AI SECURITY logo AI SECURITY
Wazuh Windows Reglas Software Auditoría SIEM ENS ISO 27001

Detectar Instalaciones y Desinstalaciones de Software en Windows con Wazuh

Crea reglas en Wazuh para detectar instalaciones y desinstalaciones de software en Windows (Event IDs 11707 y 11724). Cumplimiento ISO 27001 y ENS.

AI Security
8 min lectura
Background

Wazuh detecta instalaciones y desinstalaciones de software en Windows capturando los Event IDs 11707 y 11724 del log de Application. Basta con añadir dos reglas personalizadas en local_rules.xml para recibir alertas en tiempo real con el nombre del software, el equipo y el usuario implicado.

¿Qué Event IDs de Windows generan estas acciones?

Windows Installer genera eventos en el log de Application cuando se instala o desinstala software:

Event ID Acción Descripción
11707 Instalación Software instalado correctamente
11724 Desinstalación Software eliminado del sistema
Video: Detectar Instalaciones de Software
Contenido del curso

Video: Detectar Software Windows

12 minutos - Reglas para Event ID 11707 y 11724

Ver en el Curso Wazuh

Accede al video completo con el curso de Wazuh

¿Cómo crear la regla para detectar instalaciones?

Añade esta regla en /var/ossec/etc/rules/local_rules.xml: 

<rule id="100200" level="8">
  <if_group>windows</if_group>
  <field name="win.system.eventID">^11707$</field>
  <description>Software instalado en Windows: $(win.eventdata.data)</description>
  <options>no_full_log</options>
  <group>software_install,policy_violation</group>
</rule>

Explicación:

  • if_group windows: Solo aplica a eventos de Windows
  • win.system.eventID: Filtra por Event ID 11707
  • $(win.eventdata.data): Incluye el nombre del software en la alerta
  • level="8": Severidad media-alta
  • no_full_log: No incluye el log completo (reduce tamaño)

¿Cómo crear la regla para detectar desinstalaciones?

Las desinstalaciones pueden ser más críticas (eliminación de software de seguridad, por ejemplo): 

<rule id="100201" level="12">
  <if_group>windows</if_group>
  <field name="win.system.eventID">^11724$</field>
  <description>Software desinstalado en Windows: $(win.eventdata.data)</description>
  <options>no_full_log</options>
  <group>software_uninstall,policy_violation</group>
</rule>

Nota: Level 12 es más alto porque desinstalar software puede indicar:

  • Eliminación de antivirus o herramientas de seguridad
  • Usuario intentando ocultar actividad
  • Preparación para instalar software malicioso

¿Cómo aplicar las reglas en Wazuh?

Reinicia el manager para aplicar:

systemctl restart wazuh-manager

¿Qué información verás en el dashboard de Wazuh?

Cuando un usuario instale o desinstale software, verás alertas en el dashboard con:

  • Nombre del software afectado
  • Equipo donde ocurrió
  • Usuario que realizó la acción
  • Timestamp exacto

¿Para qué casos de uso es útil esta monitorización?

  • Cumplimiento normativo: Auditar cambios de software (ISO 27001, ENS)
  • Detección de amenazas: Alertar si se desinstala el antivirus
  • Control de políticas: Detectar instalaciones no autorizadas
  • Inventario de software: Mantener registro de cambios

¿Qué controles de ISO 27001:2022 cubre esta configuración?

Monitorizar las instalaciones y desinstalaciones de software con Wazuh ayuda a cumplir varios controles del Anexo A de ISO 27001:2022:

Control Nombre Cómo ayuda Wazuh
A.8.19 Instalación de software en sistemas operativos Detecta en tiempo real cualquier instalación, permitiendo verificar si está autorizada
A.8.9 Gestión de la configuración Registra cambios en la configuración del sistema (software instalado/eliminado)
A.8.15 Registro de eventos (Logging) Almacena logs de eventos con fecha, usuario y equipo afectado
A.8.16 Actividades de monitorización Monitorización continua con alertas automáticas ante cambios
A.5.36 Conformidad con políticas y normas Evidencia auditable de que se controla el software permitido

Beneficio clave: Las reglas de Wazuh generan evidencia documental automática para auditorías ISO 27001, demostrando que existe un control activo sobre el software instalado en los sistemas.

¿Qué medidas del ENS cumple esta monitorización?

Para organizaciones del sector público español o proveedores que trabajan con la administración, el ENS (RD 311/2022) requiere medidas específicas que esta monitorización ayuda a cumplir:

Medida Nombre Cómo ayuda Wazuh
op.exp.1 Inventario de activos Registro automático de cambios en el software de cada equipo
op.exp.8 Registro de la actividad de los usuarios Captura qué usuario instaló/desinstaló software y cuándo
op.mon.1 Detección de intrusión Detecta software no autorizado que podría indicar compromiso
op.mon.2 Sistema de métricas Dashboard centralizado con estadísticas de instalaciones
mp.sw.1 Desarrollo de aplicaciones Control de qué herramientas de desarrollo se instalan
mp.sw.2 Aceptación y puesta en servicio Evidencia de que el software desplegado está autorizado

Nivel de categorización ENS

Las medidas op.mon.1 y op.mon.2 son obligatorias desde nivel MEDIO del ENS. Con estas reglas de Wazuh cumples estos requisitos de forma automática y documentada.

¿Por qué usar Wazuh para cumplimiento normativo?

  • Evidencia automática: Cada alerta queda registrada con timestamp, usuario y equipo
  • Retención configurable: Puedes guardar logs el tiempo que requiera la normativa (ENS exige mínimo 2 años)
  • Dashboards para auditorías: Informes visuales listos para presentar a auditores
  • Alertas en tiempo real: No esperas a una auditoría para detectar incumplimientos
  • Integración con SIEM: Correlaciona eventos de software con otras alertas de seguridad
  • Coste cero en licencias: Wazuh es open-source, ideal para PyMEs con presupuesto limitado

Próximos pasos

En el curso de Wazuh también vemos cómo crear decoders personalizados para logs de aplicaciones propias. Accede al curso completo.

Background
Volver al blog