ECSS - Wazuh Lab 3

Explorar o Wazuh

Roteiro objetivo para validar agentes, eventos e alertas basicos no dashboard Wazuh.

Lab anterior

Cenario

Com o Wazuh instalado no Ubuntu Server e os agentes instalados no Windows Server e Windows 11, o aluno deve explorar as principais areas do dashboard.

O objetivo e entender como verificar saude dos agentes, eventos de seguranca, inventario e evidencias para relatorio.

Resumo

Duracao
30 a 45 min
Wazuh
10.50.X.12
Agentes
WS e W11
Evidencias
prints ou anotacoes

Antes de comecar

Substitua X pelo numero do seu aluno. Exemplo: student01 = 10.50.1.12, student02 = 10.50.2.12.
  • O Wazuh deve estar acessivel em https://10.50.X.12.
  • Windows Server e Windows 11 devem aparecer como agentes ativos.
  • Use o Windows 11 para acessar o dashboard pelo navegador.

1. Verificar agentes

  1. Acesse o Wazuh Dashboard.
  2. Abra Agents.
  3. Confirme que Windows Server e Windows 11 estao como Active.
  4. Abra cada agente e observe IP, sistema operacional e ultima conexao.
Evidencia: dois agentes ativos no ambiente do aluno.

2. Gerar evento de login incorreto

No Windows 11, tente autenticar uma vez com senha incorreta ou execute:

runas /user:ECSS\usuario_inexistente cmd

Digite qualquer senha quando solicitado. A tentativa deve gerar evento de falha de autenticacao.

  1. Volte ao Wazuh Dashboard.
  2. Abra a visao de eventos ou security events do agente Windows 11.
  3. Procure eventos recentes de falha de login.

3. Gerar evento de arquivo

No Windows 11, crie uma pasta e um arquivo de teste.

New-Item -ItemType Directory -Path C:\Temp -Force
"Teste Wazuh ECSS" | Out-File C:\Temp\wazuh-teste.txt
Add-Content C:\Temp\wazuh-teste.txt "Alteracao realizada"
Remove-Item C:\Temp\wazuh-teste.txt

Depois, procure no Wazuh por eventos relacionados ao agente Windows 11. Se a regra de integridade de arquivos nao aparecer imediatamente, registre os eventos de sistema e seguranca encontrados.

4. Explorar inventario e vulnerabilidades

  1. Abra o agente Windows Server.
  2. Veja informacoes de sistema operacional, pacotes, processos ou inventario disponivel.
  3. Abra o agente Windows 11 e compare as informacoes.
  4. Procure alertas ou vulnerabilidades listadas pelo dashboard.

5. Responder no relatorio

  1. Quais agentes aparecem ativos?
  2. Qual IP do servidor Wazuh?
  3. Qual evento de seguranca foi gerado no Windows 11?
  4. O que o Wazuh mostra sobre inventario do Windows Server?
  5. Por que um SIEM/XDR ajuda na resposta a incidentes?

Checklist de entrega

  • Print da tela de agentes ativos.
  • Print ou anotacao de um evento de login incorreto.
  • Print ou anotacao de evento/inventario do Windows Server.
  • Respostas curtas das cinco perguntas do relatorio.