Wazuh es una soluci\u00f3n de monitorizaci\u00f3n de eventos de seguridad de c\u00f3digo abierto basada en OSSEC<\/a>. Esta soluci\u00f3n act\u00faa como SIEM (Security Information and Event Management<\/em>) y XDR (eXtended Detection and Response<\/em>) dentro de una infraestructura. <\/p>\n\n\n\n Nuestro objetivo aqu\u00ed es poner en marcha r\u00e1pidamente esta soluci\u00f3n<\/strong>, con una arquitectura ligera y r\u00e1pida de desplegar. Tambi\u00e9n veremos c\u00f3mo instalar el agente Wazuh en sistemas Windows y Linux<\/strong>. Terminaremos viendo el estado y la configuraci\u00f3n de estos agentes en la interfaz de Wazuh. Antes de pasar a la implantaci\u00f3n, echemos un vistazo r\u00e1pido a qu\u00e9 es un XDR y en qu\u00e9 se diferencia de un antivirus y un EDR.<\/p>\n\n\n\n Software antivirus es sin duda el t\u00e9rmino m\u00e1s familiar para el p\u00fablico en general, aunque pocos usuarios no t\u00e9cnicos sepan realmente c\u00f3mo funciona y cu\u00e1l es su papel. La funci\u00f3n principal de un antivirus es proteger el sistema de amenazas conocidas.<\/strong> Para ello, utilizan el an\u00e1lisis est\u00e1tico y, en particular, las huellas digitales (hash<\/em>) para identificar si se trata de programas maliciosos conocidos. Los antivirus m\u00e1s avanzados (cuando eran la c\u00faspide<\/em> de las soluciones de seguridad) tambi\u00e9n utilizan sandboxes<\/em> para ejecutar programas iniciados por el usuario en un entorno controlado. Estos entornos limitados y supervisados permiten realizar an\u00e1lisis de comportamiento<\/strong> comprobando las acciones y comunicaciones de cada programa. <\/p>\n\n\n\n No obstante, los atacantes han aprendido a burlar estos an\u00e1lisis est\u00e1ticos y din\u00e1micos, que han empezado a mostrar sus limitaciones frente a ataques sofisticados. Hoy en d\u00eda, la vigilancia eficaz de un sistema de informaci\u00f3n requiere el despliegue de un EDR<\/strong> (Endpoint Detection & Response<\/em>) en cada uno de los sistemas que lo componen. Los EDR utilizan hooks<\/em> (ganchos), o puntos de interceptaci\u00f3n a nivel del n\u00facleo, para supervisar la actividad de los programas en tiempo real. Mientras que los antivirus se concentran en los programas maliciosos, los EDR permiten un seguimiento preciso del comportamiento de los programas y de los usuarios en el sistema<\/strong>. Al mismo tiempo, producen telemetr\u00eda avanzada sobre cualquier actividad que consideren sospechosa<\/strong>, y son capaces de bloquear la ejecuci\u00f3n de un programa, el acceso a determinados recursos sensibles o aislar de la red un sistema comprometido. Esta telemetr\u00eda se centraliza en una plataforma \u00fanica que permite visualizar, gestionar y configurar todos los agentes desplegados. Algunos EDR utilizan la IA y el aprendizaje autom\u00e1tico<\/em> para detectar comportamientos sospechosos. <\/p>\n\n\n\n Por \u00faltimo, XDR (Extended Detection and Response<\/em>) utiliza toda esta telemetr\u00eda y los registros de seguridad para correlacionar los eventos de seguridad<\/strong>. Su funci\u00f3n principal es ayudar a los an\u00e1lisis de seguridad a trav\u00e9s de sus capacidades de procesamiento y reglas. <\/p>\n\n\n\n Tomemos el ejemplo de un atacante que va a realizar un ataque de fuerza bruta distribuido en un centenar de sistemas. La correlaci\u00f3n de eventos de estos sistemas por XDR permitir\u00e1 agruparlos, emitir una \u00fanica alerta y categorizarla seg\u00fan un TTP del MITRE ATT& CK. Mientras que la telemetr\u00eda individual de cada sistema habr\u00eda dificultado la vinculaci\u00f3n de los distintos sucesos. Es m\u00e1s, el alcance del procesamiento XDR generalmente se extiende m\u00e1s all\u00e1 de los puntos finales<\/em><\/strong> (sistemas y servidores) para incluir, por ejemplo, registros de eventos, correos electr\u00f3nicos, alertas de red, alertas en la nube, Active Directory, etc. <\/p>\n\n\n\n Los TTP (T\u00e1cticas, T\u00e9cnicas y Procedimientos<\/em>) de MITRE ATT&CK son un marco que categoriza y documenta los m\u00e9todos de ataque utilizados por los atacantes.<\/p>\n<\/blockquote>\n\n\n\n Los XDR disponen, por supuesto, de numerosas funciones avanzadas de vigilancia y seguridad. Pero la idea central es apoyar el tratamiento de numerosas alertas y eventos, y automatizar determinadas acciones de auditor\u00eda, vigilancia y protecci\u00f3n. <\/p>\n\n\n\n Wazuh es un XDR basado en varios roles que pueden estar distribuidos en varios sistemas (multi-nodos<\/em>) o todos agrupados en un \u00fanico sistema (mono-nodo<\/em>). Por supuesto, estas dos opciones de arquitectura dependen de la carga, los recursos disponibles y el n\u00famero de agentes y eventos a monitorizar. En general, un despliegue de producci\u00f3n en una empresa se realizar\u00e1 en un <\/strong>sistema multinodo<\/em><\/strong>. <\/strong>mientras que el despliegue en un laboratorio o para probar la soluci\u00f3n se realizar\u00e1 en un<\/strong> \u00fanico nodo<\/em><\/strong>.<\/p>\n\n\n\n Veamos ahora los principales componentes de una instalaci\u00f3n Wazuh: <\/p>\n\n\n\n He aqu\u00ed un esquema simplificado de los distintos componentes:<\/p>\n\n\n\n En esta vista, he representado cada componente en un servidor dedicado para que las cosas queden m\u00e1s claras. Esta arquitectura corresponde a un despliegue multinodo<\/em><\/strong>. Esto facilita la gesti\u00f3n de grandes cargas, especialmente a trav\u00e9s del escalado (scaling<\/em>). Podr\u00edamos, por ejemplo, montar dos Wazuh Servers (gestores) si tenemos un gran n\u00famero de agentes. En este art\u00edculo, vamos a desplegar estos tres componentes en el mismo host<\/strong> (single-node<\/em>). <\/p>\n\n\n\n Puedes encontrar una visi\u00f3n m\u00e1s completa en la documentaci\u00f3n oficial de Wazuh: Componentes de Wazuh y flujo de datos<\/a><\/p>\n\n\n\n Estos son los principales puertos que deben ser expuestos por estos diferentes componentes:<\/p>\n\n\n\n El despliegue a trav\u00e9s de Docker requiere la instalaci\u00f3n (automatizada) de unos pocos vol\u00famenes. Estos vol\u00famenes hacen que los datos sean persistentes, lo que siempre es \u00fatil incluso para un laboratorio. <\/p>\n\n\n\n Como recordatorio, ning\u00fan dato persiste en un contenedor Docker una vez que ha sido apagado. Para superar esto, un contenedor puede montar un directorio en el host (como un directorio compartido remoto) y almacenar los datos all\u00ed. Esto se llama un volumen. <\/p>\n<\/blockquote>\n\n\n\n Una vez que hayas desplegado tu infraestructura Wazuh v\u00eda Docker (pr\u00f3ximo cap\u00edtulo), puedes listar estos vol\u00famenes usando el siguiente comando: <\/p>\n\n\n\n Vamos a desplegar Wazuh en modo de nodo \u00fanico<\/em>, es decir, con los tres roles en el mismo sistema. Para ello, vamos a utilizar contenedores Docker, lo que har\u00e1 que el despliegue sea muy r\u00e1pido y sencillo - \u00a1perfecto para pruebas! <\/p>\n\n\n\n Empecemos por comprobar la \u00faltima versi\u00f3n del repositorio wazuh-docker<\/a>:<\/p>\n\n\n\n En mi caso, es la versi\u00f3n 4.11.0<\/strong>, necesitas especificar esta versi\u00f3n en la opci\u00f3n A continuaci\u00f3n, vaya a la carpeta El expediente El expediente En una infraestructura de producci\u00f3n real, necesitar\u00edas por supuesto usar certificados firmados con tu PKI interna, pero esto es en el contexto de un laboratorio\/prueba.<\/p>\n<\/blockquote>\n\n\n\n Antes de desplegar cualquier contenedor Wazuh, necesita generar estos certificados, lo cual puede hacerse usando el siguiente comando: <\/p>\n\n\n\n Este comando crea diferentes certificados en la siguiente carpeta:<\/p>\n\n\n\n Now that our SSL\/TLS certificates are ready, we can create and start our 3 Wazuh containers using the main configuration file : <\/p>\n\n\n\n En los registros que aparecen en su terminal (si no ha utilizado la funci\u00f3n Si en estos registros ves trazas de pila de Java que mencionan SSL\/TLS y registros que aparecen en bucle, probablemente haya un problema con los certificados. Compruebe que ha tomado la \u00faltima versi\u00f3n del repositorio<\/em> Unos segundos despu\u00e9s de ejecutar este comando, puede introducir (en otro terminal) el siguiente comando para comprobar el estado de los contenedores iniciados: <\/p>\n\n\n\n Estas son las vistas y estados esperados:<\/p>\n\n\n\n En particular, muestra los puertos de red expuestos por cada contenedor. Ahora puede ir a la siguiente URL a trav\u00e9s de un navegador: https:\/\/localhost<\/a> <\/p>\n\n\n\n Una vez que haya accedido a utilizar una conexi\u00f3n no segura (certificado autofirmado), se le presentar\u00e1 la p\u00e1gina de inicio de sesi\u00f3n Wazuh XDR. Aqu\u00ed est\u00e1n los inicios de sesi\u00f3n a utilizar: \u00a1Y ahora nuestro Wazuh est\u00e1 instalado! Ahora puede navegar por la interfaz de gesti\u00f3n y configuraci\u00f3n. <\/p>\n\n\n\n Pasemos ahora a desplegar un agente Wazuh en un sistema Windows. Esto nos dar\u00e1 nuestro primer feedback y datos en el dashboard. <\/p>\n\n\n\n En el panel de control, vaya a En esta nueva p\u00e1gina, tendr\u00e1 que seleccionar Opcionalmente, tambi\u00e9n puede introducir el nombre que desea dar al agente cuando aparezca en la interfaz. Por defecto, los agentes toman el nombre del host en el que se est\u00e1n ejecutando. <\/p>\n\n\n\n Esta configuraci\u00f3n se utiliza para rellenar una l\u00ednea de comandos PowerShell, que encontrar\u00e1 al final de la p\u00e1gina:<\/p>\n\n\n\n Simplemente copie y pegue esta l\u00ednea de comandos PowerShell en un terminal iniciado como administrador<\/strong>. Se : <\/p>\n\n\n\n Si su sistema no tiene acceso directo a Internet, puede proceder en tres etapas: <\/p>\n\n\n\n Por defecto, el binario de instalaci\u00f3n suministrado por Wazuh es sin signo<\/strong>. Cuando se utiliza a trav\u00e9s de Y, doble atenci\u00f3n, uso de la Para una instalaci\u00f3n poco quisquillosa en este punto (el caso de un laboratorio) y unitaria, vamos a realizar un despliegue a mano. Para ello, tenemos que ejecutar directamente el Una vez hecho esto, debe solicitar una clave de registro al servidor mediante el siguiente comando (que debe ejecutarse a trav\u00e9s de un terminal PowerShell): <\/p>\n\n\n\n Este comando permite que el agente Wazuh se registre con el servidor Wazuh: <\/p>\n\n\n\n Se env\u00eda una solicitud de autenticaci\u00f3n (aqu\u00ed no se pide contrase\u00f1a, estamos en un laboratorio). A continuaci\u00f3n, el servidor devuelve una clave, espec\u00edfica para el agente, que se utilizar\u00e1 para autenticar y cifrar los intercambios. Esta clave se encuentra en la carpeta A continuaci\u00f3n, ejecutaremos el programa Por \u00faltimo, inicie el servidor Wazuh con la siguiente l\u00ednea de comandos desde un terminal PowerShell ejecut\u00e1ndose como administrador : <\/p>\n\n\n\n Para un despliegue limpio, automatizado y silencioso, deber\u00e1 firmar previamente el binario con su PKI interna<\/strong>. Otra opci\u00f3n ser\u00eda desactivar el filtro SmartScreen<\/em>, que protege las estaciones de trabajo contra la ejecuci\u00f3n de binarios no reconocidos\/firmados procedentes de Internet, pero no se recomienda en absoluto. <\/p>\n\n\n\n Para comprobar que su agente Wazuh est\u00e1 desplegado y activo, aqu\u00ed hay algunos comandos de depuraci\u00f3n y el resultado esperado (recuerde adaptar el PID): <\/p>\n\n\n\n Si tienes curiosidad, encontrar\u00e1s los archivos de configuraci\u00f3n del agente Wazuh en la carpeta Nuestro agente Wazuh est\u00e1 ahora desplegado en Windows, as\u00ed que pasemos al despliegue en un sistema Linux antes de ver su actividad en la consola Wazuh.<\/p>\n\n\n\n
La idea de este art\u00edculo no es describir la instalaci\u00f3n completa de Wazuh en un entorno empresarial, teniendo en cuenta las buenas pr\u00e1cticas de despliegue y seguridad (certificados, contrase\u00f1as, redundancia, carga). En cambio, seguir este procedimiento te vendr\u00e1 perfectamente si quieres desplegarlo en un laboratorio de ciberseguridad, descubrir la soluci\u00f3n r\u00e1pidamente o incluso formarte en soluciones XDR.<\/strong> <\/p>\n\n\n\nII. Antivirus, EDR, XDR: \u00bfcu\u00e1les son las diferencias? <\/h2>\n\n\n\n
\n
III. Desplegar Wazuh en modo \u00fanico a trav\u00e9s de Docker <\/h2>\n\n\n\n
A. Los principales componentes de Wazuh<\/h3>\n\n\n\n
\n
![\"Diagrama](\"https:\/\/www.it-connect.tech\/wp-content\/uploads\/2025\/04\/xdr-deploiement-rapide-wazuh-composants.png\")
![\"Tabla](\"https:\/\/www.it-connect.tech\/wp-content\/uploads\/2025\/04\/xdr-deploiement-rapide-wazuh-ports.png\")
\n
$ docker volume ls \n\nDRIVER VOLUME NAME\nlocal single-node_filebeat_etc\nlocal single-node_filebeat_var\nlocal single-node_wazuh-dashboard-config\nlocal single-node_wazuh-dashboard-custom\nlocal single-node_wazuh-indexer-data\nlocal single-node_wazuh_active_response\nlocal single-node_wazuh_agentless\nlocal single-node_wazuh_api_configuration\nlocal single-node_wazuh_etc\nlocal single-node_wazuh_integrations\nlocal single-node_wazuh_logs\nlocal single-node_wazuh_queue\nlocal single-node_wazuh_var_multigroups\nlocal single-node_wazuh_wodles<\/code><\/pre>\n\n\n\nB. Despliegue de Wazuh<\/h3>\n\n\n\n
![\"Identificaci\u00f3n](\"https:\/\/www.it-connect.tech\/wp-content\/uploads\/2025\/04\/xdr-deploiement-rapide-wazuh-docker-github.png\")
<\/a>-b<\/code>(--branch<\/code>) en git<\/code> (recuerda actualizar la versi\u00f3n en el siguiente comando) : <\/p>\n\n\n\ngit clone https:\/\/github.com\/wazuh\/wazuh-docker.git -b v4.11.0<\/mark><\/strong><\/code><\/pre>\n\n\n\nwazuh-docker\/single-node\/<\/code>, donde encontrar\u00e1 una serie de carpetas y archivos: <\/p>\n\n\n\n![\"Contenido](\"https:\/\/www.it-connect.tech\/wp-content\/uploads\/2025\/04\/xdr-deploiement-rapide-wazuh-git-clone-800x408.png\")
docker-compose.yml<\/code> es el archivo utilizado para desplegar los distintos componentes de Wazuh (indexador, gestor, panel de control), cada uno en un contenedor dedicado. Es en este archivo donde se almacenan los elementos de configuraci\u00f3n relativos a la exposici\u00f3n de puertos, las relaciones entre contenedores, los vol\u00famenes para almacenar archivos persistentes en el sistema anfitri\u00f3n, etc. Te invito a echarles un vistazo si tienes curiosidad. <\/p>\n\n\n\ngenerate-indexer-certs.yml<\/code> contiene las directivas para desplegar un peque\u00f1o contenedor basado en la imagen Docker wazuh\/wazuh-cert-tool<\/a>. Su funci\u00f3n es generar autom\u00e1ticamente los certificados SSL\/TLS<\/strong> necesarios para el buen funcionamiento y la confidencialidad de los intercambios entre los distintos componentes de Wazuh. <\/p>\n\n\n\n\n
docker compose -f generate-indexer-certs.yml<\/mark><\/strong> up<\/code><\/pre>\n\n\n\n$ sudo ls \/opt\/wazuh-docker\/single-node\/config\/wazuh_indexer_ssl_certs\/<\/mark><\/strong> -al\ntotal 56\ndr-x------ 2 root root 4096 11 mars 22:06 .\ndrwxrwxr-x 6 mickael mickael 4096 11 mars 22:06 ..\n-r-------- 1 mickael mickael 1708 11 mars 22:06 admin-key.pem\n-r-------- 1 mickael mickael 1119 11 mars 22:06 admin.pem\n-r-------- 1 mickael mickael 1704 11 mars 22:06 root-ca.key\n-r-------- 1 dnsmasq systemd-journal 1704 11 mars 22:06 root-ca-manager.key\n-r-------- 1 dnsmasq systemd-journal 1204 11 mars 22:06 root-ca-manager.pem\n-r-------- 1 mickael mickael 1204 11 mars 22:06 root-ca.pem\n-r-------- 1 mickael mickael 1704 11 mars 22:06 wazuh.dashboard-key.pem\n-r-------- 1 mickael mickael 1261 11 mars 22:06 wazuh.dashboard.pem\n-r-------- 1 mickael mickael 1704 11 mars 22:06 wazuh.indexer-key.pem\n-r-------- 1 mickael mickael 1257 11 mars 22:06 wazuh.indexer.pem\n-r-------- 1 dnsmasq systemd-journal 1704 11 mars 22:06 wazuh.manager-key.pem\n-r-------- 1 dnsmasq systemd-journal 1257 11 mars 22:06 wazuh.manager.pem<\/code><\/pre>\n\n\n\ndocker compose -f docker-compose.yml<\/mark><\/strong> up<\/code><\/pre>\n\n\n\n-d<\/code>), puede ver la actividad de tres contenedores diferentes, por ejemplo :<\/p>\n\n\n\n# <\/mark>Extracto de los registros de inicio del contenedor (terminal)\nwazuh.dashboard-1<\/mark><\/strong> | {\"type\":\"log\",\"@timestamp\":\"2025-03-11T21:15:29Z\",\"tags\":[\"info\",\"plugins\",\"wazuh\",\"monitoring\"],\"pid\":54,\"message\":\"Updated the wazuh-agent template\"} \nwazuh.indexer-1 <\/mark><\/strong> | [2025-03-11T21:15:29,238][INFO ][o.o.c.m.MetadataUpdateSettingsService] [wazuh.indexer] updating number_of_replicas to [0] for indices [wazuh-monitoring-2025.11w] \nwazuh.dashboard-1 | {\"type\":\"log\",\"@timestamp\":\"2025-03-11T21:15:29Z\",\"tags\" [\"info\",\"plugins\",\"wazuh\",\"monitoring\"],\"pid\":54,\"message\":\"Settings added to wazuh-monitoring-2025.11\nw index\"} \nwazuh.manager-1<\/mark><\/strong> | 2025-03-11T21:15:34.047Z INFO log\/harvester.go:302 Harvester started for file: \/var\/ossec\/logs\/alerts\/alerts.json \n[...]<\/code><\/pre>\n\n\n\nwazuh-docker<\/code> que no tiene a mano (opci\u00f3n -b<\/code>). <\/strong><\/p>\n\n\n\ndocker ps -a<\/code><\/pre>\n\n\n\n![\"Contenedores](\"https:\/\/www.it-connect.tech\/wp-content\/uploads\/2025\/04\/xdr-deploiement-rapide-wazuh-docker-ps-ports-800x155.png\")
<\/a>admin:SecretPassword<\/code><\/p>\n\n\n\n![\"P\u00e1gina](\"https:\/\/www.it-connect.tech\/wp-content\/uploads\/2025\/04\/xdr-deploiement-rapide-wazuh-interface-web-800x383.png\")
<\/a>IV. A\u00f1adir agentes Wazuh Windows y Linux <\/h2>\n\n\n\n
A. Desplegando el agente Wazuh en Windows<\/h3>\n\n\n\n
Agents Management > Summary<\/code> y acceder\u00e1 a una p\u00e1gina que contiene un bot\u00f3n Deploy new agent<\/code>:<\/p>\n\n\n\n![\"P\u00e1gina](\"https:\/\/www.it-connect.tech\/wp-content\/uploads\/2025\/04\/xdr-deploiement-rapide-wazuh-download-agent-800x400.png\")
<\/a>MSI 32\/64 bits<\/code> en el cuadro de Windows e introduzca la direcci\u00f3n IP del servidor Wazuh : <\/p>\n\n\n\n![\"Configuraci\u00f3n](\"https:\/\/www.it-connect.tech\/wp-content\/uploads\/2025\/04\/xdr-deploiement-rapide-wazuh-download-agent-windows.png\")
<\/a>![\"L\u00ednea](\"https:\/\/www.it-connect.tech\/wp-content\/uploads\/2025\/04\/xdr-deploiement-rapide-wazuh-download-agent-windows-powershell.png\")
\n
\n
.msi<\/code> en un archivo ;<\/li>\n\n\n\nmsiexec.exe<\/code>, esto resulta en un \" No se puede abrir este paquete de instalaci\u00f3n. Compruebe que existe y que est\u00e1 autorizado a acceder a \u00e9l, o compruebe con su distribuidor de aplicaciones que este paquete de Windows Installer es v\u00e1lido\". <\/strong> : <\/p>\n\n\n\n![\"Error](\"https:\/\/www.it-connect.tech\/wp-content\/uploads\/2025\/04\/xdr-deploiement-rapide-wazuh-download-agent-windows-msiexec-erreur.png\")
<\/a>\/q<\/code> (\/quiet<\/code>) y msiexec.exe<\/code> \u00a1en la l\u00ednea de comandos por defecto enmascara este mensaje de error! <\/p>\n\n\n\n.msi<\/code> haciendo doble clic sobre \u00e9l (como administrador). A continuaci\u00f3n, pulsamos sobre Ex\u00e9cuter<\/code> en la ventana de aviso de seguridad (tambi\u00e9n debido a que el binario no est\u00e1 firmado). El resto de la instalaci\u00f3n es bastante sencillo. <\/p>\n\n\n\n&\"C:\\Program Files (x86)\\ossec-agent\\agent-auth.exe\" -m <IP Wazuh Server><\/code><\/pre>\n\n\n\n![\"Solicitar](\"https:\/\/www.it-connect.tech\/wp-content\/uploads\/2025\/04\/xdr-deploiement-rapide-wazuh-download-agent-windows-cle-800x202.png\")
C:\\Program Files (x86)\\ossec-agent\\client.keys<\/code>.<\/p>\n\n\n\nwin32ui<\/code>, que se encuentra en la carpeta C:\\Program Files (x86)\\ossec-agent<\/code>. En la ventana que se abre, ya se ha introducido la clave de autenticaci\u00f3n. Ahora tenemos que introducir la direcci\u00f3n IP del servidor Wazuh y haga clic en Save<\/code> :<\/p>\n\n\n\n![\"Introduzca](\"https:\/\/www.it-connect.tech\/wp-content\/uploads\/2025\/04\/xdr-deploiement-rapide-wazuh-download-agent-windows-IP_Manager.png\")
<\/a>PS Z:> NET START WazuhSvc<\/mark><\/strong>\nLe service Wazuh a d\u00e9marr\u00e9.<\/code><\/pre>\n\n\n\n# <\/mark>Compruebe el estado del servicio Wazuh\nPS Z:> get-service -Name WazuhSvc<\/mark><\/strong>\n\nStatus Name DisplayName\n------ ---- -----------\nRunning WazuhSvc Wazuh\n\n# <\/mark>Comprueba que el proceso wazuh-agent.exe se est\u00e1 ejecutando (PID: pen\u00faltima columna)\nPS Z:> ps |findstr \"wazuh\"<\/mark><\/strong>\n 514 24 23804 38028 9,00 4300 0 wazuh-agent\n\n# V\u00e9rifier qu\u2019une communication est \u00e9tablie sur le port 1514 entre l\u2019agent (PID) et le serveur Wazuh<\/mark>\nPS Z:> netstat -ano |findstr \"4300\"<\/mark><\/strong>\n TCP 192.168.56.102:61438 192.168.56.105:1514 ESTABLISHED 4300<\/code><\/pre>\n\n\n\nC:\\Program Files (x86)\\ossec-agent<\/code>. El expediente ossec.conf<\/code> contiene toda la informaci\u00f3n relativa al Servidor Wazuh, \u00fatil en caso de cambio de IP.<\/p>\n\n\n\nB. Desplegando el agente Wazuh en Linux<\/h3>\n\n\n\n
![\"Preparando](\"https:\/\/www.it-connect.tech\/wp-content\/uploads\/2025\/04\/xdr-deploiement-rapide-wazuh-download-agent-debian-1.png\")
<\/a>![\"Descarga](\"https:\/\/www.it-connect.tech\/wp-content\/uploads\/2025\/04\/xdr-deploiement-rapide-wazuh-download-agent-linux-800x348.png\")