Etiquetas

WAZUH - CENTRALIZED

WAZUH - AMBASSADORS

🧑‍💻 Gestión Centralizada de Agentes en Wazuh y Despliegue Masivo de FIM sobre /opt

En esta práctica se aprenderá a gestionar agentes de Wazuh de forma centralizada, utilizando comandos de línea de comandos (CLI) para administrar los sistemas monitorizados desde el Wazuh Manager. Se trabajará con agentes ya registrados para listar los agentes disponibles, comprobar su estado, obtener información detallada y entender cómo se organizan mediante grupos de agentes.

A continuación, se creará un grupo específico para agentes Linux, se asignarán los agentes correspondientes y se verificará que la configuración se aplica correctamente.
Finalmente, se demostrará cómo desplegar de forma centralizada la monitorización de integridad de archivos (FIM) sobre el directorio /opt para todos los agentes del grupo, mostrando cómo aplicar políticas de seguridad de manera masiva sin necesidad de configurar cada sistema individualmente.

Esta práctica refleja un escenario real de administración de seguridad a escala en entornos Linux.

🧰 Tecnologías empleadas

Wazuh

Wazuh es una plataforma de seguridad que permite gestionar agentes, monitorizar sistemas, detectar amenazas y aplicar políticas de seguridad de forma centralizada. Su sistema de grupos facilita la administración eficiente de múltiples agentes con configuraciones comunes.

Agentes Wazuh (Linux)

Los agentes de Wazuh instalados en sistemas Linux recopilan eventos del sistema, cambios en archivos y otra información relevante de seguridad. Estos agentes pueden agruparse para simplificar su gestión y aplicar políticas comunes.

File Integrity Monitoring (FIM)

FIM es un módulo de Wazuh que permite monitorizar cambios en archivos y directorios. Es fundamental para detectar modificaciones no autorizadas, accesos indebidos o actividades sospechosas en rutas críticas del sistema, como /opt.

🎯 Objetivos de la práctica

  • Gestionar agentes de Wazuh desde el Wazuh Manager mediante CLI.

  • Listar los agentes registrados y comprobar su estado.

  • Obtener información detallada de cada agente.

  • Comprender la pertenencia de los agentes a grupos.

  • Crear un grupo específico para agentes Linux.

  • Asignar los agentes Linux al grupo creado.

  • Verificar que la configuración del grupo se aplica correctamente.

  • Desplegar FIM de forma centralizada sobre /opt para todos los agentes del grupo.

  • Aplicar políticas de seguridad a múltiples sistemas sin configuraciones individuales.

🧩 Aspectos clave de la práctica

📋 Gestión de agentes mediante CLI

Se utilizarán las herramientas de línea de comandos de Wazuh para administrar los agentes, lo que permitirá:

  • Visualizar todos los agentes registrados.

  • Comprobar si los agentes están activos o inactivos.

  • Consultar información detallada como sistema operativo, IP y última conexión.

  • Validar la comunicación entre los agentes y el Wazuh Manager.

Este enfoque es esencial en entornos con múltiples sistemas monitorizados.

🗂️ Uso y comprensión de grupos de agentes

Wazuh permite organizar los agentes en grupos, facilitando:

  • La aplicación de configuraciones comunes.

  • La gestión coherente de políticas de seguridad.

  • La escalabilidad del entorno sin complejidad adicional.

En esta práctica se analizará cómo los agentes se asocian a grupos y cómo estas asociaciones influyen en su configuración.

🧑‍💻 Creación de un grupo de agentes Linux

Se creará un grupo dedicado para agentes Linux, con el objetivo de:

  • Agrupar sistemas con características similares.

  • Aplicar políticas adaptadas a este tipo de sistemas.

  • Preparar el entorno para despliegues masivos de seguridad.

Este grupo será la base para el despliegue centralizado de FIM.

🔄 Asignación de agentes al grupo

Una vez creado el grupo:

  • Se asignarán los agentes Linux correspondientes.

  • Se verificará que los agentes pertenecen correctamente al grupo.

  • Se confirmará que reciben las configuraciones definidas a nivel de grupo.

Esto demuestra la propagación automática de políticas desde el Wazuh Manager.

📂 Despliegue centralizado de FIM sobre /opt

Como paso final, se desplegará File Integrity Monitoring de forma centralizada:

  • Se definirá la monitorización del directorio /opt a nivel de grupo.

  • Todos los agentes Linux del grupo recibirán la configuración automáticamente.

  • Cualquier cambio en /opt será detectado por Wazuh sin configuraciones manuales por agente.

Este paso demuestra cómo aplicar políticas de seguridad de forma eficiente y escalable.

🧪 Validación del despliegue

Para validar la configuración:

  1. Se realizará un cambio en el directorio /opt de uno de los agentes.

  2. El agente detectará el cambio mediante FIM.

  3. El evento será enviado al Wazuh Manager.

  4. Se confirmará que la política se aplica correctamente a todos los agentes del grupo.

Esto confirma el correcto funcionamiento del despliegue centralizado.

🔍 ¿Por qué es importante esta práctica?

Esta práctica pone de manifiesto una de las capacidades más potentes de Wazuh: la gestión centralizada de agentes y políticas de seguridad. Permite comprender:

  • Cómo administrar múltiples sistemas de forma eficiente.

  • Cómo evitar configuraciones repetitivas y manuales.

  • Cómo aplicar políticas coherentes a gran escala.

  • Cómo escalar la monitorización sin aumentar la complejidad operativa.

  • Cómo gestionar entornos Linux reales en contextos empresariales.

Es una práctica esencial para administradores de sistemas y equipos SOC.

✅ Resultados esperados

  • Agentes gestionados correctamente desde CLI.

  • Estado e información detallada de los agentes identificados correctamente.

  • Grupo de agentes Linux creado y operativo.

  • Agentes asignados correctamente al grupo.

  • Monitorización FIM desplegada sobre /opt de forma centralizada.

  • Detección correcta de cambios en todos los agentes del grupo.

  • Comprensión completa de la gestión de agentes y políticas por grupos en Wazuh.

🔗 Enlaces de interés

      DOCUMENTACIÓN                        

⚙️ Estructura de red



🧑‍💻 Centralized Wazuh Agent Management and Mass Deployment of FIM on /opt

In this practice, you will learn how to manage Wazuh agents in a centralized way, using command-line tools (CLI) to administer monitored systems from the Wazuh Manager. The exercise focuses on working with already registered agents to list them, check their status, obtain detailed information, and understand how agents are organized into groups.

Next, a dedicated group for Linux agents will be created, the corresponding agents will be assigned to it, and the configuration will be validated.
Finally, File Integrity Monitoring (FIM) will be deployed centrally on the /opt directory for all agents in the group, demonstrating how security policies can be applied to multiple systems at once without configuring each one individually.

This practice reflects a real-world scenario of scalable security administration in Linux environments.

🧰 Technologies Used

Wazuh

Wazuh is a security platform that enables centralized agent management, system monitoring, threat detection, and policy enforcement. Its group-based configuration model simplifies managing large numbers of agents with shared settings.

Wazuh Agents (Linux)

Wazuh agents installed on Linux systems collect system events, file changes, and other security-related data. Agents can be grouped to streamline configuration and policy deployment.

File Integrity Monitoring (FIM)

FIM is a Wazuh module that monitors changes in files and directories. It is essential for detecting unauthorized modifications, suspicious activity, or integrity violations in critical paths such as /opt.

🎯 Objectives of the Practice

  • Manage Wazuh agents from the Wazuh Manager using CLI tools.

  • List registered agents and check their status.

  • Retrieve detailed information about agents.

  • Understand agent group membership.

  • Create a dedicated group for Linux agents.

  • Assign Linux agents to the newly created group.

  • Verify that group configuration is applied correctly.

  • Deploy FIM centrally on /opt for all agents in the group.

  • Apply security policies to multiple systems without individual configuration.

🧩 Key Aspects of the Practice

📋 Agent Management via CLI

Wazuh command-line tools will be used to manage agents, allowing you to:

  • View all registered agents.

  • Check whether agents are active or disconnected.

  • Retrieve detailed information such as operating system, IP address, and last connection time.

  • Validate communication between agents and the Wazuh Manager.

This approach is essential in environments with many monitored systems.

🗂️ Understanding and Using Agent Groups

Wazuh allows agents to be organized into groups, making it easier to:

  • Apply common configurations.

  • Maintain consistent security policies.

  • Scale administration without added complexity.

This practice explores how agents belong to groups and how group membership affects configuration.

🧑‍💻 Creating a Linux Agent Group

A dedicated group for Linux agents will be created to:

  • Group systems with similar characteristics.

  • Apply Linux-specific security policies.

  • Prepare the environment for mass policy deployment.

This group will serve as the foundation for centralized FIM deployment.

🔄 Assigning Agents to the Group

Once the group is created:

  • The appropriate Linux agents will be assigned to it.

  • Group membership will be verified.

  • It will be confirmed that agents receive group-level configuration.

This demonstrates automatic configuration propagation from the Wazuh Manager.

📂 Centralized Deployment of FIM on /opt

As the final step, File Integrity Monitoring will be deployed centrally:

  • Monitoring of the /opt directory will be defined at the group level.

  • All Linux agents in the group will automatically receive the configuration.

  • Any change within /opt will be detected without manual per-agent setup.

This highlights efficient and scalable security policy enforcement.

🧪 Deployment Validation

To validate the configuration:

  1. A change will be made in the /opt directory on one agent.

  2. The agent will detect the change using FIM.

  3. The event will be sent to the Wazuh Manager.

  4. Confirmation will be made that the policy applies correctly to all agents in the group.

This confirms successful centralized deployment.

🔍 Why This Practice Is Important

This practice demonstrates one of Wazuh’s most powerful capabilities: centralized agent and policy management. It helps illustrate:

  • Efficient administration of multiple systems.

  • Elimination of repetitive manual configuration.

  • Consistent security policy enforcement.

  • Scalable monitoring across many systems.

  • Real-world Linux environment management.

It is essential for system administrators and SOC teams.

✅ Expected Results

  • Agents successfully managed via CLI.

  • Accurate agent status and detailed information retrieved.

  • Linux agent group created and functioning.

  • Agents correctly assigned to the group.

  • FIM successfully deployed on /opt across all group members.

  • Correct detection of file changes on all agents.

  • Complete understanding of agent management and group-based policy deployment in Wazuh.


Enviar entrada por correo electrónico
Labels:

Comentarios

Publicar un comentario

Entradas populares