El documento titulado “Creación de un laboratorio de búsqueda de amenazas con Wazuh y Google Cloud Platform” de Azhar Ghafoor detalla los pasos para configurar un laboratorio de búsqueda de amenazas utilizando Wazuh SIEM, Snort IDS y Google Cloud Platform (GCP). Aquí hay un resumen extenso: Descripción general de herramientas y tecnologías: Google Cloud Platform (GCP): un servicio en la nube que se utiliza para crear y administrar aplicaciones. En esta configuración, se utiliza una máquina virtual (VM) en GCP para alojar herramientas de seguridad. Snort IDS: un sistema de detección de intrusiones (IDS) de código abierto diseñado para detectar y prevenir ataques de red mediante el análisis del tráfico de red. Utiliza reglas personalizables para detectar amenazas como escaneos de puertos o ataques de desbordamiento de búfer. Wazuh SIEM: una herramienta de administración de eventos e información de seguridad (SIEM) basada en la nube que ofrece detección, monitoreo y respuesta a amenazas en tiempo real. Se integra con herramientas como Snort para centralizar la administración de eventos de seguridad, proporcionando paneles visuales y alertas. Configuración de laboratorio paso a paso: 1. Creación de una máquina virtual (VM) en GCP: Inicie sesión en GCP y navegue hasta la consola. Cree o seleccione un proyecto existente y acceda a “Compute Engine” para crear una nueva instancia de VM. Configure la VM estableciendo su nombre, región, zona y tipo de máquina. Para este laboratorio, se elige Ubuntu como sistema operativo. Habilite el tráfico HTTP y HTTPS en la configuración del firewall. Una vez que se crea la VM, conéctese a ella a través de SSH para realizar más configuraciones. 2. Instalación y configuración de Snort IDS: Use SSH para conectarse a la VM y actualizar los paquetes del sistema. Instale Snort IDS ejecutando comandos específicos y configúrelo para la interfaz de red que monitoreará el tráfico. El archivo de configuración clave de Snort, snort.conf, permite a los usuarios definir el rango de red monitoreado (por ejemplo, una subred o un solo dispositivo). Los usuarios pueden habilitar, deshabilitar o crear reglas de Snort personalizadas según las necesidades de detección específicas. Pruebe las configuraciones de Snort para asegurarse de que no haya errores antes de ejecutar el IDS. Después de la validación, se puede iniciar Snort para monitorear el tráfico de red y detectar amenazas. Por ejemplo, Snort puede detectar paquetes ICMP (como solicitudes de ping) y registrar estas intrusiones en el sistema. 3. Integración de Wazuh SIEM con Snort: para integrar Snort con Wazuh SIEM, primero, regístrese para obtener una cuenta en Wazuh Cloud Console y cree un entorno. Instale el agente de Wazuh en la VM de GCP copiando comandos del panel de Wazuh en la terminal de la VM. Una vez que el agente de Wazuh esté instalado e iniciado, se puede verificar su estado a través de la terminal. Vuelva a habilitar Snort IDS y ejecute algo de tráfico de prueba, como solicitudes de ping o conexiones SSH. Estas acciones se registrarán en Snort y se enviarán a Wazuh para su monitoreo, donde aparecerán en el panel de Wazuh SIEM. 4. Detección y monitoreo de amenazas: una vez integrado, Snort detecta intrusiones basadas en la red en la VM y Wazuh proporciona visibilidad en tiempo real de estos eventos. El panel de control de Wazuh se actualiza en tiempo real con estadísticas relacionadas con el tráfico de red capturado, lo que permite a los analistas de seguridad investigar posibles amenazas.