Ubuntu, Wazuh, Docker. Primer asalto al SOC

Foto de MJH SHIKDER en Unsplash

Nadie dijo que fuera a ser fácil.

He hecho las pruebas antes de documentar y he corregido errores.

Las preguntas estándar ya las tenéis en las guías anteriores.

Como ya os comente, dependiendo de las preguntas que hagáis a Gemini, a Copilot o a Lovable tendréis respuestas validas o no.

También jugaremos con los logs. Como ver esos logs os lo ira pidiendo las IAs

Los logs nos darán información precisa de los errores que nos vayan surgiendo en el despliegue del script.

Vamos a instalar el servidor Ubuntu 24.04.4

Yo lo voy a hacer en VMware

Esta es la configuración que le voy a dar.

Marcar esta casilla.

Cuando lleguemos al apartado de red, configuramos una dirección IP estática. En este caso, para mí,

sera la 192.168.1.100

Subimos hasta nuestra tarjeta de red. Editamos.

Como vemos al elegir Editar IPv4 se nos desplegara un menú y vamos a Manual.

Esta va a ser mi configuración de red.

Guardar

Hecho

Dejamos que cargue los archivos.

Usamos un disco entero.

Aceptamos los cambios del disco.

Le damos nombre al usuario, al servidor y creamos la contraseña.

Marcamos la casilla de ssh. Esto nos permitirá poder conectarnos desde Putty para configurar nuestro servidor.

Aquí no marcamos nada.

Carga la configuración y nos pedirá reiniciar

Nos dará un fallo por que no se desmontado el CD de instalación.

Enter.

El servidor se reiniciara.

Nos pedirá Login y contraseña.

Tendremos nuestro servidor casi operativo.

Lo primero que vamos a hacer es actualizar el sistema.

Para poder copiar y pegar los comandos nos conectamos al servidor con Putty o cualquier otra herramienta que consideréis.

Primeros pasos de "Manual de Supervivencia"
Antes de meterle Wazuh o cualquier otra fiera, hay que preparar el terreno. Aquí tienes los comandos de cortesía que todo Ubuntu agradece al nacer:

sudo apt update && sudo apt full-upgrade -y
sudo apt dist-upgrade -y
sudo apt autoremove -y && sudo apt autoclean

Comprueba si hace falta reiniciar

[ -f /var/run/reboot-required ] && echo "Reinicio necesario" || echo "OK"
sudo reboot

Una vez que hemos reiniciado es muy aconsejable ejecutar:

Zona horaria y locale

sudo timedatectl set-timezone Europe/Madrid
sudo dpkg-reconfigure locales

Herramientas básicas que los scripts dan por hecho

sudo apt install -y curl wget gnupg ca-certificates apt-transport-https \
lsb-release software-properties-common net-tools \
htop vim git ufw

Hostname identificable (te ayuda con Wazuh)

sudo hostnamectl set-hostname soc-server-1

Sincronización horaria (CRÍTICO para Wazuh/TheHive/MISP)

sudo timedatectl set-ntp true
timedatectl status

Wazuh soporta oficialmente Ubuntu 24.04 desde 4.9.2.

Wazuh lsb_release -a # confirma 24.04
free -h # RAM disponible
df -h / # disco libre
nproc # cores

Una vez que tenemos Ubuntu limpio de polvo y paja y actualizado,voy a descargar del SOC web el archivo para lanzar Wazuh.

docker-compose.yml no hace falta descargarlo.

Solo deploy.sh

Me he asegurado de que he ejecutado en la consola de VSCode.

npm run dev

Por si acaso, no tengo ningún commit pendiente.

Voy a la web del SOC.

Descargo el archivo deploy.sh.

Me los lleva directamente a Descargas.

Luego cada uno que aloje los archivos donde mas le convenga.

Vemos que el archivos me lo da con el nombre:

deploy_server2.sh

Le cambiamos el nombres a

deploy.sh

Nos pide la IP del servidor.

El nombre de usuario que pusimos en la instalación de Ubuntu. La contraseña.

Una vez que tengamos nuestras credenciales puestas. Conectar.

Vemos a la derecha nuestros archivos en Windows y a nuestra izquierda la carpeta home de nuestro Ubuntu.

Arrastramos solo el archivo deploy.sh de Windows a Ubuntu.

Con esto ya lo tenemos listo.

Si vamos al servidor y ejecutamos:

ls -l

Vemos el archivo deploy.sh en Ubuntu.

Cruzamos los dedos.

Le damos los permisos al archivo deploy.sh

sudo  chmod +x deploy.sh

Y lo  ejecutamos:

sudo ./deploy.sh

La primera vez que ejecutemos el script nos pedirá la IP del servidor remoto. Esta sera la IP del servidor que alojara el Stack.

Podemos ponerle como nos dijo Gemini la IP 127.0.0.1 o dejarlo en blanco.

Yo lo voy a dejar en blanco ya que me esta diciendo Enter para localhost.

Y al final me da un error. Un ejemplo de los errores que salieron durante la instalación.

Error que le paso en este caso Gemini y “corrige”

Después de corregir debemos volver a lanzar el deploy.sh

Como se ve es un error en la instalación de los certificados.

Empieza la fiesta!!!!

Para no velver a instalar Ubuntu.

Estos son los comandos para volver a lanzar Wazuh.

Para limpiar el servidor ejecutamos.

cd ~/soc-stack
sudo docker compose down -v  #“Elimina los contenedores docker”
cd ~/
sudo rm -rf soc-stack/   #“Elimina la carpeta soc-stack”
sudo rm -rf deploy.sh   #“Elimina el archivo deploy.sh”
sudo docker system prune -f   #“Elimina cualquier rastro de la instalación”

Este ultimo comando os debe dar como salida 0

Ya hemos guardado los cambios en VSCode de lo que nos ha modificado Gemini.

Apagamos el servidor dev.

Es decir nos vamos a la consola de VSCode. Ejecutamos 

Ctrl +C

Nos para el servidor. Volvemos a arrancarlo.

npm run dev

Volvemos al SOC Web

http://localhost:8080

volvemos a descargar el archivo deploy.sh ya actualizado.

Y volvemos a empezar.

Cambiamos el nombre del archivo a deploy.sh

Pasamos mediante WinSCP el archivo de Windows a Ubuntu y volvemos a lanzar Wazuh.

Ya hemos visto un ejemplo de error.

Hasta que el despliegue finalizo con éxito.

Los docker estaban en funcionamiento con una salud de hierro.

Los vemos ejecutando.

docker ps

No era el ultimo paso como veréis a continuación

No voy, porque seria imposible, a reproducir todos los errores que le pase a las IAs.

pero es curioso que por cuatro letras estemos tan cerca del exito y nos quedemos en el fracaso.

Fui al navegador puse la IP del servidor Https://192.168.1.100

Al final llegue hasta aquí.

La entrada triunfal a Wazuh

Vamos a Avanzado

Usuario: admin

Contraseña la que nos genero el script en mio caso.

Es decir, para mi, WazuhSecurePass123!

Y entramos en la aplicación.

Primero me llevo hasta aquí.

Wazuh-dashboard y Wazuh-manager estaban sin comunicación.

Corrige gemini y vuelvo a lanzar deploy.sh

Luego llegue hasta aquí.

Y lo que debería ver es esto. Pero no me daba el nombre de usuario Y no tenia conexión con la API.

Y como Gemini denominaba al usuario wazuh-wui como user estando mal configurado como ya advertí. El ultimo paso fue modificar este bloque del script. user por username.

Este fue mi ultimo escollo. Vosotros podreis encontrar cualquier otro.

Al volver a actualizar deploy.sh, pasárselo recién salido del horno a Ubuntu y lanzarlo.

Ya podemos ver el panel de control de Wazuh.

Seria imposible pasar todos los errores. Esto solo es un ejemplo de lo que os puede pasar.

La configuración ya seria “harina de otro costal”

Esta seria la primera aventura con el proyecto silicon-soul-suite.

No voy a instalar de momento las demás herramientas en el primer servidor. Me voy a centrar en el segundo proyecto.

Como hemos visto en este proyecto Wazuh esta instalado a través de docker.

El siguiente proyecto que me dio Lovable con el mismo enunciado Wazuh se llama silicon-soul-companion e instalara Wazuh con APT e ira acompañado.

Servidor 1: SIEM / EDR (Tu "Fortaleza" de Detección)

install-firewall.sh (Ejecuta este el primero de todos siempre).

install-wazuh.sh (El corazón del SIEM).

install-velociraptor.sh (Para caza de amenazas forense).

install-grr.sh (Respuesta remota).

install-honeypots.sh (Las trampas para los intrusos).

Ese nuevo proyecto esta todavía en fase de instalación

Y lo veremos en las próximas guías.

Barakaldo 10 de mayo de 2026.