Introducción
En este laboratorio práctico modificamos y eliminamos un certificado en Windows para ver cómo FIM (File Integrity Monitoring) detecta los cambios y qué información aporta en el panel de Wazuh.
Video: Panel FIM - Certificados
12 minutos - Laboratorio práctico ISO 27001 y ENS
Ver en el Curso WazuhAccede al video completo con el curso de Wazuh
Marco normativo: Por qué es obligatorio
ISO 27001 - Control A.8.24
Los certificados criptográficos deben estar protegidos, controlados y auditados. Cualquier cambio sobre ellos debe quedar registrado.
ENS - Medida mp.com.3
Protección de la autenticidad e integridad: los mecanismos criptográficos deben estar protegidos frente a modificaciones no autorizadas.
En la práctica: Si en una auditoría te preguntan si tienes controlado quién puede tocar los certificados y si tienes registro de cualquier modificación, la respuesta tiene que ser sí. Este laboratorio es exactamente esa demostración.
Configuración syscheck en el Agente Windows
Edita el fichero ossec.conf del agente Windows:
<syscheck>
<frequency>300</frequency>
<scan_on_start>yes</scan_on_start>
<!-- Monitorización del certificado corporativo -->
<directories realtime="yes"
check_all="yes"
report_changes="yes">C:\Users\Administrador\Documents\Certificados\CertificadoEmpresa.pfx</directories>
<!-- Almacén de certificados de Windows -->
<windows_registry>HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SystemCertificates</windows_registry>
<windows_registry>HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography</windows_registry>
</syscheck>Explicación:
realtime="yes": Detecta cambios al instantecheck_all="yes": Verifica hash, permisos, propietario y tamañoreport_changes="yes": Activa análisis de VirusTotal si está integradowindows_registry: Vigila el almacén de certificados del sistema
Reinicia el servicio del agente en Windows:
Restart-Service WazuhSvcRegla personalizada para certificados críticos
En el servidor Wazuh, edita el fichero de reglas locales:
nano /var/ossec/etc/rules/local_rules.xmlAñade esta regla:
<group name="syscheck,certificate_monitor,">
<rule id="100200" level="13">
<if_sid>553</if_sid>
<field name="syscheck.path">\.pfx$|\.p12$|\.cer$|\.key$</field>
<description>CRITICO: Certificado digital eliminado - $(syscheck.path)</description>
<mitre>
<id>T1485</id>
</mitre>
<group>certificate,integrity,gdpr_II_5.1.f,hipaa_164.312.c.1,pci_dss_11.5,</group>
</rule>
</group>Explicación:
if_sid 553: Se activa cuando FIM detecta archivo eliminadolevel="13": Nivel crítico (máxima prioridad)syscheck.path: Filtra por extensiones de certificado (.pfx, .p12, .cer, .key)MITRE T1485: Data Destructiongroup: Compliance tags para GDPR, HIPAA y PCI-DSS
Reinicia el manager:
systemctl restart wazuh-managerPanel FIM: Qué información aporta
Cuando se modifica o elimina un certificado, el panel Endpoint Security → File Integrity Monitoring muestra:
- Evento: added, modified o deleted
- Ruta completa del archivo afectado
- Hash SHA256 antes y después (si modificado)
- Usuario que realizó la acción
- Timestamp exacto
- Cambios de permisos si los hubo
Resumen de compliance
| Normativa | Control | Cobertura |
| ISO 27001 | A.8.24 | Gestión de certificados criptográficos |
| ENS | mp.com.3 | Protección autenticidad e integridad |
| PCI-DSS | 11.5 | Monitorización de integridad |
| GDPR | Art. 5.1.f | Integridad y confidencialidad |
Próximos pasos
En el curso de Wazuh vemos más paneles como Configuration Assessment, Malware Detection y Threat Hunting. Accede al curso completo.