Avançando em nosso projeto. Concluímos a parte do SIEM. É hora de mover nosso projeto de um simples observador para um respondente ativo. Uma das ferramentas importantes que usamos para isso é o Wazuh. Neste artigo, esperamos educá-lo sobre os benefícios oferecidos por esta ferramenta. Também iremos informá-lo sobre como instalá-lo e usá-lo.
Wazuh é um mecanismo de detecção, visualização e comparação de conformidade de segurança de código aberto.
Foi criado como um fork do OSSEC HIDS, posteriormente integrado ao Elastic Stack e OpenSCAP, que se tornou uma solução mais abrangente.
O Wazuh ajuda você a obter maior visibilidade de segurança em sua infraestrutura, rastreando hosts no sistema operacional e na camada de aplicativos.
Índice de todas as postagens.
- Introdução. Implantação de infraestrutura e tecnologia para SOC as a Service (SOCasS)
- Pilha ELK - instalação e configuração
- Caminhando pela Distro aberta
- Painéis e visualização ELK SIEM
- Integração com WAZUH
- Alerta
- Fazendo relatório
- Gestão de caso
O artigo está dividido nas seguintes seções:
- Instalação do servidor e agente Wazuh
Instalando o servidor Wazuh
Instalando o agente Wazuh
Instalação de aplicativo e integração com kibana
Configurando e conectando agentes
1- wazuh
Wazuh — , , , . , .
Wazuh: Wazuh, API Filebeat. .
Wazuh: , . Wazuh, .
1.1- Wazuh:
Wazuh , , . , ( , , , . .), / . Elasticsearch .
(Single-host architecture (HIDS)), :
. :
https://documentation.wazuh.com/3.8/getting-started/architecture.html
1.2- Wazuh manager, API Filebeat
wazuh
filebeat: filebeat elasticsearch logstash. elasticsearch ssl ( , )
cd /etc/filebeat
nano filebeat.yml
3 :
filebeat setup — index-management
service filebeat start
service wazuh-manager start
service wazuh-api start
1.3- wazuh-
, wazuh-agent:
1.4- wazuh Kibana:
Wazuh Kibana ELK, .
Git Hub, -.
wazuh, ELK Stack 7.6.1. .
cd /usr/share/kibana
sudo -u kibana bin/kibana-plugin install https://packages.wazuh.com/wazuhapp/wazuhapp-3.12.2_7.6.1.zip
Kibana, :
cat >> /etc/default/kibana << EOF
NODE_OPTIONS=" —max_old_space_size=2048"
EOF
:
systemctl restart kibana
:
https://github.com/wazuh/wazuh-kibana-app
, wazuh . . wazuh api. . . , . , .
1–5
. .
Wazuh manager manage_agents, . . :
/var/ossec/bin/manage_agents
, A . , , user1. IP- . : IP- , () IP-. Enter
, wazuh.
E . , 001.
, Wazuh, Linux root. .
/var/ossec/bin/manage_agents -i "__"
, "y" Enter.
Wazuh /var/ossec/etc/ossec.conf
, IP- Wazuh. <> <> MANAGER_IP Wazuh. Wazuh- IP- DNS-:
1.6- :
, ELK wazuh. . - (wazuh-alert wazuh-monitoring)
Wazuh:
Wazuh , Wazuh-manager.
— , , . — . , .
, IP- , , , Bruteforce, , RDP SSH, .
, IP- , , Wazuh. SSH-Bruteforce. 8 . , "5712 — SSHD ". . , IP .
-, , .
OSSEC , . / var / ossec / active-response / bin / . firewall-drop.sh, Linux / Unix IP- .
ossec.conf OSSEC Manager:
nano /var/ossec/etc/ossec.conf
firewall-drop.sh, Linux / Unix IP- .
OSSEC . :
-command: (firewall-drop).
-location: . , . , local.
-rules_id: , 5712.
-timeout: IP 60 (iptables, ipfilter . .)
. wazuh-manager :
service wazuh-manager restart
wazuh-agent ossec.conf :
<active-response>
<disabled>no</disabled>
</active-response>
SSH -, Wazuh, 60 8 .
Wazuh, :
https://documentation.wazuh.com/3.7/user-manual/capabilities/active-response/how-it-works.html
Bate-papo por telegrama no Elasticsearch: https://t.me/elasticsearch_ru