Wazuh

Supported OS Linux Windows Mac OS

Versión de la integración1.0.0
Wazuh: seguridad en la nube
Wazuh: monitorización de la integridad de los archivos
Wazuh: detección de malware
Wazuh: MITRE ATT&CK
Wazuh: información general
Wazuh: operaciones de seguridad
Wazuh: sistema
Wazuh: detección de vulnerabilidades

Información general

Wazuh proporciona una solución de seguridad integral que detecta, analiza y responde a las amenazas a través de múltiples capas de infraestructura de TI. Wazuh recopila telemetría de endpoints, dispositivos de red, cargas de trabajo en la nube, APIs de terceros y otras fuentes para la monitorización de una seguridad unificada y la protección.

Esta integración analiza los siguientes tipos de logs:

  • vulnerability-detector: eventos de vulnerabilidad generados por Wazuh.
  • malware-detector: eventos de rootcheck generados por Wazuh para detectar cualquier malware en el sistema.
  • file-integrity-monitoring: eventos relacionados con los cambios de archivos como permiso, contenido, propiedad y atributos.
  • docker: eventos de actividad de contenedor de Docker.
  • github: eventos de logs de auditoría de organizaciones de github.
  • google-cloud: eventos de seguridad relacionados con los servicios de la plataforma de Google Cloud.
  • amazon: eventos de seguridad de servicios de Amazon AWS.
  • office365: eventos de seguridad relacionados con office365.
  • system: eventos de servicios como FTPD, PAM, SSHD, syslog, Windows, dpkg, yum, sudo, su, wazuh y ossec junto con eventos internos.

Visualiza información detallada de estos logs a través de dashboards predefinidos.

Configuración

Instalación

Para instalar la integración de Wazuh, ejecuta el siguiente comando de instalación del Agent y los pasos que se indican a continuación. Para más información, consulta la documentación de gestión de la integración.

Nota: Este paso no es necesario para la versión 7.58.0 o posterior del Agent.

Comando de Linux

sudo -u dd-agent -- datadog-agent integration install datadog-wazuh==1.0.0

Configuración

Recopilación de logs

  1. La recopilación de logs está desactivada por defecto en el Datadog Agent. Actívala en datadog.yaml:

    logs_enabled: true

  2. Añade este bloque de configuración a tu archivo wazuh.d/conf.yaml para empezar a recopilar tus logs.

    Utiliza el método UDP para recopilar los datos de las alertas de Wazuh. Ve el wazuh.d/conf.yaml de ejemplo para conocer las opciones disponibles de configuración.

      logs:
  - type: udp
    port: <PORT>
    source: wazuh
    service: wazuh

    Nota: Es recomendado no cambiar los valores de servicio y fuente, ya que estos parámetros son parte integral de la operación del pipeline.

  3. Reinicia el Agent.

Configurar el reenvío de mensajes syslog desde Wazuh

  1. Inicia sesión en la interfaz de usuario de Wazuh. Navega hasta el menú de la izquierda.

  2. Ve a Server management > Settings (Gestión del servidor > Configuración).

  3. Haz clic en Edit configuration (Editar configuración).

  4. Añade el siguiente bloque de configuración:

    En este ejemplo, todas las alertas se envían a 1.1.1.1 en el puerto 8080 en formato JSON.

      <syslog_output>
    <server>1.1.1.1</server>
    <port>8080</port>
    <format>json</format>
  </syslog_output>

    • La etiqueta server debe contener la dirección IP donde se está ejecutando tu Datadog Agent.

    • La etiqueta port debe contener el puerto donde tu Datadog Agent está escuchando.

    Nota: El uso del formato JSON es obligatorio, ya que el pipeline de Wazuh analiza logs en formato JSON solamente.

  5. Pulsa el botón Save (Guardar).

  6. Después de guardar, haz clic en el botón Restart Manager (Reiniciar administrador).

Validación

Ejecuta el subcomando de estado del Agent y busca wazuh en la sección Checks.

Datos recopilados

Log

FormatoTipos de evento
JSONvulnerability-detector, file-integrity-monitoring, malware-detector, github, docker, amazon, office365, google-cloud, system y otros

Métricas

La integración de Wazuh no incluye ninguna métrica.

Eventos

La integración de Wazuh no incluye ningún evento.

Checks de servicio

La integración de Wazuh no incluye ningún check de servicio.

Solucionar problemas

Permission denied while port binding (Permiso denegado en la vinculación de puertos):

Si aparece un error de Permission denied (Permiso denegado) al vincular puertos en los logs del Agent:

  1. La vinculación a un número de puerto inferior a 1024 requiere permisos elevados. Concede acceso al puerto mediante el comando setcap:

    sudo setcap CAP_NET_BIND_SERVICE=+ep /opt/datadog-agent/bin/agent/agent

  2. Comprueba que la configuración es correcta ejecutando el comando getcap:

    sudo getcap /opt/datadog-agent/bin/agent/agent

    Con el resultado esperado:

    /opt/datadog-agent/bin/agent/agent = cap_net_bind_service+ep

    Nota: Vuelve a ejecutar este comando setcap cada vez que actualices el Agent.

  3. Reinicia el Agent.

A continuación, se explica cómo solucionar algunos posibles problemas.

Data is not being collected (No se están recopilando datos):

Asegúrate de que se evita el tráfico del puerto configurado si el firewall está activado.

Port already in use (Puerto ya en uso):

Si aparece el error Port <PORT_NUMBER> Already in Use (Puerto n.° ya en uso), consulta las siguientes instrucciones. El ejemplo siguiente es para el puerto 514:

  • En los sistemas que utilizan Syslog, si el Agent escucha logs de Wazuh en el puerto 514, puede aparecer el siguiente error en los logs del Agent: Can't start UDP Forwarder on port 514: listen udp :514: bind: address already in use. Este error ocurre porque, por defecto, Syslog escucha en el puerto 514. Para resolver este error, toma uno de los siguientes pasos:
    • Desactiva Syslog.
    • Configura el Agent para escuchar en un puerto diferente, disponible.

Para obtener más ayuda, ponte en contacto con el soporte de Datadog.