Mismo sueño, nuevo proyecto. SOC II

Foto de Vertex Designs en Unsplash

Como introducción a desplegar este proyecto “nuevo”.

Recalco lo de nuevo, por que mi intención es terminar de instalar y configurar el SOC al completo.

El proyecto anterior ha sido un avance y aunque no descarto retomarlo. He optado por este proyecto ya que Wazuh lo instala con los repositorios oficiales y no mediante docker.

Ya vimos en anteriores guías que para producción es recomendable esta opción.

Vengo, como imagino que gran parte de vosotros, de la instalación de aplicaciones, ISOs, herramientas en redes, servidores web y de otras índoles

He “tirado” de tutoriales en YouTube, guías de diferentes padres y madres, amen de lo que se aprende en los cursos.

No se si os pasa a vosotros.

Siempre hay un ultimo paso que no funciona. Un comando obsoleto o fuera de contexto, una coma, un espacio de mas, una versión que no es, un salto inoportuno de pantalla y un largo etc.

Mis guías y no quiero engañar a nadie, tienen veracidad hasta cierto punto. Los pasos que yo he dado hasta llegar a las soluciones, son mis pasos.

El resto es imaginación. Imaginación bien entendida.

Un profesor que tuve en el ultimo modulo que dimos para la seguridad de redes nos mostró este SOC.

Probamos parte de sus herramientas. Nos invito a descargar el código fuente y los scripts ya creados.

Pero para mi el trabajo “masticado” no era suficiente.

Supe por él, que existía Lovable y lo que podía hacer con esta IA. El resto es esta historia.

Por eso quiero recalcar que los pasos técnicos son fiables. Los pasos hasta llegar hasta ahí son cuestionables.

Y digo cuestionables por que cada uno puede llegar a la misma solución por diferentes caminos

No he utilizado tutoriales de ningún tipo. Cuando las diferentes IAs se han puesto “tercas” he “tirado” de documentación oficial.

La IA a la hora de realizar el trabajo te pone en dos situaciones:

Que te de la respuesta correcta y solucione el paso a seguir.

Que entre en bucle porque o no entienda la pregunta o se vaya por los “cerros de Úbeda”. porque esta en otra version o en otras historias.

Ya vimos ejemplos de preguntas a las IAs.

Hemos visto o por lo menos intuido como automatizar Wazuh desde un lanzador.

Con dos comandos muy sencillos. Uno para darle permisos al archivo instalador y lanzar ese archivo .sh para lograr instalar Wazuh con docker.

En ese primer proyecto seguramente “pequé” de Gemini. Tanto de Gemini VSCode como de Gemini Web.

En este nuevo proyecto voy a darle mas peso a Lovable.

Tiene menos recorrido a la hora de preguntar por los créditos diarios que te ofrece, pero una pregunta concisa y acertada me ha ahorrado horas de trabajo.

Como para mi e imagino que para vosotros es un terreno desconocido; estas guías no son “sota, caballo y rey”.

Es decir son mis pruebas de como podríamos automatizar una aplicación con IA.

En este caso es un SOC.

Pero la imaginación la podemos desplegar para lo que mas nos interese.

Como os dije, a continuación de crear el proyecto silicon-soul-suite y con el mismo enunciado Lovable me ha creado una segunda aplicación o proyecto.

Silicon-Soul-Companion.

Ya vimos como pasarlo desde Lovable a Git Hub

Se lo pasamos a VSCode como ya vimos desde Git Hub.

Vamos a ver que que tenemos entre manos y como utilizarlo.

He ejecutado:

npm install
npm run dev

El servidor Vite arranca y ya podríamos ir a la web para ver el proyecto.

Este es mi escenario. Si estáis siguiendo estas guías e intentando igual que yo crear ese SOC, a vosotros igual no os da lo mismo que a mi.

Voy a abrir el configurador.

Vemos las herramientas que podemos instalar.

Ahora, como en el anterior proyecto, le pedí a Lovable que quería instalar esas herramientas en dos servidores.

De esa manera balanceamos la carga de los servidores.

En el primer servidor nos dice, si vamos a Guía. Arriba a la derecha.

Nos da el despliegue.

Vemos las herramientas que van a ir alojadas en cada servidor.

Nos da las recomendaciones para ver que tenemos que hacer antes de empezar.

El orden correcto de instalación para las herramientas.

Como debemos proceder con los scripts.

Pregunto a Gemini por el proceso de instalación en el primer servidor. Mas que nada por asegurar lo que ya intuía.

Gemini

Proceso de Instalación para el Servidor 1 (SIEM / EDR)

Preparación del Servidor:

Asegúrate de tener una instalación limpia de Ubuntu 22.04 o 24.04 LTS.

Configura una IP estática para el servidor.

Ten acceso SSH como un usuario con permisos sudo o directamente como root.

Paso 1: Cortafuegos (install-firewall.sh)

En el configurador web, ve a la pestaña "Cortafuegos".

Ajusta los parámetros (por ejemplo, tu SSH_PORT y  ENABLE_FAIL2BAN).

Fail2Ban es una herramienta de seguridad esencial para Ubuntu que protege el servidor contra ataques de fuerza bruta y accesos no autorizados. Monitoriza los registros (logs) del sistema y bloquea automáticamente las direcciones IP que muestran comportamientos sospechosos, como múltiples intentos fallidos de inicio de sesión, actualizando las reglas del firewall (iptables) para prohibir el acceso temporalmente.

¡Muy importante! Marca las casillas para abrir los puertos de las herramientas que vas a instalar en este servidor (Wazuh, Velociraptor, Honeypots).

Haz clic en "Generar Script (.sh)" y descarga install-firewall.sh.

Nos descargara el script donde le digamos.

Sube este script a tu servidor Ubuntu. Ya sabemos como hacerlo. Lo veremos en la siguiente guía.

Ejecútalo:

chmod +x install-firewall.sh
sudo ./install-firewall.sh

Verifica que el firewall esté activo y los puertos correctos abiertos (sudo ufw status verbose).

Os dejo lo que deberíamos instalar a continuación en el primer servidor:

Paso 2: Wazuh SIEM (install-wazuh.sh)

En el configurador web, ve a la pestaña "Wazuh SIEM".

Introduce la IP estática de tu servidor en serverIp.

Establece una contraseña fuerte para indexerPassword.

Haz clic en "Generar Script (.sh)" y descarga install-wazuh.sh.

Sube este script a tu servidor Ubuntu.

Ejecútalo:

chmod +x install-wazuh.sh
sudo ./install-wazuh.sh

Este script tardará un poco más, ya que instala varios paquetes APT y configura el Indexer, Manager y Dashboard.

Paso 3: Velociraptor (install-velociraptor.sh)

En el configurador web, ve a la pestaña "Velociraptor".

Introduce la IP estática de tu servidor en serverIp.

Configura el ADMIN_USER y ADMIN_PASSWORD.

Haz clic en "Generar Script (.sh)" y descarga install-velociraptor.sh.

Sube este script a tu servidor Ubuntu.

Ejecútalo:

chmod +x install-velociraptor.sh
sudo ./install-velociraptor.sh

Paso 4: GRR Rapid Response (install-grr.sh)

En el configurador web, ve a la pestaña "GRR Rapid Response".

Introduce la IP estática de tu servidor en serverIp.

Configura el ADMIN_USER, ADMIN_PASSWORD y MYSQL_PASSWORD.

Haz clic en "Generar Script (.sh)" y descarga install-grr.sh.

Sube este script a tu servidor Ubuntu.

Ejecútalo:

chmod +x install-grr.sh
sudo ./install-grr.sh

Paso 5: Honeypots (install-honeypots.sh)

En el configurador web, ve a la pestaña "Honeypots".

Introduce la IP estática de tu servidor en serverIp.

¡Importante! Asegúrate de marcar FORWARD_TO_WAZUH para que los logs de los honeypots se envíen automáticamente a Wazuh.

Haz clic en "Generar Script (.sh)" y descarga install-honeypots.sh.

Sube este script a tu servidor Ubuntu.

Ejecútalo:

chmod +x install-honeypots.sh
sudo ./install-honeypots.sh

Consideraciones importantes:

Paciencia: Cada script puede tardar unos minutos en ejecutarse, especialmente los que instalan Docker o descargan muchas dependencias.

Mensajes de [OK]: Los scripts están diseñados para mostrar [OK] en cada paso exitoso. Si ves un [X] o un [!], presta atención al mensaje de error.

--dry-run y --uninstall: Recuerda que cada script tiene estas opciones. Si quieres probar qué haría un script sin ejecutarlo realmente, usa

sudo ./install-script.sh –dry-run.

Si necesitas desinstalar una herramienta,

sudo ./install-script.sh --uninstall.

¡Con este enfoque paso a paso, tendrás el Servidor 1 listo y documentado sin problemas! Me parece una estrategia excelente para ir validando cada componente.

¿Estás listo para empezar con el install-firewall.sh?

Fin de Gemini.
Y esto seria el principio de este recorrido.

En la siguiente guía veremos como instalar nuestro primer servidor Ubuntu 24.04.4.

Un servidor idéntico al que ya vimos.

Y veremos como lanzar el cortafuegos.

Barakaldo 13 de mayo de 2026.
 

.