{"id":482252,"date":"2022-11-18T13:54:37","date_gmt":"2022-11-18T13:54:37","guid":{"rendered":"https:\/\/teknomers.com\/es\/caza-de-amenazas-con-mitre-attck-y-wazuh\/"},"modified":"2022-11-18T13:54:38","modified_gmt":"2022-11-18T13:54:38","slug":"caza-de-amenazas-con-mitre-attck-y-wazuh","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/caza-de-amenazas-con-mitre-attck-y-wazuh\/","title":{"rendered":"Caza de amenazas con MITRE ATT&#038;CK y Wazuh"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><\/div>\n<p>La caza de amenazas es el proceso de buscar actividad maliciosa y sus artefactos en un sistema inform\u00e1tico o red.  La b\u00fasqueda de amenazas se lleva a cabo de forma intermitente en un entorno, independientemente de si las soluciones de seguridad automatizadas han descubierto o no amenazas.  Algunos actores de amenazas pueden permanecer inactivos en la infraestructura de una organizaci\u00f3n, extendiendo su acceso mientras esperan la oportunidad adecuada para explotar las debilidades descubiertas.<\/p>\n<p>Por lo tanto, es importante realizar una b\u00fasqueda de amenazas para identificar a los actores maliciosos en un entorno y detenerlos antes de que alcancen su objetivo final. <\/p>\n<p>Para realizar una caza de amenazas de manera efectiva, el cazador de amenazas debe tener un enfoque sistem\u00e1tico para emular el posible comportamiento del adversario.  Este comportamiento adverso determina qu\u00e9 artefactos se pueden buscar que indiquen actividad maliciosa en curso o pasada.<\/p>\n<h2 style=\"text-align: left;\">MITRE ATT&#038;CK<\/h2>\n<p>A lo largo de los a\u00f1os, la comunidad de seguridad ha observado que los actores de amenazas han utilizado com\u00fanmente muchas t\u00e1cticas, t\u00e9cnicas y procedimientos (TTP) para infiltrarse y pivotar en las redes, elevar los privilegios y filtrar datos confidenciales.  Esto ha llevado al desarrollo de varios marcos para mapear las actividades y m\u00e9todos de los actores de amenazas.  Un ejemplo es el marco MITRE ATT&#038;CK.<\/p>\n<p>MITRE ATT&#038;CK es un acr\u00f3nimo que significa MITRE Adversarial Tactics, Techniques, and Common Knowledge (ATT&#038;CK).  Es una base de conocimiento bien documentada de las acciones y comportamientos de los actores de amenazas del mundo real.  El marco MITRE ATT&#038;CK tiene 14 t\u00e1cticas y muchas t\u00e9cnicas que identifican o indican un ataque en curso.  MITRE usa ID para hacer referencia a la t\u00e1ctica o t\u00e9cnica empleada por un adversario.<\/p>\n<h2 style=\"text-align: left;\">La plataforma unificada XDR y SIEM de Wazuh<\/h2>\n<p><a rel=\"nofollow noopener\" href=\"https:\/\/wazuh.com\" target=\"_blank\">Wazuh<\/a> es una plataforma XDR y SIEM unificada de c\u00f3digo abierto.  La soluci\u00f3n de Wazuh se compone de un \u00fanico agente universal que se implementa en puntos finales monitoreados para la detecci\u00f3n de amenazas y la respuesta automatizada.  Tambi\u00e9n tiene componentes centrales (servidor Wazuh, indexador y tablero) que analizan y visualizan los datos de eventos de seguridad recopilados por el agente Wazuh.  Protege las cargas de trabajo locales y en la nube. <\/p>\n<table cellpadding=\"0\" cellspacing=\"0\" class=\"tr-caption-container\" style=\"float: left;\">\n<tbody>\n<tr>\n<td style=\"text-align: center;\"><img decoding=\"async\" alt=\"Panel de control de eventos de seguridad de Wazuh\" border=\"0\" data-original-height=\"454\" data-original-width=\"727\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/11\/Caza-de-amenazas-con-MITRE-ATTCK-y-Wazuh.jpg\" title=\"Panel de control de eventos de seguridad de Wazuh\"\/><\/td>\n<\/tr>\n<tr>\n<td class=\"tr-caption\" style=\"text-align: center;\">Figura 1: Panel de control de eventos de seguridad de Wazuh<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n<h4 style=\"text-align: left;\">Caza de amenazas con Wazuh<\/h4>\n<p>Los cazadores de amenazas utilizan varias herramientas, procesos y m\u00e9todos para buscar artefactos maliciosos en un entorno.  Estos incluyen, entre otros, el uso de herramientas para el monitoreo de la seguridad, el monitoreo de la integridad de los archivos y la evaluaci\u00f3n de la configuraci\u00f3n de los puntos finales.<\/p>\n<p>Wazuh ofrece capacidades s\u00f3lidas como monitoreo de integridad de archivos, evaluaci\u00f3n de configuraci\u00f3n de seguridad, detecci\u00f3n de amenazas, respuesta automatizada a amenazas e integraci\u00f3n con soluciones que proporcionan fuentes de inteligencia de amenazas.<\/p>\n<h4 style=\"text-align: left;\">M\u00f3dulo MITRE ATT&#038;CK de Wazuh <\/h4>\n<p>Wazuh viene con el m\u00f3dulo MITRE ATT&#038;CK listo para usar y reglas de detecci\u00f3n de amenazas mapeadas contra sus ID de t\u00e9cnicas MITRE correspondientes.  Este m\u00f3dulo tiene cuatro componentes que son:<\/p>\n<p>una. <strong>El componente de inteligencia del m\u00f3dulo Wazuh MITRE ATT&#038;CK<\/strong>: contiene informaci\u00f3n detallada sobre grupos de amenazas, mitigaci\u00f3n, software, t\u00e1cticas y t\u00e9cnicas utilizadas en ciberataques.  Este componente ayuda a los cazadores de amenazas a identificar y clasificar diferentes TTP que utilizan los adversarios.<\/p>\n<table cellpadding=\"0\" cellspacing=\"0\" class=\"tr-caption-container\" style=\"float: left;\">\n<tbody>\n<tr>\n<td style=\"text-align: center;\"><img decoding=\"async\" alt=\"MITRE ATT&#038;CK de inteligencia de Wazuh\" border=\"0\" data-original-height=\"320\" data-original-width=\"728\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/11\/1668779676_875_Caza-de-amenazas-con-MITRE-ATTCK-y-Wazuh.jpg\" title=\"MITRE ATT&#038;CK de inteligencia de Wazuh\"\/><\/td>\n<\/tr>\n<tr>\n<td class=\"tr-caption\" style=\"text-align: center;\">Figura 2: Inteligencia MITRE ATT&#038;CK de Wazuh<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n<p>b. <strong>El componente marco del m\u00f3dulo MITRE ATT&#038;CK de Wazuh<\/strong>: ayuda a los cazadores de amenazas a reducir las amenazas o los endpoints comprometidos.  Este componente utiliza t\u00e9cnicas espec\u00edficas para ver todos los eventos relacionados con esa t\u00e9cnica y los puntos finales donde ocurrieron estos eventos. <\/p>\n<table cellpadding=\"0\" cellspacing=\"0\" class=\"tr-caption-container\" style=\"float: left;\">\n<tbody>\n<tr>\n<td style=\"text-align: center;\"><img decoding=\"async\" alt=\"Marco Wazuh MITRE ATT&#038;CK\" border=\"0\" data-original-height=\"320\" data-original-width=\"728\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/11\/1668779676_936_Caza-de-amenazas-con-MITRE-ATTCK-y-Wazuh.jpg\" title=\"Marco Wazuh MITRE ATT&#038;CK\"\/><\/td>\n<\/tr>\n<tr>\n<td class=\"tr-caption\" style=\"text-align: center;\">Figura 3: Estructura MITRE ATT&#038;CK de Wazuh<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n<p>C. <strong>El componente del tablero del m\u00f3dulo MITRE ATT&#038;CK<\/strong>: ayuda a resumir todos los eventos en gr\u00e1ficos para ayudar a los cazadores de amenazas a tener una visi\u00f3n general r\u00e1pida de las actividades relacionadas con MITRE en una infraestructura.<\/p>\n<table cellpadding=\"0\" cellspacing=\"0\" class=\"tr-caption-container\" style=\"float: left;\">\n<tbody>\n<tr>\n<td style=\"text-align: center;\"><img decoding=\"async\" alt=\"Tablero Wazuh MITRE ATT&#038;CK\" border=\"0\" data-original-height=\"327\" data-original-width=\"728\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/11\/1668779677_974_Caza-de-amenazas-con-MITRE-ATTCK-y-Wazuh.jpg\" title=\"Tablero Wazuh MITRE ATT&#038;CK\"\/><\/td>\n<\/tr>\n<tr>\n<td class=\"tr-caption\" style=\"text-align: center;\">Figura 4: Panel de Wazuh MITRE ATT&#038;CK<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n<p>d. <strong>El componente de eventos MITRE ATT&#038;CK de Wazuh<\/strong>: Muestra los eventos en tiempo real, con sus respectivos MITRE ID, para comprender mejor cada alerta reportada. <\/p>\n<table cellpadding=\"0\" cellspacing=\"0\" class=\"tr-caption-container\" style=\"float: left;\">\n<tbody>\n<tr>\n<td style=\"text-align: center;\"><img decoding=\"async\" alt=\"Eventos de Wazuh MITRE ATT&#038;CK\" border=\"0\" data-original-height=\"332\" data-original-width=\"728\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/11\/1668779677_16_Caza-de-amenazas-con-MITRE-ATTCK-y-Wazuh.jpg\" title=\"Eventos de Wazuh MITRE ATT&#038;CK\"\/><\/td>\n<\/tr>\n<tr>\n<td class=\"tr-caption\" style=\"text-align: center;\">Figura 5: Eventos MITRE ATT&#038;CK de Wazuh<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n<h3>Reglas y decodificadores Wazuh <\/h3>\n<p>Wazuh tiene reglas y decodificadores listos para usar para analizar datos de seguridad y tiempo de ejecuci\u00f3n generados desde diferentes fuentes.  Wazuh admite reglas para diferentes tecnolog\u00edas (p. ej., Docker, CISCO, Microsoft Exchange), que se han asignado a sus ID de MITRE correspondientes.  Los usuarios tambi\u00e9n pueden crear reglas y decodificadores personalizados y mapear cada regla con su t\u00e1ctica o t\u00e9cnica MITRE adecuada.  Este <a rel=\"nofollow noopener\" href=\"https:\/\/wazuh.com\/blog\/adversary-emulation-with-caldera-and-wazuh\/\" target=\"_blank\">entrada en el blog<\/a> muestra un ejemplo de c\u00f3mo aprovechar las reglas personalizadas de MITRE ATT&#038;CK y Wazuh para detectar un adversario.<\/p>\n<h3>M\u00f3dulo de evaluaci\u00f3n de la configuraci\u00f3n de seguridad (SCA) <\/h3>\n<p>El m\u00f3dulo SCA de Wazuh realiza escaneos peri\u00f3dicos en los puntos finales para detectar errores de configuraci\u00f3n del sistema y de la aplicaci\u00f3n.  Tambi\u00e9n se puede usar para buscar indicadores de riesgo, como archivos y carpetas maliciosos creados por malware.  El an\u00e1lisis de los inventarios de software, los servicios, las configuraciones incorrectas y los cambios en la configuraci\u00f3n de un punto final puede ayudar a los cazadores de amenazas a detectar ataques en curso. <\/p>\n<table cellpadding=\"0\" cellspacing=\"0\" class=\"tr-caption-container\" style=\"float: left;\">\n<tbody>\n<tr>\n<td style=\"text-align: center;\"><img decoding=\"async\" alt=\"Tablero de Wazuh SCA\" border=\"0\" data-original-height=\"468\" data-original-width=\"728\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/11\/1668779677_609_Caza-de-amenazas-con-MITRE-ATTCK-y-Wazuh.jpg\" title=\"Tablero de Wazuh SCA\"\/><\/td>\n<\/tr>\n<tr>\n<td class=\"tr-caption\" style=\"text-align: center;\">Figura 6: Panel de Wazuh SCA<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n<h3>Integraci\u00f3n con soluciones de inteligencia de amenazas <\/h3>\n<p>Debido a su naturaleza de c\u00f3digo abierto, Wazuh brinda la oportunidad de integrarse con las API de inteligencia de amenazas y otras soluciones de seguridad.  Wazuh se integra con plataformas de inteligencia de amenazas de c\u00f3digo abierto como <a rel=\"nofollow noopener\" href=\"https:\/\/documentation.wazuh.com\/current\/user-manual\/capabilities\/virustotal-scan\/\" target=\"_blank\">virustotal<\/a>URLHaus, MISP y <a rel=\"nofollow noopener\" href=\"https:\/\/wazuh.com\/blog\/detecting-known-bad-actors-with-wazuh-and-abuseipdb\/\" target=\"_blank\">AbusoIPDB<\/a> para nombrar unos pocos.  Dependiendo de la integraci\u00f3n, las alertas relevantes aparecen en el panel de control de Wazuh.  Se puede consultar informaci\u00f3n espec\u00edfica, como direcciones IP, hash de archivos y URL, mediante filtros en el panel de control de Wazuh.<\/p>\n<h3>Monitoreo de integridad de archivos <\/h3>\n<p>El monitoreo de integridad de archivos (FIM) se usa para monitorear y auditar archivos y carpetas confidenciales en puntos finales.  Wazuh proporciona un m\u00f3dulo FIM que supervisa y detecta cambios en directorios o archivos espec\u00edficos en el sistema de archivos de un punto final.  El m\u00f3dulo FIM tambi\u00e9n puede detectar cu\u00e1ndo los archivos introducidos en los puntos finales coinciden con hashes de malware conocido. <\/p>\n<h3>Archivos Wazuh<\/h3>\n<p>Los archivos de Wazuh se pueden habilitar para recopilar y almacenar todos los eventos de seguridad ingeridos desde los puntos finales monitoreados.  Esta funci\u00f3n ayuda a los cazadores de amenazas al proporcionarles datos que pueden usarse para crear reglas de detecci\u00f3n y adelantarse a los actores de amenazas.  Los archivos de Wazuh tambi\u00e9n son \u00fatiles para cumplir con las normativas cuando se requiere un historial de registros de auditor\u00eda. <\/p>\n<h2 style=\"text-align: left;\">Conclusi\u00f3n<\/h2>\n<p>El marco MITRE ATT&#038;CK ayuda a clasificar e identificar adecuadamente las amenazas de acuerdo con los TTP descubiertos.  Wazuh utiliza sus componentes dedicados MITRE ATT&#038;CK para mostrar informaci\u00f3n sobre c\u00f3mo los datos de seguridad de los puntos finales se corresponden con los TTP.  Las capacidades de caza de amenazas de Wazuh ayudan a los analistas de seguridad cibern\u00e9tica a detectar ataques cibern\u00e9ticos aparentes, as\u00ed como compromisos subyacentes a la infraestructura. <\/p>\n<p>Wazuh es una plataforma gratuita y de c\u00f3digo abierto que pueden utilizar organizaciones con infraestructura local y en la nube.  Wazuh tiene uno de los programas de c\u00f3digo abierto de m\u00e1s r\u00e1pido crecimiento <a rel=\"nofollow noopener\" href=\"https:\/\/wazuh.com\/community\/\" target=\"_blank\">comunidad<\/a> en el mundo, donde el aprendizaje, las discusiones y el apoyo se ofrecen a costo cero.  Mira esto <a rel=\"nofollow noopener\" href=\"https:\/\/documentation.wazuh.com\/current\/quickstart.html\" target=\"_blank\">documentaci\u00f3n<\/a> para empezar con Wazuh.<\/p>\n<p><\/p>\n<\/div>\n<p><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2022\/11\/threat-hunting-with-mitre-att-and-wazuh.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-es-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>La caza de amenazas es el proceso de buscar actividad maliciosa y sus artefactos en un sistema inform\u00e1tico<\/p>\n","protected":false},"author":1,"featured_media":482253,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[9],"tags":[4657,4656,8898,4661,40600,4849,4664,99,4662,4668,4667,40599,4654,4658,4659,4653,4655,4663,4666,4665,4660,33186],"class_list":["post-482252","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-tecnologia","tag-actualizaciones-ciberneticas","tag-actualizaciones-de-seguridad-cibernetica","tag-amenazas","tag-ataques-ciberneticos","tag-attck","tag-caza","tag-como-hackear","tag-con","tag-filtracion-de-datos","tag-la-seguridad-informatica","tag-las-noticias-de-los-hackers","tag-mitre","tag-noticias-ciberneticas","tag-noticias-de-hackers","tag-noticias-de-pirateria","tag-noticias-de-seguridad-cibernetica","tag-noticias-de-seguridad-cibernetica-hoy","tag-programa-malicioso-ransomware","tag-seguridad-de-informacion","tag-seguridad-de-la-red","tag-vulnerabilidad-de-software","tag-wazuh"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/482252","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/comments?post=482252"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/482252\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media\/482253"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media?parent=482252"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/categories?post=482252"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/tags?post=482252"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}