Homelab SOC #07 - Incorporando el primer agente
En el capítulo anterior construimos el corazón del laboratorio instalando Wazuh sobre Debian.
Sin embargo, un SIEM por sí solo no genera información.
Necesita recibir eventos desde los equipos que forman parte de la infraestructura.
En este capítulo incorporaremos el primer endpoint del laboratorio: Windows 11.
Será el primer equipo monitorizado por nuestro SOC y marcará el inicio de la recopilación de eventos reales.
Objetivo de este capítulo
La pregunta que responderemos es:
¿Cómo conectar un equipo Windows a Wazuh para que el SIEM comience a recibir sus eventos?
Al finalizar tendremos:
- Un Windows 11 registrado como agente.
- Comunicación cifrada con el servidor Wazuh.
- El agente conectado y activo.
- Eventos llegando al Dashboard.
- El laboratorio listo para incorporar nuevas fuentes de información.
Arquitectura del laboratorio
Después de este capítulo la arquitectura será la siguiente:
HOMELAB SOC
┌─────────────────┐
│ Analista SOC │
│ Dashboard │
└────────┬────────┘
│ HTTPS
│
┌───────────▼───────────┐
│ Debian Server │
│ Wazuh Manager │
└───────────┬───────────┘
│
Eventos cifrados (1514/1515)
│
┌─────────▼─────────┐
│ Windows 11 │
│ Wazuh Agent │
└───────────────────┘
¿Qué es un agente?
El Wazuh Agent es el software que se instala en cada equipo que deseamos monitorizar.
Su función consiste en recopilar información del sistema operativo y enviarla al servidor.
Entre otras cosas puede recoger:
- Eventos del sistema.
- Eventos de seguridad.
- Cambios en archivos.
- Usuarios y grupos.
- Inventario de software.
- Procesos.
- Servicios.
- Estado del sistema.
Toda esa información viaja de forma segura hasta el Wazuh Manager, donde posteriormente será analizada.
Descargando el agente
Desde Windows 11 abrimos el navegador y accedemos al Dashboard de Wazuh.
Una vez autenticados seleccionamos:
Menu
→ Agents
→ Deploy new agent
El asistente solicitará algunos datos:
- Sistema operativo: Windows
- Dirección IP del servidor Wazuh
- Nombre del agente
- Un grupo para unirte este equipo
En mi laboratorio la IP del servidor es:
10.0.100.10
Una vez completados los datos, Wazuh genera automáticamente los comandos necesarios para la instalación.
El asistente facilita enormemente el despliegue evitando configuraciones manuales innecesarias.
Instalando el agente
Descargamos el instalador para Windows y ejecutamos el archivo MSI.
También es posible instalarlo mediante PowerShell utilizando el comando proporcionado por el propio Dashboard.

Durante la instalación se solicitará la dirección IP del servidor Wazuh.
10.0.100.10
Una vez finalizada la instalación, el servicio queda registrado automáticamente en Windows.
Podemos comprobarlo ejecutando:
Get-Service Wazuh
El resultado debería ser similar a:
Status Name
------ ----
Running Wazuh
Verificando la comunicación
Desde el servidor Debian podemos comprobar que el nuevo agente se encuentra registrado.
sudo /var/ossec/bin/agent_control -l
Obtendremos una salida similar a:
ID: 000
Name: soc-server
IP: 127.0.0.1
ID: 001
Name: Windows11
IP: 10.0.100.20
Esto confirma que el servidor ya conoce el nuevo endpoint.

Primer contacto con el Dashboard
Regresando al Dashboard podremos abrir:
Agents
Allí aparecerá el nuevo equipo.
Su estado deberá mostrarse como:
Active
Además podremos consultar información como:
- Sistema operativo.
- Dirección IP.
- Última conexión.
- Versión del agente.
- Estado.
A partir de este momento el endpoint comienza a enviar información de forma continua.

¿Por qué todavía vemos pocas alertas?
Muchos usuarios esperan que, inmediatamente después de instalar el agente, aparezcan cientos de alertas críticas, ¡en realidad no ocurre así!.
El agente comienza enviando principalmente los eventos nativos de Windows, para obtener una visibilidad mucho mayor necesitaremos una fuente de telemetría más completa.
Aquí es donde entra Sysmon, será el siguiente paso del laboratorio.
El agente de Wazuh no reemplaza a Sysmon, ambos trabajan conjuntamente y ofrecen mucha más información que cualquiera de ellos por separado.
Estado actual del laboratorio
Después de este capítulo tenemos:
✓ Servidor Wazuh operativo.
✓ Windows 11 registrado.
✓ Agente instalado.
✓ Comunicación establecida.
✓ Eventos llegando al SIEM.
✓ Primer endpoint monitorizado.
¿Qué sigue?
El laboratorio ya es capaz de recibir eventos desde un equipo Windows, sin embargo, todavía estamos aprovechando únicamente los registros que Windows genera por defecto.
En el próximo capítulo instalaremos Sysmon, una herramienta desarrollada por Microsoft Sysinternals que amplía enormemente la cantidad y calidad de la información disponible para un analista SOC.
Gracias a Sysmon podremos comenzar a detectar:
- Creación de procesos.
- Conexiones de red.
- Cambios en el registro.
- Carga de DLL.
- Creación de servicios.
- Persistencia.
- Técnicas utilizadas por atacantes.
Será uno de los componentes más importantes de todo el laboratorio.
Lo aprendido
Todo SOC comienza incorporando su primer endpoint. Aunque la instalación del agente resulta sencilla, este representa el puente de comunicación entre el equipo monitorizado y el SIEM.
A partir de este momento el laboratorio deja de observar únicamente el servidor y comienza a obtener visibilidad sobre otros sistemas de la infraestructura.
Este será el punto de partida para construir un entorno capaz de detectar comportamientos sospechosos y analizar incidentes de seguridad de una forma mucho más cercana a un SOC real.