Monitorización de seguridad con Wazuh

Abstract

El objetivo de este trabajo de fin de master es realizar una implantación de la herramienta de seguridad Wazuh. Durante este trabajo se ha planificado e implementado su instalación teniendo como premisas que la solución sea escalable y nos permita de forma ágil monitorizar la seguridad de los servidores de una institución. La metodología seguida para la implementación de este sistema ha sido, analizar las posibilidades que da Wazuh a la hora de instalar, y seleccionar la óptima para un crecimiento de sistemas de monitorización. A su vez, se han analizado los diferentes módulos, tantos los obligatorios, como opciones y se han implementado ciertas características que dan riqueza a la instalación, por ejemplo, integración con VirusTotal, monitorización sin agente, análisis de reglas de bastionado de equipos según reglas de la institución, etc. Una vez configurados estos sistemas, se han monitorizado una serie de equipos tanto servidores Linux como Windows, así como algún Switch router Cisco. Finalmente, se han analizado los resultados obtenidos de estos módulos: el estado de seguridad teniendo cuenta parches de seguridad, vulnerabilidades, cambios detectados en ficheros de configuración, estado de políticas de seguridad basándonos en diferentes normativas, así como: NIST, GDPR. Podemos concluir diciendo que Wazuh es una herramienta que nos da información de seguridad muy completa de los sistemas monitorizados y siempre desde el punto de vista del endpoint que es el que realmente queremos monitorizar, siendo muy parametrizable todos los módulos permitiendo una gran granularidad en el análisis de seguridad y de alertas.

The objective of this Master's final dissertation is to implement the Wazuh security tool. During this work, this installation has been planned and implemented taking into account that the solution has to be scalable and allows us to quickly monitor the security of the servers of an institution. The methodology followed for the implementation is the next. We have analysed the possibilities that Wazuh gives us to install, and we have selected the optimum for a growth of monitoring systems. Further, the different modules that we can find in Wazuh, have been analysed, both mandatory and optional and certain features that give richness to the installation, for example, integration with VirusTotal, monitoring without agent, analysis of equipment bastion rules according to rules of the institution, etc. Once these systems have been configured, a series of computers have been monitored, both Linux and Windows servers, as well as a Cisco Switch router. Finally, the results obtained from these modules have been analysed: the security status taking into account security patches, vulnerabilities, changes detected in configuration files, security policy status based on different regulations, as well as: NIST, GDPR. We can conclude by saying that Wazuh is a tool that gives us very complete safety information of the monitored systems and always from the point of view of the endpoint, all modules being very configurable allowing a great granularity in the analysis of security and alerts.

L'objectiu d'aquest treball de fi de màster és realitzar una implantació de l'eina de seguretat Wazuh. Durant aquest treball s'ha planificat i implementat la seva instal·lació tenint com a premisses que la solució sigui escalable i ens permeti de manera àgil monitorar la seguretat dels servidors d'una institució. La metodologia seguida per a la implementació d'aquest sistema ha estat, analitzar les possibilitats que dóna Wazuh a l'hora d'instal·lar, i seleccionar l'òptima per a un creixement de sistemes de monitoratge. Al seu torn, s'han analitzat els diferents mòduls, tants els obligatoris, com a opcions i s'han implementat certes característiques que donen riquesa a la instal·lació, per exemple, integració amb VirusTotal, monitoratge sense agent, anàlisi de regles de bastionado d'equips segons regles de la institució, etc. Una vegada configurats aquests sistemes, s'han monitorat una sèrie d'equips tant servidors Linux com Windows, així com algun Switch encaminador Cisco. Finalment, s'han analitzat els resultats obtinguts d'aquests mòduls: l'estat de seguretat tenint compta pegats de seguretat, vulnerabilitats, canvis detectats en fitxers de configuració, estat de polítiques de seguretat basant-nos en diferents normatives, així com: NIST, GDPR. Podem concloure dient que Wazuh és una eina que ens dóna informació de seguretat molt completa dels sistemes monitorats i sempre des del punt de vista del endpoint que és el que realment volem monitorar, sent molt parametrizable tots els mòduls permetent una gran granularitat en l'anàlisi de seguretat i d'alertes.