S nasazením all-in-one nainstalujete a nakonfigurujete server Wazuh a Elastic Stack na stejném hostiteli.
Jsou nainstalovány následující součásti:
- Server Wazuh, včetně správce Wazuh jako clusteru s jedním uzlem, a rozhraní API Wazuh.
- Elastic Stack, včetně Open Distro pro Elasticsearch jako cluster s jedním uzlem, a také Filebeat, Kibana a plugin Wazuh Kibana.
Instalace krok za krokem
Nainstalujte komponenty Wazuh a Open Distro for Elasticsearch v nasazení vše v jednom. Podle pokynů nakonfigurujte oficiální úložiště pro provádění instalací.
Alternativně k této instalační metodě můžete nainstalovat Wazuh pomocí balíčků
Instalace Wazuh
Server Wazuh shromažďuje a analyzuje data od nasazených agentů Wazuh. Spouští Wazuh manager, Wazuh API a Filebeat.
Chcete-li začít s nastavením Wazuh, přidejte úložiště Wazuh na server
Přidání úložiště Wazuh
#yum install curl unzip wget libImportujte klíč GPG:
#rpm --import https://packages.wazuh.com/key/GPG-KEY-WAZUHTaké přidejte úložiště:
cat > /etc/yum.repos.d/wazuh.repo << EOF
[wazuh]
gpgcheck=1
gpgkey=https://packages.wazuh.com/key/GPG-KEY-WAZUH
enabled=1
name=EL-\$releasever - Wazuh
baseurl=https://packages.wazuh.com/4.x/yum/
protect=1
EOFInstalace správce Wazuh
Nainstalujte tedy balíček správce Wazuh:
yum install wazuh-managerPovolte a spusťte službu správce Wazuh:
systemctl daemon-reload
systemctl enable wazuh-manager
systemctl start wazuh-managerSpusťte následující příkaz a zkontrolujte, zda je správce Wazuh aktivní
systemctl status wazuh-managerInstalace Elasticsearch
Open Distro for Elasticsearch je open source distribuce Elasticsearch, vysoce škálovatelného fulltextového vyhledávače. Nabízí pokročilé zabezpečení, upozornění, správu indexů, hloubkovou analýzu výkonu a několik dalších doplňkových funkcí.
Nainstalujte Open Distro pro Elasticsearch:
yum install opendistroforelasticsearchKonfigurace elastického vyhledávání
Spusťte tedy následující příkaz ke stažení konfiguračního souboru /etc/elasticsearch/elasticsearch.yml :
curl -so /etc/elasticsearch/elasticsearch.yml https://packages.wazuh.com/resources/4.2/open-distro/elasticsearch/7.x/elasticsearch_all_in_one.ymlUživatelé a role Elasticsearch
Abyste mohli Wazuh Kibana správně používat, musíte přidat uživatele a role.
Spusťte následující příkazy a přidejte uživatele Wazuh a další role do Kibana:
curl -so /usr/share/elasticsearch/plugins/opendistro_security/securityconfig/roles.yml https://packages.wazuh.com/resources/4.2/open-distro/elasticsearch/roles/roles.yml
curl -so /usr/share/elasticsearch/plugins/opendistro_security/securityconfig/roles_mapping.yml https://packages.wazuh.com/resources/4.2/open-distro/elasticsearch/roles/roles_mapping.yml
curl -so /usr/share/elasticsearch/plugins/opendistro_security/securityconfig/internal_users.yml https://packages.wazuh.com/resources/4.2/open-distro/elasticsearch/roles/internal_users.ymlVytvoření certifikátů
Odeberte demo certifikáty:
rm /etc/elasticsearch/esnode-key.pem /etc/elasticsearch/esnode.pem /etc/elasticsearch/kirk-key.pem /etc/elasticsearch/kirk.pem /etc/elasticsearch/root-ca.pem -fVygenerujte a nasaďte certifikáty:
Stáhněte si wazuh-cert-tool.sh :
curl -so ~/wazuh-cert-tool.sh https://packages.wazuh.com/resources/4.2/open-distro/tools/certificate-utility/wazuh-cert-tool.sh
curl -so ~/instances.yml https://packages.wazuh.com/resources/4.2/open-distro/tools/certificate-utility/instances_aio.yml
Spusťte wazuh-cert-tool.sh k vytvoření certifikátů:
bash ~/wazuh-cert-tool.shPřesuňte certifikáty Elasticsearch do jejich odpovídajícího umístění:
mkdir /etc/elasticsearch/certs/
mv ~/certs/elasticsearch* /etc/elasticsearch/certs/
mv ~/certs/admin* /etc/elasticsearch/certs/
cp ~/certs/root-ca* /etc/elasticsearch/certs/Povolte a spusťte službu Elasticsearch:
systemctl daemon-reload
systemctl enable elasticsearch
systemctl start elasticsearchTaké spusťte Elasticsearch securityadmin skript pro načtení informací o nových certifikátech a spuštění clusteru:
export JAVA_HOME=/usr/share/elasticsearch/jdk/ && /usr/share/elasticsearch/plugins/opendistro_security/tools/securityadmin.sh -cd /usr/share/elasticsearch/plugins/opendistro_security/securityconfig/ -nhnv -cacert /etc/elasticsearch/certs/root-ca.pem -cert /etc/elasticsearch/certs/admin.pem -key /etc/elasticsearch/certs/admin-key.pemSpusťte následující příkaz, abyste zajistili, že instalace proběhne úspěšně:
curl -XGET https://localhost:9200 -u admin:admin -k
Příklad odpovědi by měl vypadat takto:
Instalace Filebeat
Nainstalujte tedy balíček Filebeat:
yum install filebeatStáhněte si předem nakonfigurovaný konfigurační soubor Filebeat používaný k předávání výstrah Wazuh do Elasticsearch:
curl -so /etc/filebeat/filebeat.yml https://packages.wazuh.com/resources/4.2/open-distro/filebeat/7.x/filebeat_all_in_one.ymlStáhněte si také šablonu upozornění pro Elasticsearch:
curl -so /etc/filebeat/wazuh-template.json https://raw.githubusercontent.com/wazuh/wazuh/4.2/extensions/elasticsearch/7.x/wazuh-template.json
chmod go+r /etc/filebeat/wazuh-template.jsonStáhněte si modul Wazuh pro Filebeat:
curl -s https://packages.wazuh.com/4.x/filebeat/wazuh-filebeat-0.1.tar.gz | tar -xvz -C /usr/share/filebeat/module
Také zkopírujte certifikáty Elasticsearch do /etc/filebeat/certs :
mkdir /etc/filebeat/certs
cp ~/certs/root-ca.pem /etc/filebeat/certs/
mv ~/certs/filebeat* /etc/filebeat/certs/Poté povolte a spusťte službu Filebeat:
systemctl daemon-reload
systemctl enable filebeat
systemctl start filebeatChcete-li zajistit, aby byl Filebeat úspěšně nainstalován, spusťte následující příkaz:
filebeat test output
Instalace Kibana
Kibana je tedy flexibilní a intuitivní webové rozhraní pro dolování a vizualizaci událostí a archivů uložených v Elasticsearch.
Nainstalujte balíček Kibana:
yum install opendistroforelasticsearch-kibanaStáhněte si konfigurační soubor Kibana:
curl -so /etc/kibana/kibana.yml https://packages.wazuh.com/resources/4.2/open-distro/kibana/7.x/kibana_all_in_one.yml
V /etc/kibana/kibana.yml soubor, nastavení server.host má hodnotu 0.0.0.0 . To znamená, že Kibana je přístupná zvenčí a přijímá všechny dostupné IP adresy hostitele. Tuto hodnotu lze v případě potřeby pro konkrétní IP změnit.
Vytvořte také /usr/share/kibana/data adresář:
mkdir /usr/share/kibana/data
chown -R kibana:kibana /usr/share/kibana/dataNainstalujte si plugin Wazuh Kibana. Instalace pluginu musí být provedena z domovského adresáře Kibana následovně:
cd /usr/share/kibana
sudo -u kibana /usr/share/kibana/bin/kibana-plugin install https://packages.wazuh.com/4.x/ui/kibana/wazuh_kibana-4.2.4_7.10.2-1.zip
Poté zkopírujte certifikáty Elasticsearch do /etc/kibana/certs :
mkdir /etc/kibana/certs
cp ~/certs/root-ca.pem /etc/kibana/certs/
mv ~/certs/kibana* /etc/kibana/certs/
chown kibana:kibana /etc/kibana/certs/*Propojte soket Kibana s privilegovaným portem 443:
setcap 'cap_net_bind_service=+ep' /usr/share/kibana/node/bin/node
Povolte a spusťte službu Kibana:
systemctl daemon-reload
systemctl enable kibana
systemctl start kibanaPřístup k webovému rozhraní:
URL: https://<wazuh_server_ip>
user: admin
password: admin
Ovládací panel Wazuh
