¶ Soax Vulnerability Detection
La seguridad de nuestras instancias es algo muy importante, por eso, uno de los multiples servicios que ofrecemos en Oasix, es la posibilidad de poder detectar todas las vulnerabilidades de nuestras instancias.
Gracias a este servicio podremos analizar las vulnerabilidades de nuestras instancias, tanto su nivel de riesgo como el número de vulnerabilidades totales.
NOTA: Esta funcionalidad, nos permite registrar las instancias que deseemos, siguiendo nuestra filosofía de 100% pago por uso. Registre 1 o todas las instancias de su proyecto, depende de sus necesidades.
¶ ¿Cómo funciona?
A continuación veremos como habilitar este servicio, solo hay que seguir unos sencillos pasos:
- Instalar el agente en nuestra instancia
- Activar el agente de nuestra instancia
Una vez realizados los pasos anteriores ya podremos observar las vulnerabilidades de nuestras instancias en la pantalla de "Vulnerability Detection" situada en el panel lateral, dentro del apartado Seguridad.
¶ Instalar agente
Según el sistema operativo de nuestra instancia, el comando para instalar el agente es diferente, desde SoaX disponemos de los diferentes comandos para los sistemas compatibles para realizar este paso.
Para empezar a instalar el agente, accedemos a la pantalla "Vulnerability Detection" y pulsamos en "Lic. de agentes" situado arriba a la izquierda.
En esta pantalla se mostrarán todas las instancias creadas en nuestro proyecto.
Seleccionaremos el botón azul "Instalar agente" de la instancia que queramos detectar sus vulnerabilidades.
Dependiendo de su sistema operativo habrá que realizar un paso u otro:
CentOS
Seleccionamos la opción "CentOS" que hay ubicada arriba a la izquierda e introducimos los comandos que se muestran en el terminal de nuestra instancia.
Ubuntu/Debian
Seleccionamos la opción "Ubuntu/Debian" que hay ubicada arriba en el centro e introducimos los comandos que se muestran en el terminal de nuestra instancia.
Windows
Seleccionamos la opción "Windows" que hay ubicada arriba a la derecha e introducimos los comandos que se muestran en el powershell de nuestra instancia.
¶ Activación de licencia
Una vez hayamos registrado la instancia, para ver sus vulnerabilidades faltará activar su licencia.
Este paso es tan sencillo como darle al botón de "Activar licencia".
NOTA: Hasta que este paso no se haya realizado no se mostrarán las vulnerabilidades de la instancia.
¶ Análisis de vulnerabilidades
En esta pantalla podremos ver y analizar las vulnerabilidades de las instancias que hemos registrado y activado anteriormente.
A continuación vamos a ver una breve explicación sobre lo que se muestra en cada apartado de esta pantalla.
En este bloque podemos observar un diagrama del número de vulnerabilidades, agrupadas en diferentes niveles de severidad:
-
Crítico | Criticidad entre 9 y 10
-
Alta | Criticidad entre 7 y 8.9
-
Media | Criticidad entre 5 y 6.9
-
Baja | Criticidad entre 0 y 4.9
Hay vulnerabilidades con criticidad 0 pero una severidad diferente a lo explicado anteriormente, esto se debe a que no hay información sobre la vulnerabilidad (pero se encuentra reportada a la organización responsable) y aumenta su severidad.
En este bloque podemos ver con más detalle el número de vulnerabilidades de la instancia o de todas (según lo que elijamos en el desplegable de arriba a la izquierda)
En este bloque podremos observar un resumen en forma de diagrama del tipo de vulnerabilidades detectadas, según la opción que elijamos en el desplegable de arriba a la derecha podremos ver:
- Software - El software al que afecta
- CVE - Referencia de la vulnerabilidad
- Versión - Versión de la vulnerabilidad
- CVSS2 Score - Sistema de puntuación para estimar el impacto de la vulnerabilidad
- CVSS3 Score - Sistema de puntuación para estimar el impacto de la vulnerabilidad
En este bloque obtendremos información más detallada sobre las vulnerabilidades encontradas, esta información se muestra en diferentes columnas de una tabla:
Muestra información sobre los hosts afectados
Fecha donde se detectó la vulnerabilidad
Muestra la referencia hacia la vulnerabilidad detectada
Si haces click te abre en una pestaña nueva toda la información sobre la vulnerabilidad
Indica a que software afecta la vulnerabilidad
Muestra el número de hosts afectados por la vulnerabilidad
Si haces click te muestra más información sobre los hosts
Muestra el nivel de puntuación que proporciona el método CVSS3
Se muestra el nivel de severidad de la vulnerabilidad
¶ Actualizar agente de la instancia
Para actualizar el agente en nuestra instancia a la última versión, deberemos configurar el repositorio para acceder a la última versión
En Windows no existe esta posibilidad y se tiene que hacer de manera manual.
Estos comandos necesitan permisos de superusuario para ejecutarse.
¶ Sistemas Operativos
CentOS/RHEL/Rocky
1. Importar la clave GPG:
rpm --import https://packages.wazuh.com/key/GPG-KEY-WAZUH
2. Añadir el repositorio:
cat > /etc/yum.repos.d/wazuh.repo << EOF
[wazuh]
gpgcheck=1
gpgkey=https://packages.wazuh.com/key/GPG-KEY-WAZUH
enabled=1
name=EL-\$releasever - Wazuh
baseurl=https://packages.wazuh.com/4.x/yum/
protect=1
EOF
3. Actualizar el agente:
yum update wazuh-agent
Ubuntu/Debian
1. Instalar la clave GPG:
curl -s https://packages.wazuh.com/key/GPG-KEY-WAZUH | gpg --no-default-keyring --keyring gnupg-ring:/usr/share/keyrings/wazuh.gpg --import && chmod 644 /usr/share/keyrings/wazuh.gpg
2. Añadir el repositorio:
echo "deb [signed-by=/usr/share/keyrings/wazuh.gpg] https://packages.wazuh.com/4.x/apt/ stable main" | tee -a /etc/apt/sources.list.d/wazuh.list
3. Actualizar el agente:
apt-get update wazuh-agent
Windows
En este caso no existe un repositorio de donde sacar el paquete, por lo tanto, tendremos que realizarlo de manera manual.
Tendremos que volver a ejecutar el comando de Soax, pero cambiando el número de la versión a la última disponible.
Este comando es de un caso en concreto y es único para el ejemplo, ya que el comando contiene el nombre de la instancia.
La versión del agente puede variar respecto al de la imagen. Puede ver la última versión del agente en la página oficial.
¶ Desactivar agente de la instancia
Si en algún momento queremos dejar de monitorizar las vulnerabilidades de nuestra instancia, siempre podremos desactivar el agente desde SoaX de una forma tan sencilla como pulsar el botón "Desactivar agente"
Después de confirmar que deseamos borrar la licencia la licencia se borrará y ya no podremos monitorizar las vulnerabilidades de nuestra instancia.
La licencia seguirá registrada en la instancia y para volver a activarla habrá que realizar de nuevo el paso de Activación de licencias
¶ Desinstalar agente de la instancia
Para desinstalar el agente de nuestra instancia solamente habrá que introducir un comando, este comando varia depende del sistema operativo que tenga nuestra instancia:
CentOS/RHEL/Rocky
yum erase wazuh-agent
Ubuntu/Debian
apt remove --purge wazuh-agent
Windows
En este caso no hay que introducir ningún comando, habrá que realizar 2 sencillos pasos para desinstalar el agente:
- Acceder a "Programas y caracteristicas"
- Desinstalar el programa "WazuhAgent"