WAZUH - DEFENDER
WAZUH - AMBASSADORS
🛡️🪟 Integración de Windows Defender con Wazuh SIEM: detección de endpoint a escala
En esta práctica se integra Windows Defender, el antivirus nativo de Windows, con Wazuh SIEM, de forma que las detecciones de malware que hasta ahora solo vivían en el Centro de seguridad de cada equipo pasan a analizarse y visualizarse de forma centralizada junto con el resto de la telemetría de seguridad de la organización.
El escenario parte de una situación muy habitual: decenas o cientos de endpoints Windows, cada uno con su propio Defender, deteniendo amenazas de forma silenciosa y automática. El problema no es que Defender no funcione — es que nadie se entera de lo que detecta salvo que abra la consola de ese equipo en concreto. En lugar de depender de revisar máquina por máquina, se configura el agente Wazuh instalado en cada endpoint para recoger esos eventos, y se despliega esa configuración a un grupo entero de equipos desde el propio Wazuh Dashboard, sin necesidad de tocar la terminal ni acceder por SSH al manager.
🧰 Tecnologías empleadas
Windows Defender Es la fuente de los eventos de esta práctica: motor antivirus nativo de Windows, detecta malware, software potencialmente no deseado y cambios en el estado de la protección en tiempo real, todo ello registrado en su propio canal de eventos de Windows.
Wazuh Plataforma SIEM que centraliza el análisis: el manager recibe y procesa los eventos, el indexer los almacena de forma estructurada, y el dashboard permite consultarlos y desplegar configuración a los agentes. A diferencia de una integración por syslog, aquí el manager no recibe los eventos de forma directa: los recoge el agente Wazuh instalado en cada endpoint Windows.
Registro de eventos de Windows El canal Microsoft-Windows-Windows Defender/Operational es donde Windows registra cada detección, cada análisis y cada cambio de estado de Defender. El agente Wazuh se configura para leer específicamente ese canal.
Decoder y reglas nativas de Wazuh A diferencia de otras integraciones de esta serie, aquí no hace falta construir un decoder ni un conjunto de reglas propio: Wazuh trae de fábrica el decoder windows_eventchannel y un ruleset completo para clasificar los eventos de Defender por severidad.
Grupos de agentes y configuración centralizada Mecanismo de Wazuh para distribuir una misma configuración a un conjunto de endpoints a la vez, gestionable directamente desde la interfaz del Dashboard.
🎯 Objetivos de la práctica
El objetivo principal es dejar de depender de la revisión manual de cada equipo, y pasar a un modelo donde las detecciones de Defender llegan de forma continua a un panel centralizado, con la posibilidad real de escalar esa configuración a toda una flota de equipos sin trabajo manual por máquina.
De forma más concreta, se busca configurar el agente Wazuh para recoger los eventos de Defender, validar el montaje generando una detección de prueba controlada, clasificar los eventos según su severidad, y desplegar esa misma configuración a un grupo completo de agentes Windows desde el Wazuh Dashboard, verificando en cada paso que la configuración realmente llegó y se aplicó.
🧩 Desarrollo de la práctica
Configuración individual en un agente Antes de desplegar a un grupo entero, se valida el montaje en un único equipo: se indica al agente Wazuh que lea el canal de eventos de Windows Defender, y se reinicia el servicio para aplicar el cambio.
Verificación en el manager de Wazuh Se activa el registro de archivos crudos en el manager, lo que permite seguir en tiempo real todo lo que llega del agente, no solo lo que dispara una alerta — un paso de depuración imprescindible antes de dar nada por sentado.
Generación de la primera alerta con un archivo de prueba Se utiliza el archivo EICAR, el estándar universal para probar motores antivirus sin usar malware real, y se confirma que Defender lo detecta y que la alerta correspondiente llega a Wazuh.
Clasificación de eventos por severidad No todos los eventos de Defender tienen la misma relevancia: un inicio de análisis programado no es lo mismo que una detección de malware o que la desactivación de la protección en tiempo real. Se revisa qué reglas cubren cada caso y con qué nivel de prioridad.
Despliegue centralizado desde el Wazuh Dashboard Con el montaje ya validado, se crea un grupo de agentes Windows y se distribuye la configuración a todos ellos directamente desde la interfaz del Dashboard, sin necesidad de editar archivos a mano en el manager.
Verificación de que la configuración se aplicó Se comprueba, tanto en el propio endpoint como desde el manager, que cada agente del grupo recibió y aplicó realmente la nueva configuración, antes de darla por desplegada.
Prueba de extremo a extremo tras el despliegue Se repite la detección de prueba en un equipo que únicamente recibió la configuración por pertenecer al grupo, confirmando que el despliegue centralizado funciona igual que la configuración manual inicial.
🔍 ¿Por qué es importante esta práctica?
Un antivirus que detiene una amenaza sin que nadie se entere resuelve el problema técnico, pero deja un punto ciego de visibilidad: nadie sabe qué se ha intentado, con qué frecuencia, ni si varios equipos están recibiendo el mismo tipo de ataque al mismo tiempo. Esa correlación solo es posible si la información sale del equipo individual y llega a un panel centralizado.
Además, en cualquier organización real el reto no es configurar un equipo, sino configurarlos todos por igual, sin que la tarea dependa de tocar máquina por máquina ni de mantener una hoja de cálculo con quién tiene qué configuración. Un despliegue centralizado gestionado desde el propio Dashboard resuelve justamente ese problema de escala.
✅ Resultados esperados
Al finalizar la práctica, las detecciones de Windows Defender llegan de forma continua al manager de Wazuh desde cada endpoint, clasificadas por severidad y visibles en el dashboard junto con el resto de la telemetría de seguridad. La configuración necesaria para ello ya no depende de tocar cada equipo individualmente, sino que se gestiona y distribuye desde un único punto para todo un grupo de agentes.
🏢 Propuesta empresarial
Clockwork Computer necesita dejar de depender de la revisión manual del antivirus en cada uno de sus equipos Windows. Hasta ahora, las detecciones de Defender solo se veían si alguien abría el Centro de seguridad de ese equipo en concreto, sin ningún mecanismo de alerta centralizada ni de correlación con el resto de la infraestructura de seguridad.
El departamento de IT ha decidido integrar Windows Defender con la plataforma Wazuh SIEM ya desplegada, aprovechando el agente que ya está instalado en cada endpoint, de forma que las detecciones pasen a analizarse de forma continua junto con el resto de la telemetría de la organización.
📌 Escenario propuesto
Clockwork Computer dispone de varios equipos Windows con el agente Wazuh ya instalado, y de un servidor Wazuh operativo con otras fuentes de datos integradas. El objetivo es sumar las detecciones de Defender como una fuente más, y poder escalar esa configuración a toda la flota de equipos Windows sin trabajo manual por máquina.
🎯 Requisitos técnicos solicitados por la empresa
La empresa solicita implementar las siguientes tareas:
Configurar el agente Wazuh en un equipo Windows para recoger los eventos de Windows Defender. Verificar en el manager que esos eventos llegan correctamente. Generar una detección de prueba controlada y confirmar que la alerta correspondiente aparece en Wazuh. Clasificar los eventos de Defender según su severidad, distinguiendo detecciones reales de eventos puramente informativos. Crear un grupo de agentes Windows y desplegar la configuración a todos ellos desde el Wazuh Dashboard, sin acceso por SSH al manager. Verificar que cada agente del grupo aplicó correctamente la configuración distribuida. Validar de extremo a extremo que la detección funciona igual en un equipo que solo recibió la configuración por pertenecer al grupo.
🔐 Justificación técnica y de seguridad
Clockwork Computer necesita ampliar su capacidad de detección a nivel de endpoint sin añadir infraestructura adicional: el agente Wazuh ya está instalado en los equipos, y Windows Defender ya viene activo por defecto en todos ellos. Aprovechar ambos evita instalar cualquier componente adicional y permite reutilizar el trabajo de correlación, almacenamiento y visualización que la plataforma Wazuh ya ofrece para otras fuentes.
El uso de la configuración centralizada por grupos, gestionada desde el propio Dashboard, evita que la tarea dependa de acceso por terminal al manager ni de repetir la misma configuración equipo por equipo, reduciendo tanto el tiempo de despliegue como el riesgo de que algún equipo quede mal configurado por error humano.
🧪 Validación esperada
Al finalizar la práctica, Clockwork Computer deberá comprobar que una detección real de Windows Defender, como la de un archivo de prueba, se registra correctamente en Wazuh y genera una alerta con la información esperada (equipo de origen, tipo de detección y severidad), tanto en un equipo configurado manualmente como en otro que recibió la configuración exclusivamente a través del grupo de agentes.
✅ Resultado empresarial esperado
Como resultado final, Clockwork Computer dispondrá de visibilidad centralizada sobre las detecciones de su antivirus en toda la flota de equipos Windows, integrada en la misma plataforma SIEM que el resto de su infraestructura. La detección de malware dejará de depender de la revisión manual de cada equipo, con una configuración que se puede desplegar y auditar desde un único punto, y con la posibilidad de ampliar en el futuro esta misma lógica de despliegue centralizado a otras fuentes de telemetría de endpoint.
Esta práctica representa un caso real de consolidación de la visibilidad de seguridad a nivel de endpoint, evaluando la capacidad de integrar una fuente ya presente en cada equipo dentro de una plataforma SIEM existente, y de escalar esa integración a un grupo completo de máquinas sin depender de configuración manual por unidad.

Comentarios
Publicar un comentario