Wazuh

Contenido

Task 1 2

Task 2 3

Task 3 3

Task 4 4

Task 5 y 6 5

Task 7 6

Task 8 7

Task 9 7

Task 10 8

Task 11 9

Task 12 10

Task 1

Task 2

Vamos a comenzar abriendo openvpn para conectarnos a la red de tryhackme y a lanzar el servidor.Tras unos minutos accederemos a la ip con estas credenciales:

En mi caso no me pregunto pero si te pregunta por el ámbito del tenant , seleccionamos global.

Task 3

Vamos a ver como desplegar los agents que son los nodos de la red (equipos) desde los cuales se generaran los eventos o logs que se enviaran al server central que tiene instalado wazuh , para ello accedemos a Wazuh>Agents>Deploy new agent:

Nos desplegara el siguiente menú , solo hay que especificar el tipo de OS , la ip del servidor donde esta instalado wazuh , el grupo al que pertenecerá el agente y abajo nos aparecerá un comando que deberemos ejecutar en la maquina que queramos convertir en agente.

Ejemplo de un debían.

Task 4

Vamos a comenzar analizando el agente agent-001 , para ello vamos al apartado agent y clickamos en security events:

Hay que tener en cuenta el filtro de tiempo que según la room nos dice que empezemos en 11 de marzo de 2022:

Task 5 y 6

Vamos a analizar ahora el otro agente para ver las diferentes puntuaciones que obtiene basándose en el NIST , MITRE , etc…

Ahora vamos a monitorizarlo desde el siguiente enlace:

Y podemos ver eventos como los de la tabla , en los que alguien intento entrar por ssh por fuerza bruta.

Task 7

Si queremos monitorizar un servicio especifico en Windows , debemos configurar tanto el sysmon que es el programa que utiliza Windows para monitorizar los eventos como el cliente de wazuh.Para ello si queremos monitorizar por ejemplo el powershell utilizaremos el siguiente comando:

Luego en el cliente de wazuh lo configuraremos accediendo a:

Y luego añadiendo lo siguiente:

Luego reseteamos el equipo agente , y por ultimo en el servidor de wazuh añadimos la siguiente regla para que acepta los logs de sysmon:

Task 8

Ahora veremos como configurar la monitorización el Linux, para ello vamos a elegir apache2 para su monitorización , además wazuh en el servidor donde lo instalemos tiene bastante reglas por defecto(la maquina desde donde monitorizamos):

Una vez seleccionada la regla la insertaremos en:

Asi especificamos la regla.

Task 9

Para la monitorización en Linux wazuh utiliza el comando auditd para monitorizar ciertas cosas del sistema y generar los logs.Para esto primero debemos instalar el paquete y el plugin:

Despues deberemos habilitar y arrancar el servicio:

Una vez arrancado podemos ir a :

Para editar las reglas de monitorización por ejemplo :

Una vez configurado necesitamos ejecutar el siguiente comando:

Para que actualize las reglas del auditd.Y por ultimo configuramos el archivo de configuración:

Para que le mandes los logs generados al manager:

Task 10

Ahora vamos a configurar el acceso a nuestro manager server de wazuh pero por cli , para ello utilizaremos curl.Pero primero deberemos crear una variable de entorno para que no nos pida el siguiente comando constantemente:

Una vez tenemos esto podemos hacer peticiones de la siguiente manera:

(esto no funciono con el token por lo que hubo que sacarlo manualmente con la burp suite, de todas formas lo veo un método poco efectivo y muy lioso )

Para ello también veremos como acceder desde el entorno grafico , para ello:

Task 11

Vamos a generar un reporte en pdf dándole al botón generate report:

Y luego en wazuh>management>reporting podemos ver dicho reporte:

Task 12

Ahora vamos a ver como importar datos: