在CentOS 7上安装和配置Wazuh Server
Wazuh是一个免费,开源和企业就绪的安全监控解决方案,用于威胁检测,完整性监测,事件响应和合规性。
在本教程中,我们将显示分布式架构安装。
分布式体系结构通过不同的主机控制Wazuh Manager和Elastic Stack集群。
Wazuh Manager和Elastic Stack通过单主机实现在同一平台上进行管理。
Wazuh Server:运行API和Wazuh Manager。
收集和分析部署代理数据的数据。elastic stack:运行射击弹星,文件和kibana(包括Wazuh)。
它读取,解析,索引和存储Wazuh Manager警报数据。
"Wazuh Agent:在主机上运行监控,收集日志和配置数据,以及检测入侵和异常。
1.安装Wazuh Server
预设
让我们先设置主机名。
启动终端并输入以下命令:
hostnamectl set-hostname wazuh-server
更新CentOS和软件包:
yum update -y
接下来,安装NTP并检查其服务状态。
yum install ntp
systemctl status ntpd
如果未启动服务,请使用以下命令启动它:
systemctl start ntpd
在系统引导上启用NTP:
systemctl enable ntpd
修改防火墙规则以允许NTP服务。
运行以下命令以启用服务。
firewall-cmd --add-service=ntp --zone=public --permanent
firewall-cmd --reload
安装Wazuh Manager.
让我们添加密钥:
rpm --import https://packages.wazuh.com/key/GPG-KEY-WAZUH
编辑Wazuh存储库:
vim /etc/yum.repos.d/wazuh.repo
将以下内容添加到文件中。
[wazuh_repo] gpgcheck=1 gpgkey=https://packages.wazuh.com/key/GPG-KEY-WAZUH enabled=1 name=Wazuh repository baseurl=https://packages.wazuh.com/3.x/yum/ protect=1
保存并退出文件。
使用Repolist命令列出存储库。
yum repolist
使用以下命令安装Wazuh Manager:
yum install wazuh-manager -y
然后,安装Wazuh Manager,并检查它的状态。
systemctl status wazuh-manager
安装Wazuh API
nodejs> = 4.6.1运行Wazuh API需要。
添加官方nodejs存储库:
curl --silent --location https://rpm.nodesource.com/setup_8.x | bash
安装nodejs:
yum install nodejs -y
安装Wazuh API。
如果需要,它将更新NodeJS:
yum install wazuh-api
检查Wazuh-API的状态。
systemctl status wazuh-api
使用以下命令手动更改默认凭据:
cd /var/ossec/api/configuration/auth
为用户设置密码。
node htpasswd -Bc -C 10 user darshana
重新启动API。
systemctl restart wazuh-api
如果我们需要,我们可以手动更改端口。
文件/var/ossec/api/configuration/config.js包含参数:
//TCP Port used by the API. config.port = "55000";
我们不会更改默认端口。
安装FileBeat.
FileBeat是Wazuh Server上的工具,将警报和存档事件安全地转发给Elasticsearch。
要安装它,请运行以下命令:
rpm --import https://packages.elastic.co/GPG-KEY-elasticsearch
安装存储库:
vim /etc/yum.repos.d/elastic.repo
将以下内容添加到服务器:
[elasticsearch-7.x] name=Elasticsearch repository for 7.x packages baseurl=https://artifacts.elastic.co/packages/7.x/yum gpgcheck=1 gpgkey=https://artifacts.elastic.co/GPG-KEY-elasticsearch enabled=1 autorefresh=1 type=rpm-md
安装filebeat:
yum install filebeat-7.5.1
安装filebeat.
从Wazuh存储库下载FileBeat配置文件。
这是预先配置为将Wazuh警报转发给Elasticsearch:
curl -so /etc/filebeat/filebeat.yml https://raw.githubusercontent.com/wazuh/wazuh/v3.11.0/extensions/filebeat/7.x/filebeat.yml
更改文件权限:
chmod go+r /etc/filebeat/filebeat.yml
下载Elasticsearch的警报模板:
curl -so /etc/filebeat/wazuh-template.json https://raw.githubusercontent.com/wazuh/wazuh/v3.11.0/extensions/elasticsearch/7.x/wazuh-template.json
chmod go+r /etc/filebeat/wazuh-template.json
下载filebeat的Wazuh模块:
curl -s https://packages.wazuh.com/3.x/filebeat/wazuh-filebeat-0.1.tar.gz | sudo tar -xvz -C /usr/share/filebeat/module
添加Elasticsearch Server IP。
编辑"filebeat.yml"。
vim /etc/filebeat/filebeat.yml
修改以下行。
output.elasticsearch.hosts: ['http://ELASTIC_SERVER_IP:9200']
启用并启动FileBeat服务:
systemctl daemon-reload systemctl enable filebeat.service systemctl start filebeat.service
2.安装 Elastic Stack
现在我们将使用ELK配置第二个CentOS服务器。
预设置
像往常一样,让我们先设置主机名。
hostnamectl set-hostname elk
更新系统:
yum update -y
安装ELK
使用RPM包安装弹性堆栈,然后添加弹性存储库及其GPG键:
rpm --import https://packages.elastic.co/GPG-KEY-elasticsearch
创建存储库文件:
vim /etc/yum.repos.d/elastic.repo
将以下内容添加到文件中:
[elasticsearch-7.x] name=Elasticsearch repository for 7.x packages baseurl=https://artifacts.elastic.co/packages/7.x/yum gpgcheck=1 gpgkey=https://artifacts.elastic.co/GPG-KEY-elasticsearch enabled=1 autorefresh=1 type=rpm-md
安装Elasticsearch.
安装elasticsearch包:
yum install elasticsearch-7.5.1
Elasticsearch在环回接口(LocalHost)上默认侦听。
配置ElasticSearch通过编辑/etc/elasticsearch/elasticsearch.yml和取消记录网络来电侦听非环回地址。
调整要连接的IP值:
network.host: 0.0.0.0
更改防火墙规则。
firewall-cmd --permanent --zone=public --add-rich-rule=' rule family="ipv4" source address="34.232.210.23/32" port protocol="tcp" port="9200" accept'
重新加载防火墙规则:
firewall-cmd --reload
弹性搜索配置文件需要进一步配置。
编辑"elasticsearch.yml"文件。
vim /etc/elasticsearch/elasticsearch.yml
更改或者编辑"node.name"和"cluster.initial_master_nodes"。
node.name: <node_name>
cluster.initial_master_nodes: ["<node_name>"]
启用并启动Elasticsearch服务:
systemctl daemon-reload
启用系统启动。
systemctl enable elasticsearch.service
启动弹性搜索服务。
systemctl start elasticsearch.service
检查弹性搜索的状态。
systemctl status elasticsearch.service
检查日志文件是否有任何问题。
tail -f /var/log/elasticsearch/elasticsearch.log
一旦Elasticsearch启动并运行,我们需要加载FileBeat模板。
在Wazuh服务器上运行以下命令(我们在那里安装Filebeat。
)
filebeat setup --index-management -E setup.template.json.enabled=false
安装Kibana.
安装Kibana包:
yum install kibana-7.5.1
安装Kibana的Wazuh App Plugin:
sudo -u kibana /usr/share/kibana/bin/kibana-plugin install https://packages.wazuh.com/wazuhapp/wazuhapp-3.11.0_7.5.1.zip
Kibana插件可以修改Kibana配置以从外部访问Kibana。
编辑Kibana配置文件。
vim /etc/kibana/kibana.yml
更改以下行。
server.host: "0.0.0.0"
配置elasticsearch实例的URL。
elasticsearch.hosts: ["http://localhost:9200"]
启用并启动Kibana服务:
systemctl daemon-reload systemctl enable kibana.service systemctl start kibana.service
将Wazuh API添加到Kibana配置
编辑"wazuh.yml"。
vim /usr/share/kibana/plugins/wazuh/wazuh.yml
编辑主机名,用户名和密码:
kibana_wazuh_api.
保存并退出文件并重新启动Kibana服务。
systemctl restart kibana.service
我们安装了Wazuh Server和ELK服务器。
现在我们将使用代理程序添加主机。
3.安装Wazuh代理
I.添加Ubuntu Server
安装所需的软件包
apt-get install curl apt-transport-https lsb-release gnupg2
安装Wazuh存储库GPG密钥:
curl -s https://packages.wazuh.com/key/GPG-KEY-WAZUH | apt-key add
添加存储库,然后更新存储库。
echo "deb https://packages.wazuh.com/3.x/apt/stable main" | tee /etc/apt/sources.list.d/wazuh.list
apt-get update
安装Wazuh代理
在安装时将"Wazuh_Manager"IP添加到Wazuh-Agent配置。
WAZUH_MANAGER="52.91.79.65" apt-get install wazuh-agent
II。添加CentOS主机
添加wazuh存储库。
rpm --import http://packages.wazuh.com/key/GPG-KEY-WAZUH
编辑并添加到存储库:
vim /etc/yum.repos.d/wazuh.repo
添加以下内容:
[wazuh_repo] gpgcheck=1 gpgkey=https://packages.wazuh.com/key/GPG-KEY-WAZUH enabled=1 name=Wazuh repository baseurl=https://packages.wazuh.com/3.x/yum/ protect=1
安装代理。
WAZUH_MANAGER="52.91.79.65" yum install wazuh-agent
4.访问Wazuh仪表板
使用IP浏览Kibana。
http://IP or hostname:5601/
我们将看到以下接口。
Kibana仪表板
然后单击"Wazuh"图标以转到其仪表板。
我们将看到"Wazuh"仪表板。
其中我们可以查看连接的代理,安全信息管理等。
点击安全事件时;我们可以看到事件的图形视图。
