Etiquetas

WAZUH - SURICATA - UD

 

¿Qué es Suricata?

Suricata es un motor de detección de amenazas de red (IDS/IPS, por sus siglas en inglés: Intrusion Detection System / Intrusion Prevention System). Esto significa que Suricata es capaz de monitorizar el tráfico de red y detectar actividades sospechosas o maliciosas, como ataques de denegación de servicio, escaneos de puertos, intentos de explotación de vulnerabilidades, o tráfico que coincide con patrones de malware conocidos.

Suricata fue desarrollado por la fundación Open Information Security Foundation (OISF) como un proyecto de código abierto. Algunas de sus características principales son:

  • Análisis en tiempo real de los paquetes de red.

  • Soporte para múltiples protocolos (HTTP, FTP, DNS, SMB, SSH, etc.).

  • Detección basada en firmas, es decir, compara el tráfico con un conjunto de reglas o patrones predefinidos (por ejemplo, las reglas de Snort o Emerging Threats).

  • Soporte para modos IDS e IPS:

    • IDS (sistema de detección de intrusiones): Suricata solo analiza y alerta sobre el tráfico malicioso, pero no lo bloquea.

    • IPS (sistema de prevención de intrusiones): Suricata puede bloquear el tráfico malicioso, deteniendo el ataque en tiempo real.

  • Registro detallado de eventos (logs), incluyendo información sobre cada paquete o flujo detectado como sospechoso.

Suricata es una herramienta potente porque no solo detecta ataques conocidos (gracias a las reglas), sino que también puede inspeccionar el tráfico en profundidad (por ejemplo, extraer archivos transferidos y analizar su contenido).

¿Qué es un Wazuh Agent?

Wazuh es una plataforma de seguridad que sirve como sistema de monitorización, detección de amenazas y respuesta a incidentes. El Wazuh Agent es el componente que se instala en los sistemas que queremos monitorizar (por ejemplo, un servidor Linux o Windows). Este agente:

  • Recoge logs y eventos del sistema operativo.

  • Detecta modificaciones en archivos (monitorización de integridad).

  • Lanza alertas cuando detecta comportamientos sospechosos.

  • Puede integrarse con otras herramientas de seguridad, como Suricata.

El Wazuh Agent envía los datos al servidor Wazuh, que los analiza y genera alertas que el equipo de seguridad puede revisar.

¿Por qué integrar Suricata con un Wazuh Agent?

Cuando integras Suricata con el Wazuh Agent, consigues lo mejor de ambos mundos:

  • Suricata analiza el tráfico de red y genera alertas sobre posibles ataques.

  • El Wazuh Agent recoge esas alertas de Suricata y las envía al servidor Wazuh.

  • El servidor Wazuh correlaciona estas alertas con otros datos (por ejemplo, cambios en archivos, intentos de login fallidos, etc.) y genera avisos más completos.

De este modo, el equipo de seguridad puede:
✅ Visualizar en un único lugar (la consola de Wazuh) todas las alertas de seguridad, incluyendo las que provienen de Suricata.
✅ Correlacionar eventos de red (Suricata) con eventos locales del sistema (Wazuh).
✅ Definir reglas en Wazuh para que ciertas alertas de Suricata disparen acciones automáticas (por ejemplo, bloquear una IP atacante).

¿Cómo funciona la integración técnicamente?

1️⃣ Suricata se ejecuta en el sistema (en el mismo servidor o máquina virtual donde tenemos el Wazuh Agent). Suricata analiza el tráfico de red en tiempo real.

2️⃣ Suricata guarda los logs de sus alertas en archivos (por ejemplo, en /var/log/suricata/eve.json). Este archivo en formato JSON contiene toda la información sobre cada evento detectado:

  • Timestamp (fecha y hora)

  • Dirección IP de origen y destino

  • Puerto de origen y destino

  • Protocolo (TCP, UDP, etc.)

  • Regla o firma que se ha activado

  • Severidad de la alerta

3️⃣ El Wazuh Agent está configurado para leer estos logs. Para ello, en el fichero de configuración del agente (ossec.conf) se añade una entrada para monitorizar el archivo eve.json.

4️⃣ El agente envía los datos al servidor Wazuh, que analiza estos eventos mediante sus reglas de decodificación y correlación.

5️⃣ El equipo de seguridad ve las alertas en la consola Wazuh (interfaz web), donde puede buscar, filtrar y analizar los incidentes, e incluso integrarlos con otras herramientas (por ejemplo, SIEMs, sistemas de ticketing, etc.).

Flujo resumido de integración

[ Tráfico de red ][ Suricata analiza ][ Suricata genera logs ][ Wazuh Agent los recoge ][ Servidor Wazuh los procesa ][ Alertas y reportes ]

Ejemplo de alerta

Un ejemplo de evento generado por Suricata e interpretado por Wazuh podría ser:

{
  "timestamp": "2025-06-15T14:33:22.123456+0000",
  "src_ip": "192.168.1.100",
  "src_port": 54321,
  "dest_ip": "192.168.1.10",
  "dest_port": 80,
  "proto": "TCP",
  "alert": {
    "signature_id": 2100498,
    "signature": "ET SCAN Nmap Scripting Engine User-Agent Detected",
    "category": "Attempted Information Leak",
    "severity": 2
  }
}

En la consola de Wazuh veríamos una alerta indicando que alguien está utilizando Nmap para escanear el servidor web, lo que podría ser un intento de reconocimiento previo a un ataque.

Ventajas de la integración

✅ Centralización: todas las alertas de Suricata se ven desde Wazuh.
✅ Correlación: los datos de red se combinan con datos del sistema.
✅ Escalabilidad: puedes monitorizar decenas o cientos de máquinas de forma consistente.
✅ Flexibilidad: puedes definir qué reglas de Suricata son críticas y cómo responder a ellas (por ejemplo, bloqueo automático).

Consideraciones prácticas

💡 Para que esta integración funcione correctamente:

  • El Wazuh Agent debe tener permisos para leer los logs de Suricata.

  • Suricata debe estar bien configurado con reglas adecuadas al entorno.

  • Hay que comprobar que el archivo eve.json no rota o se elimina antes de ser procesado.

  • Se recomienda probar la integración con un escaneo simulado (por ejemplo, lanzando Nmap desde otra máquina) y comprobar que la alerta llega a Wazuh.

ESTRUCTURA DE RED



Enviar entrada por correo electrónico
Labels:

Comentarios

Publicar un comentario

Entradas populares