ELK, SIEM de OpenSource, Open Distro: Integração com WAZUH

Avançando em nosso projeto. Concluímos a parte do SIEM. É hora de mover nosso projeto de um simples observador para um respondente ativo. Uma das ferramentas importantes que usamos para isso é o Wazuh. Neste artigo, esperamos educá-lo sobre os benefícios oferecidos por esta ferramenta. Também iremos informá-lo sobre como instalá-lo e usá-lo.



Wazuh é um mecanismo de detecção, visualização e comparação de conformidade de segurança de código aberto.



Foi criado como um fork do OSSEC HIDS, posteriormente integrado ao Elastic Stack e OpenSCAP, que se tornou uma solução mais abrangente.



O Wazuh ajuda você a obter maior visibilidade de segurança em sua infraestrutura, rastreando hosts no sistema operacional e na camada de aplicativos.



Índice de todas as postagens.





O artigo está dividido nas seguintes seções:



  • Instalação do servidor e agente Wazuh


  1. Instalando o servidor Wazuh



  2. Instalando o agente Wazuh



  3. Instalação de aplicativo e integração com kibana



  4. Configurando e conectando agentes







1- wazuh



Wazuh — , , , . , .



Wazuh: Wazuh, API Filebeat. .



Wazuh: , . Wazuh, .



1.1- Wazuh:



Wazuh , , . , ( , , , . .), / . Elasticsearch .



(Single-host architecture (HIDS)), :





. :



https://documentation.wazuh.com/3.8/getting-started/architecture.html



1.2- Wazuh manager, API Filebeat



wazuh



https://documentation.wazuh.com/3.12/installation-guide/installing-wazuh-manager/linux/ubuntu/wazuh_server_packages_ubuntu.html#wazuh-server-packages-ubuntu



filebeat: filebeat elasticsearch logstash. elasticsearch ssl ( , )



cd /etc/filebeat
nano filebeat.yml




3 :



filebeat setup — index-management
service filebeat start
service wazuh-manager start
service wazuh-api start






1.3- wazuh-





https://documentation.wazuh.com/3.12/installation-guide/installing-wazuh-agent/linux/ubuntu12.04-or-greater/wazuh_agent_package_ubuntu12.04_or_greater.html#wazuh-agent-package-ubuntu12-04-or



, wazuh-agent:





1.4- wazuh Kibana:



Wazuh Kibana ELK, .



Git Hub, -.



wazuh, ELK Stack 7.6.1. .



cd /usr/share/kibana

sudo -u kibana bin/kibana-plugin install https://packages.wazuh.com/wazuhapp/wazuhapp-3.12.2_7.6.1.zip


Kibana, :



cat >> /etc/default/kibana << EOF
NODE_OPTIONS=" —max_old_space_size=2048"
EOF


:



systemctl restart kibana


:



https://github.com/wazuh/wazuh-kibana-app



, wazuh . . wazuh api. . . , . , .





1–5



. .



Wazuh manager manage_agents, . . :



/var/ossec/bin/manage_agents




, A . , , user1. IP- . : IP- , () IP-. Enter



, wazuh.



E . , 001.





, Wazuh, Linux root. .





/var/ossec/bin/manage_agents -i "__"


, "y" Enter.





Wazuh /var/ossec/etc/ossec.conf, IP- Wazuh. <> <> MANAGER_IP Wazuh. Wazuh- IP- DNS-:





1.6- :



, ELK wazuh. . - (wazuh-alert wazuh-monitoring)





  1. Wazuh:





Wazuh , Wazuh-manager.



— , , . — . , .



, IP- , , , Bruteforce, , RDP SSH, .



, IP- , , Wazuh. SSH-Bruteforce. 8 . , "5712 — SSHD ". . , IP .



-, , .



OSSEC , . / var / ossec / active-response / bin / . firewall-drop.sh, Linux / Unix IP- .



ossec.conf OSSEC Manager:



nano /var/ossec/etc/ossec.conf


firewall-drop.sh, Linux / Unix IP- .





OSSEC . :



-command: (firewall-drop).



-location: . , . , local.



-rules_id: , 5712.



-timeout: IP 60 (iptables, ipfilter . .)





. wazuh-manager :



service wazuh-manager restart


wazuh-agent ossec.conf :



<active-response>
<disabled>no</disabled>
</active-response>


SSH -, Wazuh, 60 8 .



Wazuh, :



https://documentation.wazuh.com/3.7/user-manual/capabilities/active-response/how-it-works.html



Bate-papo por telegrama no Elasticsearch: https://t.me/elasticsearch_ru




All Articles