Wazuh MCP Server: Pregunta y Actúa sobre tu SIEM con Claude IA

¿Qué es el Wazuh MCP Server?

El Model Context Protocol (MCP) es el estándar que usan herramientas como Claude para conectarse con servicios externos. El Wazuh MCP Server es un servidor open-source que expone la API de Wazuh como herramientas que Claude puede invocar directamente.

El resultado: puedes abrir Claude Code y preguntar y actuar sobre tu infraestructura en lenguaje natural. Sin recordar comandos de API, sin abrir el dashboard. Ejemplos reales:

• "¿Qué alertas críticas tengo hoy?"
• "¿Qué vulnerabilidades críticas hay sin parchear?"
• "Aísla de la red a este servidor"
• "Mata el proceso SSH en todos los servidores Apache"

Claude consulta Wazuh en tiempo real y puede ejecutar respuestas activas directamente. No es solo monitorización — es respuesta a incidentes asistida por IA.

Paso 1 — Clonar el repositorio

git clone https://github.com/gensecaihq/Wazuh-MCP-Server.git
cd Wazuh-MCP-Server

Paso 2 — Obtener las credenciales de Wazuh

Las credenciales se generan automáticamente durante la instalación de Wazuh. Ejecuta este comando desde el directorio donde instalaste Wazuh:

cat wazuh-install-files/wazuh-passwords.txt

Necesitarás cuatro valores:

• wazuh-api-user y wazuh-api-pass → credenciales de la API REST de Wazuh (puerto 55000)
• wazuh-indexer-user y wazuh-indexer-pass → credenciales del indexador OpenSearch (puerto 9200)

Paso 3 — Configurar el fichero .env

cp .env-example .env

Edita el .env con tus datos:

WAZUH_HOST=https://TU_IP_WAZUH
WAZUH_USER=wazuh
WAZUH_PASS=TU_WAZUH_API_PASS
WAZUH_PORT=55000

WAZUH_INDEXER_HOST=TU_IP_WAZUH
WAZUH_INDEXER_PORT=9200
WAZUH_INDEXER_USER=admin
WAZUH_INDEXER_PASS=TU_INDEXER_PASS

AUTH_MODE=bearer
WAZUH_VERIFY_SSL=false

AUTH_MODE: bearer vs none

• bearer: El servidor genera tokens JWT con expiración. Recomendado siempre, incluso en entornos locales.
• none: Sin autenticación. Solo aceptable para pruebas en red completamente aislada. Nunca en producción.

WAZUH_VERIFY_SSL

Wazuh instala por defecto un certificado SSL autofirmado, lo que hace que la verificación falle. Con false desactivamos esa verificación para poder conectar. Si en tu entorno tienes un certificado válido (firmado por CA), cámbialo a true.

Paso 4 — Arrancar el servidor

docker compose up -d

Paso 5 — Obtener la API Key

Revisa los logs del contenedor para encontrar la API key generada al arrancar:

docker compose logs

Busca una línea con el formato:

wazuh_XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX

Paso 6 — Obtener el Access Token

Con la API key, solicita un token de acceso JWT:

curl -s -X POST http://TU_IP:3000/auth/token \
    -H "Content-Type: application/json" \
    -d '{"api_key": "wazuh_TU_API_KEY"}'

La respuesta incluirá el access_token que usarás en el siguiente paso.

Paso 7 — Registrar el servidor MCP en Claude Code

claude mcp add --transport http wazuh http://TU_IP:3000/mcp \
    -H "Authorization: Bearer TU_ACCESS_TOKEN"

A partir de aquí, Claude tiene acceso completo a tu Wazuh. Puedes preguntarle en lenguaje natural sobre el estado de tus agentes, alertas recientes, vulnerabilidades detectadas y mucho más, sin necesidad de recordar ningún comando de la API.

Resumen

Próximos pasos

Esta integración es parte del módulo de Integraciones del curso de Wazuh. Si quieres dominar Wazuh desde la instalación hasta casos avanzados como este, accede al curso completo en aisecurity.es/curso-wazuh.