Wazuh adalah solusi pemantauan keamanan gratis, sumber terbuka, dan siap untuk perusahaan untuk deteksi ancaman, pemantauan integritas, respons insiden, dan kepatuhan.
Dalam tutorial ini, kita akan menunjukkan instalasi arsitektur terdistribusi. Arsitektur terdistribusi mengontrol manajer Wazuh dan klaster tumpukan elastis melalui host yang berbeda. Manajer Wazuh dan Elastic Stack dikelola pada platform yang sama oleh implementasi satu host.
Server Wazuh :Menjalankan API dan Wazuh Manager. Data dari agen yang diterapkan dikumpulkan dan dianalisis.
Elastic Stack :Menjalankan Elasticsearch, Filebeat, dan Kibana (termasuk Wazuh). Ia membaca, mem-parsing, mengindeks, dan menyimpan data peringatan manajer Wazuh.
Agen Wazuh :Berjalan pada host yang dipantau, mengumpulkan log dan data konfigurasi, serta mendeteksi intrusi dan anomali.
1. Memasang Server Wazuh
Pra-penyiapan
Mari kita atur nama hostnya terlebih dahulu. Luncurkan Terminal dan masukkan perintah berikut:
hostnamectl set-hostname wazuh-server
Perbarui CentOS dan paket:
yum update -y
Selanjutnya, instal NTP dan periksa status layanannya.
yum install ntp
systemctl status ntpd
Jika layanan tidak dimulai, mulai menggunakan perintah di bawah ini:
systemctl start ntpd
Aktifkan NTP pada boot sistem:
systemctl enable ntpd
Ubah aturan firewall untuk mengizinkan layanan NTP. Jalankan perintah berikut untuk mengaktifkan layanan.
firewall-cmd --add-service=ntp --zone=public --permanent
firewall-cmd --reload
Menginstal Manajer Wazuh
Mari tambahkan kunci:
rpm --import https://packages.wazuh.com/key/GPG-KEY-WAZUH
Edit repositori Wazuh:
vim /etc/yum.repos.d/wazuh.repo
Tambahkan konten berikut ke file.
[wazuh_repo] gpgcheck=1 gpgkey=https://packages.wazuh.com/key/GPG-KEY-WAZUH enabled=1 name=Wazuh repository baseurl=https://packages.wazuh.com/3.x/yum/ protect=1
Simpan dan keluar dari file.
Buat daftar repositori menggunakan repolist perintah.
yum repolist
Instal manajer Wazuh menggunakan perintah di bawah ini:
yum install wazuh-manager -y
Kemudian, instal Wazuh Manager, dan periksa statusnya.
systemctl status wazuh-manager
Memasang Wazuh API
NodeJS>=4.6.1 diperlukan untuk menjalankan Wazuh API.
Tambahkan repositori NodeJS resmi:
curl --silent --location https://rpm.nodesource.com/setup_8.x | bash -
instal NodeJS:
yum install nodejs -y
Instal Wazuh API. Ini akan memperbarui NodeJS jika diperlukan:
yum install wazuh-api
Periksa status wazuh-api.
systemctl status wazuh-api
Ubah kredensial default secara manual menggunakan perintah berikut:
cd /var/ossec/api/configuration/auth
Tetapkan kata sandi untuk pengguna.
node htpasswd -Bc -C 10 user darshana
Mulai ulang API.
systemctl restart wazuh-api
Jika Anda membutuhkannya, Anda dapat mengubah port secara manual. File /var/ossec/api/configuration/config.js berisi parameter:
// TCP Port used by the API. config.port = "55000";
Kami tidak mengubah port default.
Menginstal Filebeat
Filebeat adalah alat di server Wazuh yang meneruskan peringatan dan acara yang diarsipkan dengan aman ke Elasticsearch. Untuk menginstalnya, jalankan perintah berikut:
rpm --import https://packages.elastic.co/GPG-KEY-elasticsearch
Siapkan repositori:
vim /etc/yum.repos.d/elastic.repo
Tambahkan konten berikut ke server:
[elasticsearch-7.x] name=Elasticsearch repository for 7.x packages baseurl=https://artifacts.elastic.co/packages/7.x/yum gpgcheck=1 gpgkey=https://artifacts.elastic.co/GPG-KEY-elasticsearch enabled=1 autorefresh=1 type=rpm-md
Instal Filebeat:
yum install filebeat-7.5.1
Unduh file konfigurasi Filebeat dari repositori Wazuh. Ini telah dikonfigurasi sebelumnya untuk meneruskan peringatan Wazuh ke Elasticsearch:
curl -so /etc/filebeat/filebeat.yml https://raw.githubusercontent.com/wazuh/wazuh/v3.11.0/extensions/filebeat/7.x/filebeat.yml
Ubah Izin file:
chmod go+r /etc/filebeat/filebeat.yml
Unduh template peringatan untuk Elasticsearch:
curl -so /etc/filebeat/wazuh-template.json https://raw.githubusercontent.com/wazuh/wazuh/v3.11.0/extensions/elasticsearch/7.x/wazuh-template.json
chmod go+r /etc/filebeat/wazuh-template.json
Unduh modul Wazuh untuk Filebeat:
curl -s https://packages.wazuh.com/3.x/filebeat/wazuh-filebeat-0.1.tar.gz | sudo tar -xvz -C /usr/share/filebeat/module
Tambahkan IP server Elasticsearch. Edit “filebeat.yml.”
vim /etc/filebeat/filebeat.yml
Ubah baris berikut.
output.elasticsearch.hosts: ['http://ELASTIC_SERVER_IP:9200']
Aktifkan dan mulai layanan Filebeat:
systemctl daemon-reload systemctl enable filebeat.service systemctl start filebeat.service
2. Memasang Tumpukan Elastis
Sekarang kita akan mengkonfigurasi server Centos kedua dengan ELK.
Lakukan konfigurasi pada server tumpukan elastis Anda.
Prakonfigurasi
Seperti biasa, mari kita set-hostname terlebih dahulu.
hostnamectl set-hostname elk
Perbarui sistem:
yum update -y
Menginstal ELK
Instal Elastic Stack dengan paket RPM lalu tambahkan repositori Elastic dan kunci GPG-nya:
rpm --import https://packages.elastic.co/GPG-KEY-elasticsearch
Buat file repositori:
vim /etc/yum.repos.d/elastic.repo
Tambahkan konten berikut ke file:
[elasticsearch-7.x] name=Elasticsearch repository for 7.x packages baseurl=https://artifacts.elastic.co/packages/7.x/yum gpgcheck=1 gpgkey=https://artifacts.elastic.co/GPG-KEY-elasticsearch enabled=1 autorefresh=1 type=rpm-md
Menginstal Elasticsearch
Instal paket Elasticsearch:
yum install elasticsearch-7.5.1
Elasticsearch mendengarkan secara default pada antarmuka loopback (localhost). Konfigurasikan Elasticsearch untuk mendengarkan alamat non-loopback dengan mengedit /etc / elasticsearch / elasticsearch.yml dan menghapus komentar pada konfigurasi network.host. Sesuaikan nilai IP yang ingin Anda sambungkan:
network.host: 0.0.0.0
Ubah aturan firewall.
firewall-cmd --permanent --zone=public --add-rich-rule=' rule family="ipv4" source address="34.232.210.23/32" port protocol="tcp" port="9200" accept'
Muat ulang aturan firewall:
firewall-cmd --reload
Konfigurasi lebih lanjut akan diperlukan untuk file konfigurasi pencarian elastis.
Edit file “elasticsearch.yml”.
vim /etc/elasticsearch/elasticsearch.yml
Ubah atau edit “node.name” dan “cluster.initial_master_nodes”.
node.name: <node_name>
cluster.initial_master_nodes: ["<node_name>"]
Aktifkan dan mulai layanan Elasticsearch:
systemctl daemon-reload
Aktifkan saat boot sistem.
systemctl enable elasticsearch.service
Mulai layanan pencarian elastis.
systemctl start elasticsearch.service
Periksa status pencarian elastis.
systemctl status elasticsearch.service
Periksa file log apakah ada masalah.
tail -f /var/log/elasticsearch/elasticsearch.log
Setelah Elasticsearch aktif dan berjalan, kita perlu memuat template Filebeat. Jalankan perintah berikut di server Wazuh (Kami menginstal filebeat di sana.)
filebeat setup --index-management -E setup.template.json.enabled=false
Menginstal Kibana
Instal paket Kibana:
yum install kibana-7.5.1
Instal plugin aplikasi Wazuh untuk Kibana:
sudo -u kibana /usr/share/kibana/bin/kibana-plugin install https://packages.wazuh.com/wazuhapp/wazuhapp-3.11.0_7.5.1.zip
Plugin KibanaPerlu mengubah konfigurasi Kibana untuk mengakses Kibana dari luar.
Edit file konfigurasi Kibana.
vim /etc/kibana/kibana.yml
Ubah baris berikut.
server.host: "0.0.0.0"
Konfigurasikan URL instance Elasticsearch.
elasticsearch.hosts: ["http://localhost:9200"]
Aktifkan dan mulai layanan Kibana:
systemctl daemon-reload systemctl enable kibana.service systemctl start kibana.service
Menambahkan API Wazuh ke Konfigurasi Kibana
Edit “wazuh.yml.”
vim /usr/share/kibana/plugins/wazuh/wazuh.yml
Edit nama host, nama pengguna, dan kata sandi:
Simpan dan keluar dari file dan mulai ulang layanan Kibana.
systemctl restart kibana.service
Kami menginstal server Wazuh dan server ELK. Sekarang kita akan menambahkan host menggunakan agen.
3. Memasang agen Wazuh
Aku. Menambahkan Server Ubuntu
a. Menginstal paket yang dibutuhkan
apt-get install curl apt-transport-https lsb-release gnupg2
Instal kunci GPG repositori Wazuh:
curl -s https://packages.wazuh.com/key/GPG-KEY-WAZUH | apt-key add -
Tambahkan repositori lalu perbarui repositori.
echo "deb https://packages.wazuh.com/3.x/apt/ stable main" | tee /etc/apt/sources.list.d/wazuh.list
apt-get update
b. Memasang agen Wazuh
Perintah Blow menambahkan IP “WAZUH_MANAGER” ke konfigurasi wazuh-agent secara otomatis saat menginstalnya.
WAZUH_MANAGER="52.91.79.65" apt-get install wazuh-agent
II. Menambahkan host CentOS
Tambahkan repositori Wazuh.
rpm --import http://packages.wazuh.com/key/GPG-KEY-WAZUH
Edit dan tambahkan ke repositori:
vim /etc/yum.repos.d/wazuh.repo
Tambahkan konten berikut:
[wazuh_repo] gpgcheck=1 gpgkey=https://packages.wazuh.com/key/GPG-KEY-WAZUH enabled=1 name=Wazuh repository baseurl=https://packages.wazuh.com/3.x/yum/ protect=1
Instal agennya.
WAZUH_MANAGER="52.91.79.65" yum install wazuh-agent
4. Mengakses Dasbor Wazuh
Jelajahi Kibana menggunakan IP.
http://IP or hostname:5601/
Anda akan melihat antarmuka di bawah ini.
Kemudian klik Ikon “Wazuh” untuk masuk ke Dashboard-nya. Anda akan melihat Dashboard “Wazuh” sebagai berikut.
Di sini Anda dapat melihat agen yang terhubung, manajemen informasi keamanan, dll. ketika Anda mengklik peristiwa keamanan; Anda dapat melihat tampilan grafis acara.
Jika Anda mencapai sejauh ini, selamat! Itu saja tentang menginstal dan mengkonfigurasi server Wazuh di CentOS.