WAZUH - DOCKER

 

WAZUH - AMBASSADORS

🐳🛡️ Despliegue de Wazuh con Docker

En esta práctica se realizará el despliegue de Wazuh en modo single-node utilizando Docker, integrando en un único host todos los componentes principales de la plataforma: Wazuh Manager, Wazuh Indexer y Wazuh Dashboard. El objetivo es disponer de un entorno de monitorización y seguridad completamente funcional, fácil de mantener y reproducible.

Antes del despliegue, se preparará el sistema anfitrión para cumplir con los requisitos necesarios del indexador, garantizando un funcionamiento estable. Docker se ejecutará con privilegios controlados mediante sudo, evitando configuraciones inseguras y alineándose con buenas prácticas de administración de sistemas.

Este enfoque permite aislar Wazuh en contenedores, optimizar el consumo de recursos y compartir el servidor con otros servicios sin comprometer la estabilidad ni la seguridad del sistema.

🧰 Tecnologías empleadas

Wazuh

Wazuh es una plataforma de seguridad que proporciona capacidades de SIEM y XDR, permitiendo la monitorización de sistemas, detección de amenazas y análisis de eventos de seguridad. En esta práctica se despliega en un entorno compacto y centralizado.

Wazuh Manager

El Wazuh Manager es el componente central encargado de recibir eventos de los agentes, correlacionar información y generar alertas de seguridad.

Wazuh Indexer

El indexador es el componente responsable de almacenar, indexar y permitir búsquedas eficientes sobre los datos de seguridad generados por Wazuh. Requiere una configuración adecuada del sistema para garantizar su rendimiento.

Wazuh Dashboard

El Dashboard proporciona la interfaz web para la visualización de alertas, análisis de eventos y gestión general de la plataforma Wazuh.

Docker

Docker permite desplegar Wazuh de forma aislada, modular y reproducible, facilitando el mantenimiento, las actualizaciones y la convivencia con otros servicios en el mismo host.

Sistema Linux (Host)

El sistema anfitrión proporciona los recursos necesarios para ejecutar los contenedores y debe configurarse correctamente para cumplir los requisitos del indexador y garantizar la estabilidad del entorno.

🎯 Objetivos de la práctica

• Desplegar Wazuh en modo single-node utilizando Docker.

• Integrar Wazuh Manager, Indexer y Dashboard en un único host.

• Preparar el sistema anfitrión según los requisitos del indexador.

• Ejecutar Docker con privilegios controlados mediante sudo.

• Aplicar buenas prácticas de seguridad y administración de sistemas.

• Aislar Wazuh del sistema base mediante contenedores.

• Obtener una plataforma funcional, estable y reproducible.

• Permitir la convivencia de Wazuh con otros servicios en el mismo servidor.

🧩 Aspectos clave de la práctica

🐳 Despliegue de Wazuh con Docker en single-node

El despliegue en modo single-node permite:

• Centralizar todos los componentes de Wazuh en un único sistema.

• Simplificar la arquitectura del entorno.

• Reducir la complejidad operativa.

• Facilitar pruebas, laboratorios y entornos de tamaño medio.

Docker garantiza que cada componente se ejecute de forma aislada.

⚙️ Preparación del sistema anfitrión

Antes del despliegue se ajustará el sistema para:

• Cumplir los requisitos de memoria y sistema del indexador.

• Evitar errores de arranque o rendimiento.

• Garantizar la estabilidad de los servicios.

Una correcta preparación del host es clave para el buen funcionamiento del stack.

🔐 Ejecución de Docker con privilegios controlados

Docker se ejecutará utilizando sudo, lo que permite:

• Evitar el uso del usuario root de forma permanente.

• Reducir riesgos de seguridad.

• Mantener control sobre la ejecución de contenedores.

Este enfoque sigue buenas prácticas de seguridad en sistemas Linux.

🧱 Aislamiento y convivencia con otros servicios

El uso de contenedores permite:

• Aislar completamente Wazuh del sistema base.

• Limitar el consumo de recursos.

• Ejecutar otros servicios en el mismo servidor sin interferencias.

• Facilitar tareas de mantenimiento y actualización.

Esto convierte al despliegue en una solución flexible y eficiente.

🧪 Validación del despliegue

Una vez desplegado el entorno:

1. Se comprobará que todos los contenedores están en ejecución.

2. Se validará el acceso al Wazuh Dashboard.

3. Se verificará el correcto funcionamiento del indexador.

4. Se confirmará que el Manager está operativo y listo para recibir agentes.

Esto asegura que la plataforma está lista para su uso.

🔍 ¿Por qué es importante esta práctica?

Esta práctica permite comprender cómo desplegar Wazuh de forma moderna y segura utilizando contenedores. Ayuda a entender:

• Cómo simplificar despliegues complejos con Docker.

• Cómo aplicar buenas prácticas de seguridad en sistemas.

• Cómo aislar servicios críticos.

• Cómo optimizar recursos en un único servidor.

• Cómo construir entornos reproducibles y fáciles de mantener.

Es ideal para laboratorios, entornos de pruebas y despliegues reales de tamaño pequeño o medio.

✅ Resultados esperados

• Wazuh desplegado en modo single-node con Docker.

• Wazuh Manager, Indexer y Dashboard operativos.

• Sistema anfitrión correctamente preparado.

• Docker ejecutándose con privilegios controlados.

• Plataforma estable y funcional.

• Aislamiento adecuado de los servicios.

• Capacidad de compartir el host con otros servicios.

• Comprensión completa del despliegue de Wazuh con Docker.

🔗 Enlaces de interés

      DOCUMENTACIÓN                        

🐳🛡️ Deploying Wazuh Using Docker

In this practice, Wazuh will be deployed in single-node mode using Docker, integrating all core components on a single host: Wazuh Manager, Wazuh Indexer, and Wazuh Dashboard. The objective is to obtain a fully functional monitoring and security platform that is easy to maintain, reproducible, and aligned with system and security best practices.

Before deployment, the host system will be prepared to meet the Indexer requirements, ensuring stable operation. Docker will be executed with controlled privileges using sudo, avoiding insecure configurations and adhering to Linux security best practices.

This approach allows isolating Wazuh within containers, controlling resource consumption, and sharing the server with other services without compromising system stability or security.

🧰 Technologies Used

Wazuh

Wazuh is a security platform that provides SIEM and XDR capabilities, enabling system monitoring, threat detection, and security event analysis. In this practice, it is deployed in a compact and centralized architecture.

Wazuh Manager

The Wazuh Manager is the central component responsible for receiving agent events, correlating data, and generating security alerts.

Wazuh Indexer

The Indexer stores and indexes security data, enabling fast searches and analytics. Proper host configuration is required to ensure performance and stability.

Wazuh Dashboard

The Dashboard provides the web interface for alert visualization, event analysis, and overall Wazuh platform management.

Docker

Docker enables isolated, modular, and reproducible deployments, making Wazuh easier to maintain, update, and run alongside other services.

Linux Host System

The host operating system provides the resources required to run containers and must be configured properly to support the Indexer and ensure platform stability.

🎯 Objectives of the Practice

• Deploy Wazuh in single-node mode using Docker.

• Integrate Wazuh Manager, Indexer, and Dashboard on a single host.

• Prepare the host system according to Indexer requirements.

• Run Docker with controlled privileges using sudo.

• Apply system and security best practices.

• Isolate Wazuh services using containers.

• Build a functional, stable, and reproducible platform.

• Allow coexistence with other services on the same server.

🧩 Key Aspects of the Practice

🐳 Single-Node Wazuh Deployment with Docker

Single-node deployment allows:

• Centralizing all Wazuh components on one system.

• Simplifying the architecture.

• Reducing operational complexity.

• Supporting labs, test environments, and small-to-medium deployments.

Docker ensures each component runs in isolation.

⚙️ Host System Preparation

Before deployment, the host will be configured to:

• Meet memory and system requirements of the Indexer.

• Avoid startup or performance issues.

• Ensure service stability.

Proper host preparation is critical for reliable operation.

🔐 Running Docker with Controlled Privileges

Docker will be executed using sudo, which allows:

• Avoiding persistent root usage.

• Reducing security risks.

• Maintaining controlled execution of containers.

This follows recommended Linux security practices.

🧱 Service Isolation and Coexistence

Containerization allows:

• Full isolation of Wazuh from the base system.

• Controlled resource usage.

• Running additional services on the same host without interference.

• Easier maintenance and upgrades.

This makes the deployment flexible and efficient.

🧪 Deployment Validation

After deployment:

1. All containers are verified to be running.

2. Access to the Wazuh Dashboard is confirmed.

3. Indexer functionality is validated.

4. The Manager is confirmed ready to receive agents.

This ensures the platform is operational.

🔍 Why This Practice Is Important

This practice demonstrates a modern and secure approach to deploying Wazuh using containerization. It helps understand:

• How to simplify complex deployments with Docker.

• How to apply security best practices at the system level.

• How to isolate critical services.

• How to optimize resource usage on a single server.

• How to build reproducible and maintainable environments.

It is ideal for labs, testing environments, and real-world small-to-medium deployments.

✅ Expected Results

• Wazuh successfully deployed in single-node mode with Docker.

• Wazuh Manager, Indexer, and Dashboard fully operational.

• Host system correctly prepared.

• Docker running with controlled privileges.

• Stable and functional security platform.

• Proper service isolation achieved.

• Ability to share the host with other services.

• Clear understanding of Wazuh deployment using Docker.