Explorando Wazuh un poco del dashboard y la habilitación del módulo de vulnerabilidades
Veremos 3 puntos importantes para la administración de Wazuh
desde el dashboard.
Daremos un vistazo por el módulo de eventos de seguridad, exploraremos
el inventario de un agente en este caso Windows 10, y por último la habilitación
del módulo de vulnerabilidades ya que este no viene habilitado por defecto si
no que se tiene que realizar unos cambios para que pueda comenzar a funcionar.
Bueno comenzamos.
Primeramente, les presento el panel principal de Wazuh.
Actualmente como se ve ya se tiene 3 agentes adicionados 1
es Ubuntu, Windows 10 y Windows 11.
1.-inventario.
Que tenemos en la parte de inventario.
En la parte superior tenemos lo que es un resumen de las características
del agente como ser:
Sistema Operativo, memoria, arquitectura del sistema, cpu, y
última fecha y hora de escaneo.
Al lado tenemos los puertos de red, podemos realizar búsqueda
por puerto, tenemos puertos, procesos, ip local, estado, protocolo entre otros.
Luego mas abajo tenemos las configuraciones de red nos da un
detalle de interfaz, dirección ip, mascara de red, protocolo, broadcast al lado
de este cuando tenemos las actualizaciones en este caso de Windows 11 el code
de cada actualización con la que cuanta el sistema operativo.
Mas abajo ya contamos con los que son los softwares que están
instalados en el equipo agente esto mas adelante con la configuración de
vulnerabilidad Wazuh realiza un análisis de las vulnerabilidades que implica
contar con cada software, tenemos la arquitectura y la versión, etc.
Por último, contamos con los procesos que se están ejecutando el equipo agente de todo esto se puede generar un reporte.
Y esto sería lo que se puede mencionar en cuanto al módulo
de inventario.
2. Módulo de Eventos de Seguridad
Primeramente, tenemos un cuadro con grafico de Evolución de
los grupos de alerta
En donde podemos ver en el tiempo las alertas que se han
estado presentando a un lado de esto los colores que identifican cada tipo de
evento.
También tenemos un gráfico al lado el cual representa las Alertas
Mas abajo podemos ver Top5 de alertas, también un Top5
de reglas de grupo y Top5 de PCI DSS requerimientos el cual se refiere
a estándar de seguridad de datos de tarjetas de pago.
En donde tenemos el tiempo del escaneo en el que se detectó,
técnicas esto va relacionado con la base de datos de ATT&CK esto para la identificación
de amenazas, una descripción el nivel de riesgo y la regla con el que está relacionado.
3. Proceso para la habilitación del módulo de vulnerabilidades
Primero accedemos a la opción Management
Seleccionamos Configuration
Seleccionamos Edit configuration que se encuentra en
la parte superior derecha de la pantalla.
Una vez tenemos habilitada la opción de editar bajamos hasta
encontrar
<vulnerability-detector>
Y procedemos a realizar la habilitación esto podemos
realizarlo por sistema operativo en algunos podemos no habilitarlo y solo
tenerlo habilitado para los que necesitemos se realiza el cambio de estado del
<enable> el cual por defecto esta en no se cambia por yes quedando de esta forma:
<enable>yes</enable>
Esto sería lo más importante para realizar la habilitación del
módulo lo demás son datos como por ejemplo cada que tiempo se realizara el análisis
el intervalo, entre otras opciones.
Una vez realizado este cambio se debe dar guardar, primeramente
Y luego Restar Manager
Con esto se reiniciará el servicio de Wazuh y ya estarían aplicados
los cambios realizados.
Ahora procedemos a acceder al agente e ir al módulo
de vulnerabilidades.
Al acceder ya podemos ver gráficos como ser el de severidad,
detalles de los eventos y la última fecha del escaneo que se realizó, un
resumen más entre otras cosas más.
Actualmente los datos presentados son solo de 1 equipos ya
que los otros están apagados.
Por último, presento una lista de los equipos agentes que
tengo instalados.
Comentarios
Publicar un comentario