Etiquetas

WAZUH - QUARANTINE

 

WAZUH - AMBASSADORS

🛡️Implementación de un Sistema de Cuarentena con Wazuh + VirusTotal en un Agente Ubuntu Desktop

En esta práctica configuraremos un agente Ubuntu Desktop para que actúe como un sistema de protección proactiva ante posibles descargas maliciosas. Utilizaremos las capacidades de File Integrity Monitoring (FIM) de Wazuh junto con la integración de VirusTotal para analizar archivos descargados en un directorio monitorizado.
Cuando un archivo sea detectado como malware, será movido automáticamente a un directorio de cuarentena, y se generará una alerta de nivel 12 en Wazuh.

Como parte del ejercicio, realizaremos una prueba utilizando el archivo de test EICAR, lo que nos permitirá comprobar el funcionamiento completo del sistema: detección, análisis, cuarentena y alerta.

🎯 Objetivos de la práctica

  • Configurar un directorio en Ubuntu Desktop para monitorizar archivos descargados mediante FIM.

  • Activar la integración de Wazuh con VirusTotal para análisis automático.

  • Implementar un flujo de cuarentena para archivos marcados como maliciosos.

  • Generar alertas de alto nivel cuando se detecten amenazas reales.

  • Validar el sistema descargando el archivo de prueba EICAR.

  • Comprender la interacción entre FIM, análisis de reputación y automatización de respuestas.

🧩 Aspectos clave de la práctica

📁 Directorio monitorizado mediante FIM

Se seleccionará un directorio en Ubuntu Desktop donde el usuario habitualmente descargue archivos. Este directorio será monitorizado mediante el módulo de File Integrity Monitoring.
Gracias a esto, cada vez que aparezca un archivo nuevo, Wazuh detectará el evento inmediatamente y disparará un proceso de análisis.

Es un mecanismo fundamental para identificar actividades que pueden implicar riesgo, como la descarga de software desconocido o documentos potencialmente peligrosos.

🔎 Análisis automático con VirusTotal

Una vez que Wazuh detecte un archivo nuevo en el directorio monitorizado, el sistema enviará su información a VirusTotal, utilizando la integración oficial del motor de reputación.

VirusTotal permite:

  • Analizar un archivo mediante múltiples motores antivirus.

  • Determinar si el archivo es seguro o contiene características maliciosas.

  • Obtener un veredicto que Wazuh podrá utilizar para activar acciones posteriores.

Este paso permite automatizar la detección sin necesidad de intervención manual.

🛑 Cuarentena de archivos maliciosos

Si VirusTotal identifica que el archivo descargado tiene un comportamiento malicioso o una reputación confirmada como peligrosa, el sistema ejecutará un flujo automatizado que:

  • Moverá el archivo inmediatamente desde el directorio monitorizado hacia una carpeta de cuarentena especialmente creada.

  • Evitará que el archivo sea ejecutado por el usuario.

  • Garantizará que el archivo queda aislado en un entorno seguro para análisis posterior.

Este mecanismo protege al sistema frente a infecciones, bloquea amenazas antes de que puedan ejecutarse y proporciona una respuesta automatizada de alta eficacia.

🚨 Generación de alerta de nivel 12

Cuando se detecte un archivo malicioso y se haya ejecutado la acción de cuarentena, Wazuh generará una alerta de nivel 12, indicando:

  • Alta criticidad.

  • Riesgo confirmado.

  • Detección basada en inteligencia de reputación.

  • Acción de mitigación aplicada (cuarentena).

Este tipo de alerta permite identificar rápidamente un intento de infección y su contención.

🧪 Prueba práctica: archivo EICAR

Para comprobar el funcionamiento completo del sistema, se descargará el archivo de prueba EICAR, un archivo completamente seguro que se utiliza mundialmente para verificar sistemas antivirus.

La prueba permitirá visualizar:

  • La detección inmediata del archivo mediante FIM.

  • Su análisis por VirusTotal.

  • La decisión automática de clasificarlo como malicioso.

  • El movimiento del archivo a la carpeta de cuarentena.

  • La generación de la alerta crítica de nivel 12 en el panel de Wazuh.

Esta validación final mostrará la eficacia del sistema de protección implementado.

🔍 ¿Por qué es importante esta práctica?

Esta práctica permite entender y experimentar con un flujo completo de detección + reputación + respuesta automatizada dentro de Wazuh. Aporta una visión clara de cómo se pueden proteger endpoints frente a archivos sospechosos mediante:

  • Monitorización activa del sistema de archivos.

  • Análisis de reputación en tiempo real utilizando servicios externos.

  • Automatización de acciones de mitigación sin intervención humana.

  • Registro detallado y alertas que permiten investigar el incidente.

Es una aproximación profesional a cómo funcionan los sistemas modernos de endpoint protection.

✅ Resultados esperados

  • Directorio monitorizado correctamente mediante FIM.

  • Integración con VirusTotal funcionando y analizando archivos nuevos.

  • Sistema de cuarentena operativo moviendo archivos maliciosos.

  • Alerta de nivel 12 generada cuando se detecta una amenaza confirmada.

  • Archivo EICAR identificado, puesto en cuarentena y registrado como incidente.

  • Comprensión global del flujo de detección temprana y respuesta automática.

⚙️ Estructura de red


DESCARGAR COMANDOS



🛡️Implementing a Quarantine System with Wazuh + VirusTotal on an Ubuntu Desktop Agent

In this practice, an Ubuntu Desktop agent will be configured to act as a proactive protection system against potentially malicious downloads. Using File Integrity Monitoring (FIM) from Wazuh combined with the VirusTotal reputation service, any file downloaded into a monitored directory will be automatically analyzed.
If VirusTotal determines the file is malicious, it will be moved into a dedicated quarantine directory, and Wazuh will generate a level 12 alert to highlight the detected threat.

As part of the validation process, the well-known EICAR test file will be downloaded to demonstrate the full workflow: detection, analysis, quarantine action, and alert generation.

🎯 Objectives of the Practice

  • Configure a monitored directory in Ubuntu Desktop using FIM.

  • Enable the Wazuh–VirusTotal integration for automatic file analysis.

  • Implement a quarantine workflow for malicious files.

  • Generate high-severity alerts when confirmed threats are detected.

  • Validate the setup by downloading the EICAR test file.

  • Understand the interaction between FIM, reputation checks, and automated responses.

🧩 Key Aspects of the Practice

📁 Monitored Directory Using FIM

A directory commonly used for file downloads will be selected in Ubuntu Desktop. This directory will be monitored using File Integrity Monitoring, ensuring that every new file appearing in the location triggers an event.

This mechanism is essential for detecting potentially risky actions, such as downloads of unknown software, documents, or executables.

🔎 Automatic Analysis with VirusTotal

Whenever Wazuh detects a new file within the monitored directory, it will send information about that file to VirusTotal using its reputation integration.

VirusTotal provides:

  • Analysis using dozens of antivirus engines.

  • A verdict indicating whether the file is safe or malicious.

  • Reputation data that Wazuh uses to determine the next steps.

This automated analysis removes the need for manual verification and enables immediate threat assessment.

🛑 Quarantine of Malicious Files

If VirusTotal determines that the downloaded file is malicious, the system will launch an automated quarantine workflow that:

  • Moves the file out of the monitored directory and into a dedicated quarantine folder.

  • Prevents the user from executing or interacting with the file.

  • Ensures the file is isolated for further investigation if needed.

This mechanism protects the system from infections and applies rapid mitigation before any potential threat can run.

🚨 Generation of a Level 12 Alert

When a malicious file is detected and successfully quarantined, Wazuh will generate a level 12 alert, indicating:

  • High criticality.

  • Confirmed threat.

  • Detection based on reputation intelligence.

  • Automated mitigation performed (quarantine action).

These alerts provide immediate visibility into high-risk events and help highlight security incidents requiring attention.

🧪 Practical Test: EICAR File

To verify the entire workflow, the well-known EICAR test file will be downloaded. This harmless file is used worldwide to test antivirus mechanisms.

The test will demonstrate:

  • Immediate detection of the new file via FIM.

  • Automatic VirusTotal analysis.

  • Classification of the file as malicious.

  • Movement of the file into the quarantine directory.

  • Generation of the level 12 alert in the Wazuh dashboard.

This validation confirms the effectiveness of the protection system.

🔍 Why This Practice Is Important

This practice illustrates a complete security workflow that combines detection + reputation analysis + automated response. It provides insights into how modern endpoint protection strategies operate by leveraging:

  • Active file system monitoring.

  • Real-time reputation-based threat intelligence.

  • Automated mitigation without user intervention.

  • Detailed incident logging and high-severity alerting.

It demonstrates how Wazuh can be used not only for monitoring but also for active protection.

✅ Expected Results

  • The directory is correctly monitored using FIM.

  • VirusTotal integration analyzes every new file automatically.

  • Malicious files are moved into the quarantine directory.

  • A level 12 alert is generated when a confirmed threat is detected.

  • The EICAR test file is detected, quarantined, and registered as a security incident.

  • Full understanding of the detection and automated response workflow.


Enviar entrada por correo electrónico
Labels:

Comentarios

Publicar un comentario

Entradas populares