Wazuh je bezplatné, open source a podnikové řešení pro monitorování zabezpečení pro detekci hrozeb, monitorování integrity, reakce na incidenty a dodržování předpisů.
V tomto tutoriálu ukážeme instalaci distribuované architektury. Distribuované architektury řídí správce Wazuh a clustery elastického zásobníku prostřednictvím různých hostitelů. Správce Wazuh a Elastic Stack jsou spravovány na stejné platformě implementacemi s jedním hostitelem.
Server Wazuh :Spouští API a Wazuh Manager. Data od nasazených agentů se shromažďují a analyzují.
Elastic Stack :Spouští Elasticsearch, Filebeat a Kibana (včetně Wazuh). Čte, analyzuje, indexuje a ukládá data výstrah správce Wazuh.
Agent Wazuh :Běží na monitorovaném hostiteli, shromažďuje protokolová a konfigurační data a detekuje narušení a anomálie.
1. Instalace serveru Wazuh
Přednastavení
Nejprve nastavíme název hostitele. Spusťte Terminál a zadejte následující příkaz:
hostnamectl set-hostname wazuh-server
Aktualizace CentOS a balíčků:
yum update -y
Dále nainstalujte NTP a zkontrolujte stav jeho služby.
yum install ntp
systemctl status ntpd
Pokud služba není spuštěna, spusťte ji pomocí níže uvedeného příkazu:
systemctl start ntpd
Povolit NTP při spouštění systému:
systemctl enable ntpd
Upravte pravidla brány firewall, aby byla povolena služba NTP. Spuštěním následujících příkazů službu povolíte.
firewall-cmd --add-service=ntp --zone=public --permanent
firewall-cmd --reload
Instalace Wazuh Manager
Přidáme klíč:
rpm --import https://packages.wazuh.com/key/GPG-KEY-WAZUH
Upravte úložiště Wazuh:
vim /etc/yum.repos.d/wazuh.repo
Přidejte do souboru následující obsah.
[wazuh_repo] gpgcheck=1 gpgkey=https://packages.wazuh.com/key/GPG-KEY-WAZUH enabled=1 name=Wazuh repository baseurl=https://packages.wazuh.com/3.x/yum/ protect=1
Uložte a ukončete soubor.
Seznam repozitářů pomocí repolistu příkaz.
yum repolist
Nainstalujte správce Wazuh pomocí níže uvedeného příkazu:
yum install wazuh-manager -y
Poté nainstalujte Wazuh Manager a zkontrolujte jeho stav.
systemctl status wazuh-manager
Instalace rozhraní Wazuh API
Ke spuštění Wazuh API je vyžadován NodeJS>=4.6.1.
Přidejte oficiální úložiště NodeJS:
curl --silent --location https://rpm.nodesource.com/setup_8.x | bash -
nainstalovat NodeJS:
yum install nodejs -y
Nainstalujte Wazuh API. Pokud je to vyžadováno, aktualizuje NodeJS:
yum install wazuh-api
Zkontrolujte stav wazuh-api.
systemctl status wazuh-api
Změňte výchozí přihlašovací údaje ručně pomocí následujících příkazů:
cd /var/ossec/api/configuration/auth
Nastavte heslo pro uživatele.
node htpasswd -Bc -C 10 user darshana
Restartujte API.
systemctl restart wazuh-api
Pokud to potřebujete, můžete port změnit ručně. Soubor /var/ossec/api/configuration/config.js obsahuje parametr:
// TCP Port used by the API. config.port = "55000";
Neměníme výchozí port.
Instalace Filebeat
Filebeat je nástroj na serveru Wazuh, který bezpečně předává výstrahy a archivované události Elasticsearch. Chcete-li jej nainstalovat, spusťte následující příkaz:
rpm --import https://packages.elastic.co/GPG-KEY-elasticsearch
Nastavení úložiště:
vim /etc/yum.repos.d/elastic.repo
Přidejte na server následující obsah:
[elasticsearch-7.x] name=Elasticsearch repository for 7.x packages baseurl=https://artifacts.elastic.co/packages/7.x/yum gpgcheck=1 gpgkey=https://artifacts.elastic.co/GPG-KEY-elasticsearch enabled=1 autorefresh=1 type=rpm-md
Nainstalujte Filebeat:
yum install filebeat-7.5.1
Stáhněte si konfigurační soubor Filebeat z úložiště Wazuh. Toto je předem nakonfigurováno pro předávání výstrah Wazuh do Elasticsearch:
curl -so /etc/filebeat/filebeat.yml https://raw.githubusercontent.com/wazuh/wazuh/v3.11.0/extensions/filebeat/7.x/filebeat.yml
Změnit oprávnění souboru:
chmod go+r /etc/filebeat/filebeat.yml
Stáhněte si šablonu upozornění pro Elasticsearch:
curl -so /etc/filebeat/wazuh-template.json https://raw.githubusercontent.com/wazuh/wazuh/v3.11.0/extensions/elasticsearch/7.x/wazuh-template.json
chmod go+r /etc/filebeat/wazuh-template.json
Stáhněte si modul Wazuh pro Filebeat:
curl -s https://packages.wazuh.com/3.x/filebeat/wazuh-filebeat-0.1.tar.gz | sudo tar -xvz -C /usr/share/filebeat/module
Přidejte IP adresu serveru Elasticsearch. Upravte „filebeat.yml.“
vim /etc/filebeat/filebeat.yml
Upravte následující řádek.
output.elasticsearch.hosts: ['http://ELASTIC_SERVER_IP:9200']
Povolte a spusťte službu Filebeat:
systemctl daemon-reload systemctl enable filebeat.service systemctl start filebeat.service
2. Instalace Elastic Stack
Nyní budeme konfigurovat druhý server Centos s ELK.
Proveďte konfigurace na serveru elastického zásobníku.
Předkonfigurace
Jako obvykle nejprve nastavíme název hostitele.
hostnamectl set-hostname elk
Aktualizujte systém:
yum update -y
Instalace ELK
Nainstalujte Elastic Stack s balíčky RPM a poté přidejte Elastic repozitář a jeho klíč GPG:
rpm --import https://packages.elastic.co/GPG-KEY-elasticsearch
Vytvořte soubor úložiště:
vim /etc/yum.repos.d/elastic.repo
Přidejte do souboru následující obsah:
[elasticsearch-7.x] name=Elasticsearch repository for 7.x packages baseurl=https://artifacts.elastic.co/packages/7.x/yum gpgcheck=1 gpgkey=https://artifacts.elastic.co/GPG-KEY-elasticsearch enabled=1 autorefresh=1 type=rpm-md
Instalace Elasticsearch
Nainstalujte balíček Elasticsearch:
yum install elasticsearch-7.5.1
Elasticsearch standardně naslouchá na rozhraní zpětné smyčky (localhost). Nakonfigurujte Elasticsearch tak, aby naslouchal adresám bez zpětné smyčky, úpravou souboru /etc/elasticsearch/elasticsearch.yml a zrušením komentáře v konfiguraci network.host. Upravte hodnotu IP, ke které se chcete připojit:
network.host: 0.0.0.0
Změňte pravidla brány firewall.
firewall-cmd --permanent --zone=public --add-rich-rule=' rule family="ipv4" source address="34.232.210.23/32" port protocol="tcp" port="9200" accept'
Znovu načíst pravidla brány firewall:
firewall-cmd --reload
Další konfigurace bude nezbytná pro konfigurační soubor elastického vyhledávání.
Upravte soubor „elasticsearch.yml“.
vim /etc/elasticsearch/elasticsearch.yml
Změňte nebo upravte „node.name“ a „cluster.initial_master_nodes“.
node.name: <node_name>
cluster.initial_master_nodes: ["<node_name>"]
Povolte a spusťte službu Elasticsearch:
systemctl daemon-reload
Povolit při spouštění systému.
systemctl enable elasticsearch.service
Spusťte službu elastického vyhledávání.
systemctl start elasticsearch.service
Zkontrolujte stav elastického vyhledávání.
systemctl status elasticsearch.service
Zkontrolujte, zda v souboru protokolu nejsou nějaké problémy.
tail -f /var/log/elasticsearch/elasticsearch.log
Jakmile je Elasticsearch spuštěno, musíme načíst šablonu Filebeat. Spusťte následující příkaz na serveru Wazuh (nainstalovali jsme tam filebeat.)
filebeat setup --index-management -E setup.template.json.enabled=false
Instalace Kibana
Nainstalujte balíček Kibana:
yum install kibana-7.5.1
Nainstalujte si plugin aplikace Wazuh pro Kibana:
sudo -u kibana /usr/share/kibana/bin/kibana-plugin install https://packages.wazuh.com/wazuhapp/wazuhapp-3.11.0_7.5.1.zip
Kibana PluginPotřebujete upravit konfigurace Kibana pro přístup ke Kibaně zvenčí.
Upravte konfigurační soubor Kibana.
vim /etc/kibana/kibana.yml
Změňte následující řádek.
server.host: "0.0.0.0"
Nakonfigurujte adresy URL instancí Elasticsearch.
elasticsearch.hosts: ["http://localhost:9200"]
Povolte a spusťte službu Kibana:
systemctl daemon-reload systemctl enable kibana.service systemctl start kibana.service
Přidání rozhraní Wazuh API do konfigurací Kibana
Upravte „wazuh.yml.“
vim /usr/share/kibana/plugins/wazuh/wazuh.yml
Upravit název hostitele, uživatelské jméno a heslo:
Uložte a ukončete soubor a restartujte službu Kibana.
systemctl restart kibana.service
Nainstalovali jsme server Wazuh a server ELK. Nyní přidáme hostitele pomocí agenta.
3. Instalace agenta Wazuh
I. Přidání serveru Ubuntu
a. Instalace potřebných balíčků
apt-get install curl apt-transport-https lsb-release gnupg2
Nainstalujte klíč GPG úložiště Wazuh:
curl -s https://packages.wazuh.com/key/GPG-KEY-WAZUH | apt-key add -
Přidejte úložiště a poté aktualizujte úložiště.
echo "deb https://packages.wazuh.com/3.x/apt/ stable main" | tee /etc/apt/sources.list.d/wazuh.list
apt-get update
b. Instalace agenta Wazuh
Příkaz Blow přidá „WAZUH_MANAGER“ IP do konfigurace wazuh-agent automaticky při instalaci.
WAZUH_MANAGER="52.91.79.65" apt-get install wazuh-agent
II. Přidávání hostitele CentOS
Přidejte úložiště Wazuh.
rpm --import http://packages.wazuh.com/key/GPG-KEY-WAZUH
Upravit a přidat do úložiště:
vim /etc/yum.repos.d/wazuh.repo
Přidejte následující obsah:
[wazuh_repo] gpgcheck=1 gpgkey=https://packages.wazuh.com/key/GPG-KEY-WAZUH enabled=1 name=Wazuh repository baseurl=https://packages.wazuh.com/3.x/yum/ protect=1
Nainstalujte agenta.
WAZUH_MANAGER="52.91.79.65" yum install wazuh-agent
4. Přístup k ovládacímu panelu Wazuh
Procházejte Kibanu pomocí IP.
http://IP or hostname:5601/
Zobrazí se níže uvedené rozhraní.
Poté klikněte na ikonu „Wazuh“ a přejděte na její Dashboard. Dashboard „Wazuh“ uvidíte následovně.
Zde můžete vidět připojené agenty, správu bezpečnostních informací atd., když kliknete na bezpečnostní události; můžete vidět grafické zobrazení událostí.
Pokud jste se dostali až sem, gratulujeme! To je vše o instalaci a konfiguraci serveru Wazuh na CentOS.