Architektura
Celé řešení se skládá ze čtyř vzájemně propojených komponent:
- Wazuh agentů
- Wazuh serveru
- Wazuh indexeru
- Wazuh dashboardu
Wazuh agent
Agenti jsou nainstalovaní na koncových zařízeních, kterými mohou být například fyzické nebo virtuální servery, cloudové instance, kontejnery nebo uživatelské pracovní stanice. Jejich úkolem je sledování systému, na kterém jsou nainstalováni, a předávání informací Wazuh serveru k další analýze.
Kromě sběru informací prostřednictvím agenta, je možné sbírat potřebná data i prostřednictvím syslogu, SSH nebo API.
Wazuh server
Server analyzuje a obohacuje data přijatá od agentů a v případě zjištění hrozeb nebo anomálií spouští výstrahy. Slouží také ke vzdálené správě konfigurace agentů a sledování jejich stavu.
Lze jej také integrovat s externím softwarem, včetně nástrojů, jako jsou ServiceNow, Jira, PagerDuty, The Hive a také s platformami pro zasílání zpráv, jako je Slack nebo Microsoft Teams.
Wazuh indexer
Indexer je vysoce škálovatelný fulltextový vyhledávací a analytický stroj. Tato komponenta indexuje a ukládá výstrahy generované serverem Wazuh a umožňuje vyhledávání a analýzy dat téměř v reálném čase. Indexer lze provozovat samostatně i v clusteru, čímž je zajištěna škálovatelnost a vysoká dostupnost.
Wazuh dashboard
Dashboard je flexibilní webové uživatelské rozhraní pro vyhledávání, analýzu a vizualizaci dat. Slouží také ke správě a monitorování celé platformy včetně agentů. Kromě toho poskytuje funkce pro řízení přístupu a jeho prostřednictvím lze také generovat reporty a vytvářet vlastní vizualizace a přehledové panely.
Následující diagram znázorňuje jednotlivé komponenty platformy a jejich vzájemné propojení.
Hardwarové požadavky
Minimální požadavky pro 25 agentů a 90 dnů historie jsou následující:
- 4 CPU
- 8 GB RAM
- 50 GB místa na disku – nejlépe SSD
Uvedené parametry jsou vhodné na testování nebo pro správu menšího počtu koncových zařízení, pokud chcete sledovat větší počet serverů, je nutné navýšit i prostředky serveru.
Bohužel nelze udělat tabulku, která by na základě počtu spravovaných strojů ukazovala požadavky na hardware. Není to možné z toho důvodu, že různá sledovaná zařízení produkují různé množství logů a jsou tak kladeny různé nároky na analýzu a indexaci. V praxi je tedy dobré začít s rozumně „malou“ konfigurací a tu dle potřeby navyšovat.
V případě, že se chystáte sledovat rozsáhlejší prostředí (100 a více serverů), prostředky jednoho serveru Vám pravděpodobně nebudou stačit a bude vhodnější přejít na vícenodovou konfiguraci.
Doporučené operační systémy
- CentOS 7, 8
- Ubuntu 16.04, 18.04, 20.04, 22.04
- Red Hat Enterprise Linux 7, 8, 9
- Amazon Linux 2
Aktuálně lze Wazuh nainstalovat i na jiné než doporučené operační systémy. Počínaje verzí 4.5.0 bude ale instalace možná pouze na operační systémy Amazon Linux, RHEL, CentOS a Ubuntu, jejichž verze jsou oficiálně podporovány výrobci. To se netýká Wazuh agenta, ten bude možné dále instalovat stejně jako doposud.
Instalace s využitím instalačního asistenta
1. Povolíme potřebné porty na firewallu
firewall-cmd --permanent --add-port={514,443,1514,1515,1516,55000}/tcp firewall-cmd --permanent --add-port={514,1514}/udp firewall-cmd --reload firewall-cmd --list-all
2. Stáhneme a spustíme instalačního asistenta
curl -sO https://packages.wazuh.com/4.4/wazuh-install.sh && sudo bash ./wazuh-install.sh -a
3. První přihlášení
Jakmile asistent dokončí instalaci, na výstupu se zobrazí přístupové údaje a zpráva potvrzující, že instalace proběhla úspěšně.
INFO: --- Summary --- INFO: You can access the web interface https://<wazuh-dashboard-ip> User: admin Password: <ADMIN_PASSWORD> INFO: Installation finished.
Do prohlížeče zadáme adresu z předchozího bodu https://<wazuh-dashboard-ip>
, přihlašovací údaje a klikneme na Log in.
Hesla pro všechny uživatele indexeru a Wazuh API najdete v souboruwazuh-passwords.txt
uvnitř souboru wazuh-install-files.tar. Pro jejich zobrazení můžete použít následující příkaz:
sudo tar -O -xvf wazuh-install-files.tar wazuh-install-files/wazuh-passwords.txt
Instalace agenta
Po přihlášení se zobrazí úvodní obrazovka.
1. Klikneme na Add agent.
2. Postupně, po jednotlivých, bodech zvolíme základní konfiguraci agenta.
3. Zkopírujeme si připravený instalační příkaz.
4. Přihlásíme se na cílový server a spustíme příkaz:
curl -so wazuh-agent.deb https://packages.wazuh.com/4.x/apt/pool/main/w/wazuh-agent/wazuh-agent_4.4.0-1_amd64.deb && sudo WAZUH_MANAGER='172.19.254.53' WAZUH_AGENT_GROUP='default' WAZUH_AGENT_NAME='wazuhagent.lab.initmax.cz' dpkg -i ./wazuh-agent.deb
5. Po dokončení instalace agenta jej spustíme a nastavíme spouštění po startu operačního systému.
sudo systemctl daemon-reload sudo systemctl enable wazuh-agent sudo systemctl start wazuh-agent
Pokud vše proběhlo v pořádku, agent se zaregistruje, po chvíli jej uvidíme aktivního v sekci Agents a můžeme si zobrazit data, která posílá.
Shrnutí a pozvánka na webinář
V tomto krátkém návodu jsem vám ukázal, jak si snadno a rychle nainstalovat Wazuh pomocí instalačního asistenta a jak nainstalovat agenta na server, kterých chcete sledovat.
Podrobněji a více do hloubky se s instalací a konfigurací Wazuhu můžete seznámit na našem bezplatném webináři Wazuh: Instalace a konfigurace a to 26. dubna 2023 od 10:00.
Na tomto webináři vás mimo jiné provedu krok za krokem instalací jednotlivých součástí Wazuhu včetně agenta, ukážu některá doporučená nastavení a seznámím vás se základní konfigurací, abyste Wazuh mohli začít ihned reálně používat.
(Autorem obrázků je Tomáš Heřmánek.)