AI SECURITY logo AI SECURITY
Background
Wazuh Windows Reglas Software Auditoría SIEM ENS ISO 27001

Detectar Instalaciones y Desinstalaciones de Software en Windows con Wazuh

Crea reglas en Wazuh para detectar instalaciones y desinstalaciones de software en Windows (Event IDs 11707 y 11724). Cumplimiento ISO 27001 y ENS.

AI Security
8 min lectura
Background

Introducción

Windows genera eventos específicos cuando se instala o desinstala software. Con Wazuh puedes capturar estos eventos y generar alertas para auditar cambios en tu infraestructura. Esto es útil para detectar software no autorizado o cambios sospechosos.

Video: Detectar Instalaciones de Software
Contenido del curso

Video: Detectar Software Windows

12 minutos - Reglas para Event ID 11707 y 11724

Ver en el Curso Wazuh

Accede al video completo con el curso de Wazuh

Event IDs de Windows

Windows Installer genera eventos en el log de Application cuando se instala o desinstala software:

Event ID Acción Descripción
11707 Instalación Software instalado correctamente
11724 Desinstalación Software eliminado del sistema

Regla para detectar instalaciones

Añade esta regla en /var/ossec/etc/rules/local_rules.xml: 

<rule id="100200" level="8">
  <if_group>windows</if_group>
  <field name="win.system.eventID">^11707$</field>
  <description>Software instalado en Windows: $(win.eventdata.data)</description>
  <options>no_full_log</options>
  <group>software_install,policy_violation</group>
</rule>

Explicación:

  • if_group windows: Solo aplica a eventos de Windows
  • win.system.eventID: Filtra por Event ID 11707
  • $(win.eventdata.data): Incluye el nombre del software en la alerta
  • level="8": Severidad media-alta
  • no_full_log: No incluye el log completo (reduce tamaño)

Regla para detectar desinstalaciones

Las desinstalaciones pueden ser más críticas (eliminación de software de seguridad, por ejemplo): 

<rule id="100201" level="12">
  <if_group>windows</if_group>
  <field name="win.system.eventID">^11724$</field>
  <description>Software desinstalado en Windows: $(win.eventdata.data)</description>
  <options>no_full_log</options>
  <group>software_uninstall,policy_violation</group>
</rule>

Nota: Level 12 es más alto porque desinstalar software puede indicar:

  • Eliminación de antivirus o herramientas de seguridad
  • Usuario intentando ocultar actividad
  • Preparación para instalar software malicioso

Aplicar las reglas

Reinicia el manager para aplicar:

systemctl restart wazuh-manager

Qué verás en el dashboard

Cuando un usuario instale o desinstale software, verás alertas en el dashboard con:

  • Nombre del software afectado
  • Equipo donde ocurrió
  • Usuario que realizó la acción
  • Timestamp exacto

Casos de uso

  • Cumplimiento normativo: Auditar cambios de software (ISO 27001, ENS)
  • Detección de amenazas: Alertar si se desinstala el antivirus
  • Control de políticas: Detectar instalaciones no autorizadas
  • Inventario de software: Mantener registro de cambios

Cumplimiento ISO 27001:2022

Monitorizar las instalaciones y desinstalaciones de software con Wazuh ayuda a cumplir varios controles del Anexo A de ISO 27001:2022:

Control Nombre Cómo ayuda Wazuh
A.8.19 Instalación de software en sistemas operativos Detecta en tiempo real cualquier instalación, permitiendo verificar si está autorizada
A.8.9 Gestión de la configuración Registra cambios en la configuración del sistema (software instalado/eliminado)
A.8.15 Registro de eventos (Logging) Almacena logs de eventos con fecha, usuario y equipo afectado
A.8.16 Actividades de monitorización Monitorización continua con alertas automáticas ante cambios
A.5.36 Conformidad con políticas y normas Evidencia auditable de que se controla el software permitido

Beneficio clave: Las reglas de Wazuh generan evidencia documental automática para auditorías ISO 27001, demostrando que existe un control activo sobre el software instalado en los sistemas.

Cumplimiento ENS (Esquema Nacional de Seguridad)

Para organizaciones del sector público español o proveedores que trabajan con la administración, el ENS (RD 311/2022) requiere medidas específicas que esta monitorización ayuda a cumplir:

Medida Nombre Cómo ayuda Wazuh
op.exp.1 Inventario de activos Registro automático de cambios en el software de cada equipo
op.exp.8 Registro de la actividad de los usuarios Captura qué usuario instaló/desinstaló software y cuándo
op.mon.1 Detección de intrusión Detecta software no autorizado que podría indicar compromiso
op.mon.2 Sistema de métricas Dashboard centralizado con estadísticas de instalaciones
mp.sw.1 Desarrollo de aplicaciones Control de qué herramientas de desarrollo se instalan
mp.sw.2 Aceptación y puesta en servicio Evidencia de que el software desplegado está autorizado

Nivel de categorización ENS

Las medidas op.mon.1 y op.mon.2 son obligatorias desde nivel MEDIO del ENS. Con estas reglas de Wazuh cumples estos requisitos de forma automática y documentada.

¿Por qué usar Wazuh para cumplimiento normativo?

  • Evidencia automática: Cada alerta queda registrada con timestamp, usuario y equipo
  • Retención configurable: Puedes guardar logs el tiempo que requiera la normativa (ENS exige mínimo 2 años)
  • Dashboards para auditorías: Informes visuales listos para presentar a auditores
  • Alertas en tiempo real: No esperas a una auditoría para detectar incumplimientos
  • Integración con SIEM: Correlaciona eventos de software con otras alertas de seguridad
  • Coste cero en licencias: Wazuh es open-source, ideal para PyMEs con presupuesto limitado

Próximos pasos

En el curso de Wazuh también vemos cómo crear decoders personalizados para logs de aplicaciones propias. Accede al curso completo.

Background
Volver al blog