Lo interesante posterior a la instalación, es que Wazuh Agent es un potente EDR (detección y respuesta de endpoints) complementandolo con dos servicios adicionales, de forma predeterminada, el agente Wazuh recopila registros de Windows y del sistema, pero no proporciona información suficiente sobre nuestra actividad en los end points. Una solución EDR debe recopilar conexiones de red, generar procesos, ejecutar comandos, etc, para que podamos detectar con precisión cualquier actividad maliciosa.
Instalación de Sysmon
Instalemos Sysmon en nuestros end points de Windows. Sysmon es nuestro registro de Windows con potenciado y es muy recomendado aplicarlo en Windows, proporciona su propio archivo Sysmon Config, pero en esta demostración usaré olafhartong GitRepo: Sysmon Modular
¡Vea el script de PowerShell a continuación para instalar Sysmon fácilmente en sus propios puntos finales!
Sysmon ahora escribe eventos lo podemos revisar en el visor de eventos, Registro de Aplicaciones y Servicios / Microsoft / Windows / Sysmon/Operational:
Solos nos resta agregar el bloque de configuración <localfile> al grupo de nuestro Agente Wazuh le indicamos al Agente Wazuh que recopile nuestros eventos Sysmon.
<localfile>
<location>Microsoft-Windows-Sysmon/Operational</location>
<log_format>eventchannel</log_format>
</localfile>
<location>Microsoft-Windows-Sysmon/Operational</location>
<log_format>eventchannel</log_format>
</localfile>
Packetbeat Install
Usaremos Packetbeat para analizar el tráfico de la red en tiempo real, la implementación de Packetbeat en nuestros end points Linux (Sysmon para Windows ya recopila el tráfico de red) nos permite analizar el tráfico de red que viaja hacia y desde nuestros terminales.
Este script bash a continuación para instalar Packetbeat rápidamente
/tmp/packetbeat/packetbeat.Finalmente Agregamos el bloque de configuración <localfile> al grupo de nuestro Agente Wazuh para que recopile nuestros eventos Packetbeat.
<localfile>
<log_format>json</log_format>
<location>/tmp/packetbeat/packetbeat</location>
</localfile>
<log_format>json</log_format>
<location>/tmp/packetbeat/packetbeat</location>
</localfile>
Ok con esto ya nuestros end points usando Wazuh Agent con Sysmon y Packetbeat brinda una visión completa de los puntos finales. Espero que les haya gustado esta integración nos vemos en la proxima y espero que los pueda defender de los malos.
Referencias:
