Wazuh File Integrity Monitoring Lab

Documentado por Julio Nunes

Descrição

Este projeto demonstra a implementação de File Integrity Monitoring (FIM) utilizando o Wazuh para detectar alterações em arquivos dentro de um sistema monitorado. O laboratório simula um cenário de monitoramento realizado em um Security Operations Center (SOC).

Objetivo

O objetivo deste laboratório é demonstrar como o File Integrity Monitoring pode identificar alterações não autorizadas em arquivos do sistema. O ambiente monitora eventos como criação, modificação e exclusão de arquivos, gerando alertas de segurança.

Arquitetura do Laboratório

O ambiente consiste em um servidor Wazuh responsável pela análise de logs e um endpoint monitorado com o agente Wazuh instalado. O agente coleta eventos do sistema e envia as informações para o servidor, onde os dados são analisados e transformados em alertas.

flowchart laying out the infrastructure of the project

Configuração do Ambiente

O Wazuh Manager foi instalado em um servidor Linux e configurado para receber eventos de um agente instalado no sistema monitorado. O módulo de File Integrity Monitoring foi configurado para monitorar diretórios específicos do sistema.

1 – Wazuh Manager

O print abaixo, mostra o daemon com status enabled, indicando o funcionamento correto.

wazuh manager enabled
Print do Terminal do VM Ubuntu Server

2 – Wazuh Indexer

De mesma maneira, abaixo o daemon com status enabled, indicando novamente um funcionamento de acordo com o esperado.

wazuh indexer enabled
Print do Terminal do VM Ubuntu Server

3 – Wazuh Dashboard

De mesmo modo, daemon de dashboard enabled

wazuh dashboard enabled
Print do Terminal do VM Ubuntu Server

Instalação do Agente (MacBook)

Foi realizada a instalação de um agente do Wazuh em um MacBook pessoal localizado na mesma rede do servidor. O agente foi configurado para se comunicar com o endereço IP do servidor Wazuh Manager, conforme demonstrado na imagem abaixo.

line of code installing the wazuh agent in macbook terminal
Print do Terminal do Agente (MacBook)

Implementação do FIM

O módulo FIM foi configurado para acompanhar alterações em arquivos dentro de diretórios monitorados (Conforme Imagem). O sistema detecta eventos como criação, modificação e exclusão de arquivos. Quando uma alteração ocorre, o evento é enviado ao servidor Wazuh para análise e geração de alertas.

agent configuration file, showing directories being monitored
A imagem ilustra o caminho /User/julionunes sendo monitorado.
Indica também, que o FIM está ativo, e que a cada 60 segundos, ele verfica se existem alterações nos diretórios apontados.

Print do Terminal do Agente (MacBook)

Criaçao do Arquivo "Malicioso"

Para simular atividade suspeita, um arquivo foi criado e posteriormente modificado dentro de um diretório monitorado. O Wazuh detectou a alteração e gerou um alerta indicando a modificação no sistema.

macbook terminal creating a file malware-file-test
Imagem ilustra a criação do arquivo, e a adição de conteúdo através do comando echo.
Print do Terminal do Agente (MacBook)

Detecção no Dashboard – Wazuh

A detecção do log foi feita pelo dashboard, visualizado pelo host (Windows 11). Nessa etapa, em um ambiente organizacional, se realiza a análise do log juntamente com outras ferramentas disponibilizadas pela infraestrutura de um SOC

a brief vision of the alert
Imagem relata informações do alerta como: Caminho (/Users/julionunes/malware-file-test), informações de hashes (MD5, SHA1, SHA256), datas, usuário, permissões de arquivo e outros.
Print do Wazuh Dashboard – Dentro do briefing do alerta

Conclusão

Este laboratório demonstra como o File Integrity Monitoring pode ser utilizado para identificar alterações suspeitas em arquivos e auxiliar analistas de segurança na detecção de possíveis incidentes dentro de um ambiente monitorado. – Essa atividade é essencial dentro de um SOC, pois arquivos críticos são alvos de muitos hackers.

Um rápido fluxo – Resumo

a flowchart showing a flux about this project
Fluxo idealizado para este projeto. – por mim, Julio Nunes