Как да

Как да инсталирам Wazuh сървър на CentOS 8

Как да инсталирам Wazuh сървър на CentOS 8

Тази статия ще обхване как да инсталирате Wazuh сървър на CentOS 8. Wazuh сървърът е безплатен инструмент за наблюдение на сигурността с отворен код, който използва Elastic stack (ELK) . Използва се за наблюдение на събития за сигурност на ниво приложение и ОС. Следователно можете да можете да получите информация за откриване на заплахи, реакция на инциденти и мониторинг на целостта. В този урок ще разположим Wazuh на CentOS хост с един възел, като ELK е инсталиран на същия хост.

Можете да използвате Wazuh за следните приложения:

  1. Анализ на сигурността
  2. Анализ на дневниците
  3. Откриване на уязвимост
  4. Сигурност на контейнера
  5. Облачна сигурност

Стъпките по-долу ще ни насочат как да настроим сървър Wazuh на екземпляр CentOS 8.

Стъпка 1 - Инсталирайте Wazuh Server на CentOS 8

Уверете се, че системата ви е актуализирана:

sudo dnf update -y

Добавете Wazuh GPG ключ

sudo rpm --import https: // пакети.wazuh.com / key / GPG-KEY-WAZUH

Добавете репозитория Wazuh

sudo tee / etc / yum.репо сделки.г / вазух.репо <

Инсталирайте сървъра Wazuh:

sudo dnf -y инсталирайте wazuh-manager

Стартирайте сървъра Wazuh

sudo systemctl enable --now wazuh-manager

Деактивирайте актуализациите, за да избегнете проблеми с контрола на версиите.

sudo sed -i "s / ^ активирано = 1 / активирано = 0 /" / и т.н. / ням.репо сделки.г / вазух.репо

Стъпка 2 - Инсталирайте еластичен стек на CentOS 8

Ще продължим да инсталираме стека ELK на нашия екземпляр CentOS 8. Elasticsearch, Logstash и Kibana съставят стека ELK, който се използва за анализ на регистрационните файлове. Тези инструменти работят в сътрудничество със сървъра Wazuh, за да осигурят анализ и управление на инциденти в сигурността.

Инсталирайте Java на CentOS 8

Elasticsearch е приложение на Java, това означава, че трябва да имаме инсталиран JDK.

sudo dnf инсталирайте java-11-openjdk-devel

Потвърдете, че сте го инсталирали

java -версия

Примерен изход:

версия на openjdk "11.0.5 "2019-10-15 LTS OpenJDK Runtime Environment 18.9 (компилация 11.0.5 + 10-LTS) OpenJDK 64-битов сървър VM 18.9 (компилация 11.0.5 + 10-LTS, смесен режим, споделяне)

Инсталирайте Elasticsearch на CentOS 8

Добавете GPG ключ за Elasticsearch

sudo rpm --import https: // артефакти.еластична.co / GPG-KEY-elasticsearch

Добавете репозиторен файл Elasticsearch

sudo tee / etc / yum.репо сделки.г / еластично търсене.репо << EOF [elasticsearch-7.x] name=Elasticsearch repository for 7.x packages baseurl=https://artifacts.elastic.co/packages/7.x/yum gpgcheck=1 gpgkey=https://artifacts.elastic.co/GPG-KEY-elasticsearch enabled=1 autorefresh=1 type=rpm-md EOF

Инсталирайте Elasticsearch:

sudo dnf инсталирайте elasticsearch

Стартирайте и активирайте Elasticsearch

sudo systemctl позволява еластично търсене.услуга - сега

Инсталирайте Kibana на CentOS 8

Kibana се използва за таблото в ELK.

sudo dnf -y инсталирайте kibana 

Конфигуриране на KIbana - Конфигурационният файл за kibana се намира под / etc / kibana / kibana.yml.

Конфигурирайте хоста на сървъра да сочи към приложението localhost elasticsearch.

$ sudo vim / etc / kibana / kibana.yml # Kibana се обслужва от заден сървър. Тази настройка определя порта, който да се използва. # сървър.порт: 5601 сървър.порт: 5601 ... # За да разрешите връзки от отдалечени потребители, задайте този параметър на адрес без обратна връзка. # сървър.хост: сървър "localhost".домакин: "localhost" # URL адресът за екземпляра elasticsearch elasticsearch.домакини: [http: // localhost: 9200]

Стартирайте и активирайте Kibana

sudo systemctl enable --now kibana

Инсталирайте Filebeat на CentOS 8

Filebeat е изпращач на регистрационни файлове, който се използва за изпращане на регистрационни файлове до Easticsearch от определените дневници.

sudo yum инсталиране на filebeat

Конфигурирайте Filebeat на CentOS 8

Конфигурирайте Flebeat да работи с Wazuh. Архивирайте съществуващия файл за конфигуриране на Filebeat, след което го заменете с изтеглен предварително конфигуриран файл.

sudo mv / etc / filebeat / filebeat.yml ,.bak sudo curl -so / etc / filebeat / filebeat.yml https: // raw.githubuserсъдържание.com / wazuh / wazuh / v4.0.3 / разширения / filebeat / 7.x / filebeat.yml

Редактирайте изтегления файл, за да съответства на вашата настройка

$ sudo vim / etc / filebeat / filebeat.yml #output.еластично търсене.хостове: ['http: // YOUR_ELASTIC_SERVER_IP: 9200'] изход.еластично търсене.хостове: ['http: // localhost: 9200']

Също така добавете следните редове към конфигурационния файл, ако искате да посочите пътя, от който би трябвало да извлече регистрационните файлове.

сеч.ниво: регистрация на информация.to_files: вярно регистриране.files: path: / var / log / filebeat name: filebeat keepfiles: 7 permissions: 0644

Тествайте изхода, както е показано по-долу:

$ sudo filebeat тест изход elastično търсене: http: // localhost: 9200 ... анализиране на url ... ОК връзка ... анализиране на хост ... OK dns lookup ... OK адреси: 192.168.1.83 набиране ... ОК TLS ... ПРЕДУПРЕЖДЕНИЕ защитена връзка деактивирана разговор със сървър ... ОК версия: 7.9.3

Стъпка 3 - Инсталирайте модула Filebeat Wazuh

Изтеглете и инсталирайте модула wazuh за Filebeat, като използвате командите по-долу:

wget https: // пакети.wazuh.com / 4.x / filebeat / wazuh-filebeat-0.1.катран.gz -P / tmp / sudo mkdir / usr / share / filebeat / module / wazuh sudo tar xzf / tmp / wazuh-filebeat-0.1.катран.gz -C / usr / share / filebeat / module / wazuh / --strip-components = 1

Изтеглете шаблона за индекси за предупреждения Wazuh Elasticsearch и го настройте.

$ sudo curl -so / etc / filebeat / wazuh-template.json https: // raw.githubuserсъдържание.com / wazuh / wazuh / v4.0.3 / разширения / еластично търсене / 7.x / wazuh-шаблон.json $ sudo filebeat setup --path.config / etc / filebeat --path.home / usr / share / filebeat --path.data / var / lib / filebeat --index-management -E настройка.шаблон.json.разрешено = невярно

Рестартирайте Filebeat

sudo systemctl рестартирайте filebeat

Стъпка 4 - Инсталирайте приставката Kibana за Wazuh

Задайте собствеността на директориите / usr / share / kibana / optimize / и / usr / share / kibana / plugins да се кибана потребител.

sudo chown -R kibana: / usr / share / kibana / оптимизиране, приставки

Инсталирайте приставката Kibana за wazuh.

$ cd / usr / share / kibana $ sudo -u kibana bin / kibana-plugin install https: // пакети.wazuh.com / 4.x / ui / kibana / wazuh_kibana-4.0.3_7.9.3-1.цип

След приключване проверете инсталираните приставки

$ sudo -u kibana / usr / share / kibana / bin / kibana-plugin list [имейл защитен]

Рестартирайте необходимата услуга, за да извършите промените.

sudo systemctl рестартиране kibana sudo systemctl рестартиране еластично търсене sudo systemctl рестартиране wazuh-manager

Стъпка 5 - Конфигурирайте Firewalld

Конфигурирайте защитната стена, за да разрешите достъп до Kibana от отдалечен хост. Може да се наложи да разрешите Elasticsearch и ако имате инсталирани Kibana и Elasticsearch на различни хостове.

sudo firewall-cmd --zone = public --add-port = 5601 / tcp - постоянна sudo firewall-cmd --reload

Вече можете да получите достъп до вашия интерфейс kibana с помощта http: // server-IP: 5601

След това можете да отидете в лявото меню и да изберете Wazuh в списъка.

С това ще можете да наблюдавате вашите системи, използвайки сървър Wazuh, като конфигурирате агенти на вашите клиентски системи.

Вижте тези други интересни статии от този сайт:

Препратете регистрационни файлове и показатели на сървъра към Elasticsearch с помощта на Beats

Автоматизирайте конфигурациите на Icinga2 с Icinga Director на CentOS | RHEL 8

Как да инсталирате Netdata на Kubernetes с помощта на Helm

Нарастващият интерес и използване на приложения за обучение на ум
Открита тайна е, че с напредването на възрастта мозъчната ви функция намалява. Звучи страшно, нали? Не се страхувайте! Изследванията разкриват, че ако...
Неща, които трябва да имате предвид при закупуването на външен твърд диск
Искате ли да направите резервно копие на вашите данни? Ако трябва да запазите сигурно файлове, за да не ги загубите завинаги, обмисляме да използваме ...
Как да проверите IP за черни списъци Съвети и трикове
Струва си да се помни, че не само съдържанието играе решаваща роля при изпращането на имейли. За съжаление, изборът на думи, анализ и сегментиране на ...