Lab 03 — un SIEM que de verdad puedes leer.
Ya tienes un laboratorio y un objetivo. Ahora añade lo que vigila: un SIEM Wazuh, de un solo nodo, en el mismo hardware — y tres detecciones que demuestran que funciona.
Este es el tercer laboratorio de la serie. En el Lab 01 montaste un home lab en un solo portátil; en el Lab 02 añadiste un objetivo deliberadamente vulnerable. Hasta ahora puedes atacar, pero no puedes ver. Un SIEM (Security Information and Event Management, gestión de información y eventos de seguridad) es la mitad que falta: recopila los logs de tus máquinas, los correlaciona y lanza alertas cuando algo coincide con una regla. Aquí vas a levantar Wazuh, un SIEM libre y de código abierto, y verás cómo se enciende.
Lo que necesitas antes de empezar
- El home lab del Lab 01 — un hipervisor con al menos una VM Linux a la que puedas llegar por la red host-only.
- Una segunda VM (o una razonablemente grande) para el servidor Wazuh: 4 GB de RAM es el mínimo práctico, 6–8 GB es cómodo. Wazuh incluye un back-end de búsqueda, así que es la máquina más pesada del laboratorio.
- Una red host-only o interna que funcione para que el agente y el servidor puedan hablar sin tocar tu LAN real.
Instala Wazuh en un solo nodo
Wazuh trae un instalador asistido que levanta el servidor, el indexador y el dashboard en una sola máquina. En la VM que hayas elegido como servidor, ejecuta el quickstart oficial:
# en la vm SERVIDOR de Wazuh (Ubuntu/Debian)
curl -sO https://packages.wazuh.com/4.9/wazuh-install.sh
sudo bash ./wazuh-install.sh -a
El flag -a significa "all-in-one" (todo en uno). Cuando termina, imprime la URL del dashboard y la contraseña de administrador generada — guarda ambas. Navega a https://SERVER-IP desde tu host, acepta el certificado autofirmado (esto es un laboratorio) e inicia sesión. Ya tienes un SIEM vacío esperando datos.
Conecta tu primer agente
Un agente es una pequeña pieza de software en cada máquina monitorizada que envía los logs al servidor. Instálalo en la VM Linux que quieras vigilar — por ejemplo, tu host DVWA del Lab 02:
- En el dashboard de Wazuh, abre Agents → Deploy new agent. Elige el sistema operativo, introduce la IP del servidor y te generará el comando de instalación exacto.
- Ejecuta ese comando en la VM objetivo. Registra el agente y lo arranca.
- De vuelta en el dashboard, el agente aparece como Active en menos de un minuto. Si se queda en "Never connected", la causa habitual es que las dos VM no están en la misma red alcanzable — revisa la configuración de red del Lab 01.
Tres detecciones que demuestran que funciona
Un SIEM inactivo no te enseña nada. Genera actividad en la VM del agente y observa cómo aparece en Security events:
| Detección | Cómo provocarla | Qué muestra |
|---|---|---|
| Inicios de sesión fallidos | Conéctate por SSH a la VM del agente con una contraseña incorrecta varias veces | La firma clásica de la fuerza bruta — marcada en cuestión de segundos |
| Nuevo comando sudo | Ejecuta algo con sudo | Registro de escalada de privilegios — detecta cuándo una cuenta hace algo inusual |
| Cambio de integridad de archivos | Crea o edita un archivo en una ruta monitorizada (como /etc) | Una alerta de integridad FIM — el mecanismo que detecta la manipulación |
Cada alerta lleva un ID de regla y un nivel de severidad. Haz clic en una y lee el log en bruto que hay debajo: el objetivo de un SIEM casero es crear el hábito de pasar de "ha saltado una alerta" a "esto es exactamente lo que ocurrió y por qué coincidió la regla".
Dónde encaja esto
Un SIEM no sustituye al firewall que añadirás en el Lab 04 ni al IDS del Lab 05 — es la capa que lee lo que esas capas vieron y convierte logs dispersos en una única línea de tiempo investigable. Una vez que Wazuh está funcionando aquí, cada laboratorio posterior de la serie lo alimenta: los cambios de segmentación aparecen como nuevos grupos de agentes, las alertas del IDS se correlacionan con los mismos eventos del host. Ponte cómodo con este dashboard ahora, porque es donde volverás una y otra vez.
Cuando no funciona a la primera
Dos problemas concentran la mayoría de los apuros del primer arranque, y ambos se arreglan rápido:
- El agente muestra "Never connected". Casi siempre es un problema de alcance de red: la VM del agente no puede llegar al servidor por los puertos necesarios (1514/1515). Confirma que ambas VM están en la misma red host-only o interna, y que el firewall del servidor no está bloqueando los puertos del agente.
- El dashboard va lento o el servidor se queda sin memoria. Wazuh incluye un indexador que consume memoria de verdad. Si la máquina solo tiene 4 GB, cierra todo lo demás en ella; si puedes dedicar más RAM a la VM, dale 6–8 GB y la lentitud desaparece.
Con el Lab 03 terminado, tu laboratorio tiene los tres lados de la seguridad práctica: el kit de herramientas de un atacante, un objetivo con el que practicar y la visión de un defensor de cómo se ve esa actividad desde el asiento del blue team. Esa última parte es lo que marca la diferencia entre memorizar comandos de herramientas y entender la detección. Los siguientes laboratorios añaden segmentación de red y un IDS para que puedas observar el tráfico, no solo los logs del host.
