Prueba de Concepto de Monitoreo de Integridad de Archivos en los sistemas operativos monitoreados

# Prueba de Concepto de Monitoreo de Integridad de Archivos en los sistemas operativos monitoreados El Monitoreo de Integridad de Archivos (File Integrity Monitoring, FIM) ayuda en la auditoría de archivos sensibles y en el cumplimiento de los requisitos normativos. Wazuh cuenta con un módulo FIM incorporado que supervisa los cambios en el sistema de archivos para detectar la creación, modificación y eliminación de archivos. El monitoreo de cambios en el sistema de archivos no solo cumple con objetivos de cumplimiento normativo, sino que también desempeña un papel fundamental en la detección de posibles ataques cibernéticos. La capacidad de identificar de manera proactiva alteraciones en archivos clave puede ser crucial para alertar sobre actividades maliciosas y contribuir a la seguridad general del sistema. Este caso de uso utiliza el módulo FIM de Wazuh para detectar cambios en directorios monitorizados en los endpoints de Ubuntu y Windows. ## Infraestructura | endpoint | Descripción | |-------------|-------------| | Firewall Ubuntu 22.04 | El módulo FIM de Wazuh supervisa un directorio en este endpoint para detectar la creación, cambios y eliminación de archivos. | | WebServer Ubuntu 22.04 | El módulo FIM de Wazuh supervisa un directorio en este endpoint para detectar la creación, cambios y eliminación de archivos. | | Windows 10 | El módulo FIM de Wazuh supervisa un directorio en este endpoint para detectar la creación, cambios y eliminación de archivos. | ## Configuración ### Endpoint Firewall Ubuntu 22.04 Se siguen los siguientes pasos para configurar el agente de Wazuh para supervisar cambios en el sistema de archivos en el directorio /root. 1. Se edita el archivo de configuración `/var/ossec/etc/ossec.conf` del agente de Wazuh en el endpoint Firewall, agregando el directorio a supervisar dentro del bloque `<syscheck>`. Para este caso de uso, se configura Wazuh para supervisar el directorio /root. ```xml <directories check_all="yes" report_changes="yes" realtime="yes">/root</directories> ``` ![](https://i.imgur.com/whDJ7jX.png) ![](https://i.imgur.com/8J78o3l.png) *---* ![](https://i.imgur.com/nnPls84.png) 2. Se reinicia el agente de Wazuh en el Firewall para aplicar los cambios de configuración: ```bash sudo systemctl restart wazuh-agent ``` ![](https://i.imgur.com/SGardHn.png) ### Endpoint WebServer Ubuntu 22.04 Se siguen los siguientes pasos para configurar el agente de Wazuh para supervisar cambios en el sistema de archivos en el directorio /root. 1. Se edita el archivo de configuración `/var/ossec/etc/ossec.conf` del agente de Wazuh en el endpoint WebServer, agregando el directorio a supervisar dentro del bloque `<syscheck>`. Para este caso de uso, se configura Wazuh para supervisar el directorio /root. ```xml <directories check_all="yes" report_changes="yes" realtime="yes">/root</directories> ``` ![](https://i.imgur.com/bFFi33I.png) ![](https://i.imgur.com/r1rEA9E.png) *---* ![](https://i.imgur.com/cKsNimc.png) 2. Se reinicia el agente de Wazuh en el Firewall para aplicar los cambios de configuración: ```bash sudo systemctl restart wazuh-agent ``` ![](https://i.imgur.com/uVjDxmc.png) ### Endpoint de Windows Se realizan los siguientes pasos para configurar el agente de Wazuh para supervisar cambios en el sistema de archivos en el directorio C:\Users\UserWin\Desktop. 1. Se edita el archivo de configuración `C:\Program Files (x86)\ossec-agent\ossec.conf` en el endpoint de Windows supervisado. Se agrega los directorios a supervisar dentro del bloque `<syscheck>`. Para este caso de uso, se configura Wazuh para supervisar el directorio C:\Users\UserWin\Desktop. ```xml <directories check_all="yes" report_changes="yes" realtime="yes">C:\Users\UserWin\Desktop</directories> ``` ![](https://i.imgur.com/MZhStXb.png) ![](https://i.imgur.com/T84rQUH.png) ![](https://i.imgur.com/ef1X1t1.png) 2. Se reinicia el agente de Wazuh utilizando PowerShell con privilegios de administrador para aplicar los cambios: ```powershell Restart-Service -Name wazuh ``` ![](https://i.imgur.com/E4au4pz.png) ## Visualización de las Alertas #### Firewall (Ubuntu 22.04) 1. Se Crea un archivo de texto en el directorio supervisado. 2. Se agrega contenido al archivo de texto y se guarda el archivo. 3. Se elimina el archivo de texto del directorio supervisado.![](https://i.imgur.com/bHPw4UB.png) Se puede visualizar los datos de alerta en el panel de control de Wazuh. ![](https://i.imgur.com/Z1jehEs.png) #### WebServer (Ubuntu 22.04) 1. Se Crea un archivo de texto en el directorio supervisado. 2. Se agrega contenido al archivo de texto y se guarda el archivo. 3. Se elimina el archivo de texto del directorio supervisado.![](https://i.imgur.com/D54l2Vt.png) Se puede visualizar los datos de alerta en el panel de control de Wazuh. ![](https://i.imgur.com/twBsGur.png) #### Windows Endpoint (Windows 10) 1. Se crea un archivo de texto en el directorio supervisado. 2. Se agrega contenido al archivo de texto y se guarda el archivo.![](https://i.imgur.com/UGuKkUO.png) 3. Se elimina el archivo de texto del directorio supervisado.![](https://i.imgur.com/dtT482r.png) Se puede visualizar los datos de alerta en el panel de control de Wazuh. ![](https://i.imgur.com/Hdy38Y3.png)