1.wazuh是什么?
Wazuh 是一个用于病毒检测、漏洞扫描、安全监控、事件响应和策略监控的开源
EDR解决方案。
2.wazuh的功能有哪些?
图片
3.wazuh的系统框架?
图片
Wazuh平台主要包括三个主要组件:
wazuh-agent:安装在被监控端
wazuh-manager:安装在服务端
Elastic Stack(es+filebeat+kibana):安装在服务端
4.wazhu-server的安装步骤?
安装方式选择:将所有组件安装在同一台主机上
系统:centos 7
图片
添加 Wazuh 源
安装必要的安装包:#yum install curl unzip wget libcap导入 GPG 密钥:#rpm --import https://packages.wazuh.com/key/GPG-KEY-WAZUH添加存储库:#cat > /etc/yum.repos.d/wazuh.repo << EOF[wazuh]gpgcheck=1gpgkey=https://packages.wazuh.com/key/GPG-KEY-WAZUHenabled=1name=EL-$releasever - Wazuhbaseurl=https://packages.wazuh.com/4.x/yum/protect=1EOF
安装 Wazuh manager
安装 Wazuh 管理器包:#yum install wazuh-manager启用并启动 Wazuh 管理器服务:#systemctl daemon-reload#systemctl enable wazuh-manager#systemctl start wazuh-manager运行以下命令检查 Wazuh 管理器是否处于活动状态:#systemctl status wazuh-manager
安装 Elasticsearch
Open Distro for Elasticsearch 是 Elasticsearch 的开源发行版,Elasticsearch 是一种高度可扩展的全文搜索引擎。它提供高级安全性、警报、索引管理、深度性能分析和其他一些附加功能。
安装 Open Distro for Elasticsearch:# yum install opendistroforelasticsearch配置 Elasticsearch,运行以下命令下载配置文件/etc/elasticsearch/elasticsearch.yml:# curl -so /etc/elasticsearch/elasticsearch.yml https://packages.wazuh.com/resources/4.1/open-distro/elasticsearch/7.x/elasticsearch_all_in_one.ymlElasticsearch 用户和角色,您需要添加用户和角色才能正确使用 Wazuh、Kibana。运行以下命令在 Kibana 中添加 Wazuh 用户和其他角色:# curl -so /usr/share/elasticsearch/plugins/opendistro_security/securityconfig/roles.yml https://packages.wazuh.com/resources/4.1/open-distro/elasticsearch/roles/roles.yml# curl -so /usr/share/elasticsearch/plugins/opendistro_security/securityconfig/roles_mapping.yml https://packages.wazuh.com/resources/4.1/open-distro/elasticsearch/roles/roles_mapping.yml# curl -so /usr/share/elasticsearch/plugins/opendistro_security/securityconfig/internal_users.yml https://packages.wazuh.com/resources/4.1/open-distro/elasticsearch/roles/internal_users.ymlWazuh 用户通过运行上述命令添加到 Kibana:wazuh_user,它是为需要对 Wazuh Kibana 插件进行只读访问的用户而创建的。wazuh_admin,建议需要管理权限的用户使用。在 Kibana 中添加了 Wazuh 附加角色以向用户授予适当的权限:wazuh_ui_user,它提供wazuh_user读取 Wazuh 索引的权限。wazuh_ui_admin,它允许wazuh_admin对 Wazuh 索引执行读取、写入、管理和索引任务。这些用户和角色旨在与 Wazuh Kibana 插件一起操作,但它们受到保护,无法从 Kibana 界面进行修改。要修改它们或添加新用户或角色,securityadmin必须运行脚本。证书创建删除演示证书:# rm /etc/elasticsearch/esnode-key.pem /etc/elasticsearch/esnode.pem /etc/elasticsearch/kirk-key.pem /etc/elasticsearch/kirk.pem /etc/elasticsearch/root-ca.pem -f生成并部署证书:下载wazuh-cert-tool.sh:# curl -so ~/wazuh-cert-tool.sh https://packages.wazuh.com/resources/4.1/open-distro/tools/certificate-utility/wazuh-cert-tool.sh# curl -so ~/instances.yml https://packages.wazuh.com/resources/4.1/open-distro/tools/certificate-utility/instances_aio.yml运行 wazuh-cert-tool.sh以创建证书:# bash ~/wazuh-cert-tool.sh将 Elasticsearch 证书移动到相应位置:# mkdir /etc/elasticsearch/certs/# mv ~/certs/elasticsearch* /etc/elasticsearch/certs/# mv ~/certs/admin* /etc/elasticsearch/certs/# cp ~/certs/root-ca* /etc/elasticsearch/certs/启用并启动 Elasticsearch 服务:# systemctl daemon-reload# systemctl enable elasticsearch# systemctl start elasticsearch运行 Elasticsearchsecurityadmin脚本加载新证书信息并启动集群:# export JAVA_HOME=/usr/share/elasticsearch/jdk/ && /usr/share/elasticsearch/plugins/opendistro_security/tools/securityadmin.sh -cd /usr/share/elasticsearch/plugins/opendistro_security/securityconfig/ -nhnv -cacert /etc/elasticsearch/certs/root-ca.pem -cert /etc/elasticsearch/certs/admin.pem -key /etc/elasticsearch/certs/admin-key.pem运行以下命令,确保安装成功:# curl -XGET https://localhost:9200 -u admin:admin -k
示例响应应如下所示:
Output
{
"name" : "node-1",
"cluster_name" : "elasticsearch",
"cluster_uuid" : "tWYgqpgdRz6fGN8gH11flw",
"version" : {
"number" : "7.10.2",
"build_flavor" : "oss",
"build_type" : "rpm", 漳州市芗城立信钟表有限公司
"build_hash" : "89473hjh88a59143c1f785afa92b9",民丰县科欧电动机有限公司
"build_date" : "2021-08-7T00:42:12.435326Z", 哈尔滨市道外区丹佳格服装有限公司
"build_snapshot" : false,
"lucene_version" : "8.7.1",
"minimum_wire_compatibility_version" : "6.8.0",
"minimum_index_compatibility_version" : "6.0.0-beta1"
},
"tagline" : "You Know, for Search"
}
Open Distro for Elasticsearch 性能分析器件是默认安装的,联系我们可能会对系统资源产生负面影响。我们建议使用以下命令将其删除。之后请务必重启 Elasticsearch 服务
/usr/share/elasticsearch/bin/elasticsearch-plugin remove opendistro-performance-analyzer
安装 Filebeat
Filebeat 是 Wazuh 服务器上的工具,可将警报和存档事件安全地转发到 Elasticsearch。
安装 Filebeat 包:#yum install filebeat下载用于将 Wazuh 警报转发到 Elasticsearch 的预配置 Filebeat 配置文件:#curl -so /etc/filebeat/filebeat.yml https://packages.wazuh.com/resources/4.1/open-distro/filebeat/7.x/filebeat_all_in_one.yml下载 Elasticsearch 的警报模板:#curl -so /etc/filebeat/wazuh-template.json https://raw.githubusercontent.com/wazuh/wazuh/4.1/extensions/elasticsearch/7.x/wazuh-template.json#chmod go+r /etc/filebeat/wazuh-template.json下载 Filebeat 的 Wazuh 模块:curl -s https://packages.wazuh.com/4.x/filebeat/wazuh-filebeat-0.1.tar.gz | tar -xvz -C /usr/share/filebeat/module将 Elasticsearch 证书复制到/etc/filebeat/certs:#mkdir /etc/filebeat/certs#cp ~/certs/root-ca.pem /etc/filebeat/certs/#mv ~/certs/filebeat* /etc/filebeat/certs/启用并启动 Filebeat 服务:#systemctl daemon-reload#systemctl enable filebeat#systemctl start filebeat为确保成功安装 Filebeat,请运行以下命令:#filebeat test output
示例响应应如下所示:
Output
elasticsearch: https://127.0.0.1:9200...
parse url... OK
connection...
parse host... OK
dns lookup... OK
addresses: 127.0.0.1
dial up... OK
TLS...
security: server's certificate chain verification is enabled
handshake... OK
TLS version: TLSv1.3
dial up... OK
talk to server... OK
version: 7.10.2
安装 Kibana
Kibana 是一个灵活且直观的 Web 界面,用于挖掘和可视化存储在 Elasticsearch 中的数据。
安装 Kibana 包:# yum install opendistroforelasticsearch-kibana下载 Kibana 配置文件:# curl -so /etc/kibana/kibana.yml https://packages.wazuh.com/resources/4.1/open-distro/kibana/7.x/kibana_all_in_one.yml在/etc/kibana/kibana.yml文件中,设置 server.host的值为0.0.0.0。这意味着 Kibana 可以从外部访问并接受主机的所有可用 IP。如果需要,可以针对特定 IP 更改此值。创建/usr/share/kibana/data目录:# mkdir /usr/share/kibana/data# chown -R kibana:kibana /usr/share/kibana/data安装 Wazuh Kibana 插件。插件的安装必须从 Kibana 主目录完成,如下所示:# cd /usr/share/kibana# sudo -u kibana /usr/share/kibana/bin/kibana-plugin install https://packages.wazuh.com/4.x/ui/kibana/wazuh_kibana-4.1.5_7.10.2-1.zip将 Elasticsearch 证书复制到/etc/kibana/certs:# mkdir /etc/kibana/certs# cp ~/certs/root-ca.pem /etc/kibana/certs/# mv ~/certs/kibana* /etc/kibana/certs/# chown kibana:kibana /etc/kibana/certs/*将 Kibana 套接字链接到特权端口 443:# setcap 'cap_net_bind_service=+ep' /usr/share/kibana/node/bin/node启用并启动 Kibana 服务:# systemctl daemon-reload# systemctl enable kibana# systemctl start kibana
访问网页界面:
URL: https://ip
user: admin
password: admin
5.wazuh-agent的安装?linux系统:方式1:系统可以连外网导入 GPG 密钥:# rpm --import https://packages.wazuh.com/key/GPG-KEY-WAZUH添加存储库:# cat > /etc/yum.repos.d/wazuh.repo << EOF[wazuh]gpgcheck=1gpgkey=https://packages.wazuh.com/key/GPG-KEY-WAZUHenabled=1name=EL-$releasever - Wazuhbaseurl=https://packages.wazuh.com/4.x/yum/protect=1EOF安装 Wazuh agent# WAZUH_MANAGER="10.0.0.2" yum install wazuh-agent启动# systemctl daemon-reload# systemctl enable wazuh-agent# systemctl start wazuh-agent推荐操作- 禁用 Wazuh 更新当Wazuh Manager版本高于或等于Wazuh Agent版本时,保证Wazuh agent与Wazuh manager的兼容性。因此,我们建议禁用 Wazuh 存储库以防止意外升级。为此,请使用以下命令:# sed -i "s/^enabled=1/enabled=0/" /etc/yum.repos.d/wazuh.repo
卸载 Wazuh agent# yum remove wazuh-agent方式2:主机没有外网权限
1.外网下载对应版本的rpm包,上传到该主机https://documentation.wazuh.com/current/installation-guide/packages-list.html#linux2.安装rpm -i 路径/包名windows:
下载wazuh-agent.msi
https://packages.wazuh.com/4.x/windows/wazuh-agent-4.1.5-1.msi
打开msi,写入服务端ip,启动服务
图片
卸载
cmd进安装目录C:\Program Files (x86)\ossec-agent
msiexec.exe /x wazuh-agent-4.1.5-1.msi /qn
6.怎么看在线的agent?
在服务端通过命令:
图片
或者web上:
图片
~
安装完成,server端的配置文件及agent的配置文件均未更改。
目前的状态:可以正常访问web,仅有部分功能模块在初始配置下被开启。
访问: https://ip
用户名: admin
密码: admin
部分功能模块启用以后
安全事件:
图片
文件完整性检查:
图片
图片
漏洞扫描:
图片
图片
病毒扫描:
图片
告警分布:
图片
图片
后面的内容介绍如何针对各个功能模块来进行配置文件的更改,使功能正常运行。配置文件的更改包括(系统版本不一样,配置略有差异):
server端的更改:
agent端的更改(linux/windows):新闻资讯
本站仅提供存储服务,所有内容均由用户发布,如发现有害或侵权内容,请点击举报。