Objetivo
Instalar agente Wazuh en Windows 10/11/Server, desplegar Sysmon y activar reglas para eventos críticos (creación de procesos, modificaciones de registro, drivers).
Prerrequisitos
- Wazuh Manager operativo (IP/host).
- Permisos de admin en Windows.
Pasos
- Instalar agente Wazuh:
- Descargar el MSI desde el Dashboard (Section Agents → Deploy new agent).
- En el host Windows, ejecutar MSI con:
- Address: IP del manager
- Enrollment: usar key del deployment o registrar luego con
agent-auth.
- Confirmar conexión:
- En Windows:
powershellCopiarEditarsc query "Wazuh"
& "C:\Program Files (x86)\ossec-agent\agent-auth.exe" -m <IP_MANAGER> -A <NOMBRE_HOST>
- En el Manager:
bashCopiarEditar/var/ossec/bin/agent_control -l
- Instalar Sysmon (de Microsoft):
- Descargar Sysmon y Sysmon64.
- Usar un config conocido (SwiftOnSecurity u otro endurecido).
powershellCopiarEditar.\Sysmon64.exe -accepteula -i .\sysmonconfig.xml
- Activar decoders/reglas para Sysmon en Wazuh:
- En el Manager, incluir rules y decoders de Sysmon (si no están):
etc/ossec.conf→<ruleset>debe incluirsysmon-*.xml.
- Reiniciar manager:
bashCopiarEditarsudo systemctl restart wazuh-manager
- Ver eventos en Dashboard:
- Threat Hunting → buscar
sysmon_event_id:1(process creation),sysmon_event_id:3(network), etc.
Validación
- Generar un proceso de prueba (ej. abrir PowerShell) y verificar alertas en Wazuh.
Notas
- Afiná ruido con
rules/local_rules.xml. - Usá agrupación por
agent.nameyrule.idpara priorizar.
Deja una respuesta