wazuh

wazuh使用

wazuh官网

前身OSSEC

OSSEC - World's Most Widely Used Host Intrusion Detection System - HIDS

现在已经开源

https://wazuh.com

Wazuh · GitHub

wazuh安装

按照官网elk安装

官方给出了两种安装方式,这里我用的是第一种(ALL-in-one deployment)整体安装 另一种是Distributed deployment (分布式安装)

首先安装必要的包

yum install zip unzip curl

安装Elasticsearch

导入GPC密码
rpm --import https://artifacts.elastic.co/GPG-KEY-elasticsearch
添加存储库
cat > /etc/yum.repos.d/elastic.repo << EOF [elasticsearch-7.x] name=Elasticsearch repository for 7.x packages baseurl=https://artifacts.elastic.co/packages/7.x/yum gpgcheck=1 gpgkey=https://artifacts.elastic.co/GPG-KEY-elasticsearch enabled=1 autorefresh=1 type=rpm-md EOF

Elasticsearch安装和配置

安装Elasticsearch包
yum install elasticsearch-7.17.9
下载配置文件

/etc/elasticsearch/elasticsearch.yml如下:

curl -so /etc/elasticsearch/elasticsearch.yml https://packages.wazuh.com/4.5/tpl/elastic-basic/elasticsearch_all_in_one.yml

证书创建和部署

下载用于创建证书的配置文件:

curl -so /usr/share/elasticsearch/instances.yml https://packages.wazuh.com/4.5/tpl/elastic-basic/instances_aio.yml

在以下步骤中,将创建一个文件,其中包含以此处定义的实例命名的文件夹。该文件夹将包含使用 SSL 与 Elasticsearch 节点通信所需的证书和密钥。

可以使用elasticsearch-certutil工具创建证书:

/usr/share/elasticsearch/bin/elasticsearch-certutil cert ca --pem --in instances.yml --keep-ca-key --out ~/certs.zip

提取/usr/share/elasticsearch/certs.zip上一步生成的文件。

unzip ~/certs.zip -d ~/certs

下一步是创建目录/etc/elasticsearch/certs,然后将 CA 文件、证书和密钥复制到其中:

mkdir /etc/elasticsearch/certs/ca -p cp -R ~/certs/ca/ ~/certs/elasticsearch/* /etc/elasticsearch/certs/ chown -R elasticsearch: /etc/elasticsearch/certs chmod -R 500 /etc/elasticsearch/certs chmod 400 /etc/elasticsearch/certs/ca/ca.* /etc/elasticsearch/certs/elasticsearch.* rm -rf ~/certs/ ~/certs.zip

启用并启动 Elasticsearch 服务:

systemctl daemon-reload systemctl enable elasticsearch systemctl start elasticsearch

为所有 Elastic Stack 预构建角色和用户生成凭证:

/usr/share/elasticsearch/bin/elasticsearch-setup-passwords auto

上面的命令将提示这样的输出。保存用户的密码elastic以进行进一步的步骤:

Output

Changed password for user apm_system
PASSWORD apm_system = lLPZhZkB6oUOzzCrkLSF
​
Changed password for user kibana_system
PASSWORD kibana_system = TaLqVOnSoqKTYLIU0vDn
​
Changed password for user kibana
PASSWORD kibana = TaLqVOvXoqKTYLIU0vDn
​
Changed password for user logstash_system
PASSWORD logstash_system = UtuDv2tWkXGYL83v9kWA
​
Changed password for user beats_system
PASSWORD beats_system = qZcbvCslafMpoEOrE9Ob
​
Changed password for user remote_monitoring_user
PASSWORD remote_monitoring_user = LzJpQiSylncmCU2GLBTS
​
Changed password for user elastic
PASSWORD elastic = AN4UeQGA7HGl5iHpMla7

要检查安装是否成功,请运行以下命令,替换<elastic_password>上一步中为用户生成的密码elastic

curl -XGET https://localhost:9200 -u elastic:<elastic_password> -k

该命令应该有如下输出:

Output

{
  "name" : "elasticsearch",
  "cluster_name" : "elasticsearch",
  "cluster_uuid" : "CFw_rkxnR7avI7pBv9MvtQ",
  "version" : {
    "number" : "7.17.9",
    "build_flavor" : "default",
    "build_type" : "rpm",
    "build_hash" : "ef48222227ee6b9e70e502f0f0daa52435ee634d",
    "build_date" : "2023-01-31T05:34:43.305517834Z",
    "build_snapshot" : false,
    "lucene_version" : "8.11.1",
    "minimum_wire_compatibility_version" : "6.8.0",
    "minimum_index_compatibility_version" : "6.0.0-beta1"
  },
  "tagline" : "You Know, for Search"
}

安装wazuh服务器

Wazuh 服务器收集并分析来自已部署代理的数据。它运行 Wazuh 管理器、Wazuh API 和 Filebeat。设置 Wazuh 的第一步是将 Wazuh 存储库添加到服务器。或者,可以直接下载 Wazuh 管理器包,并可以在此处检查兼容版本。

添加 Wazuh 存储库
  1. 导入 GPG 密钥:

    
    # rpm --import https://packages.wazuh.com/key/GPG-KEY-WAZUH
  2. 添加存储库:

    # cat > /etc/yum.repos.d/wazuh.repo << EOF
    [wazuh]
    gpgcheck=1
    gpgkey=https://packages.wazuh.com/key/GPG-KEY-WAZUH
    enabled=1
    name=EL-\$releasever - Wazuh
    baseurl=https://packages.wazuh.com/4.x/yum/
    protect=1
    EOF

3.运行以下命令检查 Wazuh 管理器是否处于活动状态:

系统系统V初始化

# systemctl status wazuh-manager

安装Filebeat

Filebeat 是 Wazuh 服务器上的工具,可将警报和存档事件安全地转发到 Elasticsearch。

Filebeat安装和配置

安装 Filebeat 包:
  1. 百胜易于

    # yum install filebeat-7.17.9
  2. 下载用于将 Wazuh 警报转发到 Elasticsearch 的预配置 Filebeat 配置文件:

    # curl -so /etc/filebeat/filebeat.yml https://packages.wazuh.com/4.5/tpl/elastic-basic/filebeat_all_in_one.yml
  3. 下载 Elasticsearch 的警报模板:

    # curl -so /etc/filebeat/wazuh-template.json https://raw.githubusercontent.com/wazuh/wazuh/4.5/extensions/elasticsearch/7.x/wazuh-template.json
    # chmod go+r /etc/filebeat/wazuh-template.json
  4. 下载 Filebeat 的 Wazuh 模块:

    # curl -s https://packages.wazuh.com/4.x/filebeat/wazuh-filebeat-0.2.tar.gz | tar -xvz -C /usr/share/filebeat/module

  5. 编辑该文件/etc/filebeat/filebeat.yml并添加以下行:

    
    output.elasticsearch.password: <elasticsearch_password>

    替换elasticsearch_password为之前为用户生成的密码elastic

  6. 将证书复制到/etc/filebeat/certs/

    # cp -r /etc/elasticsearch/certs/ca/ /etc/filebeat/certs/
    # cp /etc/elasticsearch/certs/elasticsearch.crt /etc/filebeat/certs/filebeat.crt
    # cp /etc/elasticsearch/certs/elasticsearch.key /etc/filebeat/certs/filebeat.key
  7. 启用并启动Filebeat服务:

    系统系统V初始化

    # systemctl daemon-reload
    # systemctl enable filebeat
    # systemctl start filebeat

为确保Filebeat已成功安装,请运行以下命令:

# filebeat test output

该命令应该有如下输出:

Output

elasticsearch: https://127.0.0.1:9200...
  parse url... OK
  connection...
    parse host... OK
    dns lookup... OK
    addresses: 127.0.0.1
    dial up... OK
  TLS...
    security: server's certificate chain verification is enabled
    handshake... OK
    TLS version: TLSv1.3
    dial up... OK
  talk to server... OK
  version: 7.17.9
Kibana安装和配置

Kibana 是一个灵活直观的 Web 界面,用于挖掘和可视化存储在 Elasticsearch 中的事件和档案。

  1. 安装 Kibana 包:

    百胜易于

    # yum install kibana-7.17.9
  2. 将 Elasticsearch 证书复制到 Kibana 配置文件夹中:

    # mkdir /etc/kibana/certs/ca -p
    # cp -R /etc/elasticsearch/certs/ca/ /etc/kibana/certs/
    # cp /etc/elasticsearch/certs/elasticsearch.key /etc/kibana/certs/kibana.key
    # cp /etc/elasticsearch/certs/elasticsearch.crt /etc/kibana/certs/kibana.crt
    # chown -R kibana:kibana /etc/kibana/
    # chmod -R 500 /etc/kibana/certs
    # chmod 440 /etc/kibana/certs/ca/ca.* /etc/kibana/certs/kibana.*
  3. 下载 Kibana 配置文件:

  4. 
    # curl -so /etc/kibana/kibana.yml https://packages.wazuh.com/4.5/tpl/elastic-basic/kibana_all_in_one.yml
    编辑/etc/kibana/kibana.yml文件:
    
    
    
    elasticsearch.password: <elasticsearch_password>
    要替换的值:
    
    <elasticsearch_password>:Elasticsearch安装和配置过程中为用户生成的密码elastic。

    创建/usr/share/kibana/data目录:

    # mkdir /usr/share/kibana/data
    # chown -R kibana:kibana /usr/share/kibana
  5. 安装 Wazuh Kibana 插件。插件的安装必须从 Kibana 主目录完成,如下所示:

    # cd /usr/share/kibana
    # sudo -u kibana /usr/share/kibana/bin/kibana-plugin install https://packages.wazuh.com/4.x/ui/kibana/wazuh_kibana-4.5.0_7.17.9-1.zip
  6. 将 Kibana 的套接字链接到特权端口 443:

    
    # setcap 'cap_net_bind_service=+ep' /usr/share/kibana/node/bin/node
  7. 启用并启动 Kibana 服务:

    系统系统V初始化

    # systemctl daemon-reload
    # systemctl enable kibana
    # systemctl start kibana
  8. 使用Elasticsearch安装过程中生成的密码访问Web界面:

URL: https://<wazuh_server_ip>
user: elastic
password: <PASSWORD_elastic>

首次访问 Kibana 时,浏览器会显示一条警告消息,指出证书不是由受信任的机构颁发的。可以在 Web 浏览器的高级选项中添加例外,或者为了提高安全性,ca.crt可以将先前生成的文件导入到浏览器的证书管理器中。或者,可以配置来自受信任机构的证书。

禁用存储库

本安装指南介绍了如何通过首先配置其存储库来安装和配置 Wazuh 和 Elastic Stack。

对于 Wazuh 或 Elastic Stack 的每个新版本,Wazuh 的开发团队都会彻底测试每个组件的兼容性,并在发布新的 Wazuh Kibana 插件之前进行必要的调整。

我们建议禁用存储库,以免无意中更新各个软件包,这可能会导致 Elastic Stack 版本尚未发布 Wazuh 集成。

百胜易于

# sed -i "s/^enabled=1/enabled=0/" /etc/yum.repos.d/wazuh.repo
# sed -i "s/^enabled=1/enabled=0/" /etc/yum.repos.d/elastic.repo

要卸载多合一安装的所有组件,请访问卸载部分

wazuh简介

Wazuh 是一个免费、开源和企业级的安全监控解决方案,用于威胁检测、完整性监控、事件响应和合规性。

Wazuh由部署到受监视系统的端点安全代理和管理服务器组成,管理服务器收集和分析代理收集的数据。此外,Wazuh已与Elastic Stack完全集成,提供了搜索引擎和数据可视化工具,使用户可以浏览其安全警报。

Wazuh提供的功能包括日志数据分析,入侵和恶意软件检测,文件完整性监视,配置评估,漏洞检测以及对法规遵从性的支持。

Wazuh平台的组件和体系结构

Wazuh平台主要包括三个主要组件,分别是Wazuh代理,Wazuh服务器和Elastic Stack。

  • Wazuh代理:它安装在端点上,例如笔记本电脑,台式机,服务器,云实例或虚拟机。它提供了预防,检测和响应功能。它确实支持Windows,Linux,macOS,HP-UX,Solaris和AIX平台。

  • Wazuh服务器:它分析从代理收到的数据,通过解码器和规则对其进行处理,并使用威胁情报来查找众所周知的危害指标(IOC)。一台服务器可以分析来自成百上千个代理的数据,并在设置为集群时水平扩展。该服务器还用于管理代理,在必要时进行远程配置和升级。

  • Elastic Stack:它索引和存储Wazuh服务器生成的警报。此外,Wazuh和Kibana之间的集成为数据的可视化和分析提供了强大的用户界面。该界面还可用于管理Wazuh配置并监视其状态。

    img

Wazuh架构图如下

1、整体的架构图

img

2、Agent端的组件架构

img

3、Server端的架构

img

初识wazuh

体验

首先在我们第一次进入搭建好wazuh时,小tips:wazuh官网上放有虚拟机(OVA)文件,下载即可在VM

warestation里面打开,进去之后只需要调一下网络模式,在查看ip之后,我们即可在windows中启动输入http://+自己的wazuh服务器ip即可启动啦 进去之后账号密码都是admin admin

这样我们就算是进入到wazuh的仪表盘啦

但是在linux中,我们该如何昵

Linux中我们的wazuh在/

评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Rek'Sai

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值