Etiquetas

WAZUH - GRAFANA

WAZUH - AMBASSADORS

📊 Integración de Grafana con Wazuh para Visualización Avanzada de Alertas y Eventos

En esta práctica integraremos Grafana con Wazuh para visualizar alertas y eventos de seguridad de forma gráfica y centralizada. Para ello desplegaremos Grafana en un contenedor Docker y configuraremos el acceso al Wazuh Indexer para permitir la conexión desde Grafana.

Crearemos un usuario específico en Wazuh, asociado a un rol con permisos de solo lectura, que será utilizado por Grafana para consultar los datos de forma segura. Finalmente, configuraremos un dashboard personalizado en Grafana que nos permitirá analizar visualmente la información generada por Wazuh.

Esta práctica añade una capa avanzada de observabilidad al entorno de seguridad.

🧰 Tecnologías empleadas

Wazuh

Wazuh es una plataforma de seguridad que recopila, analiza y correlaciona eventos procedentes de múltiples sistemas. Almacena la información en su indexador, lo que permite realizar búsquedas, correlaciones y visualizaciones sobre grandes volúmenes de datos.

Grafana

Grafana es una plataforma de visualización y análisis de datos que permite crear dashboards dinámicos a partir de múltiples fuentes de datos. Es ampliamente utilizada para observabilidad, monitorización y análisis avanzado gracias a su flexibilidad y potencia visual.

Wazuh Indexer

El Wazuh Indexer es el componente encargado de almacenar y indexar los eventos y alertas generados por Wazuh. Grafana se conectará directamente a este componente para consultar los datos.

Docker

Docker se utilizará para desplegar Grafana de forma rápida, aislada y reproducible, facilitando su integración con el resto del entorno.

🎯 Objetivos de la práctica

  • Desplegar Grafana en un contenedor Docker.

  • Configurar el acceso al Wazuh Indexer desde Grafana.

  • Habilitar la conexión al indexador desde cualquier IP (entorno de laboratorio).

  • Crear un usuario específico para Grafana en Wazuh.

  • Crear un rol con permisos de solo lectura adecuados.

  • Conectar Grafana con Wazuh utilizando dicho usuario.

  • Crear un dashboard personalizado para visualizar alertas y eventos.

🧩 Aspectos clave de la práctica

🐳 Despliegue de Grafana con Docker

Se desplegará Grafana como un contenedor independiente, lo que permitirá:

  • Aislar la aplicación del sistema base.

  • Simplificar el despliegue y mantenimiento.

  • Reiniciar o actualizar Grafana sin afectar al resto del entorno.

Grafana quedará accesible mediante su interfaz web para comenzar la configuración.

🔓 Habilitación del acceso al Wazuh Indexer

Para permitir que Grafana se conecte al Wazuh Indexer, se ajustará la configuración de acceso del indexador de modo que acepte conexiones externas.
Este paso es necesario para que Grafana pueda consultar los datos almacenados, especialmente en entornos de laboratorio o pruebas.

👤 Creación de usuario específico para Grafana

Se creará un usuario dedicado que será utilizado exclusivamente por Grafana para conectarse al Wazuh Indexer.
Este enfoque permite:

  • Separar credenciales de administración y visualización.

  • Aplicar el principio de mínimo privilegio.

  • Mejorar la seguridad y el control de accesos.

🔐 Creación de rol con permisos adecuados

El usuario de Grafana será asociado a un rol con permisos de solo lectura, concretamente:

  • cluster_composite_ops_ro

  • cluster_monitor

Estos permisos permiten a Grafana consultar datos y métricas sin posibilidad de modificar la información almacenada en el indexador.

🔗 Conexión de Grafana con Wazuh Indexer

Una vez creados el usuario y el rol, Grafana se conectará al Wazuh Indexer como fuente de datos.
Esta conexión permitirá:

  • Consultar alertas de seguridad.

  • Acceder a eventos indexados.

  • Realizar búsquedas y agregaciones desde Grafana.

Grafana actuará como capa de visualización sobre los datos de Wazuh.

📈 Creación de un dashboard personalizado

Como último paso, se diseñará un dashboard personalizado en Grafana que mostrará:

  • Alertas por nivel de severidad.

  • Número de eventos en el tiempo.

  • Distribución de alertas por agente.

  • Tendencias y patrones relevantes de seguridad.

Este dashboard permitirá analizar la información de forma visual e intuitiva.

🔍 ¿Por qué es importante esta práctica?

Esta práctica añade una capa avanzada de observabilidad y análisis visual al entorno Wazuh. Permite comprender:

  • Cómo separar la detección de la visualización.

  • Cómo integrar Wazuh con herramientas externas de análisis.

  • Cómo aplicar controles de acceso seguros para visualización.

  • Cómo transformar grandes volúmenes de logs en información clara.

  • Cómo crear dashboards personalizados adaptados a necesidades reales.

Es especialmente útil para equipos SOC que requieren paneles visuales claros y personalizables.

✅ Resultados esperados

  • Grafana desplegado correctamente en Docker.

  • Conectividad habilitada entre Grafana y Wazuh Indexer.

  • Usuario y rol creados con permisos de solo lectura.

  • Grafana conectado exitosamente al Wazuh Indexer.

  • Dashboard personalizado mostrando datos de Wazuh.

  • Visualización clara y estructurada de alertas y eventos.

  • Comprensión completa de la integración Wazuh + Grafana.

🔗 Enlaces de interés

      DOCUMENTACIÓN - DASHBOARD        

⚙️ Estructura de red



📊 Integrating Grafana with Wazuh for Advanced Visualization of Alerts and Events

In this practice, we will integrate Grafana with Wazuh to visualize security alerts and events in a graphical and centralized way. To achieve this, Grafana will be deployed in a Docker container, and access to the Wazuh Indexer will be configured so Grafana can query the data.

A dedicated user will be created in Wazuh for Grafana, associated with a read-only role with specific permissions. Grafana will then connect to Wazuh using this user and a custom dashboard will be created to visually analyze the security information.

This practice adds an advanced observability layer to the Wazuh environment.

🧰 Technologies Used

Wazuh

Wazuh is a security platform that collects, analyzes, and correlates events from multiple systems. It stores this information in its indexer, allowing powerful searches and data visualization.

Grafana

Grafana is a data visualization and analytics platform used to create dynamic dashboards from multiple data sources. It is widely adopted for monitoring, observability, and advanced data analysis.

Wazuh Indexer

The Wazuh Indexer is responsible for storing and indexing alerts and events generated by Wazuh. Grafana connects directly to this component to query security data.

Docker

Docker is used to deploy Grafana in an isolated, reproducible, and easily manageable containerized environment.

🎯 Objectives of the Practice

  • Deploy Grafana in a Docker container.

  • Configure access from Grafana to the Wazuh Indexer.

  • Enable Indexer connectivity from any IP address (lab environment).

  • Create a dedicated Grafana user in Wazuh.

  • Create a read-only role with appropriate permissions.

  • Connect Grafana to Wazuh using this user.

  • Build a custom Grafana dashboard to visualize alerts and events.

🧩 Key Aspects of the Practice

🐳 Deploying Grafana with Docker

Grafana will be deployed as an independent Docker container, which allows:

  • Application isolation from the host system.

  • Simple deployment and maintenance.

  • Easy restart or upgrade without impacting other services.

Grafana will be accessed through its web interface for configuration.

🔓 Enabling Access to the Wazuh Indexer

To allow Grafana to connect to the Wazuh Indexer, its access configuration will be adjusted to accept external connections.
This step is required so Grafana can query indexed security data, especially in lab or testing environments.

👤 Creating a Dedicated Grafana User

A dedicated user will be created exclusively for Grafana to connect to the Wazuh Indexer.
This approach:

  • Separates visualization credentials from administrative accounts.

  • Applies the principle of least privilege.

  • Improves overall security and access control.

🔐 Creating a Read-Only Role with Specific Permissions

The Grafana user will be assigned a role with read-only permissions, specifically:

  • cluster_composite_ops_ro

  • cluster_monitor

These permissions allow Grafana to query cluster data and metrics without modifying any indexed information.

🔗 Connecting Grafana to the Wazuh Indexer

Once the user and role are created, Grafana will be configured to connect to the Wazuh Indexer as a data source.
This connection enables:

  • Querying security alerts.

  • Accessing indexed events.

  • Performing searches and aggregations from Grafana.

Grafana becomes the visualization layer for Wazuh data.

📈 Creating a Custom Grafana Dashboard

As the final step, a custom Grafana dashboard will be created to display:

  • Alerts by severity level.

  • Event counts over time.

  • Alert distribution by agent.

  • Security trends and patterns.

This dashboard provides an intuitive and powerful way to analyze Wazuh data.

🔍 Why This Practice Is Important

This practice adds an advanced observability and visualization layer to the Wazuh environment. It helps understand:

  • How to separate detection and visualization components.

  • How to integrate Wazuh with external analytics tools.

  • How to apply secure, read-only access controls.

  • How to transform large volumes of security data into clear insights.

  • How to build dashboards tailored to real operational needs.

It is especially valuable for SOC teams that require flexible and visual security monitoring.

✅ Expected Results

  • Grafana successfully deployed using Docker.

  • Connectivity enabled between Grafana and the Wazuh Indexer.

  • Read-only user and role created with correct permissions.

  • Grafana successfully connected to the Wazuh Indexer.

  • Custom dashboard displaying Wazuh security data.

  • Clear and structured visualization of alerts and events.

  • Full understanding of the Wazuh + Grafana integration.



Enviar entrada por correo electrónico
Labels:

Comentarios

Publicar un comentario

Entradas populares