¿Qué es Wazuh?

Wazuh es una plataforma open-source que unifica las capacidades de XDR y SIEM, utilizada para la prevención, detección y respuesta a las amenazas, es capaz de proteger cargas de trabajo en entornos locales, virtualizados, en contenedores y en la nube.

La solución Wazuh consta de agentes de seguridad desplegados en los sistemas supervisados, y un servidor que recoge y analiza los datos recopilados por los agentes.

Wazuh es ampliamente utilizado por miles de organizaciones en todo el mundo, desde pequeños negocios hasta grandes empresas.

En estos documentos se puede obtener una visión general de la plataforma Wazuh: componentes, architecture, y use cases.

Servicios de Wazuh

Wazuh es utilizado para recolectar, agregar, indexar y analizar información de seguridad, ayudando a las organizaciones a detectar intrusos, amenazas y anomalías de comportamiento. Las ciber-amenazas son cada vez más sofisticadas de modo que el monitoreo en tiempo real y análisis de seguridad son necesarios para una mejor detección y remediación.

Los servicios que brinda Wazuh son:

• Detección de intrusos: los agentes de Wazuh monitorizan los sistemas buscando malware, rootkits y anomalías sospechosas. Ellos pueden detectar archivos ocultos, cloaked processes o listeners de red no registrados o inconsistencias en respuestas de llamadas al sistema. Además, el servidor usa un enfoque basado en firmas para la detección, usando un motor de expresiones regulares para analizar la información de los logs recolectados y busca indicadores de compromiso.

• Análisis de Información de los Logs: Los agentes de Wazuh leen el sistema operativo y los logs de las aplicaciones, y los envían de manera segura al administrador central para ser analizados (en base a un conjunto de reglas) y almacenados. Las reglas de Wazuh ayudan a mantener la consistencia frente a errores de la aplicación o sistemas, malas configuraciones, intentos (o aciertos) de actividades maliciosas, violación de políticas, entre otros problemas operacionales y referidos a la seguridad.

• Monitoreo de Integridad de Archivos: Wazuh monitorea el sistema de archivos, identificando cambios en el contenido, permisos, propiedad (dueño del archivo o carpeta), y los atributos de los archivos que necesitas mantener bajo controlados. Adicionalmente, identifica nativamente usuarios y aplicaciones usadas para crear y modificar archivos. El monitor de integridad de archivos puede ser usado en combinación con inteligencia de amenazas para identificar amenazas o puestos comprometidos. Además, varios estándares de cumplimiento normativo, como PCI DSS, lo requieren.

• Detección de vulnerabilidades: Los agentes de Wazuh envían información referida al servidor, donde es correlacionada con las bases de datos de actualizaciones continuas CVE (Common Vulnerabilities and Exposure), para identificar las vulnerabilidades software conocidas. La evaluación automatizada de vulnerabilidades lo ayuda a encontrar los puntos débiles en sus activos críticos y tomar medidas correctivas antes de que los atacantes los aprovechen para sabotear su negocio o robar datos confidenciales.

• Configuración de evaluación: Wazuh monitorea los ajustes de configuración del sistema y las aplicaciones para asegurar que se alinean con las políticas de seguridad. Los agentes actúan escaneando periódicamente para detectar aplicaciones que son conocidas como vulnerables, no parcheadas o configuradas inseguramente. Adicionalmente, la configuración puede ser personalizada, adaptándose para ser alineadas con las propiedades de tu organización. Las alertas incluyen recomendaciones para mejorar la configuración, referencias y mapeo con cumplimiento normativo.

• Respuesta ante incidentes: Wazuh provee respuestas activas «out-of-the-box» para accionar varias contramedidas para la dirección de amenazas activas, como bloquear acceso al sistema para las fuentes de amenazas cuando ciertos criterios son cumplidos. Adicionalmente, Wazuh puede ser usado para correr comandos remotamente o solicitudes del sistema, identificando indicadores de compromisos (IOCs) y ayudando a realizar otras tareas forenses o tareas automatizadas en respuestas a incidentes.

• Cumplimiento Normativo: Wazuh provee algunos de los controles de seguridad necesarios para cumplir con los estándares y regulaciones de la industria. Estas características combinadas con su escalabilidad y soporte multiplataforma ayuda a las organizaciones al cumplimiento técnico de los requerimientos. Wazuh es ampliamente usado en compañías que procesan pagos e instituciones financieras para lograr requerimientos PCI DSS (Payment Card Industry Data Security Standard) . Su interfaz web provee reportes y dashboard que puede ayudar con esta y otras regulaciones (e.g. GPG13 or GDPR).

• Seguridad en la nube: Wazuh ayuda a monitorear infraestructuras en la nube a un nivel API, usando integración de módulos que son capaces de enviar datos de manera segura desde proveedores de servicios en la nube bien conocidos, como Amazon AWS, Azure or Google Cloud. Adicionalmente, Wazuh provee reglas para verificar la configuración de tu ambiente en la nube, los cuales pueden arreglar alguna debilidad. Adicionalmente, Wazuh posee agentes livianos y multiplataforma que son comúnmente usados para monitorear ambientes en la nube a nivel de instancias.

• Seguridad en contenedores: Wazuh provee seguridad en los host y contenedores Docker, monitorizando su comportamiento y detectando amenazas y anomalías. El agente Wazuh tiene integración nativa con el motor de Docker permitiendo a los usuarios monitorizar las imágenes, volúmenes, configuraciones de red, y contenedores corriendo. Wazuh recopila y analiza continuamente información detallada del tiempo de ejecución. Por ejemplo, las alertas de contenedores que se ejecutan en modo privilegiado, aplicaciones vulnerables, un shell que se ejecuta en un contenedor, cambios en volúmenes o imágenes persistentes y otras posibles amenazas.

Arquitectura de Wazuh

La arquitectura Wazuh se basa en agentes que se ejecutan en hosts monitoreados que envían datos de registro a un servidor central.

Además, los dispositivos sin agente (como contrafuegos, conmutadores, enrutadores, puntos de accesos, etc.) son compatibles y pueden enviar activamente datos de registro a través de syslog y/o una sonda periódica de sus cambios de configuración para luego enviar los datos al servidor central.

El servidor central decodifica y analiza la información entrante y pasa los resultados a un clúster Elasticsearch para su indexación y almacenamiento.

Componentes

Los agentes de Wazuh son utilizados para almacenar diferentes tipos de datos provenientes de sistemas o aplicaciones. Los datos son transmitidos desde el agente hacia el servidor de Wazuh por medio de un canal encriptado y autenticado. A modo de establecer un canal seguro, se realiza un proceso de registro del agente por medio de una clave pre-compartida.

Los agentes pueden utilizarse para monitorear servidores físicos, virtuales e instancias Cloud y existen para Windows, Linux, Mac, Solaris y BSD.

Hay agentes como el Rootcheck: que realiza múltiples tareas relacionadas con la detección de rootkits, malware y anomalías del sistema y ejecuta ciertas comprobaciones de seguridad básicas contra los archivos de configuración del sistema, el Log collector que lee los mensajes de registro del sistema operativo y de la aplicación, el Syscheck que realiza un monitoreo de integridad de archivos (FMI) y también puede monitorear claves de registros en sistemas Windows. Es capaz de detectar cambios en el contenido de un archivo, la propiedad y otros atributos, así como observar la creación y eliminación de archivos o el OpenSCAP que utiliza los perfiles de seguridad de línea base OVAL (Open Vulnerability Assessment Language) y XCCDF (Extensible Configuration Checklist Descripction Format) publicados para escanear periódicamente un sistema.

Los agentes Wazuh utilizan el protocolo de mensajes OOSEC para enviar eventos recopilados al servidor Wazuh a través del puerto 1514 (UDP o TCP).

El servidor Wazuh luego decodifica y verifica las reglas de los eventos recibidos con el motor de análisis, se encarga de analizar los datos recibidos de los agentes y generar alertas cuando un evento coincide con una regla (por ejemplo cambio de archivo, configuración que no cumple con la política, posible rootkit, etc.)