Homelab SOC #07 - Incorporando el primer agente


En el capítulo anterior construimos el corazón del laboratorio instalando Wazuh sobre Debian.

Sin embargo, un SIEM por sí solo no genera información.

Necesita recibir eventos desde los equipos que forman parte de la infraestructura.

En este capítulo incorporaremos el primer endpoint del laboratorio: Windows 11.

Será el primer equipo monitorizado por nuestro SOC y marcará el inicio de la recopilación de eventos reales.


Objetivo de este capítulo

La pregunta que responderemos es:

¿Cómo conectar un equipo Windows a Wazuh para que el SIEM comience a recibir sus eventos?

Al finalizar tendremos:

  • Un Windows 11 registrado como agente.
  • Comunicación cifrada con el servidor Wazuh.
  • El agente conectado y activo.
  • Eventos llegando al Dashboard.
  • El laboratorio listo para incorporar nuevas fuentes de información.

Arquitectura del laboratorio

Después de este capítulo la arquitectura será la siguiente:

                    HOMELAB SOC

                 ┌─────────────────┐
                 │   Analista SOC  │
                 │    Dashboard    │
                 └────────┬────────┘
                          │ HTTPS
                          │
              ┌───────────▼───────────┐
              │     Debian Server     │
              │      Wazuh Manager    │
              └───────────┬───────────┘
                          │
              Eventos cifrados (1514/1515)
                          │
                ┌─────────▼─────────┐
                │    Windows 11     │
                │   Wazuh Agent     │
                └───────────────────┘

¿Qué es un agente?

El Wazuh Agent es el software que se instala en cada equipo que deseamos monitorizar.

Su función consiste en recopilar información del sistema operativo y enviarla al servidor.

Entre otras cosas puede recoger:

  • Eventos del sistema.
  • Eventos de seguridad.
  • Cambios en archivos.
  • Usuarios y grupos.
  • Inventario de software.
  • Procesos.
  • Servicios.
  • Estado del sistema.

Toda esa información viaja de forma segura hasta el Wazuh Manager, donde posteriormente será analizada.


Descargando el agente

Desde Windows 11 abrimos el navegador y accedemos al Dashboard de Wazuh.

Una vez autenticados seleccionamos:

Menu

→ Agents

→ Deploy new agent

El asistente solicitará algunos datos:

  • Sistema operativo: Windows
  • Dirección IP del servidor Wazuh
  • Nombre del agente
  • Un grupo para unirte este equipo

En mi laboratorio la IP del servidor es:

10.0.100.10

Una vez completados los datos, Wazuh genera automáticamente los comandos necesarios para la instalación.


Instalando el agente

Descargamos el instalador para Windows y ejecutamos el archivo MSI.

También es posible instalarlo mediante PowerShell utilizando el comando proporcionado por el propio Dashboard.

agente-windows-11-homelab-soc.png

Durante la instalación se solicitará la dirección IP del servidor Wazuh.

10.0.100.10

Una vez finalizada la instalación, el servicio queda registrado automáticamente en Windows.

Podemos comprobarlo ejecutando:

Get-Service Wazuh

El resultado debería ser similar a:

Status   Name
------   ----
Running  Wazuh

Verificando la comunicación

Desde el servidor Debian podemos comprobar que el nuevo agente se encuentra registrado.

agent_controlzsh / user
sudo /var/ossec/bin/agent_control -l

Obtendremos una salida similar a:

ID: 000
Name: soc-server
IP: 127.0.0.1

ID: 001
Name: Windows11
IP: 10.0.100.20

Esto confirma que el servidor ya conoce el nuevo endpoint.

agentes-registrados-wazuh.png


Primer contacto con el Dashboard

Regresando al Dashboard podremos abrir:

Agents

Allí aparecerá el nuevo equipo.

Su estado deberá mostrarse como:

Active

Además podremos consultar información como:

  • Sistema operativo.
  • Dirección IP.
  • Última conexión.
  • Versión del agente.
  • Estado.

A partir de este momento el endpoint comienza a enviar información de forma continua.

agente-wazuh-soc.png


¿Por qué todavía vemos pocas alertas?

Muchos usuarios esperan que, inmediatamente después de instalar el agente, aparezcan cientos de alertas críticas, ¡en realidad no ocurre así!.

El agente comienza enviando principalmente los eventos nativos de Windows, para obtener una visibilidad mucho mayor necesitaremos una fuente de telemetría más completa.

Aquí es donde entra Sysmon, será el siguiente paso del laboratorio.


Estado actual del laboratorio

Después de este capítulo tenemos:

✓ Servidor Wazuh operativo.

✓ Windows 11 registrado.

✓ Agente instalado.

✓ Comunicación establecida.

✓ Eventos llegando al SIEM.

✓ Primer endpoint monitorizado.


¿Qué sigue?

El laboratorio ya es capaz de recibir eventos desde un equipo Windows, sin embargo, todavía estamos aprovechando únicamente los registros que Windows genera por defecto.

En el próximo capítulo instalaremos Sysmon, una herramienta desarrollada por Microsoft Sysinternals que amplía enormemente la cantidad y calidad de la información disponible para un analista SOC.

Gracias a Sysmon podremos comenzar a detectar:

  • Creación de procesos.
  • Conexiones de red.
  • Cambios en el registro.
  • Carga de DLL.
  • Creación de servicios.
  • Persistencia.
  • Técnicas utilizadas por atacantes.

Será uno de los componentes más importantes de todo el laboratorio.


Lo aprendido

Todo SOC comienza incorporando su primer endpoint. Aunque la instalación del agente resulta sencilla, este representa el puente de comunicación entre el equipo monitorizado y el SIEM.

A partir de este momento el laboratorio deja de observar únicamente el servidor y comienza a obtener visibilidad sobre otros sistemas de la infraestructura.

Este será el punto de partida para construir un entorno capaz de detectar comportamientos sospechosos y analizar incidentes de seguridad de una forma mucho más cercana a un SOC real.