Wazuh ist eine kostenlose, quelloffene und unternehmenstaugliche Sicherheitsüberwachungslösung für Bedrohungserkennung, Integritätsüberwachung, Reaktion auf Vorfälle und Compliance.
In diesem Tutorial zeigen wir die Installation einer verteilten Architektur. Die verteilten Architekturen steuern den Wazuh-Manager und die Elastic-Stack-Cluster über verschiedene Hosts. Wazuh Manager und Elastic Stack werden auf derselben Plattform durch Single-Host-Implementierungen verwaltet.
Wazuh-Server :Führt die API und Wazuh Manager aus. Die Daten der eingesetzten Agenten werden gesammelt und analysiert.
Elastic Stack :Führt Elasticsearch, Filebeat und Kibana (einschließlich Wazuh) aus. Es liest, parst, indiziert und speichert Warnungsdaten des Wazuh-Managers.
Wazuh-Agent :Wird auf dem überwachten Host ausgeführt, sammelt Protokoll- und Konfigurationsdaten und erkennt Angriffe und Anomalien.
1. Wazuh-Server installieren
Voreinstellung
Lassen Sie uns zuerst den Hostnamen festlegen. Starten Sie Terminal und geben Sie den folgenden Befehl ein:
hostnamectl set-hostname wazuh-server
CentOS und Pakete aktualisieren:
yum update -y
Installieren Sie als Nächstes NTP und überprüfen Sie den Dienststatus.
yum install ntp
systemctl status ntpd
Wenn der Dienst nicht gestartet ist, starten Sie ihn mit dem folgenden Befehl:
systemctl start ntpd
NTP beim Systemstart aktivieren:
systemctl enable ntpd
Ändern Sie die Firewall-Regeln, um den NTP-Dienst zuzulassen. Führen Sie die folgenden Befehle aus, um den Dienst zu aktivieren.
firewall-cmd --add-service=ntp --zone=public --permanent
firewall-cmd --reload
Installieren von Wazuh Manager
Lassen Sie uns den Schlüssel hinzufügen:
rpm --import https://packages.wazuh.com/key/GPG-KEY-WAZUH
Bearbeiten Sie das Wazuh-Repository:
vim /etc/yum.repos.d/wazuh.repo
Fügen Sie der Datei den folgenden Inhalt hinzu.
[wazuh_repo] gpgcheck=1 gpgkey=https://packages.wazuh.com/key/GPG-KEY-WAZUH enabled=1 name=Wazuh repository baseurl=https://packages.wazuh.com/3.x/yum/ protect=1
Speichern und beenden Sie die Datei.
Listen Sie die Repositories mit repolist auf Befehl.
yum repolist
Installieren Sie den Wazuh-Manager mit dem folgenden Befehl:
yum install wazuh-manager -y
Installieren Sie dann Wazuh Manager und überprüfen Sie dessen Status.
systemctl status wazuh-manager
Installieren der Wazuh-API
NodeJS>=4.6.1 ist erforderlich, um die Wazuh-API auszuführen.
Fügen Sie das offizielle NodeJS-Repository hinzu:
curl --silent --location https://rpm.nodesource.com/setup_8.x | bash -
installiere NodeJS:
yum install nodejs -y
Installieren Sie die Wazuh-API. Es wird NodeJS aktualisieren, wenn es erforderlich ist:
yum install wazuh-api
Überprüfen Sie den Status von wazuh-api.
systemctl status wazuh-api
Ändern Sie die Standardanmeldeinformationen manuell mit den folgenden Befehlen:
cd /var/ossec/api/configuration/auth
Legen Sie ein Passwort für den Benutzer fest.
node htpasswd -Bc -C 10 user darshana
API neu starten.
systemctl restart wazuh-api
Bei Bedarf können Sie den Port manuell ändern. Die Datei /var/ossec/api/configuration/config.js enthält den Parameter:
// TCP Port used by the API. config.port = "55000";
Wir ändern den Standardport nicht.
Filebeat installieren
Filebeat ist das Tool auf dem Wazuh-Server, das Warnungen und archivierte Ereignisse sicher an Elasticsearch weiterleitet. Um es zu installieren, führen Sie den folgenden Befehl aus:
rpm --import https://packages.elastic.co/GPG-KEY-elasticsearch
Repository einrichten:
vim /etc/yum.repos.d/elastic.repo
Fügen Sie dem Server die folgenden Inhalte hinzu:
[elasticsearch-7.x] name=Elasticsearch repository for 7.x packages baseurl=https://artifacts.elastic.co/packages/7.x/yum gpgcheck=1 gpgkey=https://artifacts.elastic.co/GPG-KEY-elasticsearch enabled=1 autorefresh=1 type=rpm-md
Filebeat installieren:
yum install filebeat-7.5.1
Laden Sie die Filebeat-Konfigurationsdatei aus dem Wazuh-Repository herunter. Dies ist vorkonfiguriert, um Wazuh-Warnungen an Elasticsearch weiterzuleiten:
curl -so /etc/filebeat/filebeat.yml https://raw.githubusercontent.com/wazuh/wazuh/v3.11.0/extensions/filebeat/7.x/filebeat.yml
Dateiberechtigungen ändern:
chmod go+r /etc/filebeat/filebeat.yml
Laden Sie die Benachrichtigungsvorlage für Elasticsearch herunter:
curl -so /etc/filebeat/wazuh-template.json https://raw.githubusercontent.com/wazuh/wazuh/v3.11.0/extensions/elasticsearch/7.x/wazuh-template.json
chmod go+r /etc/filebeat/wazuh-template.json
Laden Sie das Wazuh-Modul für Filebeat herunter:
curl -s https://packages.wazuh.com/3.x/filebeat/wazuh-filebeat-0.1.tar.gz | sudo tar -xvz -C /usr/share/filebeat/module
Fügen Sie die Elasticsearch-Server-IP hinzu. Bearbeiten Sie „filebeat.yml.“
vim /etc/filebeat/filebeat.yml
Ändern Sie die folgende Zeile.
output.elasticsearch.hosts: ['http://ELASTIC_SERVER_IP:9200']
Aktivieren und starten Sie den Filebeat-Dienst:
systemctl daemon-reload systemctl enable filebeat.service systemctl start filebeat.service
2. Elastic Stack installieren
Jetzt konfigurieren wir den zweiten Centos-Server mit ELK.
Nehmen Sie die Konfigurationen auf Ihrem Elastic-Stack-Server vor.
Vorkonfigurationen
Lassen Sie uns wie üblich zuerst den Hostnamen festlegen.
hostnamectl set-hostname elk
Aktualisieren Sie das System:
yum update -y
Installation von ELK
Installieren Sie Elastic Stack mit RPM-Paketen und fügen Sie dann das Elastic-Repository und seinen GPG-Schlüssel hinzu:
rpm --import https://packages.elastic.co/GPG-KEY-elasticsearch
Erstellen Sie eine Repository-Datei:
vim /etc/yum.repos.d/elastic.repo
Fügen Sie der Datei folgenden Inhalt hinzu:
[elasticsearch-7.x] name=Elasticsearch repository for 7.x packages baseurl=https://artifacts.elastic.co/packages/7.x/yum gpgcheck=1 gpgkey=https://artifacts.elastic.co/GPG-KEY-elasticsearch enabled=1 autorefresh=1 type=rpm-md
Elasticsearch installieren
Installieren Sie das Elasticsearch-Paket:
yum install elasticsearch-7.5.1
Elasticsearch lauscht standardmäßig auf der Loopback-Schnittstelle (localhost). Konfigurieren Sie Elasticsearch so, dass es auf eine Nicht-Loopback-Adresse lauscht, indem Sie /etc / elasticsearch / elasticsearch.yml bearbeiten und die network.host-Konfiguration auskommentieren. Passen Sie den IP-Wert an, mit dem Sie sich verbinden möchten:
network.host: 0.0.0.0
Firewall-Regeln ändern.
firewall-cmd --permanent --zone=public --add-rich-rule=' rule family="ipv4" source address="34.232.210.23/32" port protocol="tcp" port="9200" accept'
Firewallregeln neu laden:
firewall-cmd --reload
Die weitere Konfiguration ist für die Konfigurationsdatei der elastischen Suche erforderlich.
Bearbeiten Sie die Datei „elasticsearch.yml“.
vim /etc/elasticsearch/elasticsearch.yml
Ändern oder bearbeiten Sie „node.name“ und „cluster.initial_master_nodes“.
node.name: <node_name>
cluster.initial_master_nodes: ["<node_name>"]
Aktivieren und starten Sie den Elasticsearch-Dienst:
systemctl daemon-reload
Beim Systemstart aktivieren.
systemctl enable elasticsearch.service
Starten Sie den elastischen Suchdienst.
systemctl start elasticsearch.service
Überprüfen Sie den Status der elastischen Suche.
systemctl status elasticsearch.service
Überprüfen Sie die Protokolldatei auf Probleme.
tail -f /var/log/elasticsearch/elasticsearch.log
Sobald Elasticsearch betriebsbereit ist, müssen wir das Filebeat-Template laden. Führen Sie den folgenden Befehl auf dem Wazuh-Server aus (wir haben Filebeat dort installiert.)
filebeat setup --index-management -E setup.template.json.enabled=false
Kibana installieren
Installieren Sie das Kibana-Paket:
yum install kibana-7.5.1
Installieren Sie das Wazuh-App-Plugin für Kibana:
sudo -u kibana /usr/share/kibana/bin/kibana-plugin install https://packages.wazuh.com/wazuhapp/wazuhapp-3.11.0_7.5.1.zip
Kibana-PluginKibana-Konfigurationen müssen geändert werden, um von außen auf Kibana zugreifen zu können.
Bearbeiten Sie die Kibana-Konfigurationsdatei.
vim /etc/kibana/kibana.yml
Ändern Sie die folgende Zeile.
server.host: "0.0.0.0"
Konfigurieren Sie die URLs der Elasticsearch-Instanzen.
elasticsearch.hosts: ["http://localhost:9200"]
Aktivieren und starten Sie den Kibana-Dienst:
systemctl daemon-reload systemctl enable kibana.service systemctl start kibana.service
Hinzufügen der Wazuh-API zu Kibana-Konfigurationen
Bearbeiten Sie „wazuh.yml.“
vim /usr/share/kibana/plugins/wazuh/wazuh.yml
Hostnamen, Benutzernamen und Passwort bearbeiten:
Speichern und beenden Sie die Datei und starten Sie den Kibana-Dienst neu.
systemctl restart kibana.service
Wir haben den Wazuh-Server und den ELK-Server installiert. Jetzt werden wir Hosts mit einem Agenten hinzufügen.
3. Installation des Wazuh-Agenten
Ich. Hinzufügen von Ubuntu-Server
a. Benötigte Pakete installieren
apt-get install curl apt-transport-https lsb-release gnupg2
Installieren Sie den GPG-Schlüssel des Wazuh-Repositorys:
curl -s https://packages.wazuh.com/key/GPG-KEY-WAZUH | apt-key add -
Fügen Sie das Repository hinzu und aktualisieren Sie dann die Repositorys.
echo "deb https://packages.wazuh.com/3.x/apt/ stable main" | tee /etc/apt/sources.list.d/wazuh.list
apt-get update
b. Installieren des Wazuh-Agenten
Der Blow-Befehl fügt bei der Installation automatisch die IP-Adresse „WAZUH_MANAGER“ zur wazuh-agent-Konfiguration hinzu.
WAZUH_MANAGER="52.91.79.65" apt-get install wazuh-agent
II. CentOS-Host wird hinzugefügt
Fügen Sie das Wazuh-Repository hinzu.
rpm --import http://packages.wazuh.com/key/GPG-KEY-WAZUH
Bearbeiten und dem Repository hinzufügen:
vim /etc/yum.repos.d/wazuh.repo
Fügen Sie den folgenden Inhalt hinzu:
[wazuh_repo] gpgcheck=1 gpgkey=https://packages.wazuh.com/key/GPG-KEY-WAZUH enabled=1 name=Wazuh repository baseurl=https://packages.wazuh.com/3.x/yum/ protect=1
Installieren Sie den Agenten.
WAZUH_MANAGER="52.91.79.65" yum install wazuh-agent
4. Zugriff auf das Wazuh-Dashboard
Durchsuchen Sie Kibana mit der IP.
http://IP or hostname:5601/
Sie werden die folgende Oberfläche sehen.
Klicken Sie dann auf das „Wazuh“-Symbol, um zum Dashboard zu gelangen. Das „Wazuh“-Dashboard wird wie folgt angezeigt.
Hier können Sie verbundene Agenten, Sicherheitsinformationsverwaltung usw. sehen, wenn Sie auf Sicherheitsereignisse klicken; Sie können eine grafische Ansicht der Ereignisse sehen.
Wenn Sie so weit gekommen sind, herzlichen Glückwunsch! Das ist alles über die Installation und Konfiguration des Wazuh-Servers auf CentOS.