Hlavní navigace

Wazuh: instalace a zprovoznění vlastního SIEM za pět minut

18. 4. 2023
Doba čtení: 4 minuty

Sdílet

 Autor: Tomáš Heřmánek
V minulém článku jsme se seznámili se základními funkcemi open-source bezpečnostní platformy Wazuh. Dnes si ukážeme, jak Wazuh nainstalovat a začít používat během pěti minut.

Architektura

Celé řešení se skládá ze čtyř vzájemně propojených komponent:

  • Wazuh agentů
  • Wazuh serveru
  • Wazuh indexeru
  • Wazuh dashboardu

Wazuh agent

Agenti jsou nainstalovaní na koncových zařízeních, kterými mohou být například fyzické nebo virtuální servery, cloudové instance, kontejnery nebo uživatelské pracovní stanice. Jejich úkolem je sledování systému, na kterém jsou nainstalováni, a předávání informací Wazuh serveru k další analýze.

Kromě sběru informací prostřednictvím agenta, je možné sbírat potřebná data i prostřednictvím syslogu, SSH nebo API.

Wazuh server

Server analyzuje a obohacuje data přijatá od agentů a v případě zjištění hrozeb nebo anomálií spouští výstrahy. Slouží také ke vzdálené správě konfigurace agentů a sledování jejich stavu.

Lze jej také integrovat s externím softwarem, včetně nástrojů, jako jsou ServiceNow, Jira, PagerDuty, The Hive a také s platformami pro zasílání zpráv, jako je Slack nebo Microsoft Teams.

Wazuh indexer

Indexer je vysoce škálovatelný fulltextový vyhledávací a analytický stroj. Tato komponenta indexuje a ukládá výstrahy generované serverem Wazuh a umožňuje vyhledávání a analýzy dat téměř v reálném čase. Indexer lze provozovat samostatně i v clusteru, čímž je zajištěna škálovatelnost a vysoká dostupnost.

Wazuh dashboard

Dashboard je flexibilní webové uživatelské rozhraní pro vyhledávání, analýzu a vizualizaci dat. Slouží také ke správě a monitorování celé platformy včetně agentů. Kromě toho poskytuje funkce pro řízení přístupu a jeho prostřednictvím lze také generovat reporty a vytvářet vlastní vizualizace a přehledové panely.

Následující diagram znázorňuje jednotlivé komponenty platformy a jejich vzájemné propojení.

Hardwarové požadavky

Minimální požadavky pro 25 agentů a 90 dnů historie jsou následující:

  • 4 CPU
  • 8 GB RAM
  • 50 GB místa na disku – nejlépe SSD

Uvedené parametry jsou vhodné na testování nebo pro správu menšího počtu koncových zařízení, pokud chcete sledovat větší počet serverů, je nutné navýšit i prostředky serveru.

Bohužel nelze udělat tabulku, která by na základě počtu spravovaných strojů ukazovala požadavky na hardware. Není to možné z toho důvodu, že různá sledovaná zařízení produkují různé množství logů a jsou tak kladeny různé nároky na analýzu a indexaci. V praxi je tedy dobré začít s rozumně „malou“ konfigurací a tu dle potřeby navyšovat.

V případě, že se chystáte sledovat rozsáhlejší prostředí (100 a více serverů), prostředky jednoho serveru Vám pravděpodobně nebudou stačit a bude vhodnější přejít na vícenodovou konfiguraci.

Doporučené operační systémy

  • CentOS 7, 8
  • Ubuntu 16.04, 18.04, 20.04, 22.04
  • Red Hat Enterprise Linux 7, 8, 9
  • Amazon Linux 2

Aktuálně lze Wazuh nainstalovat i na jiné než doporučené operační systémy. Počínaje verzí 4.5.0 bude ale instalace možná pouze na operační systémy Amazon Linux, RHEL, CentOS a Ubuntu, jejichž verze jsou oficiálně podporovány výrobci. To se netýká Wazuh agenta, ten bude možné dále instalovat stejně jako doposud.

Instalace s využitím instalačního asistenta

1. Povolíme potřebné porty na firewallu

firewall-cmd --permanent --add-port={514,443,1514,1515,1516,55000}/tcp
firewall-cmd --permanent --add-port={514,1514}/udp
firewall-cmd --reload
firewall-cmd --list-all

2. Stáhneme a spustíme instalačního asistenta

curl -sO https://packages.wazuh.com/4.4/wazuh-install.sh && sudo bash ./wazuh-install.sh -a

3. První přihlášení

Jakmile asistent dokončí instalaci, na výstupu se zobrazí přístupové údaje a zpráva potvrzující, že instalace proběhla úspěšně.

INFO: --- Summary ---
INFO: You can access the web interface https://<wazuh-dashboard-ip>
    User: admin
    Password: <ADMIN_PASSWORD>
INFO: Installation finished.

Do prohlížeče zadáme adresu z předchozího bodu https://<wazuh-dashboard-ip>, přihlašovací údaje a klikneme na Log in.

Hesla pro všechny uživatele indexeru a Wazuh API najdete v souboruwazuh-passwords.txt uvnitř souboru wazuh-install-files.tar. Pro jejich zobrazení můžete použít následující příkaz:

sudo tar -O -xvf wazuh-install-files.tar wazuh-install-files/wazuh-passwords.txt

Instalace agenta

Po přihlášení se zobrazí úvodní obrazovka.

1. Klikneme na Add agent.

2. Postupně, po jednotlivých, bodech zvolíme základní konfiguraci agenta.

3. Zkopírujeme si připravený instalační příkaz.

4. Přihlásíme se na cílový server a spustíme příkaz:

curl -so wazuh-agent.deb https://packages.wazuh.com/4.x/apt/pool/main/w/wazuh-agent/wazuh-agent_4.4.0-1_amd64.deb && sudo WAZUH_MANAGER='172.19.254.53' WAZUH_AGENT_GROUP='default' WAZUH_AGENT_NAME='wazuhagent.lab.initmax.cz' dpkg -i ./wazuh-agent.deb

5. Po dokončení instalace agenta jej spustíme a nastavíme spouštění po startu operačního systému.

sudo systemctl daemon-reload
sudo systemctl enable wazuh-agent
sudo systemctl start wazuh-agent

Pokud vše proběhlo v pořádku, agent se zaregistruje, po chvíli jej uvidíme aktivního v sekci Agents a můžeme si zobrazit data, která posílá.

Shrnutí a pozvánka na webinář

V tomto krátkém návodu jsem vám ukázal, jak si snadno a rychle nainstalovat Wazuh pomocí instalačního asistenta a jak nainstalovat agenta na server, kterých chcete sledovat.

Podrobněji a více do hloubky se s instalací a konfigurací Wazuhu můžete seznámit na našem bezplatném webináři Wazuh: Instalace a konfigurace a to 26. dubna 2023 od 10:00.

root_podpora

Na tomto webináři vás mimo jiné provedu krok za krokem instalací jednotlivých součástí Wazuhu včetně agenta, ukážu některá doporučená nastavení a seznámím vás se základní konfigurací, abyste Wazuh mohli začít ihned reálně používat.

(Autorem obrázků je Tomáš Heřmánek.)

Byl pro vás článek přínosný?

Autor článku

Pracuje ve společnosti initMAX a je velkým fanouškem open source. Specializuje se na aplikační servery, monitoring a automatizaci.