Wazuh y hardening Linux: deteccion util sin ruido operativo

Wazuh aporta valor cuando se configura alrededor del riesgo real del entorno. Instalar agentes sin politica genera ruido; definir controles por criticidad convierte el monitoreo en una herramienta operativa.

Senales que importan

• Cambios en archivos sensibles.
• Nuevos usuarios con privilegios.
• Intentos SSH anormales.
• Paquetes instalados fuera de ventana.
• Servicios expuestos o modificados.

sudo systemctl status wazuh-agent
sudo tail -f /var/ossec/logs/ossec.log

Politica inicial

Arranca con pocas reglas, revisadas semanalmente. El objetivo no es tener mas alertas, sino saber que accion tomar cuando una alerta aparece.

Integracion con operacion

Un buen despliegue conecta Wazuh con inventario, backups, responsables y procedimientos. Esa conexion es la diferencia entre "tenemos SIEM" y "podemos responder".