Curso Wazuh en Español:
De la Instalación al Threat Hunting Real

Cómo está organizado el curso, las etiquetas de cada lección (conceptual, práctica, caso práctico, laboratorio) y cómo avanzar según tu nivel y objetivos.

Lo que aprenderás: estructura del curso · etiquetas de lecciones · cómo avanzar según tu nivel · acceso al entorno de laboratorio

Wazuh como SIEM y XDR open-source: qué detecta, cómo se compara con Splunk o Microsoft Sentinel, y por qué es la opción estándar para cumplir el ENS sin coste de licencia.

Lo que aprenderás: qué es Wazuh · diferencia SIEM vs XDR · Wazuh vs Splunk · casos de uso reales · Wazuh para ENS y cumplimiento normativo

Instalación del agente en Windows 10, 11 y Server: descarga, configuración de ossec.conf, registro en el manager, apertura de firewall (puerto 1514) y troubleshooting de los errores más comunes.

Lo que aprenderás: instalar agente Wazuh Windows · ossec.conf Windows · registrar agente en manager · firewall Windows Wazuh · troubleshooting conexión

Instalación del stack completo (Manager + Indexer + Dashboard) en Ubuntu 24.04 LTS con el script oficial: requisitos de hardware, puertos, primer acceso al Dashboard y verificación de servicios activos.

Lo que aprenderás: instalar Wazuh Ubuntu 24.04 · requisitos hardware Wazuh · script instalación Wazuh · abrir puertos firewall · primer acceso al Dashboard

Levanta el stack completo con Docker Compose en un solo comando, ideal para laboratorio. Configuración de docker-compose.yml, volúmenes persistentes y conexión de agentes externos al Wazuh en Docker.

Lo que aprenderás: Wazuh Docker Compose · docker-compose.yml Wazuh · instalar Wazuh en Docker · laboratorio Wazuh · volúmenes persistentes · conectar agentes a Docker

ossec.conf del agente Windows en profundidad: Event Channels, PowerShell logging, FIM para carpetas críticas y gestión remota desde el Dashboard sin acceso físico al equipo.

Lo que aprenderás: ossec.conf Windows avanzado · Event Channels · FIM Windows · gestión remota agente · ajuste de logs enviados · PowerShell logging

Instalación en Ubuntu/Debian y configuración de logs personalizados: auth.log, syslog, Apache, Nginx, PostgreSQL y cualquier aplicación que escriba en /var/log/.

Lo que aprenderás: agente Wazuh Ubuntu/Debian · ossec.conf Linux · localfile con wildcards · logs Apache/Nginx en Wazuh · logs PostgreSQL · monitorizar aplicaciones personalizadas

Crea grupos de agentes (ej: "servidores-web", "workstations") y distribuye configuraciones centralizadas desde el manager con agent.conf. Esencial para gestionar más de 5 agentes sin tocarlos uno a uno.

Lo que aprenderás: grupos agentes Wazuh · agent.conf centralizado · crear grupos en Dashboard · asignar agentes a grupos · configuración centralizada Wazuh

Configura Wazuh como receptor syslog para dispositivos sin agente: routers, switches, NAS Synology, firewalls MikroTik o Ubiquiti. Habilitamos el listener y verificamos que los logs llegan correctamente.

Lo que aprenderás: Wazuh syslog collector · logs sin agente · configurar router para enviar syslog · NAS Synology Wazuh · MikroTik Wazuh · syslog UDP/TCP

Con los logs de red llegando, aprenderás a organizarlos por dispositivo, asignarles decoders correctos y crear reglas específicas: accesos fallidos al router, cambios de configuración no autorizados, fallos de hardware en el NAS.

Lo que aprenderás: decoders para logs de red · organizar syslog Wazuh · alertas router Wazuh · firewall logs en Wazuh · visualizar eventos de red en Dashboard

El pipeline completo de un log en Wazuh: predecoder → decoder → regla → alerta. Entender este flujo es clave para depurar por qué una regla no dispara o un decoder no extrae los campos correctos.

Lo que aprenderás: flujo de logs Wazuh · predecoder · decoder · reglas · alertas · depurar logs con wazuh-logtest · cómo procesa Wazuh un evento

Crea decoders XML con regex para parsear logs de cualquier aplicación (ERP, firewall, app propia): extrae campos como srcip, user, action y valídalos con wazuh-logtest.

Lo que aprenderás: crear decoder Wazuh · local_decoders.xml · regex para logs · campos decoder Wazuh · wazuh-logtest · decoder para aplicaciones personalizadas

Reglas XML para detectar lo que necesitas: acceso a carpetas sensibles, fuerza bruta (+5 fallos en 2 min), borrado de ficheros críticos. También reglas de correlación con if_matched_sid para patrones complejos multi-evento.

Lo que aprenderás: reglas personalizadas Wazuh · local_rules.xml · detectar fuerza bruta SSH · alertas por usuario · reglas de correlación · if_matched_sid

Reglas que monitorizan el Event Log de Windows (Event ID 11707/11724) para alertar cuando se instala o desinstala software. Caso práctico: detectar la instalación de un BitTorrent o herramienta no autorizada en un equipo corporativo.

Lo que aprenderás: detectar instalaciones Windows Wazuh · Event ID 11707 · monitorizar software corporativo · alertas desinstalación · control de software Wazuh

Envío de alertas por email con Postfix como relay SMTP (Gmail o Microsoft 365). Filtra por nivel de severidad, personaliza el mensaje y configura destinatarios distintos según el tipo de alerta.

Lo que aprenderás: Wazuh alertas por email · Postfix SMTP relay · Gmail Wazuh email · Microsoft 365 Wazuh · filtrar alertas por nivel · email personalizado

Caso práctico completo: decoders y reglas para logs de FortiGate desde cero — extraer IP origen/destino, puerto y acción — con alertas condicionadas por horario (la misma acción puede ser normal de día y sospechosa a las 3 AM).

Lo que aprenderás: decoder FortiGate Wazuh · reglas firewall Wazuh · alertas por horario · logs de seguridad perimetral · FortiGate syslog · casos prácticos reales

El panel SCA compara la configuración real de cada agente contra el CIS Benchmark (Linux/Windows) y el ENS, mostrando un porcentaje de cumplimiento y los controles fallidos con instrucciones de corrección.

Lo que aprenderás: SCA Wazuh · Configuration Assessment · CIS Benchmark Wazuh · hardening Linux · puntuación cumplimiento · corregir controles fallidos

Laboratorio práctico de FIM: monitorizar directorios críticos y certificados digitales de la empresa para detectar modificaciones no autorizadas. Requisito directo de ISO 27001 y ENS.

Lo que aprenderás: FIM Wazuh Dashboard · syscheck configuración · monitorizar certificados digitales · ISO 27001 FIM · ENS integridad de archivos · alertas FIM en tiempo real

Caso práctico de Threat Hunting: investigamos un ataque de fuerza bruta SSH paso a paso con el panel Discover y KQL — desde la primera alerta hasta determinar si el sistema fue comprometido.

Lo que aprenderás: Threat Hunting Wazuh · Discover OpenSearch · KQL Wazuh · investigar ataque fuerza bruta · análisis forense Wazuh · respuesta a incidentes

Wazuh cruza los paquetes de cada agente con la NVD para detectar CVEs activos. En el Dashboard verás qué sistemas están en riesgo y qué paquetes actualizar — cubre los controles ISO 27001 A.8.8 y ENS op.exp.6.

Lo que aprenderás: Vulnerability Detection Wazuh · CVE en Wazuh · ISO 27001 A.8.8 · ENS op.exp.6 · gestión de vulnerabilidades · paquetes desactualizados con CVEs

Crea dashboards personalizados con el editor visual de OpenSearch: gráficos, tablas, métricas, mapas de calor. Ideal para informes ejecutivos, paneles de cliente o pantallas de monitorización NOC 24/7.

Lo que aprenderás: crear dashboard Wazuh personalizado · visualizaciones OpenSearch · informe ejecutivo seguridad · exportar PDF Wazuh · pantalla monitorización NOC

Cuando el FIM detecta un archivo nuevo, Wazuh lo envía automáticamente a VirusTotal (70+ motores). Configuramos la API key, las reglas de alerta y el resultado: detección de webshells y malware en servidores Linux sin antivirus instalado.

Lo que aprenderás: Wazuh VirusTotal integración · análisis automático malware · detectar webshells · API VirusTotal · FIM + antivirus · detección de backdoors Linux

Conecta Wazuh con Llama 3 vía Ollama para hacer preguntas en lenguaje natural sobre tus logs de seguridad — sin enviar datos a la nube. Detecta anomalías y prioriza alertas con IA local en tu propio servidor.

Lo que aprenderás: Wazuh con IA · Ollama Llama 3 · análisis logs con LLM · Threat Hunting con IA · IA local sin nube · consultas en lenguaje natural sobre logs