seguridad informática microsoft linux sysadmin wazuh

Monitorización de Active Directory y Office365 con Wazuh: reglas personalizadas y eventos críticos

Cómo desplegar Wazuh como SIEM/XDR para cumplir requisitos de ciberseguridad, detectando bloqueos de usuario, fallos de autenticación y eventos clave en Windows y Office365.

Posted by David Guillermo on Thursday, August 28, 2025

Reglas Personalizadas de Wazuh para Seguridad en Active Directory y Office365

A raíz de la entrada Encontrar equipo mediante PowerShell que ha bloqueado a usuario en Active Directory, después de unos meses me encomendaron la tarea de desplegar Wazuh, para cumplir con alguna parte de un Ciberseguro que requería de un SIEM/XDR.

¿Qué es Wazuh?

Wazuh es una plataforma de seguridad open source que combina:

  • HIDS (Host Intrusion Detection System)
  • Monitorización de integridad de archivos
  • Detección de vulnerabilidades
  • Análisis de logs y correlación de eventos
  • Respuesta a incidentes

Whazu

Se integra fácilmente con entornos Windows, Linux, Cloud (Azure, AWS, GCP) y servicios como Office365, permitiendo centralizar alertas y automatizar respuestas.

Reglas Personalizadas en local_rules.xml

Creamos un conjunto de reglas personalizadas para monitorizar la seguridad en Active Directory.
Estas reglas permiten detectar:

  • Intentos de inicio de sesión erróneos
  • Bloqueo de cuentas de usuario
  • Errores en autenticación Kerberos
  • Modificaciones en grupos de seguridad
  • Eventos críticos del sistema (tiempo, firewall, etc.)

Ejemplo de regla para fallos de login:

<rule id="100010" level="5">
  <if_sid>60123</if_sid>
  <field name="eventdata.targetUserName">.+</field>
  <description>Intento de inicio de sesión fallido en Windows — Usuario: $(eventdata.targetUserName)</description>
</rule>

Ejemplo de regla para usuario bloqueado:

<rule id="100020" level="8">
  <if_sid>60123</if_sid>
  <field name="eventdata.targetUserName">.+</field>
  <description>Cuenta de usuario bloqueada — Usuario: $(eventdata.targetUserName)</description>
</rule>

Principales EventID configurados

Los siguientes EventID de Windows fueron añadidos a la monitorización:

  • 4740Cuenta de usuario bloqueada
  • 4767Cuenta de usuario desbloqueada
  • 4771Error en preautenticación Kerberos (fallo en autenticación)
  • 4782Cambio de contraseña en cuenta de usuario
  • 532Fallo de inicio de sesión: cuenta expirada
  • 4616Cambio en la hora del sistema (posible manipulación de logs)
  • 5025El firewall de Windows se ha detenido inesperadamente
  • 4727 / 4735 / 4737Creación o modificación de grupos de seguridad

Con estas reglas conseguimos alertar en tiempo real sobre eventos críticos que afectan a la seguridad en Active Directory.

Integración con Office365

Además de la capa de Windows, configuramos Wazuh para recibir logs de Office365, detectando:

  • Fallos de inicio de sesión en Exchange, SharePoint y Teams
  • Intentos de acceso sospechosos desde ubicaciones inusuales
  • Eventos relacionados con MFA

Esto nos ofrece una visión unificada:
➡️ Windows + Office365 centralizados en un único dashboard de seguridad

Conclusión

Gracias a la potencia de Wazuh y las reglas personalizadas en local_rules.xml logramos:

  • Detectar intentos de autenticación errónea en Active Directory
  • Recibir alertas cuando un usuario queda bloqueado
  • Monitorizar eventos críticos en Windows
  • Extender la monitorización al ecosistema Office365

Todo esto gestionado desde nuestros dashboards en Kibana, con visibilidad completa de la seguridad de la infraestructura.

CATALOG
    FEATURED TAGS
    amazon android apt-get bugs cpanel debian gaming gentoo gnu/linux htc informatica informática juegos-olimpicos kde kernel letsencrypt linux microsoft moviles mysql networking programación rasperrypi satélite seguridad seti ssl sysadmin tasker tecnologia tecnología ubuntu ubunutu varios vpn