Despliegue de SIEM/XDR Wazuh en Docker

1. Introducción

Este proyecto consistió en el despliegue de un entorno SIEM (Security Information and Event Management) utilizando el stack de Wazuh sobre contenedores Docker en un entorno Kali Linux (WSL2). El objetivo fue centralizar la seguridad y el monitoreo de endpoints.

2. Desafíos Técnicos y Resolución

Durante la instalación, me enfrenté a un problema crítico de autenticación donde las credenciales por defecto del archivo docker-compose.yml no eran aceptadas por el sistema.

Solución de Problemas (Troubleshooting):

• Extracción de Hash: Identifiqué que el sistema utilizaba un hash Bcrypt para el usuario administrador que no coincidía con la configuración esperada.
• Evasión de Bloqueos: Debido a que el archivo internal_users.yml estaba bloqueado (Device busy) por el contenedor, utilicé técnicas de redirección de flujo (cat >) para sobrescribir la configuración sin detener el servicio.
• Sincronización: Ejecuté herramientas internas de seguridad (securityadmin.sh) para forzar la actualización de la base de datos de usuarios en memoria.

3. Tecnologías Utilizadas

4. Logros

• Acceso total (Superuser) al panel de administración.
• Configuración exitosa de la infraestructura base para el monitoreo de agentes.
• Documentación del proceso de recuperación de cuentas mediante manipulación de hashes.