Etiquetas

WAZUH - FIM & YARA UD

 

📌 FIM, YARA y Valhalla en Wazuh Agent

Cuando hablamos de Wazuh Agent, uno de sus puntos fuertes es la capacidad de integrar diferentes tecnologías de detección para mejorar la seguridad del sistema. Entre estas tecnologías destacan:
FIM (File Integrity Monitoring)
YARA (motor de detección de malware por patrones)
Valhalla (repositorio de reglas YARA gestionadas y actualizadas para detectar amenazas)

A continuación se explican en detalle estos componentes y cómo se implementan en el contexto de un agente Wazuh.

🔍 ¿Qué es FIM (File Integrity Monitoring)?

🌟 Concepto

FIM significa File Integrity Monitoring, en español Monitorización de la Integridad de Archivos.
Su función principal es vigilar los archivos y directorios de un sistema para detectar:

  • Cambios en los archivos.

  • Eliminaciones de archivos.

  • Creación de nuevos archivos.

  • Cambios de permisos o propiedades (por ejemplo, cambios de propietario o modificaciones en los permisos de lectura/escritura).

🌟 ¿Por qué es importante?

FIM es vital para:

  • Detectar ataques donde un atacante modifica archivos del sistema, como binarios o scripts críticos.

  • Identificar cambios no autorizados en archivos de configuración.

  • Cumplir con normativas de seguridad (por ejemplo, PCI-DSS, ISO 27001).

🌟 ¿Cómo funciona FIM en Wazuh?

  • El Wazuh Agent tiene un módulo que se configura para vigilar determinadas rutas del sistema de archivos (por ejemplo, /etc, /usr/bin, C:\Windows\System32, etc.).

  • Cuando un archivo es modificado, creado o eliminado, el agente genera un evento y lo envía al servidor Wazuh.

  • El evento incluye detalles como:

    • Nombre del archivo.

    • Tipo de cambio detectado.

    • Hashes (MD5, SHA1, SHA256) del archivo antes y después (para verificar integridad).

🌟 Ejemplo de configuración (Linux)

En el fichero ossec.conf del Wazuh Agent:

<syscheck>
  <directories check_all="yes">/etc</directories>
  <directories check_all="yes">/usr/bin</directories>
</syscheck>

Esto indica que el agente vigilará esos directorios y alertará de cualquier cambio.

🌟 Flujo de trabajo de FIM

[ Archivo vigilado ][ Se produce un cambio ][ Wazuh Agent detecta el cambio ][ Evento enviado al servidor Wazuh ][ Generación de alerta ]

🔍 ¿Qué es YARA?

🌟 Concepto

YARA es un motor diseñado para identificar y clasificar archivos maliciosos o sospechosos mediante reglas.
Una regla YARA define patrones que, cuando se encuentran dentro de un archivo o proceso, indican la posible presencia de malware.

Las reglas YARA están formadas por:

  • Condiciones: qué buscar (por ejemplo, secuencias de bytes, cadenas de texto, expresiones regulares).

  • Criterios: cuándo activar la regla (por ejemplo, si aparecen varias cadenas a la vez).

🌟 ¿Por qué usar YARA en Wazuh?

Integrar YARA en un Wazuh Agent permite:

  • Analizar los archivos monitorizados por FIM con reglas YARA.

  • Detectar malware o archivos sospechosos en tiempo real.

  • Generar alertas cuando un archivo coincide con una firma de malware conocida.

🌟 Funcionamiento en Wazuh

1️⃣ FIM detecta un cambio en un archivo.
2️⃣ Wazuh usa YARA para analizar ese archivo según las reglas cargadas.
3️⃣ Si YARA encuentra un patrón malicioso, se genera un evento que se envía al servidor Wazuh.

🌟 Ejemplo de una regla YARA sencilla

rule Detecta_Palabra_Clave
{
    strings:
        $clave = "malicioso"
    condition:
        $clave
}

👉 Esta regla detecta archivos que contengan el texto “malicioso”.

🌟 Cómo se configura YARA en Wazuh Agent

En ossec.conf se activa el módulo de integridad con YARA:

<syscheck>
  <directories check_all="yes">/etc</directories>
  <directories check_all="yes">/usr/bin</directories>
  <yara_rules>/var/ossec/etc/rules.yar</yara_rules>
</syscheck>

👉 Esto indica que los archivos monitorizados también se analizarán con las reglas definidas en rules.yar.

🔍 ¿Qué es Valhalla?

🌟 Concepto

Valhalla es un servicio que proporciona:

  • Repositorios centralizados de reglas YARA profesionales y actualizadas.

  • Reglas creadas y mantenidas por expertos en ciberseguridad.

  • Firmas que ayudan a detectar nuevas variantes de malware y amenazas emergentes.

Valhalla permite que Wazuh:

  • Integre un conjunto amplio de reglas YARA sin que el administrador deba crearlas a mano.

  • Se mantenga actualizado frente a nuevas amenazas, ya que las reglas de Valhalla se actualizan constantemente.

🌟 Uso de Valhalla en Wazuh

1️⃣ El administrador descarga las reglas YARA de Valhalla (por ejemplo, mediante un script o manualmente).
2️⃣ Estas reglas se almacenan en el servidor o agente Wazuh, en un archivo como valhalla_rules.yar.
3️⃣ Se configura el Wazuh Agent para usar esas reglas con el módulo FIM.

⚙️ Funcionamiento conjunto FIM + YARA + Valhalla

FIM monitoriza los archivos.
➡ Cuando detecta un cambio, pasa el archivo modificado al motor YARA.
➡ YARA aplica sus reglas, incluidas las reglas de Valhalla si están configuradas.
➡ Si encuentra una coincidencia, el Wazuh Agent genera una alerta y la envía al servidor.
➡ El servidor Wazuh procesa y muestra la alerta en la consola.

📝 Ejemplo del flujo

[ FIM detecta que /etc/passwd ha sido modificado ]
[ YARA analiza el archivo modificado ]
[ Coincide con una regla Valhalla: posible rootkit ]
[ Wazuh Agent genera alerta ]
[ Wazuh Server recibe y procesa ]
[ El equipo de seguridad ve la alerta en el dashboard ]

🛡 Beneficios de esta integración en Wazuh

Detección rápida de malware mediante patrones (YARA).
Detección de cambios sospechosos en archivos críticos (FIM).
Actualización frente a amenazas nuevas (Valhalla).
Alertas centralizadas y correladas en el servidor Wazuh.
Cumplimiento de normativas de seguridad que exigen control sobre la integridad de los archivos.

⚠️ Aspectos a tener en cuenta al implementar en Wazuh Agent

💡 Es importante definir bien los directorios y archivos a monitorizar para evitar generar alertas innecesarias.
💡 El uso de YARA y Valhalla puede aumentar la carga de trabajo del agente si se analiza un gran número de archivos con reglas complejas.
💡 Se recomienda actualizar periódicamente las reglas YARA, especialmente las de Valhalla, para estar protegido frente a nuevas amenazas.

🌟 Resumen gráfico de la integración

[ Sistema de archivos ]
[ FIM monitoriza archivos y detecta cambios ]
[ YARA analiza el archivo ]
[ Valhalla aporta reglas avanzadas ]
[ Wazuh Agent genera evento ]
[ Wazuh Server recibe y muestra la alerta ]

ESTRUCTURA DE RED
Enviar entrada por correo electrónico
Labels:

Comentarios

Publicar un comentario

Entradas populares