Wazuhは、脅威の検出、整合性の監視、インシデント対応、およびコンプライアンスのための、無料のオープンソースのエンタープライズ対応のセキュリティ監視ソリューションです。
このチュートリアルでは、分散アーキテクチャのインストールについて説明します。分散アーキテクチャは、異なるホストを介してWazuhマネージャーとエラスティックスタッククラスターを制御します。 WazuhマネージャーとElasticStackは、単一ホストの実装によって同じプラットフォームで管理されます。
Wazuhサーバー :APIとWazuhManagerを実行します。デプロイされたエージェントからのデータが収集および分析されます。
エラスティックスタック :Elasticsearch、Filebeat、およびKibana(Wazuhを含む)を実行します。 Wazuhマネージャーのアラートデータの読み取り、解析、インデックス作成、保存を行います。
Wazuhエージェント :監視対象のホストで実行され、ログと構成データを収集し、侵入と異常を検出します。
1。 Wazuhサーバーのインストール
事前設定
最初にホスト名を設定しましょう。ターミナルを起動し、次のコマンドを入力します:
hostnamectl set-hostname wazuh-server
CentOSとパッケージの更新:
yum update -y
次に、NTPをインストールし、そのサービスステータスを確認します。
yum install ntp
systemctl status ntpd
サービスが開始されていない場合は、以下のコマンドを使用してサービスを開始します。
systemctl start ntpd
システム起動時にNTPを有効にする:
systemctl enable ntpd
ファイアウォールルールを変更して、NTPサービスを許可します。次のコマンドを実行して、サービスを有効にします。
firewall-cmd --add-service=ntp --zone=public --permanent
firewall-cmd --reload
WazuhManagerのインストール
キーを追加しましょう:
rpm --import https://packages.wazuh.com/key/GPG-KEY-WAZUH
Wazuhリポジトリを編集します:
vim /etc/yum.repos.d/wazuh.repo
次のコンテンツをファイルに追加します。
[wazuh_repo] gpgcheck=1 gpgkey=https://packages.wazuh.com/key/GPG-KEY-WAZUH enabled=1 name=Wazuh repository baseurl=https://packages.wazuh.com/3.x/yum/ protect=1
ファイルを保存して終了します。
repolistを使用してリポジトリを一覧表示します コマンド。
yum repolist
次のコマンドを使用してWazuhマネージャーをインストールします。
yum install wazuh-manager -y
次に、Wazuh Managerをインストールし、ステータスを確認します。
systemctl status wazuh-manager
WazuhAPIのインストール
WazuhAPIを実行するにはNodeJS>=4.6.1が必要です。
公式のNodeJSリポジトリを追加します:
curl --silent --location https://rpm.nodesource.com/setup_8.x | bash -
NodeJSをインストールします:
yum install nodejs -y
WazuhAPIをインストールします。必要に応じてNodeJSを更新します:
yum install wazuh-api
wazuh-apiのステータスを確認してください。
systemctl status wazuh-api
次のコマンドを使用して、デフォルトの資格情報を手動で変更します。
cd /var/ossec/api/configuration/auth
ユーザーのパスワードを設定します。
node htpasswd -Bc -C 10 user darshana
APIを再起動します。
systemctl restart wazuh-api
必要に応じて、手動でポートを変更できます。ファイル/var/ossec/api/configuration/config.jsには、次のパラメーターが含まれています。
// TCP Port used by the API. config.port = "55000";
デフォルトのポートは変更していません。
Filebeatのインストール
Filebeatは、アラートとアーカイブされたイベントをElasticsearchに安全に転送するWazuhサーバー上のツールです。インストールするには、次のコマンドを実行します。
rpm --import https://packages.elastic.co/GPG-KEY-elasticsearch
リポジトリの設定:
vim /etc/yum.repos.d/elastic.repo
次のコンテンツをサーバーに追加します。
[elasticsearch-7.x] name=Elasticsearch repository for 7.x packages baseurl=https://artifacts.elastic.co/packages/7.x/yum gpgcheck=1 gpgkey=https://artifacts.elastic.co/GPG-KEY-elasticsearch enabled=1 autorefresh=1 type=rpm-md
Filebeatのインストール:
yum install filebeat-7.5.1
WazuhリポジトリからFilebeat構成ファイルをダウンロードします。これは、WazuhアラートをElasticsearchに転送するように事前構成されています:
curl -so /etc/filebeat/filebeat.yml https://raw.githubusercontent.com/wazuh/wazuh/v3.11.0/extensions/filebeat/7.x/filebeat.yml
ファイルのアクセス許可を変更する:
chmod go+r /etc/filebeat/filebeat.yml
Elasticsearchのアラートテンプレートをダウンロードします:
curl -so /etc/filebeat/wazuh-template.json https://raw.githubusercontent.com/wazuh/wazuh/v3.11.0/extensions/elasticsearch/7.x/wazuh-template.json>
chmod go+r /etc/filebeat/wazuh-template.json
Filebeat用のWazuhモジュールをダウンロードします:
curl -s https://packages.wazuh.com/3.x/filebeat/wazuh-filebeat-0.1.tar.gz | sudo tar -xvz -C /usr/share/filebeat/module
ElasticsearchサーバーのIPを追加します。 「filebeat.yml」を編集します。
vim /etc/filebeat/filebeat.yml
次の行を変更します。
output.elasticsearch.hosts: ['http://ELASTIC_SERVER_IP:9200']
Filebeatサービスを有効にして開始します:
systemctl daemon-reload systemctl enable filebeat.service systemctl start filebeat.service
2。 ElasticStackのインストール
次に、ELKを使用して2番目のCentosサーバーを構成します。
ElasticStackサーバーで構成を行います。
事前設定
いつものように、最初にホスト名を設定しましょう。
hostnamectl set-hostname elk
システムを更新します:
yum update -y
ELKのインストール
RPMパッケージを使用してElasticStackをインストールしてから、ElasticリポジトリとそのGPGキーを追加します。
rpm --import https://packages.elastic.co/GPG-KEY-elasticsearch
リポジトリファイルを作成します:
vim /etc/yum.repos.d/elastic.repo
次のコンテンツをファイルに追加します:
[elasticsearch-7.x] name=Elasticsearch repository for 7.x packages baseurl=https://artifacts.elastic.co/packages/7.x/yum gpgcheck=1 gpgkey=https://artifacts.elastic.co/GPG-KEY-elasticsearch enabled=1 autorefresh=1 type=rpm-md
Elasticsearchのインストール
Elasticsearchパッケージをインストールします:
yum install elasticsearch-7.5.1
Elasticsearchは、デフォルトでループバックインターフェイス(localhost)でリッスンします。 /etc/elasticsearch/elasticsearch.ymlを編集し、network.host構成のコメントを解除して、非ループバックアドレスをリッスンするようにElasticsearchを構成します。接続するIP値を調整します:
network.host: 0.0.0.0
ファイアウォールルールを変更します。
firewall-cmd --permanent --zone=public --add-rich-rule=' rule family="ipv4" source address="34.232.210.23/32" port protocol="tcp" port="9200" accept'を受け入れる
ファイアウォールルールを再読み込みします:
firewall-cmd --reload
ElasticSearch構成ファイルにはさらに構成が必要になります。
「elasticsearch.yml」ファイルを編集します。
vim /etc/elasticsearch/elasticsearch.yml
「node.name」と「cluster.initial_master_nodes」を変更または編集します。
node.name: <node_name>
cluster.initial_master_nodes: ["<node_name>"]
Elasticsearchサービスを有効にして開始します:
systemctl daemon-reload
システム起動時に有効にします。
systemctl enable elasticsearch.service
ElasticSearchサービスを開始します。
systemctl start elasticsearch.service
ElasticSearchのステータスを確認してください。
systemctl status elasticsearch.service
ログファイルで問題がないか確認してください。
tail -f /var/log/elasticsearch/elasticsearch.log
Elasticsearchが起動して実行されたら、Filebeatテンプレートをロードする必要があります。 Wazuhサーバーで次のコマンドを実行します(そこにfilebeatをインストールしました)。
filebeat setup --index-management -E setup.template.json.enabled=false
Kibanaのインストール
Kibanaパッケージをインストールします:
yum install kibana-7.5.1
Kibana用のWazuhアプリプラグインをインストールします:
sudo -u kibana /usr/share/kibana/bin/kibana-plugin install https://packages.wazuh.com/wazuhapp/wazuhapp-3.11.0_7.5.1.zip
Kibanaプラグイン外部からKibanaにアクセスするには、Kibana構成を変更する必要があります。
Kibana構成ファイルを編集します。
vim /etc/kibana/kibana.yml
次の行を変更します。
server.host: "0.0.0.0"
ElasticsearchインスタンスのURLを設定します。
elasticsearch.hosts: ["http://localhost:9200"]
Kibanaサービスを有効にして開始します:
systemctl daemon-reload systemctl enable kibana.service systemctl start kibana.service
Kibana構成へのWazuhAPIの追加
「wazuh.yml」を編集します。
vim /usr/share/kibana/plugins/wazuh/wazuh.yml
ホスト名、ユーザー名、パスワードを編集します:
ファイルを保存して終了し、Kibanaサービスを再起動します。
systemctl restart kibana.service
WazuhサーバーとELKサーバーをインストールしました。次に、エージェントを使用してホストを追加します。
3。 Wazuhエージェントのインストール
私。 Ubuntuサーバーの追加
a。必要なパッケージのインストール
apt-get install curl apt-transport-https lsb-release gnupg2
WazuhリポジトリのGPGキーをインストールします:
curl -s https://packages.wazuh.com/key/GPG-KEY-WAZUH | apt-key add -
リポジトリを追加してから、リポジトリを更新します。
echo "deb https://packages.wazuh.com/3.x/apt/ stable main" | tee /etc/apt/sources.list.d/wazuh.list
apt-get update
b。 Wazuhエージェントのインストール
Blowコマンドは、インストール時に「WAZUH_MANAGER」IPをwazuh-agent構成に自動的に追加します。
WAZUH_MANAGER="52.91.79.65" apt-get install wazuh-agent
II。 CentOSホストの追加
Wazuhリポジトリを追加します。
rpm --import http://packages.wazuh.com/key/GPG-KEY-WAZUH
編集してリポジトリに追加します:
vim /etc/yum.repos.d/wazuh.repo
次のコンテンツを追加します:
[wazuh_repo] gpgcheck=1 gpgkey=https://packages.wazuh.com/key/GPG-KEY-WAZUH enabled=1 name=Wazuh repository baseurl=https://packages.wazuh.com/3.x/yum/ protect=1
エージェントをインストールします。
WAZUH_MANAGER="52.91.79.65" yum install wazuh-agent
4。 Wazuhダッシュボードへのアクセス
IPを使用してKibanaを閲覧します。
http://IP or hostname:5601/
以下のインターフェースが表示されます。
次に、「Wazuh」アイコンをクリックしてダッシュボードに移動します。次のように「Wazuh」ダッシュボードが表示されます。
ここでは、セキュリティイベントをクリックすると、接続されたエージェント、セキュリティ情報管理などを確認できます。イベントのグラフィカルビューを見ることができます。
ここまで到達したら、おめでとうございます! CentOSにWazuhサーバーをインストールして構成する方法は以上です。