Etiquetas

WAZUH - ANSIBLE - WINDOWS

 

WAZUH - AMBASSADORS

🪟🤖 Despliegue Automatizado de Wazuh Agent en Windows mediante Ansible y WinRM

En esta práctica se realizará el despliegue automatizado del agente Wazuh en sistemas Windows, utilizando Ansible y WinRM como mecanismo de administración remota, evitando por completo instalaciones manuales y procesos interactivos. El objetivo es implementar un método centralizado, seguro y reproducible para la incorporación de equipos Windows al entorno de monitorización.

Previamente, se configurará el Wazuh Manager para permitir el enrolamiento de agentes mediante contraseña, garantizando que solo sistemas autorizados puedan registrarse. También se preparará el entorno Windows para permitir administración remota segura a través de WinRM, requisito fundamental para que Ansible pueda operar.

Posteriormente, mediante un playbook de Ansible, se descargará e instalará automáticamente el agente Wazuh en formato MSI, se registrará en el manager y se asignará a un grupo específico.
El proceso se validará comprobando la conectividad WinRM, el estado del servicio del agente en Windows y la correcta aparición del agente en el SIEM.

🧰 Tecnologías empleadas

Wazuh

Wazuh es una plataforma de seguridad que permite la monitorización de sistemas, detección de amenazas y gestión centralizada de agentes. En esta práctica, el Wazuh Manager actúa como punto central de enrolamiento y control de los agentes Windows.

Wazuh Agent (Windows)

El agente de Wazuh instalado en sistemas Windows recopila eventos del sistema, logs de seguridad y otra información relevante, enviándola de forma segura al Manager.

Ansible

Ansible es una herramienta de automatización que permite desplegar y configurar sistemas de forma remota y reproducible. En esta práctica se utiliza para instalar y registrar agentes Wazuh en Windows sin intervención manual.

WinRM (Windows Remote Management)

WinRM es el servicio de administración remota nativo de Windows que permite la ejecución de tareas desde Ansible. Es el canal de comunicación utilizado para gestionar los sistemas Windows de forma segura.

MSI (Windows Installer)

El agente Wazuh se despliega en formato MSI, el método estándar de instalación de software en Windows, lo que facilita su instalación automatizada y silenciosa.

🎯 Objetivos de la práctica

  • Automatizar el despliegue del agente Wazuh en sistemas Windows.

  • Evitar instalaciones manuales mediante Ansible y WinRM.

  • Configurar el Wazuh Manager para permitir enrolamiento mediante contraseña.

  • Preparar sistemas Windows para administración remota segura.

  • Descargar e instalar automáticamente el agente Wazuh en formato MSI.

  • Registrar el agente en el Wazuh Manager de forma automática.

  • Asignar el agente a un grupo específico.

  • Validar el despliegue comprobando conectividad, servicio y visibilidad en el SIEM.

🧩 Aspectos clave de la práctica

🔐 Configuración de enrolamiento seguro en Wazuh Manager

Antes del despliegue, se configurará el Wazuh Manager para:

  • Habilitar el enrolamiento de agentes mediante contraseña.

  • Controlar qué sistemas pueden registrarse.

  • Evitar altas no autorizadas de agentes Windows.

Este paso es fundamental para mantener la seguridad del entorno.

🪟 Preparación de Windows para administración remota con WinRM

Los sistemas Windows se prepararán para permitir:

  • Comunicación remota mediante WinRM.

  • Autenticación segura desde Ansible.

  • Ejecución remota de tareas administrativas.

Esto convierte a los equipos Windows en nodos totalmente gestionables desde Ansible.

🤖 Despliegue automatizado con Ansible

Mediante un playbook de Ansible, se realizará de forma centralizada:

  • La descarga del instalador MSI del agente Wazuh.

  • La instalación silenciosa del agente.

  • La configuración de conexión con el Wazuh Manager.

  • El enrolamiento automático usando la contraseña definida.

  • La asignación del agente al grupo correspondiente.

Todo el proceso se ejecuta sin intervención del usuario.

🧩 Asignación automática a grupos

Durante el despliegue, los agentes Windows:

  • Se registrarán automáticamente en el Manager.

  • Quedarán asociados a un grupo específico.

  • Recibirán políticas y configuraciones adaptadas a dicho grupo.

Esto facilita la gestión posterior del entorno.

🧪 Validación del despliegue

Para comprobar que todo funciona correctamente:

  1. Se verificará la conectividad WinRM desde Ansible.

  2. Se comprobará que el agente Wazuh está instalado en Windows.

  3. Se revisará que el servicio del agente está en ejecución.

  4. Se confirmará que el agente aparece correctamente en el Wazuh Manager.

  5. Se validará su pertenencia al grupo asignado.

Esto garantiza el éxito del despliegue automatizado.

🔍 ¿Por qué es importante esta práctica?

Esta práctica muestra cómo integrar automatización y seguridad en entornos Windows empresariales. Permite comprender:

  • Cómo desplegar agentes a gran escala sin intervención manual.

  • Cómo integrar Ansible con sistemas Windows.

  • Cómo asegurar el proceso de enrolamiento.

  • Cómo mantener control centralizado del entorno.

  • Cómo aplicar prácticas modernas de administración y seguridad.

Es especialmente relevante para SOCs y administradores que gestionan múltiples sistemas Windows.

✅ Resultados esperados

  • Wazuh Manager configurado para enrolamiento seguro.

  • Sistemas Windows preparados para WinRM.

  • Playbook de Ansible ejecutándose correctamente.

  • Agente Wazuh instalado automáticamente en Windows.

  • Agente enrolado en el Wazuh Manager.

  • Agente asignado al grupo correspondiente.

  • Servicio del agente activo en Windows.

  • Visibilidad completa del agente en el SIEM.

  • Comprensión del flujo completo de automatización con Ansible y WinRM.

🔗 Enlaces de interés

      DOCUMENTACIÓN                        

⚙️ Estructura de red


🪟🤖 Automated Deployment of Wazuh Agent on Windows Using Ansible and WinRM

In this practice, an automated deployment of the Wazuh agent on Windows systems is performed using Ansible and WinRM for remote administration, completely avoiding manual and interactive installations. The objective is to implement a centralized, secure, and reproducible method for onboarding Windows systems into the monitoring environment.

Before deployment, the Wazuh Manager is configured to allow agent enrollment using a password, ensuring that only authorized systems can register. The Windows environment is also prepared to allow secure remote management via WinRM, which is a mandatory requirement for Ansible to manage Windows hosts.

Next, using an Ansible playbook, the Wazuh agent MSI installer is automatically downloaded and installed, the agent is registered with the manager, and it is assigned to a specific group.
The process is validated by checking WinRM connectivity, verifying the agent service status on Windows, and confirming the agent appears correctly in the SIEM.

🧰 Technologies Used

Wazuh

Wazuh is a security platform that provides system monitoring, threat detection, and centralized agent management. In this practice, the Wazuh Manager acts as the central enrollment and control point for Windows agents.

Wazuh Agent (Windows)

The Wazuh agent installed on Windows systems collects system events, security logs, and other relevant data, sending them securely to the Wazuh Manager.

Ansible

Ansible is an automation tool that enables remote, reproducible configuration and deployment. In this practice, it is used to install and register Wazuh agents on Windows systems without manual intervention.

WinRM (Windows Remote Management)

WinRM is the native Windows remote management service that allows Ansible to execute tasks on Windows systems securely. It serves as the communication channel between Ansible and Windows hosts.

MSI (Windows Installer)

The Wazuh agent is deployed using an MSI package, the standard Windows installation format, which enables silent and automated installations.

🎯 Objectives of the Practice

  • Automate the deployment of Wazuh agents on Windows systems.

  • Eliminate manual installations using Ansible and WinRM.

  • Configure the Wazuh Manager to allow password-based enrollment.

  • Prepare Windows systems for secure remote administration.

  • Automatically download and install the Wazuh agent in MSI format.

  • Register the agent with the Wazuh Manager automatically.

  • Assign the agent to a specific group.

  • Validate deployment through connectivity, service status, and SIEM visibility.

🧩 Key Aspects of the Practice

🔐 Secure Enrollment Configuration on the Wazuh Manager

Before deployment, the Wazuh Manager is configured to:

  • Enable password-based agent enrollment.

  • Control which systems are allowed to register.

  • Prevent unauthorized agent onboarding.

This ensures a secure and controlled enrollment process.

🪟 Preparing Windows for Remote Management with WinRM

Windows systems are prepared to allow:

  • Remote communication through WinRM.

  • Secure authentication from Ansible.

  • Remote execution of administrative tasks.

This makes Windows hosts fully manageable by Ansible.

🤖 Automated Deployment with Ansible

Using an Ansible playbook, the following tasks are performed centrally:

  • Downloading the Wazuh agent MSI installer.

  • Installing the agent silently.

  • Configuring the connection to the Wazuh Manager.

  • Automatically enrolling the agent using the defined password.

  • Assigning the agent to the appropriate group.

The entire process runs without user interaction.

🧩 Automatic Group Assignment

During deployment, Windows agents:

  • Register automatically with the Wazuh Manager.

  • Are assigned to a specific group.

  • Receive group-based policies and configurations.

This simplifies ongoing management and policy enforcement.

🧪 Deployment Validation

To confirm successful deployment:

  1. WinRM connectivity from Ansible is verified.

  2. The Wazuh agent installation is confirmed on Windows.

  3. The agent service is checked to ensure it is running.

  4. The agent’s presence in the Wazuh Manager is validated.

  5. Group assignment is confirmed.

This ensures the automated deployment completed successfully.

🔍 Why This Practice Is Important

This practice demonstrates how to combine automation and security in enterprise Windows environments. It helps illustrate:

  • Large-scale agent deployment without manual effort.

  • Integration of Ansible with Windows systems.

  • Secure agent enrollment workflows.

  • Centralized management of security agents.

  • Modern administration practices for SOC operations.

It is particularly valuable for SOC teams and administrators managing multiple Windows systems.

✅ Expected Results

  • Wazuh Manager configured for secure agent enrollment.

  • Windows systems prepared for WinRM management.

  • Ansible playbook executed successfully.

  • Wazuh agent automatically installed on Windows systems.

  • Agent securely enrolled with the Wazuh Manager.

  • Agent correctly assigned to its group.

  • Wazuh agent service running on Windows.

  • Full agent visibility within the SIEM.

  • Clear understanding of the Ansible + WinRM automation workflow.

Enviar entrada por correo electrónico
Labels:

Comentarios

Publicar un comentario

Entradas populares