viernes, 19 de junio de 2026

Wazuh + Sysmon: La combinación ideal para una defensa proactiva en Windows Introducción

Introducción

Las amenazas informáticas modernas ya no se limitan a virus tradicionales. Hoy en día, ransomware, malware sin archivos (fileless malware), robo de credenciales y movimientos laterales dentro de la red exigen una visibilidad mucho más profunda sobre lo que ocurre en los equipos Windows.

Una de las mejores estrategias para fortalecer la ciberseguridad consiste en implementar Wazuh como EDR (Endpoint Detection and Response) e instalar Sysmon (System Monitor) en los equipos Windows.

Esta integración proporciona una capacidad de monitoreo avanzada que permite detectar actividades maliciosas en tiempo real y responder rápidamente antes de que un incidente afecte la operación del negocio.

 

¿Qué es Wazuh?

Wazuh es una plataforma Open Source de seguridad que combina las capacidades de:

  • EDR (Endpoint Detection and Response).
  • SIEM (Security Information and Event Management).
  • Detección de vulnerabilidades.
  • Monitoreo de integridad de archivos (FIM).
  • Gestión de cumplimiento normativo.
  • Detección de malware y ransomware.
  • Respuesta activa ante amenazas.

Su arquitectura está compuesta por:

  • Wazuh Server.
  • Wazuh Indexer.
  • Wazuh Dashboard.
  • Agentes Wazuh instalados en los endpoints.

 

¿Qué es Sysmon?

Sysmon (System Monitor), desarrollado por Microsoft Sysinternals, es una herramienta que amplía considerablemente los registros nativos de Windows.

Mientras el Event Viewer tradicional registra eventos básicos, Sysmon genera información detallada sobre:

  • Creación de procesos.
  • Conexiones de red.
  • Carga de DLL.
  • Creación de servicios.
  • Modificaciones del registro.
  • Creación y eliminación de archivos.
  • Actividades de PowerShell.
  • Hashes MD5, SHA1 y SHA256.
  • Inyección de código.
  • Cambios en drivers.

En otras palabras, Sysmon convierte a Windows en una fuente de telemetría extremadamente valiosa para la detección de amenazas.

 

¿Por qué integrar Wazuh con Sysmon?

Por separado ambas herramientas son excelentes, pero juntas ofrecen capacidades comparables a soluciones comerciales de EDR.

 


 

Beneficios principales

Mayor visibilidad

Permite conocer exactamente qué ocurre en cada equipo.

Detección temprana de ransomware

Identifica:

  • Cifrado masivo de archivos.
  • Ejecución sospechosa de PowerShell.
  • Uso de herramientas como PsExec.
  • Movimientos laterales.

Detección de malware sin archivos

Muchos ataques modernos utilizan:

  • PowerShell.
  • WMI.
  • Scripts.
  • Macros.

Sysmon registra estas actividades y Wazuh las correlaciona para generar alertas.

Investigación forense

Permite responder preguntas como:

  • ¿Qué proceso inició el ataque?
  • ¿Qué usuario lo ejecutó?
  • ¿Qué archivos modificó?
  • ¿Con qué IP se comunicó?

Respuesta activa

Wazuh puede:

  • Bloquear una IP.
  • Deshabilitar un usuario.
  • Ejecutar scripts automáticos.
  • Aislar equipos comprometidos.

 

Arquitectura de la solución

Equipos Windows

Sysmon

Eventos de Windows

Agente Wazuh

Wazuh Server

Indexer

Dashboard

Alertas y Respuesta

 

Paso 1: Instalar Sysmon

Descargar Sysmon desde Microsoft Sysinternals.

Extraer el paquete y abrir una consola como administrador.

Instalar Sysmon:

sysmon64.exe -accepteula -i

Verificar el servicio:

sc query sysmon64

 

Paso 2: Aplicar una configuración recomendada

Es recomendable utilizar una configuración basada en SwiftOnSecurity.

Instalar con:

sysmon64.exe -accepteula -i sysmonconfig.xml

Esta configuración registra únicamente los eventos más útiles y evita generar ruido innecesario.

 

Paso 3: Instalar el agente Wazuh

Descargar el agente correspondiente a Windows.

Ejecutar el instalador y especificar:

  • Dirección IP del servidor Wazuh.
  • Nombre del endpoint.
  • Grupo al que pertenecerá.

Una vez instalado, iniciar el servicio.

 

Paso 4: Habilitar la recolección de eventos Sysmon

En el archivo ossec.conf:

<localfile>

  <location>Microsoft-Windows-Sysmon/Operational</location>

  <log_format>eventchannel</log_format>

</localfile>

Reiniciar el agente:

net stop wazuh

net start wazuh

 

Paso 5: Correlación y detección

Wazuh comenzará a analizar automáticamente eventos de Sysmon.

Entre ellos:

  • Event ID 1 → Creación de procesos.
  • Event ID 3 → Conexiones de red.
  • Event ID 7 → Carga de DLL.
  • Event ID 8 → CreateRemoteThread.
  • Event ID 10 → Acceso a procesos.
  • Event ID 11 → Creación de archivos.
  • Event ID 13 → Modificaciones del registro.
  • Event ID 22 → Consultas DNS.

Ejemplos de amenazas detectadas

Mimikatz

Detección de robo de credenciales.

PowerShell malicioso

Comandos codificados en Base64.

PsExec

Movimiento lateral entre equipos.

Cobalt Strike

Beaconing y conexiones sospechosas.

Ransomware

Creación masiva de archivos y procesos anómalos.

Persistencia

Creación de servicios y modificaciones del registro.

 

Resultado final

La organización obtiene:

✓ Visibilidad completa sobre los endpoints.

✓ Detección temprana de amenazas.

✓ Capacidades EDR sin costos de licenciamiento.

✓ Investigación forense avanzada.

✓ Cumplimiento normativo.

✓ Alertas centralizadas.

✓ Respuesta automática ante incidentes.

✓ Protección frente a ransomware y ataques modernos.

 

Conclusión

La integración de Wazuh con Sysmon representa una de las mejores alternativas Open Source para implementar un EDR en entornos Windows.

Sysmon proporciona una telemetría extremadamente rica y Wazuh transforma esa información en inteligencia de seguridad mediante reglas, correlación de eventos y respuesta activa.

Esta combinación permite a las organizaciones evolucionar desde una postura reactiva hacia una estrategia de ciberseguridad proactiva, incrementando significativamente la capacidad de detección y reduciendo el tiempo de respuesta ante incidentes.

 Nos vemos hasta la próxima!!!


a la/s

No hay comentarios.:

Publicar un comentario

Suscribirse a: Comentarios de la entrada (Atom)