Состав Wazuh
В состав Wazuh входят следующие основные компоненты:
- Wazuh Manager: Wazuh Manager является центральным компонентом платформы Wazuh. Он отвечает за сбор и обработку данных из различных источников, таких как системные журналы, сетевой трафик и журналы приложений. Он также включает ряд модулей безопасности для обнаружения угроз и реагирования на инциденты.
- Elasticsearch: Elasticsearch это поисковая система, которая используется для индексации, хранения и поиска данных в Wazuh. Она предоставляет масштабируемую и гибкую платформу для хранения и обработки больших объемов данных..
- Kibana: Kibana это инструмент визуализации, который используется для отображения и анализа данных в Wazuh. Он предоставляет множество диаграмм, графиков и карт, которые можно использовать для визуализации данных из Elasticsearch и других источников.
- Агенты: Агенты Wazuh это легкие программы, которые устанавливаются на серверах и других устройствах в сети. Они несут ответственность за сбор и отправку данных Wazuh Manager для обработки.
В целом, структура Wazuh предназначена для предоставления комплексной платформы для обнаружения угроз безопасности и реагирования на них, а также для обеспечения соответствия требованиям и составления отчетов. Она сочетает в себе мощь Elasticsearch и Elastic Stack с набором специализированных инструментов безопасности, чтобы обеспечить гибкое и масштабируемое решение для кибербезопасности.
Системные требования сервера Wazuh
Системные требования для сервера Wazuh зависят от размера вашей среды и объема собираемых данных. Вот несколько общих рекомендаций для сервера Wazuh:
ЦП: для оптимальной производительности рекомендуется современный ЦП с несколькими ядрами. Память: рекомендуется не менее 8 ГБ ОЗУ.
Если вы собираете и обрабатываете большие объемы данных, может потребоваться больше памяти. Место на диске: рекомендуется не менее 50 ГБ свободного места на диске, в зависимости от размера вашей среды и объема собираемых данных. Сервер Wazuh хранит данные в базе данных Elasticsearch, которая может занимать значительный объем дискового пространства. Операционная система: Wazuh поддерживается различными операционными системами, включая Linux (Debian, Ubuntu, CentOS, Red Hat, Amazon Linux), Windows и MacOS.
Также рекомендуется использовать выделенный сервер для платформы Wazuh, поскольку компоненты Wazuh могут потреблять значительные ресурсы и влиять на производительность других приложений на том же сервере.
Роли сервера | Системные требования | Требования сети | Подробнее |
---|---|---|---|
Wazuh Главный узел (Node) | 8GB memory + 4 cores + 100GB disk size | SSH — Management | Сервер управления Cluser, создание правил, управление агентами и рабочими узлами |
Wazuh Рабочий узел (Node) | 8GB memory + 4 cores + 100GB disk size | 9200 -Request 9300 -Cluster SSH — Management | Управление агентами, вход в SIEM |
Установка сервера Ubuntu для Wazuh EDR
- Cтатический IP-адрес
- DNS адрес
- Информация о сервере
- Информация о пользователе
Требования к брандмауэру
sudo ufw enable
Открытие порта управления в Wazuh
sudo ufw allow ssh comment "Management port"
Кластер управления открытыми портами и управление агентами
sudo ufw allow 1514 comment "Agents connection service"
sudo ufw allow 1515 comment «Agents registration service»
sudo ufw allow 1516 comment "Wazuh cluster daemon"
sudo ufw allow 55000 comment "Wazuh RESTful API"
Требования к программному обеспечению
Установка сетевого инструмента
apt install net-tools
* После установки net-tool вы можете удаленно подключаться ко всем серверам с помощью putty
Требования для Wazuh на всех серверах:
Установка программных пакетов
apt install curl apt-transport-https lsb-release gnupg
Добавить ключ GPG для Wazuh
curl -s https://packages.wazuh.com/key/GPG-KEY-WAZUH | apt-key add -
Добавить источник wazue в apt
echo "deb https://packages.wazuh.com/4.x/apt/ stable main" | tee -a /etc/apt/sources.list.d/wazuh.list
apt-get update
Установка Wazuh с помощью apt
apt-get install wazuh-manager
Сервер диспетчера Wazuh и рабочий сервер используют один и тот же пакет установки wazuh. Повторите этапы установки для каждого рабочего в кластере wazuh.
Определение мастера и рабочих
Чтобы добавить серверы в кластер wazuh, отредактируйте настройки по умолчанию для каждого сервера, только один сервер может быть установлен в качестве главного узла, а другой узел — в качестве рабочих серверов.
Редактирование конфигурационного файла для сервера Wazuh01 (Master)
В файле настроек введите имя сервера, роль, ключ и адрес главного сервера
nano /var/ossec/etc/ossec.conf
<cluster>
<name>wazuh</name>
<node_name>wazuh01</node_name>
<node_type>master</node_type>
<key>c98b62a9b61222c5f67dae55ae4a9088</key>
<port>1516</port>
<bind_addr>0.0.0.0</bind_addr>
<nodes>
<node>192.168.0.186</node>
</nodes>
<hidden>no</hidden>
<disabled>no</disabled>
</cluster>
Отредактируйте файл конфигурации для сервера Wazuh02 (Worker).
Изменит имя сервера, роль, ключ и адрес главного сервера в файле настроек
nano /var/ossec/etc/ossec.conf
<cluster>
<name>wazuh</name>
<node_name>wazuh02</node_name>
<node_type>worker</node_type>
<key>c98b62a9b61222c5f67dae55ae4a9088</key>
<port>1516</port>
<bind_addr>0.0.0.0</bind_addr>
<nodes>
<node>192.168.0.186</node>
</nodes>
<hidden>no</hidden>
<disabled>no</disabled>
</cluster>
Настройте Wazuh в качестве системной службы
systemctl daemon reload
systemctl enable wazuh-manager
systemctl start wazuh-manager
Проверьте статус кластера, есть два сервера, Master и Worker.
service wazuh-manager status
/var/ossec/bin/cluster_control -l
Filebeat
Filebeat может отправлять записи wazuh напрямую на серверы Elasticsearch без использования Logstash.
Filebeat требования программного обеспечения
Импорт ключей PGP
wget -qO - https://artifacts.elastic.co/GPG-KEY-elasticsearch | sudo apt-key add -
Добавить новый источник для загрузок
echo "deb https://artifacts.elastic.co/packages/7.x/apt stable main" | sudo tee /etc/apt/sources.list.d/elastic-7.x.list
Установите версию filebeat 7.14.2 через apt (последняя версия поддерживается wazuh)
sudo apt-get update && sudo apt-get install filebeat =7.14.2
Сохранить пароль в хранилище ключей
Чтобы сохранить ваши пароли в безопасности, создайте хранилище ключей, если оно не существует, выполнив следующие команды:
filebeat keystore create
Назначьте пароль пользователя в хранилище ключей
filebeat keystore add ES_PWD
Изменить настройки Filebeat
Добавьте настройки Wazuh в filebeat и настройте Elasticsearch на каждом сервере.
curl -so /etc/filebeat/filebeat.yml https://packages.wazuh.com/resources/4.2/open-distro/filebeat/7.x/filebeat_elastic_cluster.yml
Скачать шаблоны Wazuh для Elasticsearch
curl -so /etc/filebeat/wazuh-template.json https://raw.githubusercontent.com/wazuh/wazuh/4.2/extensions/elasticsearch/7.x/wazuh-template.json
chmod go + r / etc / filebeat /wazuh-template.json
Скачать модель Wauh для filebeat
curl -s https://packages.wazuh.com/4.x/filebeat/wazuh-filebeat-0.1.tar.gz | tar -xvz -C / usr / share / filebeat / module
Редактируйте файл Filebeat /etc/filebeat/filebeat.yml
Проверьте настройки filebeat
filebeat test output
Настройка Kibana для Wazuh
Установите и настройте сервер Kibana шаг за шагом, чтобы настроить Wazuh с помощью Kibana, необходимо установить плагин wazuh на сервер Kibana.
apt install curl libcap2-bin
Добавление GPG Wazuh
curl -s https://packages.wazuh.com/key/GPG-KEY-WAZUH | apt-key add -
Добавьте подходящий источник для загрузки Wazuh
echo "deb https://packages.wazuh.com/4.x/apt/ stable main" | tee -a /etc/apt/sources.list.d/wazuh.list
Обновите все установочные пакеты
apt-get update
Создайте папку для Wazuh и предоставьте разрешения
sudo mkdir /usr/share/kibana/data
sudo chown -R kibana: kibana / usr / share / kibana / data
Установка плагина Wazuh для Kibana
cd /usr/share/kibana
Последние версии Wazuh, поддерживаемые elasticseach здесь
bin / kibana-plugin install https://packages.wazuh.com/4.x/ui/kibana/wazuh_kibana-4.2.5_7.14.2-1.zip
Включить соединение через запрос API wazuh
nano /usr/share/kibana/data/wazuh/config/wazuh.yml
Измените настройки по умолчанию, мы обновим адрес Мастер-сервера.
url: https://192.168.0.186
port: 55000
username: wazuh-wui
password: wazuh-wui
run_as: false
Перезапустите Kibana и, если всё пойдет хорошо, вы получите доступ к Wazuh по адресу http://192.168.0.183:5601/app/wazuh
Как вы можете видеть ниже, Wazuh имеет множество параметров безопасности, соответствие требованиям, интеграцию API, управление агентами и многие другие инструменты для управления и защиты нескольких систем (Mac, Linux, Windows), а также облачных сред, таких как Azure и AWS.
Агент Wazuh
Агент Wazuh работает на Linux, Windows, macOS, Solaris, AIX и других операционных системах. Его можно развернуть на ноутбуках, настольных компьютерах, серверах, в облаке, контейнерах или виртуальных машинах. Он обеспечивает обнаружение и предотвращение угроз, а также используется для сбора системных данных и приложений, которые он передаёт на сервер Wazuh по зашифрованному и аутентифицированному каналу.
Модели и компоненты безопасности
Агент Wazuh имеет большое количество опций и моделей. Ниже приведён актуальный список всех различных компонентов и моделей, которые можно настроить для каждого агента или группы агентов.
- Log data collection
- File integrity monitoring
- Auditing who-data
- Anomaly and malware detection
- Security Configuration Assessment
- Monitoring security policies
- Monitoring system calls
- Command monitoring
- Active response
- Agentless monitoring
- Anti-flooding mechanism
- Agent labels
- System inventory
- Vulnerability detection
- VirusTotal integration
- Osquery
- Agent key polling
- Fluentd forwarder
- Wazuh-Logtest
Распространенные варианты использования Wazuh EDR
Вот несколько распространенных вариантов использования Wazuh EDR:
Обнаружение вредоносных программ и других угроз безопасности:
- Wazuh EDR может обнаруживать и предупреждать о потенциальных угрозах безопасности, таких как вредоносные программы, вирусы и программы-вымогатели, на конечных устройствах. Он использует комбинацию методов обнаружения на основе сигнатур и поведения для выявления аномалий и потенциальных угроз. Мониторинг целостности файлов.
- Wazuh EDR может отслеживать изменения файлов на конечных устройствах и предупреждать о любых подозрительных или несанкционированных изменениях. Это может помочь определить потенциальное вмешательство или злонамеренную активность на конечной точке. Мониторинг сетевой активности.
- Wazuh EDR может отслеживать сетевую активность на конечных устройствах и предупреждать о любых подозрительных или несанкционированных сетевых подключениях. Это может помочь определить потенциальные сетевые атаки или кражу данных. Анализ системного журнала
- Wazuh EDR может отслеживать системные журналы на конечных устройствах и предупреждать о любых подозрительных или необычных действиях. Это может помочь определить потенциальные угрозы безопасности или системные проблемы. Мониторинг соответствия
- Wazuh EDR можеть быть настроен для мониторинга конечных устройств на соответствие политикам и нормам безопасности. Он может предупреждать о любых несоответствующих действиях или изменениях конфигурации.
Итог
В этом руководстве вы узнали, как установить и настроить функцию обнаружения и реагирования на рабочих станциях Wazuh (EDR). Вы узнали о системных требованиях для сервера Wazuh, а также о различных компонентах платформы Wazuh, таких как Wazuh Manager, Elasticsearch и Kibana. Руководство также познакомило вас с процессом установки и настройки агентов Wazuh на конечных устройствах, а также с настройкой Wazuh в качестве системной службы. Вы узнали об использовании Filebeat для сбора и отправки данных в Wazuh Manager и настройке Kibana для визуализации данных из Wazuh. Кроме того, вы узнали о распространенных случаях использования Wazuh EDR.