Cómo montar un SIEM casero con Wazuh desde cero

Un SIEM (Security Information and Event Management) es la herramienta central de cualquier equipo de Blue Team. Centraliza logs, correlaciona eventos y alerta ante comportamientos sospechosos. Wazuh es la opción open source más potente que existe hoy, y en esta guía vas a montarlo en tu laboratorio desde cero.

¿Qué necesitas antes de empezar?

Para seguir esta guía necesitas:

• Una máquina con al menos 4GB de RAM (recomendado 8GB) y 50GB de disco
• Ubuntu Server 22.04 LTS (o Debian 11)
• Acceso root o sudo
• Conexión a internet

Instalación del servidor Wazuh

Wazuh ofrece un script de instalación que despliega los tres componentes principales: el manager, el indexer (basado en OpenSearch) y el dashboard. Ejecuta lo siguiente:

curl -sO https://packages.wazuh.com/4.7/wazuh-install.sh
chmod +x wazuh-install.sh
sudo bash wazuh-install.sh -a

El proceso tarda entre 10 y 20 minutos dependiendo de tu máquina. Al finalizar, verás las credenciales de acceso al dashboard en pantalla. Guárdalas.

Acceso al dashboard

Una vez instalado, accede desde el navegador a https://IP_DE_TU_SERVIDOR. Acepta el certificado autofirmado e inicia sesión con el usuario admin y la contraseña generada.

Instalación del agente en Windows

Para monitorizar una máquina Windows, necesitas instalar el agente de Wazuh. Descarga el instalador MSI desde la web oficial o despliégalo con este comando desde PowerShell con privilegios de administrador:

Invoke-WebRequest -Uri https://packages.wazuh.com/4.x/windows/wazuh-agent-4.7.0-1.msi `
  -OutFile wazuh-agent.msi
msiexec.exe /i wazuh-agent.msi /q `
  WAZUH_MANAGER="IP_DEL_SERVIDOR" `
  WAZUH_AGENT_NAME="PC-LAB-01"

Próximos pasos

Con el servidor activo y el primer agente conectado ya tienes un SIEM funcionando. En las siguientes guías veremos cómo crear reglas de detección personalizadas, integrar threat feeds externos y configurar alertas por correo o Telegram.