:\/\/sada.services\/wp-content\/uploads\/2022\/08\/data-flow1-1024x462.png 1024w, https:\/\/sada.services\/wp-content\/uploads\/2022\/08\/data-flow1-300x135.png 300w, https:\/\/sada.services\/wp-content\/uploads\/2022\/08\/data-flow1-768x347.png 768w, https:\/\/sada.services\/wp-content\/uploads\/2022\/08\/data-flow1-1536x693.png 1536w, https:\/\/sada.services\/wp-content\/uploads\/2022\/08\/data-flow1.png 1799w\" sizes=\"(max-width: 1024px) 100vw, 1024px\" \/><\/figure>\n\n\n\n<h2 class=\"wp-block-heading\">Wazuh indexer<\/h2>\n\n\n\n<ul class=\"wp-block-list\"><li>El componente del servidor de Wazuh analiza los datos recibidos de los agentes, disparando alertas cuando se detectan amenazas o anomal\u00edas. Tambi\u00e9n se utiliza para administrar la configuraci\u00f3n de los agentes de forma remota y monitorear su estado.<\/li><li>El servidor de Wazuh utiliza fuentes de inteligencia de amenazas para mejorar sus capacidades de detecci\u00f3n. Tambi\u00e9n enriquece los datos de alerta mediante el uso del marco MITRE ATT&amp;CK y los requisitos de cumplimiento normativo, como PCI DSS, GDPR, HIPAA, CIS y NIST 800-53, lo que proporciona un contexto \u00fatil para el an\u00e1lisis de seguridad.<\/li><li>Adem\u00e1s, el servidor de Wazuh se puede integrar con software externo, incluidos sistemas de emisi\u00f3n de boletos como ServiceNow, Jira y PagerDuty, as\u00ed como plataformas de mensajer\u00eda instant\u00e1nea como Slack. Estas integraciones son convenientes para optimizar las operaciones de seguridad.<\/li><\/ul>\n\n\n\n<h3 class=\"wp-block-heading\">Arquitectura del servidor<\/h3>\n\n\n\n<ul class=\"wp-block-list\"><li>El siguiente diagrama representa la arquitectura y los componentes del servidor:<\/li><\/ul>\n\n\n\n<figure class=\"wp-block-image size-large\"><img decoding=\"async\" width=\"1024\" height=\"460\" src=\"\/wp-content\/uploads\/2022\/08\/architecture-server1-1024x460.png\" alt=\"\" class=\"wp-image-12027\" srcset=\"https:\/\/sada.services\/wp-content\/uploads\/2022\/08\/architecture-server1-1024x460.png 1024w, https:\/\/sada.services\/wp-content\/uploads\/2022\/08\/architecture-server1-300x135.png 300w, https:\/\/sada.services\/wp-content\/uploads\/2022\/08\/architecture-server1-768x345.png 768w, https:\/\/sada.services\/wp-content\/uploads\/2022\/08\/architecture-server1.png 1254w\" sizes=\"(max-width: 1024px) 100vw, 1024px\" \/><\/figure>\n\n\n\n<ul class=\"wp-block-list\"><li><strong>Agent enrollment service<\/strong> (Servicio de alta de agentes): Se utiliza para dar de alta nuevos agentes. Este servicio proporciona y distribuye claves de autenticaci\u00f3n \u00fanicas para cada agente. El proceso se ejecuta como un servicio de red y admite la autenticaci\u00f3n a trav\u00e9s de TLS<\/li><li><strong>Agent connection service<\/strong> (Servicio de conexi\u00f3n de agentes): Este servicio recibe datos de los agentes. Utiliza las claves compartidas por el servicio de inscripci\u00f3n para validar la identidad de cada agente y cifrar las comunicaciones entre el agente de Wazuh y el servidor de Wazuh. Adem\u00e1s, este servicio proporciona una gesti\u00f3n de configuraci\u00f3n centralizada, lo que le permite impulsar la configuraci\u00f3n de nuevos agentes de forma remota.<\/li><li><strong>Analysis engine:<\/strong> (Motor de an\u00e1lisis): Este es el componente del servidor que realiza el an\u00e1lisis de datos. Utiliza decodificadores para identificar el tipo de informaci\u00f3n que se procesa (eventos de Windows, registros SSH, registros del servidor web y otros). Estos decodificadores tambi\u00e9n extraen elementos de datos relevantes de los mensajes de registro, como la direcci\u00f3n IP de origen, la identificaci\u00f3n del evento o el nombre de usuario. Luego, mediante el uso de reglas, el motor identifica patrones espec\u00edficos en los eventos decodificados que podr\u00edan desencadenar alertas y posiblemente incluso solicitar contramedidas autom\u00e1ticas (por ejemplo, prohibir una direcci\u00f3n IP, detener un proceso en ejecuci\u00f3n o eliminar un artefacto de malware).<\/li><li><strong>Wazuh RESTful API<\/strong> (API RESTful de Wazuh): este servicio proporciona una interfaz para interactuar con la infraestructura de Wazuh. Se utiliza para administrar los ajustes de configuraci\u00f3n de agentes y servidores, monitorear el estado de la infraestructura y la salud general, administrar y editar decodificadores y reglas de Wazuh, y consultar sobre el estado de los puntos finales monitoreados. <\/li><li><strong>Wazuh cluster daemon<\/strong>(Daemon de cl\u00faster de Wazuh): este servicio se utiliza para escalar los servidores de Wazuh horizontalmente, despleg\u00e1ndolos como un cl\u00faster. Este tipo de configuraci\u00f3n, combinado con un equilibrador de carga de red, proporciona alta disponibilidad y equilibrio de carga. El demonio del cl\u00faster de Wazuh es lo que utilizan los servidores de Wazuh para comunicarse entre s\u00ed y mantenerse sincronizados.<\/li><li><strong>Filebeat:<\/strong> Se utiliza para enviar eventos y alertas al indexador de Wazuh. Lee la salida del motor de an\u00e1lisis de Wazuh y env\u00eda eventos en tiempo real. Tambi\u00e9n proporciona equilibrio de carga cuando se conecta a un cl\u00faster indexador Wazuh de m\u00faltiples nodos.<\/li><\/ul>\n\n\n\n<h2 class=\"wp-block-heading\">Wazuh dashboard<a href=\"https:\/\/documentation.wazuh.com\/current\/getting-started\/components\/wazuh-dashboard.html#wazuh-dashboard\"><\/a><\/h2>\n\n\n\n<ul class=\"wp-block-list\"><li>El panel de Wazuh es una interfaz de usuario web flexible e intuitiva para extraer, analizar y visualizar eventos de seguridad y datos de alertas. Tambi\u00e9n se utiliza para la gesti\u00f3n y seguimiento de la plataforma Wazuh. Adem\u00e1s, proporciona caracter\u00edsticas para el control de acceso basado en roles (RBAC) y el inicio de sesi\u00f3n \u00fanico (SSO).<\/li><\/ul>\n\n\n\n<h3 class=\"wp-block-heading\">Visualizaci\u00f3n y an\u00e1lisis de datos<\/h3>\n\n\n\n<ul class=\"wp-block-list\"><li>La interfaz web ayuda a los usuarios a navegar por los diferentes tipos de datos recopilados por el agente de Wazuh, as\u00ed como por las alertas de seguridad generadas por el servidor de Wazuh. Los usuarios tambi\u00e9n pueden generar informes y crear visualizaciones y paneles personalizados.<\/li><li>Como ejemplo, Wazuh proporciona paneles listos para usar para el cumplimiento normativo, como PCI DSS, GDPR, HIPAA y NIST 800-53. Tambi\u00e9n proporciona una interfaz para navegar a trav\u00e9s del marco MITRE ATT&amp;CK y las alertas relacionadas.<\/li><\/ul>\n\n\n\n<figure class=\"wp-block-image size-full\"><img decoding=\"async\" width=\"944\" height=\"543\" src=\"\/wp-content\/uploads\/2022\/08\/module_info_management1.png\" alt=\"\" class=\"wp-image-12030\" srcset=\"https:\/\/sada.services\/wp-content\/uploads\/2022\/08\/module_info_management1.png 944w, https:\/\/sada.services\/wp-content\/uploads\/2022\/08\/module_info_management1-300x173.png 300w, https:\/\/sada.services\/wp-content\/uploads\/2022\/08\/module_info_management1-768x442.png 768w\" sizes=\"(max-width: 944px) 100vw, 944px\" \/><\/figure>\n\n\n\n<h3 class=\"wp-block-heading\">Monitorizaci\u00f3n y configuraci\u00f3n de agentes<\/h3>\n\n\n\n<ul class=\"wp-block-list\"><li>El panel de control de Wazuh permite a los usuarios administrar la configuraci\u00f3n de los agentes y monitorear su estado. Como ejemplo, para cada punto final monitoreado, los usuarios pueden definir qu\u00e9 m\u00f3dulos de agente se habilitar\u00e1n, qu\u00e9 archivos de registro se leer\u00e1n, qu\u00e9 archivos se monitorear\u00e1n para cambios de integridad o qu\u00e9 controles de configuraci\u00f3n se realizar\u00e1n.<\/li><\/ul>\n\n\n\n<figure class=\"wp-block-image size-large\"><img loading=\"lazy\" decoding=\"async\" width=\"1024\" height=\"474\" src=\"\/wp-content\/uploads\/2022\/08\/dashboard_screenshot_agent1-1024x474.png\" alt=\"\" class=\"wp-image-12031\" srcset=\"https:\/\/sada.services\/wp-content\/uploads\/2022\/08\/dashboard_screenshot_agent1-1024x474.png 1024w, https:\/\/sada.services\/wp-content\/uploads\/2022\/08\/dashboard_screenshot_agent1-300x139.png 300w, https:\/\/sada.services\/wp-content\/uploads\/2022\/08\/dashboard_screenshot_agent1-768x355.png 768w, https:\/\/sada.services\/wp-content\/uploads\/2022\/08\/dashboard_screenshot_agent1-1536x710.png 1536w, https:\/\/sada.services\/wp-content\/uploads\/2022\/08\/dashboard_screenshot_agent1.png 1920w\" sizes=\"(max-width: 1024px) 100vw, 1024px\" \/><\/figure>\n\n\n\n<h3 class=\"wp-block-heading\">Gesti\u00f3n de plataforma<\/h3>\n\n\n\n<p>El panel de control de Wazuh proporciona una interfaz de usuario dedicada a administrar su implementaci\u00f3n de Wazuh. Esto incluye monitorear el estado, los registros y las estad\u00edsticas de los diferentes componentes de Wazuh. Tambi\u00e9n incluye la configuraci\u00f3n del servidor Wazuh y la creaci\u00f3n de reglas y decodificadores personalizados para el an\u00e1lisis de registros y la detecci\u00f3n de amenazas.<\/p>\n\n\n\n<figure class=\"wp-block-image size-full\"><img loading=\"lazy\" decoding=\"async\" width=\"944\" height=\"432\" src=\"\/wp-content\/uploads\/2022\/08\/dashboard_administration1.png\" alt=\"\" class=\"wp-image-12032\" srcset=\"https:\/\/sada.services\/wp-content\/uploads\/2022\/08\/dashboard_administration1.png 944w, https:\/\/sada.services\/wp-content\/uploads\/2022\/08\/dashboard_administration1-300x137.png 300w, https:\/\/sada.services\/wp-content\/uploads\/2022\/08\/dashboard_administration1-768x351.png 768w\" sizes=\"(max-width: 944px) 100vw, 944px\" \/><\/figure>\n\n\n\n<h3 class=\"wp-block-heading\">Herramientas de desarrollo<\/h3>\n\n\n\n<ul class=\"wp-block-list\"><li>El panel de control de Wazuh incluye una herramienta de prueba de conjunto de reglas que puede procesar mensajes de registro para verificar c\u00f3mo se decodifican y si coinciden o no con una regla de detecci\u00f3n de amenazas. Esta funci\u00f3n es especialmente \u00fatil cuando se han creado reglas y decodificadores personalizados y el usuario desea probarlos.<\/li><\/ul>\n\n\n\n<figure class=\"wp-block-image size-large\"><img loading=\"lazy\" decoding=\"async\" width=\"1024\" height=\"459\" src=\"\/wp-content\/uploads\/2022\/08\/dashboard_ruleset_test1-1024x459.png\" alt=\"\" class=\"wp-image-12034\" srcset=\"https:\/\/sada.services\/wp-content\/uploads\/2022\/08\/dashboard_ruleset_test1-1024x459.png 1024w, https:\/\/sada.services\/wp-content\/uploads\/2022\/08\/dashboard_ruleset_test1-300x135.png 300w, https:\/\/sada.services\/wp-content\/uploads\/2022\/08\/dashboard_ruleset_test1-768x344.png 768w, https:\/\/sada.services\/wp-content\/uploads\/2022\/08\/dashboard_ruleset_test1-1536x689.png 1536w, https:\/\/sada.services\/wp-content\/uploads\/2022\/08\/dashboard_ruleset_test1.png 1920w\" sizes=\"(max-width: 1024px) 100vw, 1024px\" \/><\/figure>\n\n\n\n<ul class=\"wp-block-list\"><li>El panel de control de Wazuh tambi\u00e9n incluye una consola API para que los usuarios interact\u00faen con la API de Wazuh. Esto se puede usar para administrar la implementaci\u00f3n de Wazuh (p. ej., administrar configuraciones de servidores o agentes, monitorear el estado y registrar mensajes, agregar o eliminar agentes, etc.).<\/li><\/ul>\n\n\n\n<figure class=\"wp-block-image size-large\"><img loading=\"lazy\" decoding=\"async\" width=\"1024\" height=\"474\" src=\"\/wp-content\/uploads\/2022\/08\/dashboard_API_console11-1024x474.png\" alt=\"\" class=\"wp-image-12035\" srcset=\"https:\/\/sada.services\/wp-content\/uploads\/2022\/08\/dashboard_API_console11-1024x474.png 1024w, https:\/\/sada.services\/wp-content\/uploads\/2022\/08\/dashboard_API_console11-300x139.png 300w, https:\/\/sada.services\/wp-content\/uploads\/2022\/08\/dashboard_API_console11-768x355.png 768w, https:\/\/sada.services\/wp-content\/uploads\/2022\/08\/dashboard_API_console11-1536x710.png 1536w, https:\/\/sada.services\/wp-content\/uploads\/2022\/08\/dashboard_API_console11.png 1920w\" sizes=\"(max-width: 1024px) 100vw, 1024px\" \/><\/figure>\n\n\n\n<h2 class=\"wp-block-heading\">Wazuh agent<\/h2>\n\n\n\n<p>El agente de Wazuh se ejecuta en Linux, Windows, macOS, Solaris, AIX y otros sistemas operativos. Se puede implementar en equipos port\u00e1tiles, de escritorio, servidores, instancias en la nube, contenedores o m\u00e1quinas virtuales. El agente ayuda a proteger su sistema proporcionando capacidades de prevenci\u00f3n, detecci\u00f3n y respuesta ante amenazas. Tambi\u00e9n se utiliza para recopilar diferentes tipos de datos de aplicaciones y sistemas que reenv\u00eda al servidor de Wazuh a trav\u00e9s de un canal encriptado y autenticado.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\">Agent architecture<\/h3>\n\n\n\n<p>El agente Wazuh tiene una arquitectura modular. Cada componente est\u00e1 a cargo de sus propias tareas, incluida la supervisi\u00f3n del sistema de archivos, la lectura de mensajes de registro, la recopilaci\u00f3n de datos de inventario, el an\u00e1lisis de la configuraci\u00f3n del sistema y la b\u00fasqueda de malware. Los usuarios pueden administrar los m\u00f3dulos de agentes a trav\u00e9s de los ajustes de configuraci\u00f3n, adaptando la soluci\u00f3n a sus casos de uso particulares.<\/p>\n\n\n\n<p> El siguiente diagrama representa la arquitectura y los componentes del agente:<\/p>\n\n\n\n<figure class=\"wp-block-image size-large\"><img loading=\"lazy\" decoding=\"async\" width=\"1024\" height=\"432\" src=\"\/wp-content\/uploads\/2022\/08\/architecture-agent1-1024x432.png\" alt=\"\" class=\"wp-image-12038\" srcset=\"https:\/\/sada.services\/wp-content\/uploads\/2022\/08\/architecture-agent1-1024x432.png 1024w, https:\/\/sada.services\/wp-content\/uploads\/2022\/08\/architecture-agent1-300x127.png 300w, https:\/\/sada.services\/wp-content\/uploads\/2022\/08\/architecture-agent1-768x324.png 768w, https:\/\/sada.services\/wp-content\/uploads\/2022\/08\/architecture-agent1.png 1411w\" sizes=\"(max-width: 1024px) 100vw, 1024px\" \/><\/figure>\n\n\n\n<h3 class=\"wp-block-heading\">M\u00f3dulos de agentes<\/h3>\n\n\n\n<ul class=\"wp-block-list\"><li><strong>Log collector<\/strong>(Recopilador de registros): este componente del agente puede leer archivos de registro sin formato y eventos de Windows, recopilando mensajes de registro del sistema operativo y de la aplicaci\u00f3n. Admite filtros XPath para eventos de Windows y reconoce formatos de varias l\u00edneas como registros de auditor\u00eda de Linux. Tambi\u00e9n puede enriquecer eventos JSON con metadatos adicionales.<\/li><li><strong>Command execution<\/strong> (Ejecuci\u00f3n de comandos): los agentes ejecutan comandos autorizados peri\u00f3dicamente, recopilan su salida y la informan al servidor de Wazuh para un an\u00e1lisis m\u00e1s detallado. Puede usar este m\u00f3dulo para diferentes prop\u00f3sitos, como monitorear el espacio restante en el disco duro u obtener una lista de los \u00faltimos usuarios que iniciaron sesi\u00f3n.<\/li><li><strong>File integrity monitoring (FIM)<\/strong> (Monitoreo de integridad de archivos (FIM)): este m\u00f3dulo monitorea el sistema de archivos, informando cuando los archivos se crean, eliminan o modifican. Realiza un seguimiento de los cambios en los atributos de archivo, permisos, propiedad y contenido. Cuando ocurre un evento, captura detalles de qui\u00e9n, qu\u00e9 y cu\u00e1ndo en tiempo real. Adem\u00e1s, el m\u00f3dulo FIM crea y mantiene una base de datos con el estado de los archivos monitoreados, lo que permite ejecutar consultas de forma remota.<\/li><li><strong>Security configuration assessment (SCA)<\/strong> (Evaluaci\u00f3n de la configuraci\u00f3n de seguridad (SCA)): este componente proporciona una evaluaci\u00f3n continua de la configuraci\u00f3n, utilizando verificaciones listas para usar basadas en los puntos de referencia del Centro de seguridad de Internet (CIS). Los usuarios tambi\u00e9n pueden crear sus propios controles SCA para monitorear y hacer cumplir sus pol\u00edticas de seguridad.<\/li><li><strong>System inventory<\/strong> (Inventario del sistema): este m\u00f3dulo de agente ejecuta exploraciones peri\u00f3dicamente y recopila datos de inventario, como la versi\u00f3n del sistema operativo, las interfaces de red, los procesos en ejecuci\u00f3n, las aplicaciones instaladas y una lista de puertos abiertos. Los resultados del escaneo se almacenan en bases de datos SQLite locales que se pueden consultar de forma remota.<\/li><li><strong>Malware detection<\/strong> (Detecci\u00f3n de malware): utilizando un enfoque no basado en firmas, este componente es capaz de detectar anomal\u00edas y la posible presencia de rootkits. Adem\u00e1s, busca procesos ocultos, archivos ocultos y puertos ocultos mientras monitorea las llamadas al sistema.<\/li><li><strong>Active response<\/strong> (Respuesta activa): este m\u00f3dulo ejecuta acciones autom\u00e1ticas cuando se detectan amenazas, desencadenando respuestas para bloquear una conexi\u00f3n de red, detener un proceso en ejecuci\u00f3n o eliminar un archivo malicioso. Los usuarios tambi\u00e9n pueden crear respuestas personalizadas cuando sea necesario y personalizar, por ejemplo, respuestas para ejecutar un binario en un espacio aislado, capturar el tr\u00e1fico de la red y escanear un archivo con un antivirus.<\/li><li><strong>Container security monitoring<\/strong> (Monitoreo de seguridad de contenedores): este m\u00f3dulo de agente est\u00e1 integrado con la API de Docker Engine para monitorear los cambios en un entorno en contenedores. Por ejemplo, detecta cambios en las im\u00e1genes de los contenedores, la configuraci\u00f3n de la red o los vol\u00famenes de datos. Adem\u00e1s, alerta sobre contenedores que se ejecutan en modo privilegiado y sobre usuarios que ejecutan comandos en un contenedor en ejecuci\u00f3n.<\/li><li><strong>Cloud security monitoring<\/strong> (Monitoreo de seguridad en la nube): este componente monitorea proveedores en la nube como Amazon AWS, Microsoft Azure o Google GCP. Se comunica de forma nativa con sus API. Es capaz de detectar cambios en la infraestructura de la nube (p. ej., se crea un nuevo usuario, se modifica un grupo de seguridad, se detiene una instancia de la nube, etc.) y recopila datos de registro de servicios en la nube (p. ej., AWS Cloudtrail, AWS Macie, AWS GuardDuty, Azure Active Directory, etc.)<\/li><\/ul>\n\n\n\n<h3 class=\"wp-block-heading\">Comunicaci\u00f3n con el servidor Wazuh<\/h3>\n\n\n\n<p>El agente de Wazuh se comunica con el servidor de Wazuh para enviar datos recopilados y eventos relacionados con la seguridad. Adem\u00e1s, el agente env\u00eda datos operativos, reportando su configuraci\u00f3n y estado. Una vez conectado, el agente puede actualizarse, monitorearse y configurarse de forma remota desde el servidor de Wazuh.<\/p>\n\n\n\n<p>La comunicaci\u00f3n del agente con el servidor se realiza a trav\u00e9s de un canal seguro (TCP o UDP), proporcionando encriptaci\u00f3n y compresi\u00f3n de datos en tiempo real. Adem\u00e1s, incluye mecanismos de control de flujo para evitar inundaciones, poner en cola eventos cuando sea necesario y proteger el ancho de banda de la red.<\/p>\n\n\n\n<p>Debe inscribir al agente antes de conectarlo al servidor por primera vez. Este proceso proporciona al agente una clave \u00fanica que se utiliza para la autenticaci\u00f3n y el cifrado de datos.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\">Arquitectura<\/h2>\n\n\n\n<p>La arquitectura de Wazuh se basa en agentes, que se ejecutan en los puntos finales monitoreados, que env\u00edan datos de seguridad a un servidor central. Los dispositivos sin agentes, como firewalls, conmutadores, enrutadores y puntos de acceso, son compatibles y pueden enviar datos de registro de forma activa a trav\u00e9s de Syslog, SSH o mediante su API. El servidor central decodifica y analiza la informaci\u00f3n entrante y pasa los resultados al indexador de Wazuh para su indexaci\u00f3n y almacenamiento.<\/p>\n\n\n\n<p>El cl\u00faster del indexador de Wazuh es una colecci\u00f3n de uno o m\u00e1s nodos que se comunican entre s\u00ed para realizar operaciones de lectura y escritura en los \u00edndices. Las implementaciones peque\u00f1as de Wazuh, que no requieren procesar grandes cantidades de datos, pueden manejarse f\u00e1cilmente mediante un cl\u00faster de un solo nodo. Se recomiendan los cl\u00fasteres de m\u00faltiples nodos cuando hay muchos puntos finales monitoreados, cuando se anticipa un gran volumen de datos o cuando se requiere alta disponibilidad.<\/p>\n\n\n\n<p>Para entornos de producci\u00f3n, se recomienda implementar el servidor de Wazuh y el indexador de Wazuh en diferentes hosts. En este escenario, Filebeat se utiliza para reenviar de forma segura las alertas de Wazuh y los eventos archivados al cl\u00faster del indexador de Wazuh (de un solo nodo o de varios nodos) mediante el cifrado TLS.<\/p>\n\n\n\n<p>El siguiente diagrama representa una arquitectura de implementaci\u00f3n de Wazuh. Muestra los componentes de la soluci\u00f3n y c\u00f3mo el servidor de Wazuh y los nodos del indexador de Wazuh se pueden configurar como cl\u00fasteres, proporcionando equilibrio de carga y alta disponibilidad.<\/p>\n\n\n\n<figure class=\"wp-block-image size-large\"><img loading=\"lazy\" decoding=\"async\" width=\"1024\" height=\"539\" src=\"\/wp-content\/uploads\/2022\/08\/deployment1-1024x539.png\" alt=\"\" class=\"wp-image-12042\" srcset=\"https:\/\/sada.services\/wp-content\/uploads\/2022\/08\/deployment1-1024x539.png 1024w, https:\/\/sada.services\/wp-content\/uploads\/2022\/08\/deployment1-300x158.png 300w, https:\/\/sada.services\/wp-content\/uploads\/2022\/08\/deployment1-768x404.png 768w, https:\/\/sada.services\/wp-content\/uploads\/2022\/08\/deployment1-1536x808.png 1536w, https:\/\/sada.services\/wp-content\/uploads\/2022\/08\/deployment1.png 1951w\" sizes=\"(max-width: 1024px) 100vw, 1024px\" \/><\/figure>\n\n\n\n<h3 class=\"wp-block-heading\">Agente de Wazuh: comunicaci\u00f3n con el servidor de Wazuh<\/h3>\n\n\n\n<p>El agente de Wazuh env\u00eda continuamente eventos al servidor de Wazuh para su an\u00e1lisis y detecci\u00f3n de amenazas. Para comenzar a enviar estos datos, el agente establece una conexi\u00f3n con el servicio del servidor para la conexi\u00f3n del agente, que escucha en el puerto 1514 de forma predeterminada (esto es configurable). Luego, el servidor de Wazuh decodifica y verifica las reglas de los eventos recibidos, utilizando el motor de an\u00e1lisis. Los eventos que activan una regla se aumentan con datos de alerta, como el ID de la regla y el nombre de la regla. Los eventos se pueden poner en cola en uno o ambos de los siguientes archivos, dependiendo de si se dispara una regla o no:<\/p>\n\n\n\n<p>El archivo<strong> \/var\/ossec\/logs\/archives\/archives.json<\/strong> contiene todos los eventos, ya sea que activaron una regla o no.<\/p>\n\n\n\n<p>El archivo <strong>\/var\/ossec\/logs\/alerts\/alerts.json<\/strong> contiene solo eventos que activaron una regla con una prioridad lo suficientemente alta (el umbral es configurable).<\/p>\n\n\n\n<p>El protocolo de mensajes de Wazuh utiliza cifrado AES de forma predeterminada, con 128 bits por bloque y claves de 256 bits. El cifrado Blowfish es opcional<\/p>\n\n\n\n<h3 class=\"wp-block-heading\">Servidor Wazuh &#8211; Comunicaci\u00f3n del indexador Wazuh<\/h3>\n\n\n\n<p>El servidor de Wazuh usa Filebeat para enviar alertas y datos de eventos al indexador de Wazuh, usando el cifrado TLS. Filebeat lee los datos de salida del servidor de Wazuh y los env\u00eda al indexador de Wazuh (de manera predeterminada, escuchando en el puerto 9200\/TCP). Una vez que el indexador de Wazuh indexa los datos, el tablero de Wazuh se utiliza para extraer y visualizar la informaci\u00f3n.<\/p>\n\n\n\n<p>El panel de control de Wazuh consulta la API RESTful de Wazuh (escuchando de manera predeterminada en el puerto 55000\/TCP en el servidor de Wazuh) para mostrar la configuraci\u00f3n y la informaci\u00f3n relacionada con el estado del servidor y los agentes de Wazuh. Tambi\u00e9n puede modificar los ajustes de configuraci\u00f3n de los agentes o del servidor a trav\u00e9s de llamadas a la API. Esta comunicaci\u00f3n se cifra con TLS y se autentica con un nombre de usuario y una contrase\u00f1a.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\">Puertos requeridos<\/h3>\n\n\n\n<figure class=\"wp-block-image size-full\"><img loading=\"lazy\" decoding=\"async\" width=\"848\" height=\"664\" src=\"\/wp-content\/uploads\/2022\/08\/Seleccion_2027.png\" alt=\"\" class=\"wp-image-12044\" srcset=\"https:\/\/sada.services\/wp-content\/uploads\/2022\/08\/Seleccion_2027.png 848w, https:\/\/sada.services\/wp-content\/uploads\/2022\/08\/Seleccion_2027-300x235.png 300w, https:\/\/sada.services\/wp-content\/uploads\/2022\/08\/Seleccion_2027-768x601.png 768w\" sizes=\"(max-width: 848px) 100vw, 848px\" \/><\/figure>\n\n\n\n<h3 class=\"wp-block-heading\">Almacenamiento de datos de archivo<\/h3>\n\n\n\n<p>Tanto los eventos de alerta como los que no son de alerta se almacenan en archivos en el servidor de Wazuh, adem\u00e1s de enviarse al indexador de Wazuh. Estos archivos se pueden escribir en formato JSON (.json) o en formato de texto sin formato (.log). Estos archivos se comprimen y firman diariamente con sumas de verificaci\u00f3n MD5, SHA1 y SHA256. La estructura de directorios y nombres de archivos es la siguiente:<\/p>\n\n\n\n<pre class=\"wp-block-code\"><code>\/var\/ossec\/logs\/archives\/2022\/Jan<\/code><\/pre>\n\n\n\n<p>Se recomienda la rotaci\u00f3n y las copias de seguridad de los archivos comprimidos seg\u00fan la capacidad de almacenamiento del servidor de Wazuh. Mediante el uso de trabajos cron, puede administrar f\u00e1cilmente mantener solo una ventana de tiempo espec\u00edfica de archivos de almacenamiento localmente en el servidor, por ejemplo, el a\u00f1o pasado o los \u00faltimos tres meses.<\/p>\n\n\n\n<p>Por otro lado, puede optar por prescindir del almacenamiento de archivos y simplemente confiar en el indexador de Wazuh para el almacenamiento de archivos. Esta alternativa podr\u00eda ser la preferida si ejecuta copias de seguridad peri\u00f3dicas de instant\u00e1neas del indexador de Wazuh y\/o tiene un cl\u00faster de indexador de Wazuh de varios nodos con r\u00e9plicas de fragmentos para una alta disponibilidad. Incluso podr\u00eda usar un trabajo cron para mover los \u00edndices de las instant\u00e1neas a un servidor de almacenamiento de datos final y firmarlos usando los algoritmos hash MD5, SHA1 y SHA256.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\">Use cases<\/h2>\n\n\n\n<p>A continuaci\u00f3n, puede encontrar ejemplos de algunos de los casos de uso m\u00e1s comunes de la plataforma Wazuh.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\">An\u00e1lisis de datos de registro<\/h3>\n\n\n\n<p>En muchos casos, la evidencia de un ataque se puede encontrar en los mensajes de registro de dispositivos, sistemas y aplicaciones. Wazuh ayuda a los usuarios automatizando la gesti\u00f3n y el an\u00e1lisis de registros para acelerar la detecci\u00f3n de amenazas.<\/p>\n\n\n\n<p>El agente de Wazuh, que se ejecuta en el punto final monitoreado, est\u00e1 a cargo de leer los mensajes de registro del sistema operativo y de la aplicaci\u00f3n, y reenviarlos al servidor de Wazuh, donde se lleva a cabo el an\u00e1lisis. El servidor tambi\u00e9n puede recibir datos a trav\u00e9s de Syslog desde dispositivos o aplicaciones de red cuando no se implementa ning\u00fan agente.<\/p>\n\n\n\n<p>Wazuh utiliza decodificadores para identificar la aplicaci\u00f3n de origen del mensaje de registro. Luego, analiza los datos utilizando reglas espec\u00edficas de la aplicaci\u00f3n. Este es un ejemplo de una regla utilizada para detectar eventos de falla de autenticaci\u00f3n SSH:<\/p>\n\n\n\n<pre class=\"wp-block-code\"><code>&lt;rule id=\"5716\" level=\"5\"&gt;\n  &lt;if_sid&gt;5700&lt;\/if_sid&gt;\n  &lt;match&gt;^Failed|^error: PAM: Authentication&lt;\/match&gt;\n  &lt;description&gt;SSHD authentication failed.&lt;\/description&gt;\n  &lt;mitre&gt;\n    &lt;id&gt;T1110&lt;\/id&gt;\n  &lt;\/mitre&gt;\n  &lt;group&gt;pci_dss_10.2.4,pci_dss_10.2.5,&lt;\/group&gt;\n&lt;\/rule&gt;<\/code><\/pre>\n\n\n\n<p>Las reglas incluyen un campo de coincidencia que se utiliza para definir el patr\u00f3n que busca la regla. Tambi\u00e9n tienen un campo de nivel que especifica la prioridad de las alertas resultantes. Adem\u00e1s, las reglas enriquecen los eventos con identificadores de t\u00e9cnicas del marco MITRE ATT&amp;CK y asignaciones a los controles de cumplimiento normativo.<\/p>\n\n\n\n<p>El administrador genera una alerta cada vez que un evento, recopilado por uno de los agentes o recibido a trav\u00e9s de Syslog, coincide con una regla con un nivel de prioridad superior a un umbral predefinido (3 por defecto).<\/p>\n\n\n\n<p>Vea a continuaci\u00f3n una alerta de ejemplo que se encuentra en \/var\/ossec\/logs\/alerts\/alerts.json. Algunos campos han sido eliminados por razones de brevedad:<\/p>\n\n\n\n<pre class=\"wp-block-code\"><code>{\n  \"agent\": {\n      \"id\": \"005\",\n      \"ip\": \"10.0.1.175\",\n      \"name\": \"Centos\"\n  },\n  \"predecoder\": {\n      \"hostname\": \"ip-10-0-1-175\",\n      \"program_name\": \"sshd\",\n      \"timestamp\": \"Jul 12 15:32:41\"\n  },\n  \"decoder\": {\n      \"name\": \"sshd\",\n      \"parent\": \"sshd\"\n  },\n  \"full_log\": \"Jul 12 15:32:41 ip-10-0-1-175 sshd&#91;21746]: Failed password for root from 61.177.172.13 port 61658 ssh2\",\n  \"location\": \"\/var\/log\/secure\",\n  \"data\": {\n      \"dstuser\": \"root\",\n      \"srcip\": \"61.177.172.13\",\n      \"srcport\": \"61658\"\n  },\n  \"rule\": {\n      \"description\": \"sshd: authentication failed.\",\n      \"id\": \"5716\",\n      \"level\": 5,\n      \"mitre\": {\n          \"id\": &#91;\n              \"T1110\"\n          ],\n          \"tactic\": &#91;\n              \"Credential Access\"\n          ],\n          \"technique\": &#91;\n              \"Brute Force\"\n          ]\n      },\n  },\n  \"timestamp\": \"2020-07-12T15:32:41.756+0000\"\n}<\/code><\/pre>\n\n\n\n<p>Una vez generadas por el servidor de Wazuh, las alertas se env\u00edan al componente indexador de Wazuh, donde se enriquecen con informaci\u00f3n de geolocalizaci\u00f3n, se almacenan y se indexan. El tablero de Wazuh se puede usar para buscar, analizar y visualizar los datos. A continuaci\u00f3n se muestra una captura de pantalla de ejemplo de la interfaz:<\/p>\n\n\n\n<figure class=\"wp-block-image size-large\"><img loading=\"lazy\" decoding=\"async\" width=\"1024\" height=\"474\" src=\"\/wp-content\/uploads\/2022\/08\/wazuh-use-cases-log-data-analysis11-1024x474.png\" alt=\"\" class=\"wp-image-12048\" srcset=\"https:\/\/sada.services\/wp-content\/uploads\/2022\/08\/wazuh-use-cases-log-data-analysis11-1024x474.png 1024w, https:\/\/sada.services\/wp-content\/uploads\/2022\/08\/wazuh-use-cases-log-data-analysis11-300x139.png 300w, https:\/\/sada.services\/wp-content\/uploads\/2022\/08\/wazuh-use-cases-log-data-analysis11-768x356.png 768w, https:\/\/sada.services\/wp-content\/uploads\/2022\/08\/wazuh-use-cases-log-data-analysis11-1536x712.png 1536w, https:\/\/sada.services\/wp-content\/uploads\/2022\/08\/wazuh-use-cases-log-data-analysis11.png 1910w\" sizes=\"(max-width: 1024px) 100vw, 1024px\" \/><\/figure>\n\n\n\n<figure class=\"wp-block-image size-large\"><img loading=\"lazy\" decoding=\"async\" width=\"1024\" height=\"475\" src=\"\/wp-content\/uploads\/2022\/08\/wazuh-use-cases-log-data-analysis21-1024x475.png\" alt=\"\" class=\"wp-image-12050\" srcset=\"https:\/\/sada.services\/wp-content\/uploads\/2022\/08\/wazuh-use-cases-log-data-analysis21-1024x475.png 1024w, https:\/\/sada.services\/wp-content\/uploads\/2022\/08\/wazuh-use-cases-log-data-analysis21-300x139.png 300w, https:\/\/sada.services\/wp-content\/uploads\/2022\/08\/wazuh-use-cases-log-data-analysis21-768x356.png 768w, https:\/\/sada.services\/wp-content\/uploads\/2022\/08\/wazuh-use-cases-log-data-analysis21-1536x712.png 1536w, https:\/\/sada.services\/wp-content\/uploads\/2022\/08\/wazuh-use-cases-log-data-analysis21.png 1909w\" sizes=\"(max-width: 1024px) 100vw, 1024px\" \/><\/figure>\n\n\n\n<h3 class=\"wp-block-heading\">Monitoreo de integridad de archivos<\/h3>\n\n\n\n<p>El componente Monitoreo de integridad de archivos (FIM) genera una alerta cuando detecta un cambio en el sistema de archivos. Esta capacidad se usa a menudo para detectar el acceso o los cambios en los datos confidenciales. Si sus servidores cumplen con PCI DSS, el requisito 11.5 estipula que se debe instalar una soluci\u00f3n de monitoreo de integridad de archivos para pasar la auditor\u00eda con \u00e9xito.<\/p>\n\n\n\n<p>A continuaci\u00f3n se muestra un ejemplo de una alerta generada cuando se modifica un archivo supervisado. Los metadatos incluyen sumas de verificaci\u00f3n MD5, SHA1 y SHA256, tama\u00f1os de archivo (antes y despu\u00e9s del cambio), permisos de archivo, propietario del archivo, cambios de contenido y el usuario que realiz\u00f3 estos cambios (datos de qui\u00e9n).<\/p>\n\n\n\n<pre class=\"wp-block-code\"><code>{\n  \"agent\": {\n      \"id\": \"006\",\n      \"ip\": \"10.0.1.214\",\n      \"name\": \"RHEL7\"\n  },\n  \"decoder\": {\n      \"name\": \"syscheck_integrity_changed\"\n  },\n  \"syscheck\": {\n      \"audit\": {\n          \"effective_user\": {\n              \"id\": \"0\",\n              \"name\": \"root\"\n          },\n          \"group\": {\n              \"id\": \"0\",\n              \"name\": \"root\"\n          },\n          \"login_user\": {\n              \"id\": \"1001\",\n              \"name\": \"wazuh\"\n          },\n          \"process\": {\n              \"cwd\": \"\/home\/wazuh\",\n              \"id\": \"13235\",\n              \"name\": \"\/usr\/bin\/vim\",\n              \"parent_cwd\": \"\/home\/wazuh\",\n              \"parent_name\": \"\/usr\/bin\/bash\",\n              \"ppid\": \"10942\"\n          },\n          \"user\": {\n              \"id\": \"0\",\n              \"name\": \"root\"\n          }\n      },\n      \"diff\": \"0a1\\n&gt; 8.8.8.8     ads.fastclick.net\\n\",\n      \"event\": \"modified\",\n      \"gid_after\": \"0\",\n      \"gname_after\": \"root\",\n      \"inode_after\": 198194,\n      \"inode_before\": 55652,\n      \"md5_after\": \"feb5cea0deb5925101b642bca97dc7b3\",\n      \"md5_before\": \"54fb6627dbaa37721048e4549db3224d\",\n      \"mode\": \"whodata\",\n      \"mtime_after\": \"2020-07-12T18:07:57\",\n      \"mtime_before\": \"2020-07-12T18:00:55\",\n      \"path\": \"\/etc\/hosts\",\n      \"perm_after\": \"rw-r--r--\",\n      \"sha1_after\": \"2aa2079c3972b4bb8f28d69877a7c5e93dacbe6f\",\n      \"sha1_before\": \"7335999eb54c15c67566186bdfc46f64e0d5a1aa\",\n      \"sha256_after\": \"48f09f8c313b303ce2ca9365f70ae8d992c5589c56493ac055f0ab129d82c365\",\n      \"sha256_before\": \"498f494232085ec83303a2bc6f04bea840c2b210fbbeda31a46a6e5674d4fc0e\",\n      \"size_after\": \"188\",\n      \"size_before\": \"158\",\n      \"uid_after\": \"0\",\n      \"uname_after\": \"root\"\n  },\n  \"rule\": {\n      \"description\": \"Integrity checksum changed.\",\n      \"id\": \"550\",\n      \"level\": 7,\n      \"mitre\": {\n          \"id\": &#91;\n              \"T1492\"\n          ],\n          \"tactic\": &#91;\n              \"Impact\"\n          ],\n          \"technique\": &#91;\n              \"Stored Data Manipulation\"\n          ]\n      }\n  },\n  \"timestamp\": \"2020-07-12T18:07:57.676+0000\"\n}<\/code><\/pre>\n\n\n\n<p>En la secci\u00f3n Supervisi\u00f3n de integridad del panel de control de Wazuh, los usuarios pueden ver todos los detalles de las alertas activadas y encontrar un resumen completo de los cambios detectados.<\/p>\n\n\n\n<figure class=\"wp-block-image size-large\"><img loading=\"lazy\" decoding=\"async\" width=\"1024\" height=\"492\" src=\"\/wp-content\/uploads\/2022\/08\/wazuh-use-cases-fim11-1024x492.png\" alt=\"\" class=\"wp-image-12051\" srcset=\"https:\/\/sada.services\/wp-content\/uploads\/2022\/08\/wazuh-use-cases-fim11-1024x492.png 1024w, https:\/\/sada.services\/wp-content\/uploads\/2022\/08\/wazuh-use-cases-fim11-300x144.png 300w, https:\/\/sada.services\/wp-content\/uploads\/2022\/08\/wazuh-use-cases-fim11-768x369.png 768w, https:\/\/sada.services\/wp-content\/uploads\/2022\/08\/wazuh-use-cases-fim11-1536x738.png 1536w, https:\/\/sada.services\/wp-content\/uploads\/2022\/08\/wazuh-use-cases-fim11.png 1918w\" sizes=\"(max-width: 1024px) 100vw, 1024px\" \/><\/figure>\n\n\n\n<figure class=\"wp-block-image size-large\"><img loading=\"lazy\" decoding=\"async\" width=\"1024\" height=\"470\" src=\"\/wp-content\/uploads\/2022\/08\/wazuh-use-cases-fim21-1024x470.png\" alt=\"\" class=\"wp-image-12052\" srcset=\"https:\/\/sada.services\/wp-content\/uploads\/2022\/08\/wazuh-use-cases-fim21-1024x470.png 1024w, https:\/\/sada.services\/wp-content\/uploads\/2022\/08\/wazuh-use-cases-fim21-300x138.png 300w, https:\/\/sada.services\/wp-content\/uploads\/2022\/08\/wazuh-use-cases-fim21-768x353.png 768w, https:\/\/sada.services\/wp-content\/uploads\/2022\/08\/wazuh-use-cases-fim21-1536x706.png 1536w, https:\/\/sada.services\/wp-content\/uploads\/2022\/08\/wazuh-use-cases-fim21.png 1920w\" sizes=\"(max-width: 1024px) 100vw, 1024px\" \/><\/figure>\n\n\n\n<figure class=\"wp-block-image size-large\"><img loading=\"lazy\" decoding=\"async\" width=\"1024\" height=\"474\" src=\"\/wp-content\/uploads\/2022\/08\/wazuh-use-cases-fim31-1024x474.png\" alt=\"\" class=\"wp-image-12053\" srcset=\"https:\/\/sada.services\/wp-content\/uploads\/2022\/08\/wazuh-use-cases-fim31-1024x474.png 1024w, https:\/\/sada.services\/wp-content\/uploads\/2022\/08\/wazuh-use-cases-fim31-300x139.png 300w, https:\/\/sada.services\/wp-content\/uploads\/2022\/08\/wazuh-use-cases-fim31-768x356.png 768w, https:\/\/sada.services\/wp-content\/uploads\/2022\/08\/wazuh-use-cases-fim31-1536x712.png 1536w, https:\/\/sada.services\/wp-content\/uploads\/2022\/08\/wazuh-use-cases-fim31.png 1910w\" sizes=\"(max-width: 1024px) 100vw, 1024px\" \/><\/figure>\n\n\n\n<h3 class=\"wp-block-heading\">Detecci\u00f3n de rootkits<\/h3>\n\n\n\n<p>El agente de Wazuh escanea peri\u00f3dicamente el sistema monitoreado para detectar rootkits tanto en el kernel como en el nivel del espacio del usuario. Este tipo de malware generalmente reemplaza o cambia los componentes del sistema operativo existente para alterar el comportamiento del sistema. Los rootkits pueden ocultar otros procesos, archivos y conexiones de red.<\/p>\n\n\n\n<p>Wazuh utiliza diferentes mecanismos de detecci\u00f3n para buscar anomal\u00edas en el sistema o intrusiones conocidas. El componente Rootcheck hace esto peri\u00f3dicamente:<\/p>\n\n\n\n<figure class=\"wp-block-image size-full\"><img loading=\"lazy\" decoding=\"async\" width=\"626\" height=\"771\" src=\"\/wp-content\/uploads\/2022\/08\/Seleccion_2028.png\" alt=\"\" class=\"wp-image-12054\" srcset=\"https:\/\/sada.services\/wp-content\/uploads\/2022\/08\/Seleccion_2028.png 626w, https:\/\/sada.services\/wp-content\/uploads\/2022\/08\/Seleccion_2028-244x300.png 244w\" sizes=\"(max-width: 626px) 100vw, 626px\" \/><figcaption>Vea a continuaci\u00f3n un ejemplo de una alerta generada cuando se encuentra un proceso oculto. En este caso, el sistema afectado est\u00e1 ejecutando un rootkit a nivel de kernel de Linux (llamado Diamorphine):<\/figcaption><\/figure>\n\n\n\n<pre class=\"wp-block-code\"><code>{\n  \"agent\": {\n      \"id\": \"1030\",\n      \"ip\": \"10.0.0.59\",\n      \"name\": \"diamorphine-POC\"\n  },\n  \"decoder\": {\n      \"name\": \"rootcheck\"\n  },\n  \"full_log\": \"Process '562' hidden from \/proc. Possible kernel level rootkit.\",\n  \"rule\": {\n      \"description\": \"Host-based anomaly detection event (rootcheck).\",\n      \"id\": \"510\",\n      \"level\": 7\n  },\n  \"timestamp\": \"2020-07-12T18:07:00-0800\"\n}<\/code><\/pre>\n\n\n\n<h3 class=\"wp-block-heading\">Respuesta activa<\/h3>\n\n\n\n<p>El agente de Wazuh automatiza la respuesta a las amenazas ejecutando acciones cuando se detectan. El agente tiene la capacidad de bloquear conexiones de red, detener procesos en ejecuci\u00f3n y eliminar archivos maliciosos, entre otras acciones. Adem\u00e1s, tambi\u00e9n puede ejecutar scripts personalizados desarrollados por el usuario (por ejemplo, Python, Bash o PowerShell).<\/p>\n\n\n\n<p>Para usar esta funci\u00f3n, los usuarios definen las condiciones que activan las acciones programadas, que generalmente implican la detecci\u00f3n y evaluaci\u00f3n de amenazas. Por ejemplo, un usuario puede usar reglas de an\u00e1lisis de registros para detectar un intento de intrusi\u00f3n y una base de datos de reputaci\u00f3n de direcciones IP para evaluar la amenaza buscando la direcci\u00f3n IP de origen del intento de conexi\u00f3n.<\/p>\n\n\n\n<p>En el escenario descrito anteriormente, cuando la direcci\u00f3n IP de origen se reconoce como maliciosa (baja reputaci\u00f3n), el sistema monitoreado se protege mediante la configuraci\u00f3n autom\u00e1tica de una regla de firewall para descartar todo el tr\u00e1fico del atacante. Seg\u00fan la respuesta activa, esta regla de firewall es temporal o permanente.<\/p>\n\n\n\n<p>En los sistemas Linux, el agente de Wazuh generalmente se integra con el firewall local de Iptables para este prop\u00f3sito. En los sistemas Windows, en cambio, utiliza la t\u00e9cnica de enrutamiento nulo (tambi\u00e9n conocida como blackholing). A continuaci\u00f3n puede encontrar la configuraci\u00f3n para definir dos scripts que se utilizan para el bloqueo de conexi\u00f3n automatizado:<\/p>\n\n\n\n<pre class=\"wp-block-code\"><code>&lt;command&gt;\n  &lt;name&gt;firewall-drop&lt;\/name&gt;\n  &lt;executable&gt;firewall-drop&lt;\/executable&gt;\n  &lt;timeout_allowed&gt;yes&lt;\/timeout_allowed&gt;\n&lt;\/command&gt;<\/code><\/pre>\n\n\n\n<pre class=\"wp-block-code\"><code>&lt;command&gt;\n  &lt;name&gt;win_route-null&lt;\/name&gt;\n  &lt;executable&gt;route-null.exe&lt;\/executable&gt;\n  &lt;timeout_allowed&gt;yes&lt;\/timeout_allowed&gt;\n&lt;\/command&gt;<\/code><\/pre>\n\n\n\n<p>Adem\u00e1s de los comandos definidos, las respuestas activas establecen las condiciones que deben cumplirse para desencadenarlas. A continuaci\u00f3n, se muestra un ejemplo de una configuraci\u00f3n que activa el comando de ca\u00edda del firewall cuando coincide la regla de an\u00e1lisis de registro 100100.<\/p>\n\n\n\n<pre class=\"wp-block-code\"><code>&lt;active-response&gt;\n  &lt;command&gt;firewall-drop&lt;\/command&gt;\n  &lt;location&gt;local&lt;\/location&gt;\n  &lt;rules_id&gt;100100&lt;\/rules_id&gt;\n  &lt;timeout&gt;60&lt;\/timeout&gt;\n&lt;\/active-response&gt;<\/code><\/pre>\n\n\n\n<p>En este caso, la regla 100100 se usa para buscar alertas donde la direcci\u00f3n IP de origen es parte de una base de datos de reputaci\u00f3n de direcciones IP conocida.<\/p>\n\n\n\n<pre class=\"wp-block-code\"><code>&lt;rule id=\"100100\" level=\"10\"&gt;\n  &lt;if_group&gt;web|attack|attacks&lt;\/if_group&gt;\n  &lt;list field=\"srcip\" lookup=\"address_match_key\"&gt;etc\/lists\/blacklist-alienvault&lt;\/list&gt;\n  &lt;description&gt;IP address found in AlienVault reputation database.&lt;\/description&gt;\n&lt;\/rule&gt;<\/code><\/pre>\n\n\n\n<p>A continuaci\u00f3n, puede encontrar una captura de pantalla con dos alertas de Wazuh: una que se activa cuando se detecta un ataque web que intenta explotar una vulnerabilidad del servidor PHP y otra que informa que el actor malicioso ha sido bloqueado.<\/p>\n\n\n\n<figure class=\"wp-block-image size-large\"><img loading=\"lazy\" decoding=\"async\" width=\"1024\" height=\"626\" src=\"\/wp-content\/uploads\/2022\/08\/use-case-active-response1-1024x626.png\" alt=\"\" class=\"wp-image-12056\" srcset=\"https:\/\/sada.services\/wp-content\/uploads\/2022\/08\/use-case-active-response1-1024x626.png 1024w, https:\/\/sada.services\/wp-content\/uploads\/2022\/08\/use-case-active-response1-300x183.png 300w, https:\/\/sada.services\/wp-content\/uploads\/2022\/08\/use-case-active-response1-768x469.png 768w, https:\/\/sada.services\/wp-content\/uploads\/2022\/08\/use-case-active-response1-1536x939.png 1536w, https:\/\/sada.services\/wp-content\/uploads\/2022\/08\/use-case-active-response1.png 1546w\" sizes=\"(max-width: 1024px) 100vw, 1024px\" \/><\/figure>\n\n\n\n<h3 class=\"wp-block-heading\">Evaluaci\u00f3n de la configuraci\u00f3n<\/h3>\n\n\n\n<p>La evaluaci\u00f3n de configuraci\u00f3n de seguridad automatizada (SCA) es una capacidad esencial para mejorar la postura de seguridad de la empresa y reducir su superficie de ataque. El m\u00f3dulo Wazuh SCA ayuda a mantener una configuraci\u00f3n est\u00e1ndar a trav\u00e9s de los puntos finales monitoreados. Esto se hace a trav\u00e9s de comprobaciones predefinidas basadas en las gu\u00edas de refuerzo del Centro de Seguridad de Internet (CIS).<\/p>\n\n\n\n<p>Cuando el m\u00f3dulo SCA est\u00e1 habilitado, el agente de Wazuh realiza escaneos peri\u00f3dicamente, informando configuraciones incorrectas en el sistema monitoreado. Esos escaneos eval\u00faan la configuraci\u00f3n del sistema a trav\u00e9s de archivos de pol\u00edticas que contienen un conjunto de comprobaciones para ejecutar. Por ejemplo, una verificaci\u00f3n de SCA puede inspeccionar la configuraci\u00f3n del sistema de archivos, buscar la presencia de una actualizaci\u00f3n de software o un parche de seguridad, ver que el firewall local est\u00e9 habilitado, identificar servicios en ejecuci\u00f3n innecesarios o verificar la pol\u00edtica de contrase\u00f1as de los usuarios.<\/p>\n\n\n\n<p>Las pol\u00edticas para los escaneos SCA est\u00e1n escritas en formato YAML, lo que permite a los usuarios comprenderlas r\u00e1pidamente. Con la sintaxis de SCA, los usuarios pueden ampliar las pol\u00edticas existentes para adaptarlas a sus necesidades o escribir otras nuevas. Cada pol\u00edtica contiene un conjunto de controles y cada control tiene una o m\u00e1s reglas. Por ejemplo, se puede usar una regla para buscar la existencia de un archivo, un directorio, una clave de registro de Windows o un proceso en ejecuci\u00f3n, entre otros. Tambi\u00e9n es posible ejecutar un comando y comparar su salida con una expresi\u00f3n regular.<\/p>\n\n\n\n<p>Ejemplo de regla SCA de Linux:<\/p>\n\n\n\n<pre class=\"wp-block-code\"><code>- id: 5546\n  title: \"Ensure IP address forwarding is disabled\"\n  description: \"The net.ipv4.ip_forward flag is used to tell the system whether it can forward packets or not.\"\n  rationale: \"Setting the flag to 0 ensures that a system with multiple interfaces (for example, a hard proxy), will never be able to forward packets, and therefore, never serve as a router.\"\n  remediation: \"Set the following parameter in \/etc\/sysctl.conf or a \/etc\/sysctl.d\/* file: net.ipv4.ip_forward = 0 and set the active kernel parameters.\"\n  compliance:\n    - cis: &#91;\"3.1.1\"]\n    - cis_csc: &#91;\"3\", \"11\"]\n    - pci_dss: &#91;\"2.2.4\"]\n    - nist_800_53: &#91;\"CM.1\"]\n  condition: all\n  rules:\n    - 'c:sysctl net.ipv4.ip_forward -&gt; r:^net.ipv4.ip_forward\\s*=\\s*0$'\n    - 'c:grep -Rh net\\.ipv4\\.ip_forward \/etc\/sysctl.conf \/etc\/sysctl.d -&gt; r:^net.ipv4.ip_forward\\s*=\\s*0$'<\/code><\/pre>\n\n\n\n<p>Windows SCA rule example:<\/p>\n\n\n\n<pre class=\"wp-block-code\"><code>- id: 14038\n  title: \"Ensure Microsoft Firewall is enabled\"\n  compliance:\n    - pci_dss: &#91;\"10.6.1\", \"1.4\"]\n    - hipaa: &#91;\"164.312.b\", \"164.312.a.1\"]\n    - nist_800_53: &#91;\"AU.6\", \"SC.7\"]\n    - tsc: &#91;\"CC6.1\", \"CC6.8\", \"CC7.2\", \"CC7.3\", \"CC6.7\"]\n  condition: all\n  rules:\n    - 'r:HKEY_LOCAL_MACHINE\\software\\policies\\microsoft\\windowsfirewall\\domainprofile -&gt; enablefirewall -&gt; 1'<\/code><\/pre>\n\n\n\n<p>macOS SCA rule example:<\/p>\n\n\n\n<pre class=\"wp-block-code\"><code>- id: 8522\n  title: \"Ensure nfs server is not running\"\n  description: \"macOS can act as an NFS fileserver. NFS sharing could be enabled to allow someone on another computer to mount shares and gain access to information from the user's computer. File sharing from a user endpoint has long been considered questionable and Apple has removed that capability from the GUI. NFSD is still part of the Operating System and can be easily turned on to export shares and provide remote connectivity to an end user computer.\"\n  rationale: \"File serving should not be done from a user desktop, dedicated servers should be used.  Open ports make it easier to exploit the computer.\"\n  remediation: \"Ensure that the NFS Server is not running and is not set to start at boot Stop the NFS Server: sudo nfsd disable    Remove the exported Directory listing: rm \/etc\/export\"\n  compliance:\n    - cis: &#91;\"4.5\"]\n  condition: none\n  rules:\n    - 'p:nfsd'\n    - 'p:\/sbin\/nfsd'\n    - 'f:\/etc\/exports'<\/code><\/pre>\n\n\n\n<p>A continuaci\u00f3n se muestra un ejemplo de los resultados de una evaluaci\u00f3n de valoraci\u00f3n de la configuraci\u00f3n. Estos se pueden obtener a trav\u00e9s de la interfaz de usuario web o directamente a trav\u00e9s de la API RESTful de Wazuh.<\/p>\n\n\n\n<figure class=\"wp-block-image size-large\"><img loading=\"lazy\" decoding=\"async\" width=\"1024\" height=\"298\" src=\"\/wp-content\/uploads\/2022\/08\/wazuh-use-cases-sca011-1024x298.png\" alt=\"\" class=\"wp-image-12061\" srcset=\"https:\/\/sada.services\/wp-content\/uploads\/2022\/08\/wazuh-use-cases-sca011-1024x298.png 1024w, https:\/\/sada.services\/wp-content\/uploads\/2022\/08\/wazuh-use-cases-sca011-300x87.png 300w, https:\/\/sada.services\/wp-content\/uploads\/2022\/08\/wazuh-use-cases-sca011-768x223.png 768w, https:\/\/sada.services\/wp-content\/uploads\/2022\/08\/wazuh-use-cases-sca011-1536x446.png 1536w, https:\/\/sada.services\/wp-content\/uploads\/2022\/08\/wazuh-use-cases-sca011.png 1920w\" sizes=\"(max-width: 1024px) 100vw, 1024px\" \/><\/figure>\n\n\n\n<figure class=\"wp-block-image size-large\"><img loading=\"lazy\" decoding=\"async\" width=\"1024\" height=\"472\" src=\"\/wp-content\/uploads\/2022\/08\/wazuh-use-cases-sca21-1024x472.png\" alt=\"\" class=\"wp-image-12062\" srcset=\"https:\/\/sada.services\/wp-content\/uploads\/2022\/08\/wazuh-use-cases-sca21-1024x472.png 1024w, https:\/\/sada.services\/wp-content\/uploads\/2022\/08\/wazuh-use-cases-sca21-300x138.png 300w, https:\/\/sada.services\/wp-content\/uploads\/2022\/08\/wazuh-use-cases-sca21-768x354.png 768w, https:\/\/sada.services\/wp-content\/uploads\/2022\/08\/wazuh-use-cases-sca21-1536x708.png 1536w, https:\/\/sada.services\/wp-content\/uploads\/2022\/08\/wazuh-use-cases-sca21.png 1920w\" sizes=\"(max-width: 1024px) 100vw, 1024px\" \/><\/figure>\n\n\n\n<figure class=\"wp-block-image size-large\"><img loading=\"lazy\" decoding=\"async\" width=\"1024\" height=\"471\" src=\"\/wp-content\/uploads\/2022\/08\/wazuh-use-cases-sca31-1024x471.png\" alt=\"\" class=\"wp-image-12063\" srcset=\"https:\/\/sada.services\/wp-content\/uploads\/2022\/08\/wazuh-use-cases-sca31-1024x471.png 1024w, https:\/\/sada.services\/wp-content\/uploads\/2022\/08\/wazuh-use-cases-sca31-300x138.png 300w, https:\/\/sada.services\/wp-content\/uploads\/2022\/08\/wazuh-use-cases-sca31-768x354.png 768w, https:\/\/sada.services\/wp-content\/uploads\/2022\/08\/wazuh-use-cases-sca31-1536x707.png 1536w, https:\/\/sada.services\/wp-content\/uploads\/2022\/08\/wazuh-use-cases-sca31.png 1920w\" sizes=\"(max-width: 1024px) 100vw, 1024px\" \/><\/figure>\n\n\n\n<h3 class=\"wp-block-heading\">Inventario del sistema<\/h3>\n\n\n\n<p>El m\u00f3dulo de inventario del sistema del agente de Wazuh recopila informaci\u00f3n de hardware y software del sistema monitoreado. Esta herramienta ayuda a identificar activos y evaluar la eficacia de la gesti\u00f3n de parches.<\/p>\n\n\n\n<p>Los datos de inventario recopilados, para cada uno de los puntos finales monitoreados, se pueden consultar a trav\u00e9s de la API RESTful de Wazuh y desde la interfaz de usuario web. Esto incluye uso de memoria, espacio en disco, especificaciones de CPU, interfaces de red, puertos abiertos, procesos en ejecuci\u00f3n y una lista de aplicaciones instaladas.<\/p>\n\n\n\n<p>Para recopilar los datos, el agente de Wazuh ejecuta escaneos peri\u00f3dicos (el intervalo de tiempo es configurable). Una vez que se completa un escaneo, el agente compara los nuevos datos de inventario con los antiguos del escaneo anterior. De esta forma, el agente identifica eventos del sistema, por ejemplo, cuando se ha abierto un nuevo puerto, se ha detenido un proceso o se ha instalado una nueva aplicaci\u00f3n.<\/p>\n\n\n\n<p>Ejemplo de inventario de hardware, interfaces de red, puertos abiertos y configuraci\u00f3n de red:<\/p>\n\n\n\n<figure class=\"wp-block-image size-large\"><img loading=\"lazy\" decoding=\"async\" width=\"1024\" height=\"595\" src=\"\/wp-content\/uploads\/2022\/08\/use-case-inventory-11-1024x595.png\" alt=\"\" class=\"wp-image-12064\" srcset=\"https:\/\/sada.services\/wp-content\/uploads\/2022\/08\/use-case-inventory-11-1024x595.png 1024w, https:\/\/sada.services\/wp-content\/uploads\/2022\/08\/use-case-inventory-11-300x174.png 300w, https:\/\/sada.services\/wp-content\/uploads\/2022\/08\/use-case-inventory-11-768x446.png 768w, https:\/\/sada.services\/wp-content\/uploads\/2022\/08\/use-case-inventory-11-1536x893.png 1536w, https:\/\/sada.services\/wp-content\/uploads\/2022\/08\/use-case-inventory-11.png 1600w\" sizes=\"(max-width: 1024px) 100vw, 1024px\" \/><\/figure>\n\n\n\n<p>Example of software inventory:<\/p>\n\n\n\n<figure class=\"wp-block-image size-large\"><img loading=\"lazy\" decoding=\"async\" width=\"1024\" height=\"345\" src=\"\/wp-content\/uploads\/2022\/08\/use-case-inventory-31-1024x345.png\" alt=\"\" class=\"wp-image-12065\" srcset=\"https:\/\/sada.services\/wp-content\/uploads\/2022\/08\/use-case-inventory-31-1024x345.png 1024w, https:\/\/sada.services\/wp-content\/uploads\/2022\/08\/use-case-inventory-31-300x101.png 300w, https:\/\/sada.services\/wp-content\/uploads\/2022\/08\/use-case-inventory-31-768x258.png 768w, https:\/\/sada.services\/wp-content\/uploads\/2022\/08\/use-case-inventory-31-1536x517.png 1536w, https:\/\/sada.services\/wp-content\/uploads\/2022\/08\/use-case-inventory-31.png 1911w\" sizes=\"(max-width: 1024px) 100vw, 1024px\" \/><\/figure>\n\n\n\n<p>Example of running processes:<\/p>\n\n\n\n<figure class=\"wp-block-image size-large\"><img loading=\"lazy\" decoding=\"async\" width=\"1024\" height=\"374\" src=\"\/wp-content\/uploads\/2022\/08\/use-case-inventory-41-1024x374.png\" alt=\"\" class=\"wp-image-12066\" srcset=\"https:\/\/sada.services\/wp-content\/uploads\/2022\/08\/use-case-inventory-41-1024x374.png 1024w, https:\/\/sada.services\/wp-content\/uploads\/2022\/08\/use-case-inventory-41-300x110.png 300w, https:\/\/sada.services\/wp-content\/uploads\/2022\/08\/use-case-inventory-41-768x281.png 768w, https:\/\/sada.services\/wp-content\/uploads\/2022\/08\/use-case-inventory-41-1536x562.png 1536w, https:\/\/sada.services\/wp-content\/uploads\/2022\/08\/use-case-inventory-41.png 1600w\" sizes=\"(max-width: 1024px) 100vw, 1024px\" \/><\/figure>\n\n\n\n<h3 class=\"wp-block-heading\">Detecci\u00f3n de vulnerabilidades<\/h3>\n\n\n\n<p>Las aplicaciones de software vulnerables suelen ser el objetivo de los atacantes para comprometer los puntos finales y obtener una presencia persistente en las redes objetivo. Bas\u00e1ndose en sus capacidades de inventario de software, la plataforma de Wazuh mantiene una lista actualizada de todas las aplicaciones instaladas en los puntos finales donde se encuentra el agente de Wazuh.<\/p>\n\n\n\n<p>Adem\u00e1s, Wazuh identifica aplicaciones vulnerables y produce informes de riesgo al correlacionar esa lista con la Base de datos nacional de vulnerabilidades (NVD) y con la informaci\u00f3n recopilada de diferentes proveedores de sistemas operativos. Para detectar software vulnerable, Wazuh utiliza una base de datos de vulnerabilidades y exposiciones comunes (CVE) creada autom\u00e1ticamente mediante el procesamiento de datos extra\u00eddos de las siguientes fuentes:<\/p>\n\n\n\n<ul class=\"wp-block-list\"><li><a rel=\"noreferrer noopener\" href=\"https:\/\/canonical.com\/\" target=\"_blank\">CVEs for Ubuntu Linux distributions<\/a><\/li><li><a rel=\"noreferrer noopener\" href=\"https:\/\/access.redhat.com\/\" target=\"_blank\">CVEs for Red Hat and CentOS Linux distributions<\/a><\/li><li><a rel=\"noreferrer noopener\" href=\"https:\/\/www.debian.org\/\" target=\"_blank\">CVEs for Debian Linux distributions<\/a><\/li><li><a rel=\"noreferrer noopener\" href=\"https:\/\/security.archlinux.org\/\" target=\"_blank\">CVEs for Arch Linux distributions<\/a><\/li><li><a rel=\"noreferrer noopener\" href=\"https:\/\/alas.aws.amazon.com\/\" target=\"_blank\">CVEs for Amazon Linux distributions<\/a><\/li><li><a rel=\"noreferrer noopener\" href=\"https:\/\/nvd.nist.gov\/\" target=\"_blank\">CVEs from the National Vulnerability Database<\/a><\/li><li><a rel=\"noreferrer noopener\" href=\"https:\/\/www.microsoft.com\/msrc\" target=\"_blank\">Microsoft Security Response Center<\/a><\/li><\/ul>\n\n\n\n<p>Para habilitar la detecci\u00f3n de vulnerabilidades, los usuarios deben configurar el agente de Wazuh para recopilar datos de inventario de software y el servidor de Wazuh para extraer informaci\u00f3n CVE de las diferentes fuentes de vulnerabilidad.<\/p>\n\n\n\n<p>Vea a continuaci\u00f3n un ejemplo de una alerta de detecci\u00f3n de vulnerabilidad:<\/p>\n\n\n\n<pre class=\"wp-block-code\"><code>{\n  \"agent\": {\n    \"id\": \"003\",\n    \"ip\": \"10.0.1.102\",\n    \"name\": \"Windows\"\n  },\n  \"location\": \"vulnerability-detector\",\n  \"data\": {\n    \"vulnerability\": {\n      \"assigner\": \"cve@mitre.org\",\n      \"cve\": \"CVE-2020-12395\",\n      \"cve_version\": \"4.0\",\n      \"cvss\": {\n        \"cvss2\": {\n          \"base_score\": \"10\",\n          \"vector\": {\n            \"access_complexity\": \"low\",\n            \"attack_vector\": \"network\",\n            \"authentication\": \"none\",\n            \"availability\": \"complete\",\n            \"confidentiality_impact\": \"complete\",\n            \"integrity_impact\": \"complete\"\n          }\n        }\n      },\n      \"cwe_reference\": \"CWE-119\",\n      \"package\": {\n        \"architecture\": \"x86_64\",\n        \"condition\": \"less than 68.8.0\",\n        \"generated_cpe\": \"a:mozilla:thunderbird:68.0::::::x86_64:\",\n        \"name\": \"Mozilla Thunderbird 68.0 (x64 en-US)\",\n        \"version\": \"68.0\"\n      },\n      \"published\": \"2020-05-26\",\n      \"references\": &#91;        \"https:\/\/bugzilla.mozilla.org\/buglist.cgi?bug_id=1595886%2C1611482%2C1614704%2C1624098%2C1625749%2C1626382%2C1628076%2C1631508\",\n        \"https:\/\/security.gentoo.org\/glsa\/202005-03\",\n        \"https:\/\/security.gentoo.org\/glsa\/202005-04\",\n        \"https:\/\/usn.ubuntu.com\/4373-1\/\",\n        \"https:\/\/www.mozilla.org\/security\/advisories\/mfsa2020-16\/\",\n        \"https:\/\/www.mozilla.org\/security\/advisories\/mfsa2020-17\/\",\n        \"https:\/\/www.mozilla.org\/security\/advisories\/mfsa2020-18\/\",\n        \"https:\/\/nvd.nist.gov\/vuln\/detail\/CVE-2020-12395\"\n      ],\n      \"severity\": \"High\",\n      \"title\": \"Mozilla developers and community members reported memory safety bugs present in Firefox 75 and Firefox ESR 68.7. Some of these bugs showed evidence of memory corruption and we presume that with enough effort some of these could have been exploited to run arbitrary code. This vulnerability affects Firefox ESR &lt; 68.8, Firefox &lt; 76, and Thunderbird &lt; 68.8.0.\",\n      \"updated\": \"2020-06-12\"\n    }\n  },\n  \"rule\": {\n    \"description\": \"CVE-2020-12395 affects Mozilla Thunderbird 68.0 (x64 en-US)\",\n    \"id\": \"23505\",\n    \"level\": 10\n  },\n  \"timestamp\": \"2020-07-20T00:41:36.302+0000\"\n}<\/code><\/pre>\n\n\n\n<p>Vulnerability detection dashboard:<\/p>\n\n\n\n<figure class=\"wp-block-image size-large\"><img loading=\"lazy\" decoding=\"async\" width=\"1024\" height=\"505\" src=\"\/wp-content\/uploads\/2022\/08\/packages-inventory1-1024x505.png\" alt=\"\" class=\"wp-image-12067\" srcset=\"https:\/\/sada.services\/wp-content\/uploads\/2022\/08\/packages-inventory1-1024x505.png 1024w, https:\/\/sada.services\/wp-content\/uploads\/2022\/08\/packages-inventory1-300x148.png 300w, https:\/\/sada.services\/wp-content\/uploads\/2022\/08\/packages-inventory1-768x379.png 768w, https:\/\/sada.services\/wp-content\/uploads\/2022\/08\/packages-inventory1-1536x757.png 1536w, https:\/\/sada.services\/wp-content\/uploads\/2022\/08\/packages-inventory1.png 1919w\" sizes=\"(max-width: 1024px) 100vw, 1024px\" \/><\/figure>\n\n\n\n<h3 class=\"wp-block-heading\">Cloud security<a href=\"https:\/\/documentation.wazuh.com\/current\/getting-started\/use-cases\/cloud-security.html#cloud-security\"><\/a><\/h3>\n\n\n\n<p>Falta<\/p>\n\n\n\n<h3 class=\"wp-block-heading\">Container security<a href=\"https:\/\/documentation.wazuh.com\/current\/getting-started\/use-cases\/container-security.html#container-security\"><\/a><\/h3>\n\n\n\n<p><a href=\"https:\/\/documentation.wazuh.com\/current\/getting-started\/use-cases\/container-security.html\">https:\/\/documentation.wazuh.com\/current\/getting-started\/use-cases\/container-security.html<\/a><\/p>\n\n\n\n<p><\/p>\n\n\n\n<h3 class=\"wp-block-heading\">Regulatory compliance<\/h3>\n\n\n\n<p><a href=\"https:\/\/documentation.wazuh.com\/current\/getting-started\/use-cases\/regulatory-compliance.html\">https:\/\/documentation.wazuh.com\/current\/getting-started\/use-cases\/regulatory-compliance.html<\/a><br><\/p>\n\n\n\n<p><\/p>\n\n\n\n<p><\/p>\n","protected":false},"excerpt":{"rendered":"<p>https:\/\/documentation.wazuh.com\/current\/getting-started\/components\/index.html Es un sistema open source que brinda caracter\u00edsticas XDR y SIEM Incluyen An\u00e1lisis de logs Detecci\u00f3n de malware y intrusos Monitorizaci\u00f3n de integridad de archivos Evaluaci\u00f3n de la configuraci\u00f3n Detecci\u00f3n de vulnerabilidades Y soporte en la regulaci\u00f3n de cumplimiento Esta compuestos de 4 elementos Wazuh indexer: es un motor de an\u00e1lisis y b\u00fasqueda de [&hellip;]<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[421],"tags":[],"class_list":["post-12018","post","type-post","status-publish","format-standard","hentry","category-wazuh"],"blocksy_meta":{"styles_descriptor":{"styles":{"desktop":"","tablet":"","mobile":""},"google_fonts":[],"version":6}},"_links":{"self":[{"href":"https:\/\/sada.services\/index.php?rest_route=\/wp\/v2\/posts\/12018","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/sada.services\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/sada.services\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/sada.services\/index.php?rest_route=\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/sada.services\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=12018"}],"version-history":[{"count":24,"href":"https:\/\/sada.services\/index.php?rest_route=\/wp\/v2\/posts\/12018\/revisions"}],"predecessor-version":[{"id":12071,"href":"https:\/\/sada.services\/index.php?rest_route=\/wp\/v2\/posts\/12018\/revisions\/12071"}],"wp:attachment":[{"href":"https:\/\/sada.services\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=12018"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/sada.services\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=12018"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/sada.services\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=12018"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}