¡Ya está aquí Wazuh 4.12.0 y viene con grandes novedades! La esperada versión 4.12.0 de Wazuh ya fue lanzada y trae mejoras importantes que vale la pena conocer, especialmente si gestionas la seguridad de sistemas o trabajas con arquitecturas variadas.
Para empezar, esta nueva versión ahora es compatible con arquitecturas ARM en sus componentes centrales. Esto amplía muchísimo las posibilidades de uso, sobre todo en entornos que no dependen exclusivamente de hardware x86. Excelente noticia para quienes buscan más flexibilidad en sus infraestructuras.
Además, Wazuh ha potenciado su capacidad de inteligencia de amenazas. Ahora incluye la referencia CTI dentro de los datos CVE, lo que proporciona un contexto mucho más completo a la hora de evaluar vulnerabilidades. Ya no se trata solo de saber que existe un problema, sino de entender la gravedad y cómo abordarlo mejor.
Otra mejora clave es la incorporación de eBPF al módulo de Monitoreo de Integridad de Archivos (FIM). Gracias a esto, el monitoreo en endpoints Linux se vuelve más eficiente y consume menos recursos, algo que siempre se agradece cuando se trabaja con múltiples dispositivos o recursos limitados.
Puntos destacados: Contexto de vulnerabilidad mejorado
Una de las grandes novedades de Wazuh 4.12.0 es que ahora incluye referencias de Inteligencia de Amenazas Cibernéticas (CTI) directamente en los resultados de detección de vulnerabilidades dentro del panel de Wazuh. Básicamente, cada vez que se detecta una vulnerabilidad, verás un enlace generado automáticamente (basado en el ID del CVE) que te lleva directo al Explorador de Vulnerabilidades de Wazuh.
¿Y qué significa esto para ti? Que ahora no solo sabrás que hay un problema, sino que también tendrás acceso a información detallada y contexto sobre amenazas externas. Todo listo para que puedas evaluar cada vulnerabilidad de forma más rápida y con mejor información a mano.
Además, el sistema CTI de Wazuh no se queda corto: recopila datos de vulnerabilidades de muchas fuentes (proveedores de sistemas operativos, bases de datos especializadas, etc.) y las junta en un único repositorio confiable. Así te evitas andar buscando en diferentes lugares y puedes tomar decisiones más informadas desde un solo panel.
Conoce más sobre: ¿Qué es Wazuh?: Open Source XDR Open Source SIEM
Monitoreo de integridad de archivos ahora más rápido y eficiente con eBPF
Una de las mejoras más interesantes de Wazuh 4.12.0 es que su módulo de Monitoreo de Integridad de Archivos (FIM) ahora soporta eBPF (Extended Berkeley Packet Filter). ¿Qué significa esto? Que ahora puede detectar en tiempo real cualquier cambio en archivos y carpetas de los endpoints Linux que estás monitoreando.
La gran ventaja de usar eBPF es que trabaja directamente en el núcleo (kernel) del sistema. Esto permite recoger eventos mucho más rápido y sin necesidad de usar herramientas externas como auditd. Además, ahora el sistema puede decirte exactamente qué usuario y qué proceso hicieron cada modificación. Súper útil para saber quién hizo qué y cuándo.
Y si tu sistema no soporta eBPF, no te preocupes. Wazuh cambia automáticamente a usar auditd o inotify, así que el monitoreo no se detiene y sigue funcionando sin problemas en la mayoría de entornos Linux.
Si quieres, también puedes decidir manualmente qué fuente de datos usar para identificar quién hizo los cambios. Solo tienes que configurar el campo <provider> dentro del bloque <whodata> en la configuración de FIM. Si no eliges ninguno, Wazuh usará auditd por defecto. Si necesitas más detalles sobre cómo funciona el modo eBPF, puedes echar un vistazo a la documentación oficial.
Compatibilidad ampliada con ARM: más flexibilidad para todos
Una buena noticia para quienes trabajan con diferentes tipos de hardware: Wazuh ahora es compatible con la arquitectura ARM en sus componentes principales (administrador, indexador y panel de control). Esto significa que ahora puedes instalar Wazuh en una gama mucho más amplia de dispositivos y plataformas. Ideal si estás usando entornos variados o si buscas más flexibilidad en tu infraestructura.
Nueva política SCA para Linux
También hay novedades en cuanto a la Evaluación de Configuración de Seguridad (SCA). Wazuh ha lanzado una nueva política SCA específica para endpoints Linux, que reemplaza la política SCA antigua que se usaba para UNIX. Esta nueva política sigue las últimas recomendaciones de referencia de CIS y amplía la cobertura para evaluar configuraciones en más distribuciones de Linux. En resumen: mejor cobertura y mejor soporte de cumplimiento para tus sistemas Linux. Puedes revisar todas las políticas SCA disponibles en la documentación oficial si quieres más detalles.
Conclusión
Wazuh sigue apostando por mejorar su plataforma con funciones de seguridad cada vez más completas, ayudando a proteger las infraestructuras de TI contra las amenazas que siguen evolucionando día a día.
Si quieres conocer todas las novedades, mejoras y correcciones que trae la versión 4.12.0, puedes consultar las notas de la versión y el registro de cambios para ver las actualizaciones específicas.
Y si te gustaría saber más sobre cómo Wazuh puede ayudarte a fortalecer la seguridad de tu infraestructura, o necesitas asesoría para implementarlo en tu entorno, no dudes en contactarnos.
