Wazuh Nedir ? Ne için kullanılır ? Konfigürasyonu Nasıl Yapılır ?

Wazuh kan worden geïntegreerd met Elastic Stack en OpenSCAP om een meer uitgebreide oplossing te bieden. Wanneer het geïntegreerd en gebruikt wordt, wordt het een meer uitgebreide beveiligingsmonitoringoplossing die geschikt is voor ondernemingen. Met de mogelijkheden van Wazuh kunt u verschillende controles uitvoeren, zoals kwetsbaarheden op uw systeem, ongeoorloofde toegang, loganalyse, dreigingsdetectie, integriteitsmonitoring, incident response, compliance monitoring, bestandsintegriteitscontrole, beleidsmonitoring, rootkit-detectie, Windows register monitoring, realtime waarschuwingen en actieve respons.

Wat is OpenSCAP?

OpenSCAP is een interpreter die wordt gebruikt om systeemconfiguraties te controleren en kwetsbare applicaties te identificeren, met behulp van OVAL (Open Vulnerability Assessment Language) en XCCDF (Extensible Configuration Checklist Description Format).

Wat is Elastic Stack?

Elastic Stack is een softwarepakket dat wordt gebruikt om loggegevens te verzamelen, parseren, indexeren, opslaan, doorzoeken en presenteren. Elastic Stack is een combinatie van drie populaire open source-projecten voor logbeheer: Elasticsearch, Logstash en Kibana. Samen creëren ze een realtime gebruikersinterface voor Wazuh-alarmen. De integratie van Elastic Stack met Wazuh komt met kant-en-klare dashboards voor PCI DSS-compliance en CIS (Center for Internet Security)-criteria.

Nu we een idee hebben gekregen van Wazuh en andere diensten, kunnen we doorgaan met de installatie en configuratie van Wazuh op Debian.

1. Wazuh repo toevoegen

1.Eerst beginnen we met het installeren van de benodigde pakketten.

apt install curl apt-transport-https unzip wget libcap2-bin software-properties-common lsb-release gnupg

2.Nadat de pakketten zijn geïnstalleerd, moeten we de GPG (GNU Privacy Guard, een alternatief voor PGP onder GPL-licentie) sleutel installeren.

curl -s https://packages.wazuh.com/key/GPG-KEY-WAZUH | apt-key add -

3.We voegen de benodigde repository toe.

echo "deb https://packages.wazuh.com/4.x/apt/ stable main" | tee -a /etc/apt/sources.list.d/wazuh.list

4.In de eerste stap van het toevoegen van de Wazuh-repo, werken we als laatste de pakketinformatie bij.

apt-get update

2. Wazuh manager installatie

1.We installeren het Wazuh manager pakket met behulp van apt-get.

apt-get install wazuh-manager

2.We activeren en starten de Wazuh manager dienst. Op Debian kan dit uitgevoerd worden met systemctl.

systemctl daemon-reload
systemctl enable wazuh-manager
systemctl start wazuh-manager

3.We kunnen opnieuw met behulp van systemctl bevestigen dat de Wazuh manager-dienst actief is.

systemctl status wazuh-manager

3. Elasticsearch installatie

Open Distro voor Elasticsearch is een open source-distributie van Elasticsearch, een zeer schaalbare full-text zoekmachine. Het biedt geavanceerde beveiliging, waarschuwingen, indexbeheer, diepgaande prestatieanalyse en vele andere extra functies.

1.We installeren Elasticsearch OSS en Open Distro voor Elasticsearch.

apt install elasticsearch-oss opendistroforelasticsearch

Elasticsearch configuratie

2.We downloaden het configuratiebestand met de onderstaande opdracht.

curl -so /etc/elasticsearch/elasticsearch.yml https://packages.wazuh.com/resources/4.2/open-distro/elasticsearch/7.x/elasticsearch_all_in_one.yml

Elasticsearch gebruikers en rollen

Om Wazuh Kibana zonder problemen te gebruiken, moet u gebruikers en rollen toevoegen.

3.We voegen Wazuh gebruikers en Kibana extra rollen toe met de onderstaande commando's.

curl -so /usr/share/elasticsearch/plugins/opendistro_security/securityconfig/roles.yml https://packages.wazuh.com/resources/4.2/open-distro/elasticsearch/roles/roles.yml
curl -so /usr/share/elasticsearch/plugins/opendistro_security/securityconfig/roles_mapping.yml https://packages.wazuh.com/resources/4.2/open-distro/elasticsearch/roles/roles_mapping.yml
curl -so /usr/share/elasticsearch/plugins/opendistro_security/securityconfig/internal_users.yml https://packages.wazuh.com/resources/4.2/open-distro/elasticsearch/roles/internal_users.yml

Deze gebruikers en rollen zijn ontworpen om samen te werken met de Wazuh Kibana-plugin, maar ze zijn beveiligd en kunnen niet vanuit de Kibana-interface worden gewijzigd. Om deze te wijzigen of een nieuwe gebruiker met rol toe te voegen, moet het securityadmin-script worden uitgevoerd.

Het maken van certificaten

4.Verwijder demo-certificaten.

rm /etc/elasticsearch/esnode-key.pem /etc/elasticsearch/esnode.pem /etc/elasticsearch/kirk-key.pem /etc/elasticsearch/kirk.pem /etc/elasticsearch/root-ca.pem -f

5.Maken en plaatsen van certificaten:

• wazuh-cert-tool.sh script downloaden.

curl -so ~/wazuh-cert-tool.sh https://packages.wazuh.com/resources/4.2/open-distro/tools/certificate-utility/wazuh-cert-tool.sh
curl -so ~/instances.yml https://packages.wazuh.com/resources/4.2/open-distro/tools/certificate-utility/instances_aio.yml

• Voer het gedownloade script uit om het certificaat te genereren.

bash ~/wazuh-cert-tool.sh

• Verplaats Elasticsearch-certificaten naar de bijbehorende locaties.

mkdir /etc/elasticsearch/certs/
mv ~/certs/elasticsearch* /etc/elasticsearch/certs/
mv ~/certs/admin* /etc/elasticsearch/certs/
cp ~/certs/root-ca* /etc/elasticsearch/certs/

6.Na de certificaatoperaties, activeert u de Elasticsearch-service en start deze.

systemctl daemon-reload
systemctl enable elasticsearch
systemctl start elasticsearch

7. Voer het securityadmin-script uit om de nieuwe certificaatgegevens te laden en de cluster te starten.

export JAVA_HOME=/usr/share/elasticsearch/jdk/ && /usr/share/elasticsearch/plugins/opendistro_security/tools/securityadmin.sh -cd /usr/share/elasticsearch/plugins/opendistro_security/securityconfig/ -nhnv -cacert /etc/elasticsearch/certs/root-ca.pem -cert /etc/elasticsearch/certs/admin.pem -key /etc/elasticsearch/certs/admin-key.pem

8.Test of de installatie succesvol is met het onderstaande commando.

curl -XGET https://localhost:9200 -u admin:admin -k

De voorbeeldoutput zou ongeveer als volgt moeten zijn.

  {
 "name": "node-1",
 "cluster_name": "elasticsearch",
 "cluster_uuid": "tWYgqpgdRz6fGN8gH11flw",
 "version": {
 "number": "7.10.2",
 "build_flavor": "oss",
 "build_type": "rpm",
 "build_hash": "747e1cc71def077253878a59143c1f785afa92b9",
 "build_date": "2021-01-13T00:42:12.435326Z",
 "build_snapshot": false,
 "lucene_version": "8.7.0",
 "minimum_wire_compatibility_version": "6.8.0",
 "minimum_index_compatibility_version": "6.0.0-beta1"
 },
 "tagline": "You Know, for Search"
 } 

4. Filebeat installatie

Filebeat is de tool op de Wazuh-server die waarschuwingen en gearchiveerde evenementen veilig naar Elasticsearch verzendt.

1. Installeer het Filebeat-pakket.

apt-get install filebeat

2.Download de vooraf geconfigureerde Filebeat-configuratie die wordt gebruikt voor het verzenden van Wazuh-waarschuwingen naar Elasticsearch.

curl -so /etc/filebeat/filebeat.yml https://packages.wazuh.com/resources/4.2/open-distro/filebeat/7.x/filebeat_all_in_one.yml

3.Download de waarschuwing sjablonen voor Elasticsearch.

curl -so /etc/filebeat/wazuh-template.json https://raw.githubusercontent.com/wazuh/wazuh/4.2/extensions/elasticsearch/7.x/wazuh-template.json
chmod go+r /etc/filebeat/wazuh-template.json

4.Download de Wazuh-module voor Filebeat.

curl -s https://packages.wazuh.com/4.x/filebeat/wazuh-filebeat-0.1.tar.gz | tar -xvz -C /usr/share/filebeat/module

5.Kopieer de Elasticsearch-certificaten naar /etc/filebeat/certs.

mkdir /etc/filebeat/certs
cp ~/certs/root-ca.pem /etc/filebeat/certs/
mv ~/certs/filebeat* /etc/filebeat/certs/

6.Activeer en start de Filebeat-service.

systemctl daemon-reload
systemctl enable filebeat
systemctl start filebeat

7.Voer de onderstaande opdracht uit om te testen of Filebeat met succes is geïnstalleerd.

filebeat test output

De output zou ongeveer als volgt moeten zijn. Als alles in orde is, kunt u doorgaan naar de volgende stap.

  elasticsearch: https://127.0.0.1:9200... OK
 parse url... OK
 parse host... OK
 dns lookup... OK
 addresses: 127.0.0.1
 dial up... OK
 TLS... OK
 security: server's certificate chain verification is enabled
 handshake... OK
 TLS version: TLSv1.3
 dial up... OK
 talk to server... OK
 version: 7.10.2 

5. Kibana installatie

Kibana is een flexibele en intuïtieve webinterface voor het onderzoeken en visualiseren van gebeurtenissen en archieven die zijn opgeslagen in Elasticsearch.

1.Eerst installeren we het Kibana-pakket.

apt-get install opendistroforelasticsearch-kibana

2.Download het Kibana-configuratiebestand.

curl -so /etc/kibana/kibana.yml https://packages.wazuh.com/resources/4.2/open-distro/kibana/7.x/kibana_all_in_one.yml

In het /etc/kibana/kibana.yml-bestand staat dat de server.host-waarde 0.0.0.0 is. Dit betekent dat Kibana vanaf externe locaties toegankelijk zal zijn en alle verbindingen zal accepteren. U kunt deze waarde wijzigen om toegang via een specifiek IP te krijgen.

3.Als volgende stap creëren we de /usr/share/kibana/data-directory en geven we de benodigde rechten.

mkdir /usr/share/kibana/data
chown -R kibana:kibana /usr/share/kibana/data

4.Installeer de Wazuh Kibana-plugin. De installatie moet plaatsvinden binnen de hoofdmap van Kibana.

cd /usr/share/kibana
sudo -u kibana /usr/share/kibana/bin/kibana-plugin install https://packages.wazuh.com/4.x/ui/kibana/wazuh_kibana-4.2.4_7.10.2-1.zip

5.Kopieer de Elasticsearch-certificaten naar /etc/kibana/certs.

mkdir /etc/kibana/certs
cp ~/certs/root-ca.pem /etc/kibana/certs/
mv ~/certs/kibana* /etc/kibana/certs/
chown kibana:kibana /etc/kibana/certs/*

6.Verbind de Kibana-socket met de privileged 443-poort.

setcap 'cap_net_bind_service=+ep' /usr/share/kibana/node/bin/node

7.Ten slotte activeren en starten we de Kibana-service, waarna we toegang kunnen krijgen tot de webinterface.

systemctl daemon-reload
systemctl enable kibana
systemctl start kibana

8.Als u alles tot dit punt zonder problemen heeft gedaan, kunt u nu verbinding maken met de webinterface.

URL: https://
user: admin
password: admin

We zullen het loggen met Wazuh-agent in een ander artikel behandelen.