AI SECURITY logo AI SECURITY
Background
Wazuh Windows Reglas Software Auditoría SIEM

Detectar Instalaciones y Desinstalaciones de Software en Windows con Wazuh

Crea reglas en Wazuh para detectar cuando se instala o desinstala software en equipos Windows. Event IDs 11707 y 11724 para auditar cambios.

AI Security
8 min lectura
Background

Introducción

Windows genera eventos específicos cuando se instala o desinstala software. Con Wazuh puedes capturar estos eventos y generar alertas para auditar cambios en tu infraestructura. Esto es útil para detectar software no autorizado o cambios sospechosos.

Video: Detectar Instalaciones de Software
Contenido del curso

Video: Detectar Software Windows

12 minutos - Reglas para Event ID 11707 y 11724

Ver en el Curso Wazuh

Accede al video completo con el curso de Wazuh

Event IDs de Windows

Windows Installer genera eventos en el log de Application cuando se instala o desinstala software:

Event ID Acción Descripción
11707 Instalación Software instalado correctamente
11724 Desinstalación Software eliminado del sistema

Regla para detectar instalaciones

Añade esta regla en /var/ossec/etc/rules/local_rules.xml: 

<rule id="100200" level="8">
  <if_group>windows</if_group>
  <field name="win.system.eventID">^11707$</field>
  <description>Software instalado en Windows: $(win.eventdata.data)</description>
  <options>no_full_log</options>
  <group>software_install,policy_violation</group>
</rule>

Explicación:

  • if_group windows: Solo aplica a eventos de Windows
  • win.system.eventID: Filtra por Event ID 11707
  • $(win.eventdata.data): Incluye el nombre del software en la alerta
  • level="8": Severidad media-alta
  • no_full_log: No incluye el log completo (reduce tamaño)

Regla para detectar desinstalaciones

Las desinstalaciones pueden ser más críticas (eliminación de software de seguridad, por ejemplo): 

<rule id="100201" level="12">
  <if_group>windows</if_group>
  <field name="win.system.eventID">^11724$</field>
  <description>Software desinstalado en Windows: $(win.eventdata.data)</description>
  <options>no_full_log</options>
  <group>software_uninstall,policy_violation</group>
</rule>

Nota: Level 12 es más alto porque desinstalar software puede indicar:

  • Eliminación de antivirus o herramientas de seguridad
  • Usuario intentando ocultar actividad
  • Preparación para instalar software malicioso

Aplicar las reglas

Reinicia el manager para aplicar:

systemctl restart wazuh-manager

Qué verás en el dashboard

Cuando un usuario instale o desinstale software, verás alertas en el dashboard con:

  • Nombre del software afectado
  • Equipo donde ocurrió
  • Usuario que realizó la acción
  • Timestamp exacto

Casos de uso

  • Cumplimiento normativo: Auditar cambios de software (ISO 27001, ENS)
  • Detección de amenazas: Alertar si se desinstala el antivirus
  • Control de políticas: Detectar instalaciones no autorizadas
  • Inventario de software: Mantener registro de cambios

Próximos pasos

En el curso de Wazuh también vemos cómo crear decoders personalizados para logs de aplicaciones propias. Accede al curso completo.

Background
Volver al blog