wazuh使用
wazuh官网
前身OSSEC
OSSEC - World's Most Widely Used Host Intrusion Detection System - HIDS
现在已经开源
wazuh安装
按照官网elk安装
官方给出了两种安装方式,这里我用的是第一种(ALL-in-one deployment)整体安装 另一种是Distributed deployment (分布式安装)
首先安装必要的包
yum install zip unzip curl
安装Elasticsearch
导入GPC密码
rpm --import https://artifacts.elastic.co/GPG-KEY-elasticsearch
添加存储库
cat > /etc/yum.repos.d/elastic.repo << EOF [elasticsearch-7.x] name=Elasticsearch repository for 7.x packages baseurl=https://artifacts.elastic.co/packages/7.x/yum gpgcheck=1 gpgkey=https://artifacts.elastic.co/GPG-KEY-elasticsearch enabled=1 autorefresh=1 type=rpm-md EOF
Elasticsearch安装和配置
安装Elasticsearch包
yum install elasticsearch-7.17.9
下载配置文件
/etc/elasticsearch/elasticsearch.yml
如下:
curl -so /etc/elasticsearch/elasticsearch.yml https://packages.wazuh.com/4.5/tpl/elastic-basic/elasticsearch_all_in_one.yml
证书创建和部署
下载用于创建证书的配置文件:
curl -so /usr/share/elasticsearch/instances.yml https://packages.wazuh.com/4.5/tpl/elastic-basic/instances_aio.yml
在以下步骤中,将创建一个文件,其中包含以此处定义的实例命名的文件夹。该文件夹将包含使用 SSL 与 Elasticsearch 节点通信所需的证书和密钥。
可以使用elasticsearch-certutil工具创建证书:
/usr/share/elasticsearch/bin/elasticsearch-certutil cert ca --pem --in instances.yml --keep-ca-key --out ~/certs.zip
提取/usr/share/elasticsearch/certs.zip
上一步生成的文件。
unzip ~/certs.zip -d ~/certs
下一步是创建目录/etc/elasticsearch/certs
,然后将 CA 文件、证书和密钥复制到其中:
mkdir /etc/elasticsearch/certs/ca -p cp -R ~/certs/ca/ ~/certs/elasticsearch/* /etc/elasticsearch/certs/ chown -R elasticsearch: /etc/elasticsearch/certs chmod -R 500 /etc/elasticsearch/certs chmod 400 /etc/elasticsearch/certs/ca/ca.* /etc/elasticsearch/certs/elasticsearch.* rm -rf ~/certs/ ~/certs.zip
启用并启动 Elasticsearch 服务:
systemctl daemon-reload systemctl enable elasticsearch systemctl start elasticsearch
为所有 Elastic Stack 预构建角色和用户生成凭证:
/usr/share/elasticsearch/bin/elasticsearch-setup-passwords auto
上面的命令将提示这样的输出。保存用户的密码elastic
以进行进一步的步骤:
Output
Changed password for user apm_system
PASSWORD apm_system = lLPZhZkB6oUOzzCrkLSF
Changed password for user kibana_system
PASSWORD kibana_system = TaLqVOnSoqKTYLIU0vDn
Changed password for user kibana
PASSWORD kibana = TaLqVOvXoqKTYLIU0vDn
Changed password for user logstash_system
PASSWORD logstash_system = UtuDv2tWkXGYL83v9kWA
Changed password for user beats_system
PASSWORD beats_system = qZcbvCslafMpoEOrE9Ob
Changed password for user remote_monitoring_user
PASSWORD remote_monitoring_user = LzJpQiSylncmCU2GLBTS
Changed password for user elastic
PASSWORD elastic = AN4UeQGA7HGl5iHpMla7
要检查安装是否成功,请运行以下命令,替换<elastic_password>
上一步中为用户生成的密码elastic
:
curl -XGET https://localhost:9200 -u elastic:<elastic_password> -k
该命令应该有如下输出:
Output
{
"name" : "elasticsearch",
"cluster_name" : "elasticsearch",
"cluster_uuid" : "CFw_rkxnR7avI7pBv9MvtQ",
"version" : {
"number" : "7.17.9",
"build_flavor" : "default",
"build_type" : "rpm",
"build_hash" : "ef48222227ee6b9e70e502f0f0daa52435ee634d",
"build_date" : "2023-01-31T05:34:43.305517834Z",
"build_snapshot" : false,
"lucene_version" : "8.11.1",
"minimum_wire_compatibility_version" : "6.8.0",
"minimum_index_compatibility_version" : "6.0.0-beta1"
},
"tagline" : "You Know, for Search"
}
安装wazuh服务器
Wazuh 服务器收集并分析来自已部署代理的数据。它运行 Wazuh 管理器、Wazuh API 和 Filebeat。设置 Wazuh 的第一步是将 Wazuh 存储库添加到服务器。或者,可以直接下载 Wazuh 管理器包,并可以在此处检查兼容版本。
添加 Wazuh 存储库
-
导入 GPG 密钥:
# rpm --import https://packages.wazuh.com/key/GPG-KEY-WAZUH
-
添加存储库:
# cat > /etc/yum.repos.d/wazuh.repo << EOF [wazuh] gpgcheck=1 gpgkey=https://packages.wazuh.com/key/GPG-KEY-WAZUH enabled=1 name=EL-\$releasever - Wazuh baseurl=https://packages.wazuh.com/4.x/yum/ protect=1 EOF
3.运行以下命令检查 Wazuh 管理器是否处于活动状态:
系统系统V初始化
# systemctl status wazuh-manager
安装Filebeat
Filebeat 是 Wazuh 服务器上的工具,可将警报和存档事件安全地转发到 Elasticsearch。
Filebeat安装和配置
安装 Filebeat 包:
-
百胜易于
# yum install filebeat-7.17.9
-
下载用于将 Wazuh 警报转发到 Elasticsearch 的预配置 Filebeat 配置文件:
# curl -so /etc/filebeat/filebeat.yml https://packages.wazuh.com/4.5/tpl/elastic-basic/filebeat_all_in_one.yml
-
下载 Elasticsearch 的警报模板:
# curl -so /etc/filebeat/wazuh-template.json https://raw.githubusercontent.com/wazuh/wazuh/4.5/extensions/elasticsearch/7.x/wazuh-template.json # chmod go+r /etc/filebeat/wazuh-template.json
-
下载 Filebeat 的 Wazuh 模块:
# curl -s https://packages.wazuh.com/4.x/filebeat/wazuh-filebeat-0.2.tar.gz | tar -xvz -C /usr/share/filebeat/module
-
编辑该文件
/etc/filebeat/filebeat.yml
并添加以下行:output.elasticsearch.password: <elasticsearch_password>
替换
elasticsearch_password
为之前为用户生成的密码elastic
。 -
将证书复制到
/etc/filebeat/certs/
# cp -r /etc/elasticsearch/certs/ca/ /etc/filebeat/certs/ # cp /etc/elasticsearch/certs/elasticsearch.crt /etc/filebeat/certs/filebeat.crt # cp /etc/elasticsearch/certs/elasticsearch.key /etc/filebeat/certs/filebeat.key
-
启用并启动Filebeat服务:
系统系统V初始化
# systemctl daemon-reload # systemctl enable filebeat # systemctl start filebeat
为确保Filebeat已成功安装,请运行以下命令:
# filebeat test output
该命令应该有如下输出:
Output
elasticsearch: https://127.0.0.1:9200... parse url... OK connection... parse host... OK dns lookup... OK addresses: 127.0.0.1 dial up... OK TLS... security: server's certificate chain verification is enabled handshake... OK TLS version: TLSv1.3 dial up... OK talk to server... OK version: 7.17.9
Kibana安装和配置
Kibana 是一个灵活直观的 Web 界面,用于挖掘和可视化存储在 Elasticsearch 中的事件和档案。
-
安装 Kibana 包:
百胜易于
# yum install kibana-7.17.9
-
将 Elasticsearch 证书复制到 Kibana 配置文件夹中:
# mkdir /etc/kibana/certs/ca -p # cp -R /etc/elasticsearch/certs/ca/ /etc/kibana/certs/ # cp /etc/elasticsearch/certs/elasticsearch.key /etc/kibana/certs/kibana.key # cp /etc/elasticsearch/certs/elasticsearch.crt /etc/kibana/certs/kibana.crt # chown -R kibana:kibana /etc/kibana/ # chmod -R 500 /etc/kibana/certs # chmod 440 /etc/kibana/certs/ca/ca.* /etc/kibana/certs/kibana.*
-
下载 Kibana 配置文件:
-
# curl -so /etc/kibana/kibana.yml https://packages.wazuh.com/4.5/tpl/elastic-basic/kibana_all_in_one.yml 编辑/etc/kibana/kibana.yml文件: elasticsearch.password: <elasticsearch_password> 要替换的值: <elasticsearch_password>:Elasticsearch安装和配置过程中为用户生成的密码elastic。
创建
/usr/share/kibana/data
目录:# mkdir /usr/share/kibana/data # chown -R kibana:kibana /usr/share/kibana
-
安装 Wazuh Kibana 插件。插件的安装必须从 Kibana 主目录完成,如下所示:
# cd /usr/share/kibana # sudo -u kibana /usr/share/kibana/bin/kibana-plugin install https://packages.wazuh.com/4.x/ui/kibana/wazuh_kibana-4.5.0_7.17.9-1.zip
-
将 Kibana 的套接字链接到特权端口 443:
# setcap 'cap_net_bind_service=+ep' /usr/share/kibana/node/bin/node
-
启用并启动 Kibana 服务:
系统系统V初始化
# systemctl daemon-reload # systemctl enable kibana # systemctl start kibana
-
使用Elasticsearch安装过程中生成的密码访问Web界面:
URL: https://<wazuh_server_ip> user: elastic password: <PASSWORD_elastic>
首次访问 Kibana 时,浏览器会显示一条警告消息,指出证书不是由受信任的机构颁发的。可以在 Web 浏览器的高级选项中添加例外,或者为了提高安全性,
ca.crt
可以将先前生成的文件导入到浏览器的证书管理器中。或者,可以配置来自受信任机构的证书。
禁用存储库
本安装指南介绍了如何通过首先配置其存储库来安装和配置 Wazuh 和 Elastic Stack。
对于 Wazuh 或 Elastic Stack 的每个新版本,Wazuh 的开发团队都会彻底测试每个组件的兼容性,并在发布新的 Wazuh Kibana 插件之前进行必要的调整。
我们建议禁用存储库,以免无意中更新各个软件包,这可能会导致 Elastic Stack 版本尚未发布 Wazuh 集成。
百胜易于
# sed -i "s/^enabled=1/enabled=0/" /etc/yum.repos.d/wazuh.repo # sed -i "s/^enabled=1/enabled=0/" /etc/yum.repos.d/elastic.repo
要卸载多合一安装的所有组件,请访问卸载部分。
wazuh简介
Wazuh 是一个免费、开源和企业级的安全监控解决方案,用于威胁检测、完整性监控、事件响应和合规性。
Wazuh由部署到受监视系统的端点安全代理和管理服务器组成,管理服务器收集和分析代理收集的数据。此外,Wazuh已与Elastic Stack完全集成,提供了搜索引擎和数据可视化工具,使用户可以浏览其安全警报。
Wazuh提供的功能包括日志数据分析,入侵和恶意软件检测,文件完整性监视,配置评估,漏洞检测以及对法规遵从性的支持。
Wazuh平台的组件和体系结构
Wazuh平台主要包括三个主要组件,分别是Wazuh代理,Wazuh服务器和Elastic Stack。
-
Wazuh代理:它安装在端点上,例如笔记本电脑,台式机,服务器,云实例或虚拟机。它提供了预防,检测和响应功能。它确实支持Windows,Linux,macOS,HP-UX,Solaris和AIX平台。
-
Wazuh服务器:它分析从代理收到的数据,通过解码器和规则对其进行处理,并使用威胁情报来查找众所周知的危害指标(IOC)。一台服务器可以分析来自成百上千个代理的数据,并在设置为集群时水平扩展。该服务器还用于管理代理,在必要时进行远程配置和升级。
-
Elastic Stack:它索引和存储Wazuh服务器生成的警报。此外,Wazuh和Kibana之间的集成为数据的可视化和分析提供了强大的用户界面。该界面还可用于管理Wazuh配置并监视其状态。
Wazuh架构图如下
1、整体的架构图
2、Agent端的组件架构
3、Server端的架构
初识wazuh
体验
首先在我们第一次进入搭建好wazuh时,小tips:wazuh官网上放有虚拟机(OVA)文件,下载即可在VM
warestation里面打开,进去之后只需要调一下网络模式,在查看ip之后,我们即可在windows中启动输入http://+自己的wazuh服务器ip即可启动啦 进去之后账号密码都是admin admin
这样我们就算是进入到wazuh的仪表盘啦
但是在linux中,我们该如何昵
Linux中我们的wazuh在/