1.wazuh是什么?海安幼儿园 白丝
Wazuh 是一个用于病毒检测、纰缪扫描、安全监控、事件反应和计谋监控的开源
EDR科罚决策。
2.wazuh的功能有哪些?
图片
3.wazuh的系统框架?
图片
Wazuh平台主要包括三个主要组件:
wazuh-agent:安设在被监控端
wazuh-manager:安设在做事端
Elastic Stack(es+filebeat+kibana):安设在做事端
4.wazhu-server的安设体式?
安设风光遴选:将所有组件安设在吞并台主机上
系统:centos 7
图片
添加 Wazuh 源
安设必要的安设包:#yum install curl unzip wget libcap导入 GPG 密钥:#rpm --import https://packages.wazuh.com/key/GPG-KEY-WAZUH添加存储库:#cat > /etc/yum.repos.d/wazuh.repo << EOF[wazuh]gpgcheck=1gpgkey=https://packages.wazuh.com/key/GPG-KEY-WAZUHenabled=1name=EL-$releasever - Wazuhbaseurl=https://packages.wazuh.com/4.x/yum/protect=1EOF
安设 Wazuh manager
安设 Wazuh 防守器包:#yum install wazuh-manager启用并启动 Wazuh 防守器做事:#systemctl daemon-reload#systemctl enable wazuh-manager#systemctl start wazuh-manager运行以下敕令查验 Wazuh 防守器是否处于动作情景:#systemctl status wazuh-manager
安设 Elasticsearch
Open Distro for Elasticsearch 是 Elasticsearch 的开源刊行版,Elasticsearch 是一种高度可扩张的全文搜索引擎。它提供高档安全性、警报、索引防守、深度性能分析和其他一些附加功能。
安设 Open Distro for Elasticsearch:# yum install opendistroforelasticsearch设置 Elasticsearch,运行以下敕令下载设置文献/etc/elasticsearch/elasticsearch.yml:# curl -so /etc/elasticsearch/elasticsearch.yml https://packages.wazuh.com/resources/4.1/open-distro/elasticsearch/7.x/elasticsearch_all_in_one.ymlElasticsearch 用户和变装,您需要添加用户和变装才气正确使用 Wazuh、Kibana。运行以下敕令在 Kibana 中添加 Wazuh 用户和其他变装:# curl -so /usr/share/elasticsearch/plugins/opendistro_security/securityconfig/roles.yml https://packages.wazuh.com/resources/4.1/open-distro/elasticsearch/roles/roles.yml# curl -so /usr/share/elasticsearch/plugins/opendistro_security/securityconfig/roles_mapping.yml https://packages.wazuh.com/resources/4.1/open-distro/elasticsearch/roles/roles_mapping.yml# curl -so /usr/share/elasticsearch/plugins/opendistro_security/securityconfig/internal_users.yml https://packages.wazuh.com/resources/4.1/open-distro/elasticsearch/roles/internal_users.ymlWazuh 用户通过运行上述敕令添加到 Kibana:wazuh_user,它是为需要对 Wazuh Kibana 插件进行只读造访的用户而创建的。wazuh_admin,提议需要防守权限的用户使用。在 Kibana 中添加了 Wazuh 附加变装以向用户授予安妥的权限:wazuh_ui_user,它提供wazuh_user读取 Wazuh 索引的权限。wazuh_ui_admin,它允许wazuh_admin对 Wazuh 索引扩充读取、写入、防守和索引任务。这些用户和变装旨在与 Wazuh Kibana 插件一齐操作,但它们受到保护,无法从 Kibana 界面进行修改。要修改它们或添加新用户或变装,securityadmin必须运行剧本。文凭创建删除演示文凭:# rm /etc/elasticsearch/esnode-key.pem /etc/elasticsearch/esnode.pem /etc/elasticsearch/kirk-key.pem /etc/elasticsearch/kirk.pem /etc/elasticsearch/root-ca.pem -f生成并部署文凭:下载wazuh-cert-tool.sh:# curl -so ~/wazuh-cert-tool.sh https://packages.wazuh.com/resources/4.1/open-distro/tools/certificate-utility/wazuh-cert-tool.sh# curl -so ~/instances.yml https://packages.wazuh.com/resources/4.1/open-distro/tools/certificate-utility/instances_aio.yml运行 wazuh-cert-tool.sh以创建文凭:# bash ~/wazuh-cert-tool.sh将 Elasticsearch 文凭出动到相应位置:# mkdir /etc/elasticsearch/certs/# mv ~/certs/elasticsearch* /etc/elasticsearch/certs/# mv ~/certs/admin* /etc/elasticsearch/certs/# cp ~/certs/root-ca* /etc/elasticsearch/certs/启用并启动 Elasticsearch 做事:# systemctl daemon-reload# systemctl enable elasticsearch# systemctl start elasticsearch运行 Elasticsearchsecurityadmin剧本加载新文凭信息并启动集群:# export JAVA_HOME=/usr/share/elasticsearch/jdk/ && /usr/share/elasticsearch/plugins/opendistro_security/tools/securityadmin.sh -cd /usr/share/elasticsearch/plugins/opendistro_security/securityconfig/ -nhnv -cacert /etc/elasticsearch/certs/root-ca.pem -cert /etc/elasticsearch/certs/admin.pem -key /etc/elasticsearch/certs/admin-key.pem运行以下敕令,确保安设成功:# curl -XGET https://localhost:9200 -u admin:admin -k
示例反应应如下所示:
Output
{
"name" : "node-1",
"cluster_name" : "elasticsearch",
国产传媒"cluster_uuid" : "tWYgqpgdRz6fGN8gH11flw",
"version" : {
"number" : "7.10.2",
"build_flavor" : "oss",
"build_type" : "rpm",
"build_hash" : "89473hjh88a59143c1f785afa92b9",
"build_date" : "2021-08-7T00:42:12.435326Z",
"build_snapshot" : false,
"lucene_version" : "8.7.1",
"minimum_wire_compatibility_version" : "6.8.0",
"minimum_index_compatibility_version" : "6.0.0-beta1"
},
"tagline" : "You Know, for Search"
}
Open Distro for Elasticsearch 性能分析器件是默许安设的,可能会对系统资源产生负面影响。咱们提议使用以下敕令将其删除。之后请务必重启 Elasticsearch 做事
/usr/share/elasticsearch/bin/elasticsearch-plugin remove opendistro-performance-analyzer
安设 Filebeat
Filebeat 是 Wazuh 做事器上的器具,可将警报和归档事件安全地转发到 Elasticsearch。
安设 Filebeat 包:#yum install filebeat下载用于将 Wazuh 警报转发到 Elasticsearch 的预设置 Filebeat 设置文献:#curl -so /etc/filebeat/filebeat.yml https://packages.wazuh.com/resources/4.1/open-distro/filebeat/7.x/filebeat_all_in_one.yml下载 Elasticsearch 的警报模板:#curl -so /etc/filebeat/wazuh-template.json https://raw.githubusercontent.com/wazuh/wazuh/4.1/extensions/elasticsearch/7.x/wazuh-template.json#chmod go+r /etc/filebeat/wazuh-template.json下载 Filebeat 的 Wazuh 模块:curl -s https://packages.wazuh.com/4.x/filebeat/wazuh-filebeat-0.1.tar.gz | tar -xvz -C /usr/share/filebeat/module将 Elasticsearch 文凭复制到/etc/filebeat/certs:#mkdir /etc/filebeat/certs#cp ~/certs/root-ca.pem /etc/filebeat/certs/#mv ~/certs/filebeat* /etc/filebeat/certs/启用并启动 Filebeat 做事:#systemctl daemon-reload#systemctl enable filebeat#systemctl start filebeat为确保成功安设 Filebeat,请运行以下敕令:#filebeat test output
示例反应应如下所示:
Output
elasticsearch: https://127.0.0.1:9200...
parse url... OK
connection...
parse host... OK
dns lookup... OK
addresses: 127.0.0.1
dial up... OK
TLS...
security: server's certificate chain verification is enabled
handshake... OK
TLS version: TLSv1.3
dial up... OK
talk to server... OK
version: 7.10.2
安设 Kibana
Kibana 是一个无邪且直不雅的 Web 界面,用于挖掘和可视化存储在 Elasticsearch 中的数据。
安设 Kibana 包:# yum install opendistroforelasticsearch-kibana下载 Kibana 设置文献:# curl -so /etc/kibana/kibana.yml https://packages.wazuh.com/resources/4.1/open-distro/kibana/7.x/kibana_all_in_one.yml在/etc/kibana/kibana.yml文献中,斥地 server.host的值为0.0.0.0。这意味着 Kibana 不错从外部造访并秉承主机的所有可用 IP。淌若需要,不错针对特定 IP 编削此值。创建/usr/share/kibana/data目次:# mkdir /usr/share/kibana/data# chown -R kibana:kibana /usr/share/kibana/data安设 Wazuh Kibana 插件。插件的安设必须从 Kibana 主目次完成,如下所示:# cd /usr/share/kibana# sudo -u kibana /usr/share/kibana/bin/kibana-plugin install https://packages.wazuh.com/4.x/ui/kibana/wazuh_kibana-4.1.5_7.10.2-1.zip将 Elasticsearch 文凭复制到/etc/kibana/certs:# mkdir /etc/kibana/certs# cp ~/certs/root-ca.pem /etc/kibana/certs/# mv ~/certs/kibana* /etc/kibana/certs/# chown kibana:kibana /etc/kibana/certs/*将 Kibana 套接字运动到特权端口 443:# setcap 'cap_net_bind_service=+ep' /usr/share/kibana/node/bin/node启用并启动 Kibana 做事:# systemctl daemon-reload# systemctl enable kibana# systemctl start kibana
造访网页界面:
URL: https://ip
user: admin
password: admin
5.wazuh-agent的安设?linux系统:风光1:系统不错连外网导入 GPG 密钥:# rpm --import https://packages.wazuh.com/key/GPG-KEY-WAZUH添加存储库:# cat > /etc/yum.repos.d/wazuh.repo << EOF[wazuh]gpgcheck=1gpgkey=https://packages.wazuh.com/key/GPG-KEY-WAZUHenabled=1name=EL-$releasever - Wazuhbaseurl=https://packages.wazuh.com/4.x/yum/protect=1EOF安设 Wazuh agent# WAZUH_MANAGER="10.0.0.2" yum install wazuh-agent启动# systemctl daemon-reload# systemctl enable wazuh-agent# systemctl start wazuh-agent推选操作- 禁用 Wazuh 更新当Wazuh Manager版块高于或即是Wazuh Agent版块时,保证Wazuh agent与Wazuh manager的兼容性。因此,咱们提议禁用 Wazuh 存储库以留心不测升级。为此,请使用以下敕令:# sed -i "s/^enabled=1/enabled=0/" /etc/yum.repos.d/wazuh.repo
卸载 Wazuh agent# yum remove wazuh-agent风光2:主机莫得外网权限
1.外网下载对应版块的rpm包,上传到该主机https://documentation.wazuh.com/current/installation-guide/packages-list.html#linux2.安设rpm -i 旅途/包名windows:
下载wazuh-agent.msi
https://packages.wazuh.com/4.x/windows/wazuh-agent-4.1.5-1.msi
怒放msi,写入做事端ip,启动做事
图片
卸载
cmd进安设目次C:\Program Files (x86)\ossec-agent
msiexec.exe /x wazuh-agent-4.1.5-1.msi /qn
6.怎么看在线的agent?
在做事端通过敕令:
图片
好像web上:
图片
~
安设完成,server端的设置文献及agent的设置文献均未编削。
当今的情景:不错精深造访web,仅有部分功能模块在开动设置下被开启。
造访: https://ip
用户名: admin
密码: admin
部分功能模块启用以后
安全事件:
图片
文献无缺性查验:
图片
图片
纰缪扫描:
图片
图片
病毒扫描:
图片
告警散播:
图片
图片
后头的实质先容如何针对各个功能模块来进行设置文献的编削,使功能精深运行。设置文献的编削包括(系统版块不雷同,设置略有各别):
server端的编削:
agent端的编削(linux/windows):海安幼儿园 白丝
本站仅提供存储做事,所有实质均由用户发布,如发现存害或侵权实质,请点击举报。