wazuh

原创

已于 2024-11-25 13:25:28 修改 · 2.8k 阅读

23 ·

CC 4.0 BY-SA版权

livedream

文章标签：

#jenkins #运维 #安全 #服务器 #linux #centos

于 2023-08-20 07:34:43 首次发布

wazuh使用

wazuh官网

前身OSSEC

OSSEC - World's Most Widely Used Host Intrusion Detection System - HIDS

现在已经开源

https://wazuh.com

Wazuh · GitHub

wazuh安装

按照官网elk安装

官方给出了两种安装方式，这里我用的是第一种（ALL-in-one deployment)整体安装另一种是Distributed deployment (分布式安装)

首先安装必要的包

yum install zip unzip curl

安装Elasticsearch

导入GPC密码

rpm --import https://artifacts.elastic.co/GPG-KEY-elasticsearch

添加存储库

cat > /etc/yum.repos.d/elastic.repo << EOF [elasticsearch-7.x] name=Elasticsearch repository for 7.x packages baseurl=https://artifacts.elastic.co/packages/7.x/yum gpgcheck=1 gpgkey=https://artifacts.elastic.co/GPG-KEY-elasticsearch enabled=1 autorefresh=1 type=rpm-md EOF

Elasticsearch安装和配置

安装Elasticsearch包

yum install elasticsearch-7.17.9

下载配置文件

/etc/elasticsearch/elasticsearch.yml如下：

curl -so /etc/elasticsearch/elasticsearch.yml https://packages.wazuh.com/4.5/tpl/elastic-basic/elasticsearch_all_in_one.yml

证书创建和部署

下载用于创建证书的配置文件：

curl -so /usr/share/elasticsearch/instances.yml https://packages.wazuh.com/4.5/tpl/elastic-basic/instances_aio.yml

在以下步骤中，将创建一个文件，其中包含以此处定义的实例命名的文件夹。该文件夹将包含使用 SSL 与 Elasticsearch 节点通信所需的证书和密钥。

可以使用elasticsearch-certutil工具创建证书：

/usr/share/elasticsearch/bin/elasticsearch-certutil cert ca --pem --in instances.yml --keep-ca-key --out ~/certs.zip

提取/usr/share/elasticsearch/certs.zip上一步生成的文件。

unzip ~/certs.zip -d ~/certs

下一步是创建目录/etc/elasticsearch/certs，然后将 CA 文件、证书和密钥复制到其中：

mkdir /etc/elasticsearch/certs/ca -p cp -R ~/certs/ca/ ~/certs/elasticsearch/* /etc/elasticsearch/certs/ chown -R elasticsearch: /etc/elasticsearch/certs chmod -R 500 /etc/elasticsearch/certs chmod 400 /etc/elasticsearch/certs/ca/ca.* /etc/elasticsearch/certs/elasticsearch.* rm -rf ~/certs/ ~/certs.zip

启用并启动 Elasticsearch 服务：

systemctl daemon-reload systemctl enable elasticsearch systemctl start elasticsearch

为所有 Elastic Stack 预构建角色和用户生成凭证：

/usr/share/elasticsearch/bin/elasticsearch-setup-passwords auto

上面的命令将提示这样的输出。保存用户的密码elastic以进行进一步的步骤：

Output

Changed password for user apm_system
PASSWORD apm_system = lLPZhZkB6oUOzzCrkLSF

Changed password for user kibana_system
PASSWORD kibana_system = TaLqVOnSoqKTYLIU0vDn

Changed password for user kibana
PASSWORD kibana = TaLqVOvXoqKTYLIU0vDn

Changed password for user logstash_system
PASSWORD logstash_system = UtuDv2tWkXGYL83v9kWA

Changed password for user beats_system
PASSWORD beats_system = qZcbvCslafMpoEOrE9Ob

Changed password for user remote_monitoring_user
PASSWORD remote_monitoring_user = LzJpQiSylncmCU2GLBTS

Changed password for user elastic
PASSWORD elastic = AN4UeQGA7HGl5iHpMla7

要检查安装是否成功，请运行以下命令，替换<elastic_password>上一步中为用户生成的密码elastic：

curl -XGET https://localhost:9200 -u elastic:<elastic_password> -k

该命令应该有如下输出：

Output

{
  "name" : "elasticsearch",
  "cluster_name" : "elasticsearch",
  "cluster_uuid" : "CFw_rkxnR7avI7pBv9MvtQ",
  "version" : {
    "number" : "7.17.9",
    "build_flavor" : "default",
    "build_type" : "rpm",
    "build_hash" : "ef48222227ee6b9e70e502f0f0daa52435ee634d",
    "build_date" : "2023-01-31T05:34:43.305517834Z",
    "build_snapshot" : false,
    "lucene_version" : "8.11.1",
    "minimum_wire_compatibility_version" : "6.8.0",
    "minimum_index_compatibility_version" : "6.0.0-beta1"
  },
  "tagline" : "You Know, for Search"
}

安装wazuh服务器

Wazuh 服务器收集并分析来自已部署代理的数据。它运行 Wazuh 管理器、Wazuh API 和 Filebeat。设置 Wazuh 的第一步是将 Wazuh 存储库添加到服务器。或者，可以直接下载 Wazuh 管理器包，并可以在此处检查兼容版本。

添加 Wazuh 存储库

导入 GPG 密钥：


# rpm --import https://packages.wazuh.com/key/GPG-KEY-WAZUH

添加存储库：

# cat > /etc/yum.repos.d/wazuh.repo << EOF
[wazuh]
gpgcheck=1
gpgkey=https://packages.wazuh.com/key/GPG-KEY-WAZUH
enabled=1
name=EL-\$releasever - Wazuh
baseurl=https://packages.wazuh.com/4.x/yum/
protect=1
EOF

3.运行以下命令检查 Wazuh 管理器是否处于活动状态：

系统系统V初始化
# systemctl status wazuh-manager

安装Filebeat

Filebeat 是 Wazuh 服务器上的工具，可将警报和存档事件安全地转发到 Elasticsearch。

Filebeat安装和配置

安装 Filebeat 包：

百胜易于
```
# yum install filebeat-7.17.9
```

下载用于将 Wazuh 警报转发到 Elasticsearch 的预配置 Filebeat 配置文件：

# curl -so /etc/filebeat/filebeat.yml https://packages.wazuh.com/4.5/tpl/elastic-basic/filebeat_all_in_one.yml

下载 Elasticsearch 的警报模板：

# curl -so /etc/filebeat/wazuh-template.json https://raw.githubusercontent.com/wazuh/wazuh/4.5/extensions/elasticsearch/7.x/wazuh-template.json
# chmod go+r /etc/filebeat/wazuh-template.json

下载 Filebeat 的 Wazuh 模块：

# curl -s https://packages.wazuh.com/4.x/filebeat/wazuh-filebeat-0.2.tar.gz | tar -xvz -C /usr/share/filebeat/module

编辑该文件/etc/filebeat/filebeat.yml并添加以下行：
```
output.elasticsearch.password: <elasticsearch_password>
```
替换elasticsearch_password为之前为用户生成的密码elastic。

将证书复制到/etc/filebeat/certs/

# cp -r /etc/elasticsearch/certs/ca/ /etc/filebeat/certs/
# cp /etc/elasticsearch/certs/elasticsearch.crt /etc/filebeat/certs/filebeat.crt
# cp /etc/elasticsearch/certs/elasticsearch.key /etc/filebeat/certs/filebeat.key

启用并启动Filebeat服务：

系统系统V初始化

# systemctl daemon-reload
# systemctl enable filebeat
# systemctl start filebeat

为确保Filebeat已成功安装，请运行以下命令：

# filebeat test output

该命令应该有如下输出：

Output

elasticsearch: https://127.0.0.1:9200...
  parse url... OK
  connection...
    parse host... OK
    dns lookup... OK
    addresses: 127.0.0.1
    dial up... OK
  TLS...
    security: server's certificate chain verification is enabled
    handshake... OK
    TLS version: TLSv1.3
    dial up... OK
  talk to server... OK
  version: 7.17.9

Kibana安装和配置

Kibana 是一个灵活直观的 Web 界面，用于挖掘和可视化存储在 Elasticsearch 中的事件和档案。

安装 Kibana 包：
百胜易于
```
# yum install kibana-7.17.9
```

将 Elasticsearch 证书复制到 Kibana 配置文件夹中：

# mkdir /etc/kibana/certs/ca -p
# cp -R /etc/elasticsearch/certs/ca/ /etc/kibana/certs/
# cp /etc/elasticsearch/certs/elasticsearch.key /etc/kibana/certs/kibana.key
# cp /etc/elasticsearch/certs/elasticsearch.crt /etc/kibana/certs/kibana.crt
# chown -R kibana:kibana /etc/kibana/
# chmod -R 500 /etc/kibana/certs
# chmod 440 /etc/kibana/certs/ca/ca.* /etc/kibana/certs/kibana.*

下载 Kibana 配置文件：


# curl -so /etc/kibana/kibana.yml https://packages.wazuh.com/4.5/tpl/elastic-basic/kibana_all_in_one.yml
编辑/etc/kibana/kibana.yml文件：



elasticsearch.password: <elasticsearch_password>
要替换的值：

<elasticsearch_password>：Elasticsearch安装和配置过程中为用户生成的密码elastic。

创建/usr/share/kibana/data目录：

# mkdir /usr/share/kibana/data
# chown -R kibana:kibana /usr/share/kibana

安装 Wazuh Kibana 插件。插件的安装必须从 Kibana 主目录完成，如下所示：

# cd /usr/share/kibana
# sudo -u kibana /usr/share/kibana/bin/kibana-plugin install https://packages.wazuh.com/4.x/ui/kibana/wazuh_kibana-4.5.0_7.17.9-1.zip

将 Kibana 的套接字链接到特权端口 443：


# setcap 'cap_net_bind_service=+ep' /usr/share/kibana/node/bin/node

启用并启动 Kibana 服务：

系统系统V初始化

# systemctl daemon-reload
# systemctl enable kibana
# systemctl start kibana

使用Elasticsearch安装过程中生成的密码访问Web界面：

URL: https://<wazuh_server_ip>
user: elastic
password: <PASSWORD_elastic>
首次访问 Kibana 时，浏览器会显示一条警告消息，指出证书不是由受信任的机构颁发的。可以在 Web 浏览器的高级选项中添加例外，或者为了提高安全性，ca.crt可以将先前生成的文件导入到浏览器的证书管理器中。或者，可以配置来自受信任机构的证书。

禁用存储库

本安装指南介绍了如何通过首先配置其存储库来安装和配置 Wazuh 和 Elastic Stack。

对于 Wazuh 或 Elastic Stack 的每个新版本，Wazuh 的开发团队都会彻底测试每个组件的兼容性，并在发布新的 Wazuh Kibana 插件之前进行必要的调整。

我们建议禁用存储库，以免无意中更新各个软件包，这可能会导致 Elastic Stack 版本尚未发布 Wazuh 集成。

百胜易于

# sed -i "s/^enabled=1/enabled=0/" /etc/yum.repos.d/wazuh.repo
# sed -i "s/^enabled=1/enabled=0/" /etc/yum.repos.d/elastic.repo

要卸载多合一安装的所有组件，请访问卸载部分。

wazuh简介

Wazuh 是一个免费、开源和企业级的安全监控解决方案，用于威胁检测、完整性监控、事件响应和合规性。

Wazuh由部署到受监视系统的端点安全代理和管理服务器组成，管理服务器收集和分析代理收集的数据。此外，Wazuh已与Elastic Stack完全集成，提供了搜索引擎和数据可视化工具，使用户可以浏览其安全警报。

Wazuh提供的功能包括日志数据分析，入侵和恶意软件检测，文件完整性监视，配置评估，漏洞检测以及对法规遵从性的支持。

Wazuh平台的组件和体系结构

Wazuh平台主要包括三个主要组件，分别是Wazuh代理，Wazuh服务器和Elastic Stack。

Wazuh代理：它安装在端点上，例如笔记本电脑，台式机，服务器，云实例或虚拟机。它提供了预防，检测和响应功能。它确实支持Windows，Linux，macOS，HP-UX，Solaris和AIX平台。
Wazuh服务器：它分析从代理收到的数据，通过解码器和规则对其进行处理，并使用威胁情报来查找众所周知的危害指标（IOC）。一台服务器可以分析来自成百上千个代理的数据，并在设置为集群时水平扩展。该服务器还用于管理代理，在必要时进行远程配置和升级。
Elastic Stack：它索引和存储Wazuh服务器生成的警报。此外，Wazuh和Kibana之间的集成为数据的可视化和分析提供了强大的用户界面。该界面还可用于管理Wazuh配置并监视其状态。