Wazuh-開源安全平臺(tái)

一 簡(jiǎn)介

1.1 Wazuh簡(jiǎn)介

Wazuh 是一個(gè)免費(fèi)的開源平臺(tái)，用于威脅預(yù)防、檢測(cè)和響應(yīng)。它能夠跨場(chǎng)所、虛擬化、容器化和基于云的環(huán)境保護(hù)工作負(fù)載。解決方案包括一個(gè)部署到被監(jiān)控系統(tǒng)的終端安全代理和一個(gè)收集和分析代理收集的數(shù)據(jù)的管理服務(wù)器。此外，Wazuh 已經(jīng)與 Elastic Stack 完全集成，提供了一個(gè)搜索引擎和數(shù)據(jù)可視化工具，允許用戶通過(guò)他們的安全警報(bào)進(jìn)行導(dǎo)航。

1.2 能力

簡(jiǎn)要介紹 Wazuh 解決方案的一些更常見的用例。

1.2.1 入侵檢測(cè)

Wazuh 代理掃描被監(jiān)控的系統(tǒng)，尋找惡意軟件，rootkit 和可疑的異常。它們可以檢測(cè)隱藏文件、隱藏進(jìn)程或未注冊(cè)的網(wǎng)絡(luò)偵聽器，以及系統(tǒng)調(diào)用響應(yīng)中的不一致。

除了代理功能之外，服務(wù)器組件還使用基于特征的入侵檢測(cè)方法，使用其正則表達(dá)式引擎來(lái)分析收集的日志數(shù)據(jù)并尋找危害的指標(biāo)。

1.2.2 日志數(shù)據(jù)分析

Wazuh 代理讀取操作系統(tǒng)和應(yīng)用程序日志，并安全地將它們轉(zhuǎn)發(fā)給中央管理器，以便進(jìn)行基于規(guī)則的分析和存儲(chǔ)。當(dāng)沒(méi)有部署代理時(shí)，服務(wù)器還可以通過(guò) syslog 從網(wǎng)絡(luò)設(shè)備或應(yīng)用程序接收數(shù)據(jù)。

Wazuh 規(guī)則幫助您了解應(yīng)用程序或系統(tǒng)錯(cuò)誤、錯(cuò)誤配置、企圖和/或成功的惡意活動(dòng)、違反政策以及各種其他安全和操作問(wèn)題。

1.2.3 完整性檢查

Wazuh 監(jiān)視文件系統(tǒng)，識(shí)別需要密切關(guān)注的文件的內(nèi)容、權(quán)限、所有權(quán)和屬性的更改。此外，它本機(jī)識(shí)別用于創(chuàng)建或修改文件的用戶和應(yīng)用程序。

完整性檢查能力可以與威脅情報(bào)結(jié)合使用來(lái)識(shí)別威脅或被入侵的主機(jī)。此外，一些美國(guó)守規(guī)標(biāo)準(zhǔn)，如 PCI DSS，要求它。

1.2.4 漏洞檢測(cè)

Wazuh 代理提取軟件清單數(shù)據(jù)，并將這些信息發(fā)送到服務(wù)器，在服務(wù)器上與不斷更新的 CVE (Common vulnerability and Exposure)數(shù)據(jù)庫(kù)相關(guān)聯(lián)，以識(shí)別眾所周知的脆弱軟件。

自動(dòng)的漏洞評(píng)估可以幫助您找到關(guān)鍵資產(chǎn)中的弱點(diǎn)，并在攻擊者利用它們破壞您的業(yè)務(wù)或竊取機(jī)密數(shù)據(jù)之前采取糾正措施。

1.2.5 配置評(píng)估

Wazuh 監(jiān)視系統(tǒng)和應(yīng)用程序配置設(shè)置，以確保它們符合您的安全策略、標(biāo)準(zhǔn)和/或加強(qiáng)指南。代理執(zhí)行定期掃描，以檢測(cè)已知存在漏洞、未打補(bǔ)丁或配置不安全的應(yīng)用程序。

此外，可以自定義配置檢查，對(duì)其進(jìn)行裁剪以適當(dāng)?shù)嘏c您的組織保持一致。警報(bào)包括更好的配置建議，參考信息和與守規(guī)地圖的映射。

1.2.6 事故應(yīng)變

Wazuh 提供開箱即用的主動(dòng)響應(yīng)，以執(zhí)行各種應(yīng)對(duì)主動(dòng)威脅的對(duì)策，例如在滿足某些標(biāo)準(zhǔn)時(shí)阻止從威脅來(lái)源訪問(wèn)系統(tǒng)。

此外，Wazuh 還可用于遠(yuǎn)程運(yùn)行命令或系統(tǒng)查詢，識(shí)別危險(xiǎn)指標(biāo)(IOCs) ，并幫助執(zhí)行其他實(shí)時(shí)取證或事件響應(yīng)任務(wù)。

1.2.7 合規(guī)

Wazuh 提供了一些必要的安全控制，以符合行業(yè)標(biāo)準(zhǔn)和規(guī)定。這些特性，結(jié)合其可伸縮性和多平臺(tái)支持，可以幫助組織滿足技術(shù)遵從性需求。

Wazuh 廣泛應(yīng)用于支付處理公司和金融機(jī)構(gòu)，以滿足 PCI DSS (支付卡行業(yè)數(shù)據(jù)安全標(biāo)準(zhǔn))的要求。它的 web 用戶界面提供了報(bào)告和儀表板，可以幫助解決這個(gè)和其他規(guī)則(例如 GPG13或 GDPR)。

1.2.8 云安全

通過(guò)使用集成模塊從著名的云服務(wù)提供商那里獲取安全數(shù)據(jù)，例如 Amazon AWS、 Azure 或 Google Cloud，Wazuh 幫助在 API 級(jí)別上監(jiān)控云基礎(chǔ)設(shè)施。此外，Wazuh 還提供了評(píng)估云環(huán)境配置的規(guī)則，可以很容易地發(fā)現(xiàn)弱點(diǎn)。

此外，Wazuh 輕量級(jí)和多平臺(tái)代理通常用于實(shí)例級(jí)監(jiān)視云環(huán)境。

1.2.9 容器安全

Wazuh 提供對(duì) Docker 主機(jī)和容器的安全可見性，監(jiān)視它們的行為并檢測(cè)威脅、漏洞和異常。Wazuh 代理與 Docker 引擎本地集成，允許用戶監(jiān)視圖像、卷、網(wǎng)絡(luò)設(shè)置和運(yùn)行中的容器。

不斷收集和分析詳細(xì)的運(yùn)行時(shí)信息。例如，為以特權(quán)模式運(yùn)行的容器、易受攻擊的應(yīng)用程序、在容器中運(yùn)行的 shell、對(duì)持久卷或映像的更改以及其他可能的威脅發(fā)出警報(bào)。

二 wazuh架構(gòu)及組件

Wazuh 平臺(tái)提供了保護(hù)云、容器和服務(wù)器工作負(fù)載的特性。這些技術(shù)包括日志數(shù)據(jù)分析、入侵和惡意軟件檢測(cè)、完整性檢查安全、配置評(píng)估、漏洞檢測(cè)以及對(duì)守規(guī)安全的支持。Wazuh 解決方案基于以下三個(gè)組成部分:

總體組件架構(gòu)

2.1 Wazuh Agent

Wazuh 代理運(yùn)行在 Linux、Windows、macOS、Solaris、AIX 和其他操作系統(tǒng)上。它可以部署到筆記本電腦、臺(tái)式機(jī)、服務(wù)器、云實(shí)例、容器或虛擬機(jī)。它提供威脅預(yù)防、檢測(cè)和響應(yīng)功能。它還用于收集不同類型的系統(tǒng)和應(yīng)用程序數(shù)據(jù)，并通過(guò)加密和身份驗(yàn)證的通道將這些數(shù)據(jù)轉(zhuǎn)發(fā)到 Wazuh 服務(wù)器

2.1.1 Agent架構(gòu)

這個(gè) Wazuh 代理有一個(gè)模塊化的架構(gòu)，不同的組件負(fù)責(zé)自己的任務(wù): 監(jiān)控文件系統(tǒng)，讀取日志消息，收集庫(kù)存數(shù)據(jù)，掃描系統(tǒng)配置，尋找惡意軟件等等。用戶可以通過(guò)配置設(shè)置啟用或禁用代理模塊，根據(jù)自己的特定用例調(diào)整解決方案。

2.1.2 Agent模塊

日志收集器: 這個(gè)代理組件可以讀取平面日志文件和 Windows 事件，收集操作系統(tǒng)和應(yīng)用程序日志消息。它確實(shí)支持 Windows 事件的 XPath 過(guò)濾器，并識(shí)別多行格式(例如 Linux 審計(jì)日志)。它還可以使用額外的元數(shù)據(jù)來(lái)豐富 JSON 事件。

命令執(zhí)行: 代理可以定期運(yùn)行授權(quán)命令，收集它們的輸出并將其報(bào)告給 Wazuh 服務(wù)器，以便進(jìn)一步分析。這個(gè)模塊可以用于不同的目的(例如監(jiān)控剩余的硬盤空間，獲取最近登錄的用戶列表等)。

文件完整性監(jiān)控：這個(gè)模塊監(jiān)視文件系統(tǒng)，報(bào)告文件創(chuàng)建、刪除或修改的完整性檢查。它跟蹤文件屬性、權(quán)限、所有權(quán)和內(nèi)容。當(dāng)一個(gè)事件發(fā)生時(shí)，它會(huì)實(shí)時(shí)捕捉人物、內(nèi)容和時(shí)間細(xì)節(jié)。此外，該模塊構(gòu)建并維護(hù)一個(gè)帶有被監(jiān)視文件狀態(tài)的數(shù)據(jù)庫(kù)，從而允許遠(yuǎn)程運(yùn)行查詢。

安全配置評(píng)估(SCA) : 該組件提供持續(xù)的配置評(píng)估，利用基于 Internet 安全中心(CIS)基準(zhǔn)的開箱即用檢查。用戶還可以創(chuàng)建自己的 SCA 檢查，以監(jiān)視和執(zhí)行其安全策略。

系統(tǒng)庫(kù)存: 這個(gè)代理模塊定期運(yùn)行掃描，收集庫(kù)存數(shù)據(jù)，例如操作系統(tǒng)版本、網(wǎng)絡(luò)接口、運(yùn)行進(jìn)程、已安裝的應(yīng)用程序和打開的端口列表。掃描結(jié)果存儲(chǔ)在本地 SQLite 數(shù)據(jù)庫(kù)中，可以進(jìn)行遠(yuǎn)程查詢。

惡意軟件檢測(cè): 使用非簽名為基礎(chǔ)的方法，這個(gè)組件是能夠檢測(cè)異常和可能存在的 rootkit。監(jiān)視系統(tǒng)調(diào)用，它查找隱藏進(jìn)程、隱藏文件和隱藏端口。

主動(dòng)響應(yīng): 該模塊在檢測(cè)到威脅時(shí)自動(dòng)運(yùn)行動(dòng)作。其中，它可以阻止網(wǎng)絡(luò)連接、停止正在運(yùn)行的進(jìn)程或刪除惡意文件。用戶也可以在必要時(shí)創(chuàng)建自定義響應(yīng)(例如在沙盒中運(yùn)行二進(jìn)制文件、捕獲網(wǎng)絡(luò)連接流量、用防病毒軟件掃描文件等)。

容器安全監(jiān)視: 這個(gè)代理模塊與 Docker 引擎 API 集成，以便監(jiān)視容器化環(huán)境中的更改。例如，它檢測(cè)容器圖像、網(wǎng)絡(luò)配置或數(shù)據(jù)卷的更改。此外，它還會(huì)警告以特權(quán)模式運(yùn)行的容器和正在運(yùn)行的容器中執(zhí)行命令的用戶。

云安全監(jiān)視: 這個(gè)組件監(jiān)視云提供商，比如 Amazon AWS、 Microsoft Azure 或 Google GCP。它與它們的 api 進(jìn)行本機(jī)通信。它能夠檢測(cè)云基礎(chǔ)設(shè)施的更改(例如創(chuàng)建新用戶、修改安全組、停止云實(shí)例等) ，并收集云服務(wù)日志數(shù)據(jù)(例如 AWS Cloudtrail、 AWS Macie、 AWS GuardDuty、 Azure Active Directory 等)

2.2 Wazuh Server

Wazuh 服務(wù)器組件負(fù)責(zé)分析從代理程序接收的數(shù)據(jù)，當(dāng)檢測(cè)到威脅或異常時(shí)觸發(fā)警報(bào)。它還用于遠(yuǎn)程管理代理配置并監(jiān)視其狀態(tài)。Wazuh 服務(wù)器使用威脅情報(bào)來(lái)源來(lái)提高其檢測(cè)能力。它還利用了守規(guī)需求(例如 PCI DSS，HIPAA，NIST 800-53…)和 Mitre att & ck 框架來(lái)豐富警報(bào)數(shù)據(jù)，提供圍繞它們的有用上下文。此外，Wazuh 服務(wù)器可以集成外部軟件，如票務(wù)系統(tǒng)(如 Service Now，Jira，PagerDuty)和即時(shí)通訊/服務(wù)平臺(tái)(如 Slack)。這可以方便地簡(jiǎn)化安全操作。

2.2.1 Wazuh Server架構(gòu)

Wazuh 服務(wù)器運(yùn)行分析引擎、Wazuh RESTful API、代理注冊(cè)服務(wù)、代理連接服務(wù)、Wazuh 集群守護(hù)進(jìn)程和 Filebeat。下圖表示服務(wù)器架構(gòu)和組件：

2.2.2 Wazuh Server組件

服務(wù)器通常在獨(dú)立的物理機(jī)器、虛擬機(jī)、 docker 容器或云實(shí)例上運(yùn)行。它安裝在 Linux 操作系統(tǒng)上。下面是主要服務(wù)器組件的列表:

代理注冊(cè)服務(wù): 它通過(guò)提供和分發(fā)每個(gè)代理所獨(dú)有的預(yù)共享身份驗(yàn)證密鑰來(lái)注冊(cè)新的代理。此過(guò)程作為網(wǎng)絡(luò)服務(wù)運(yùn)行，并支持通過(guò) TLS/SSL 證書或提供固定密碼進(jìn)行身份驗(yàn)證。

代理連接服務(wù): 這是從代理接收數(shù)據(jù)的服務(wù)。它使用預(yù)共享密鑰來(lái)驗(yàn)證每個(gè)代理標(biāo)識(shí)，并加密代理和 Wazuh 服務(wù)器之間的通信。此外，這項(xiàng)服務(wù)還可以提供集中式的代理組態(tài)管理，可以遠(yuǎn)程推送新的代理設(shè)置。

分析引擎: 這是執(zhí)行數(shù)據(jù)分析的過(guò)程。它利用解碼器識(shí)別正在處理的信息類型(例如 Windows 事件、 SSHD 日志、 web 服務(wù)器日志等) ，并從日志消息中提取相關(guān)數(shù)據(jù)元素(例如源用戶名 IP 地址、事件 ID、等等)。接下來(lái)，通過(guò)使用規(guī)則，它識(shí)別解碼事件中的特定模式，這些模式可能觸發(fā)警報(bào)，甚至可能調(diào)用自動(dòng)對(duì)策(例如防火墻上的 IP 禁止)。

Wazuh restfulapi: 這個(gè)服務(wù)提供了一個(gè)與 Wazuh 基礎(chǔ)設(shè)施交互的接口。它用于管理代理和服務(wù)器配置設(shè)置、監(jiān)視基礎(chǔ)設(shè)施狀態(tài)和總體健康狀況、管理和編輯 Wazuh 解碼器和規(guī)則，以及查詢被監(jiān)視端點(diǎn)的狀態(tài)。它也被 Wazuh 網(wǎng)絡(luò)用戶界面使用，這是 Kibana 應(yīng)用程序。

Wazuh 集群守護(hù)進(jìn)程: 此服務(wù)用于水平伸縮 Wazuh 服務(wù)器，將它們部署為集群。這種配置與網(wǎng)絡(luò)負(fù)載均衡器相結(jié)合，提供了高可用性和負(fù)載均衡。Wazuh 集群守護(hù)進(jìn)程是 Wazuh 服務(wù)器用來(lái)相互通信和保持同步的。

Filebeat: 用于向 Elasticsearch 發(fā)送事件和警報(bào)。它實(shí)時(shí)讀取 Wazuh 分析引擎的輸出并發(fā)布事件。當(dāng)連接到多節(jié)點(diǎn) Elasticsearch 集群時(shí)，它還提供負(fù)載平衡。彈性堆棧

2.3 Elastic Stack

彈性堆棧: 它索引和存儲(chǔ) Wazuh 服務(wù)器生成的警報(bào)。此外，Wazuh 和 Kibana 的整合為數(shù)據(jù)可視化和分析提供了強(qiáng)大的用戶界面。此接口還用于管理 Wazuh 配置并監(jiān)視其狀態(tài)。

除了基于代理的監(jiān)控功能外，Wazuh 平臺(tái)還可以監(jiān)控?zé)o代理的設(shè)備，如防火墻、交換機(jī)、路由器或網(wǎng)絡(luò) IDS 等。例如，可以通過(guò) Syslog 收集系統(tǒng)日志數(shù)據(jù)，并通過(guò)定期探測(cè)其數(shù)據(jù)(例如通過(guò) SSH 或通過(guò) API)監(jiān)視其配置。

Elastic Stack 是一套用于日志管理的流行開源項(xiàng)目的統(tǒng)一套件，包括 Elasticsearch、Kibana、Filebeat 等。與 Wazuh 解決方案特別相關(guān)的項(xiàng)目是：

Filebeat: 一個(gè)輕量級(jí)的轉(zhuǎn)發(fā)器，用于通過(guò)網(wǎng)絡(luò)傳送日志，通常是傳送到 Elasticsearch。它被用在 Wazuh 服務(wù)器上將事件和警報(bào)發(fā)送到 Elasticsearch。它讀取 Wazuh 分析引擎的輸出，并通過(guò)加密通道實(shí)時(shí)發(fā)送事件。當(dāng)連接到多節(jié)點(diǎn) Elasticsearch 集群時(shí)，它還提供負(fù)載平衡。

Elasticsearch: 一個(gè)高度可擴(kuò)展的全文搜索和分析引擎。Elasticsearch 是分布式的，這意味著數(shù)據(jù)索引被劃分為碎片，每個(gè)碎片可以有零個(gè)或多個(gè)副本。Wazuh 對(duì)警報(bào)數(shù)據(jù)、原始事件和狀態(tài)監(jiān)視信息使用不同的索引。

一個(gè)靈活和直觀的 web 界面，用于挖掘、分析和可視化數(shù)據(jù)。它在 Elasticsearch 集群中的索引內(nèi)容之上運(yùn)行。網(wǎng)絡(luò)用戶界面已經(jīng)以插件的形式完全嵌入 Kibana。它包括用于安全事件的開箱即用的指示板，守規(guī)，檢測(cè)易受攻擊的應(yīng)用程序，完整性檢查數(shù)據(jù)，配置評(píng)估結(jié)果，云基礎(chǔ)設(shè)施監(jiān)控事件等等。

Wazuh 集成了 Elastic Stack，提供了一個(gè)由 Elasticsearch 索引的已解碼消息的提要，以及一個(gè)用于警報(bào)和日志數(shù)據(jù)分析的實(shí)時(shí) web 控制臺(tái)。此外，在 Kibana 上運(yùn)行的 Wazuh 用戶界面用于管理和監(jiān)控 Wazuh 基礎(chǔ)設(shè)施。

Wazuh-alerts: Wazuh 服務(wù)器生成的警報(bào)索引。每當(dāng)事件超過(guò)具有足夠高優(yōu)先級(jí)的規(guī)則時(shí)(此閾值是可配置的) ，就會(huì)創(chuàng)建這些選項(xiàng)。

Wazuh-events: 從代理接收的所有事件(存檔數(shù)據(jù))的索引，不管它們是否觸發(fā)了規(guī)則。

Wazuh-monitoring: 隨著時(shí)間的推移，與 Wazuh 代理狀態(tài)有關(guān)的數(shù)據(jù)索引。它是由網(wǎng)絡(luò)界面用來(lái)表示當(dāng)個(gè)別代理處于或已經(jīng)處于活動(dòng)狀態(tài)、斷開連接或從未連接。

Elasticsearch 索引被劃分為一個(gè)或多個(gè)分片，每個(gè)分片可以有選擇地?fù)碛幸粋€(gè)或多個(gè)副本。每個(gè)主碎片和副本碎片都是一個(gè)單獨(dú)的 Lucene 索引。因此，一個(gè) Elasticsearch 索引由許多 Lucene 索引組成。當(dāng)在 Elasticsearch 索引上運(yùn)行搜索時(shí)，將對(duì)所有分片并行執(zhí)行搜索，并合并結(jié)果。將 Elasticsearch 索引劃分為多個(gè)碎片和副本在多節(jié)點(diǎn) Elasticsearch 集群中使用，目的是擴(kuò)展搜索和高可用性。單節(jié)點(diǎn) Elasticsearch 集群通常每個(gè)索引只有一個(gè)分片，沒(méi)有副本。服務(wù)器/架構(gòu)

三 安裝

3.1 自動(dòng)安裝

curl -so ~/all-in-one-installation.sh https://raw.githubusercontent.com/wazuh/wazuh-documentation/4.1/resources/open-distro/unattended-installation/all-in-one-installation.sh && bash ~/all-in-one-installation.sh # 配置javahome

3.2 分步安裝

3.2.1 先決條件

yum install zip unzip curl -y

3.2.2 安裝Elasticsearch

# 更新yum源 rpm --import https://artifacts.elastic.co/GPG-KEY-elasticsearch cat > /etc/yum.repos.d/elastic.repo << EOF [elasticsearch-7.x] name=Elasticsearch repository for 7.x packages baseurl=https://artifacts.elastic.co/packages/7.x/yum gpgcheck=1 gpgkey=https://artifacts.elastic.co/GPG-KEY-elasticsearch enabled=1 autorefresh=1 type=rpm-md EOF # 安裝es yum install elasticsearch-7.11.2 -y # 下載es配置文件 curl -so /etc/elasticsearch/elasticsearch.yml https://packages.wazuh.com/resources/4.2/elastic-stack/elasticsearch/7.x/elasticsearch_all_in_one.yml # 下載證書配置文件 curl -so /usr/share/elasticsearch/instances.yml https://packages.wazuh.com/resources/4.2/elastic-stack/instances_aio.yml # 使用證書生成工具生成證書 /usr/share/elasticsearch/bin/elasticsearch-certutil cert ca --pem --in instances.yml --keep-ca-key --out ~/certs.zip # 解壓證書 unzip ~/certs.zip -d ~/certs # 創(chuàng)建證書 mkdir /etc/elasticsearch/certs/ca -p cp -R ~/certs/ca/ ~/certs/elasticsearch/* /etc/elasticsearch/certs/ chown -R elasticsearch: /etc/elasticsearch/certs chmod -R 500 /etc/elasticsearch/certs chmod 400 /etc/elasticsearch/certs/ca/ca.* /etc/elasticsearch/certs/elasticsearch.* rm -rf ~/certs/ ~/certs.zip # 啟動(dòng)es systemctl daemon-reload systemctl enable elasticsearch systemctl start elasticsearch # 生成es密碼，需要記錄密碼一備后用 /usr/share/elasticsearch/bin/elasticsearch-setup-passwords auto # 檢測(cè)es服務(wù) curl -XGET https://localhost:9200 -u elastic: -k

記錄生成密碼

[root@VM-1-53-centos ~]# /usr/share/elasticsearch/bin/elasticsearch-setup-passwords auto Initiating the setup of passwords for reserved users elastic,apm_system,kibana,kibana_system,logstash_system,beats_system,remote_monitoring_user. The passwords will be randomly generated and printed to the console. Please confirm that you would like to continue [y/N]y Changed password for user apm_system PASSWORD apm_system = wVNSqXihSZ9g3S5ZyPUW Changed password for user kibana_system PASSWORD kibana_system = qLYEofiWdqthaZCZqQfq Changed password for user kibana PASSWORD kibana = qLYEofiWdqthaZCZqQfq Changed password for user logstash_system PASSWORD logstash_system = 7lQxxcQ4WIPthMXE5UXj Changed password for user beats_system PASSWORD beats_system = WoK75HGfU7sVH52hUwW5 Changed password for user remote_monitoring_user PASSWORD remote_monitoring_user = kjF1u3wLzRqSr6pZJb1X Changed password for user elastic PASSWORD elastic = R8QSKDoyXUTRy81K50ix

3.2.3 安裝Wazuh server

# 配置yum源 rpm --import https://packages.wazuh.com/key/GPG-KEY-WAZUH cat > /etc/yum.repos.d/wazuh.repo << EOF [wazuh] gpgcheck=1 gpgkey=https://packages.wazuh.com/key/GPG-KEY-WAZUH enabled=1 name=EL-$releasever - Wazuh baseurl=https://packages.wazuh.com/4.x/yum/ protect=1 EOF # 安裝軟件 yum install wazuh-manager -y # 啟動(dòng) systemctl daemon-reload systemctl enable wazuh-manager systemctl start wazuh-manager # 查看服務(wù)狀態(tài) systemctl status wazuh-manager

3.2.4 安裝Filebeat

yum install filebeat-7.11.2 -y # 下載配置文件 curl -so /etc/filebeat/filebeat.yml https://packages.wazuh.com/resources/4.2/elastic-stack/filebeat/7.x/filebeat_all_in_one.yml # 下載es告警模版 curl -so /etc/filebeat/wazuh-template.json https://raw.githubusercontent.com/wazuh/wazuh/4.2/extensions/elasticsearch/7.x/wazuh-template.json chmod go+r /etc/filebeat/wazuh-template.json # 下載wazuh filebeat模版 curl -s https://packages.wazuh.com/4.x/filebeat/wazuh-filebeat-0.1.tar.gz | tar -xvz -C /usr/share/filebeat/module

編輯 /etc/filebeat/filebeat.yml，填寫es正確密碼。

# 復(fù)制es證書到filebeat cp -r /etc/elasticsearch/certs/ca/ /etc/filebeat/certs/ cp /etc/elasticsearch/certs/elasticsearch.crt /etc/filebeat/certs/filebeat.crt cp /etc/elasticsearch/certs/elasticsearch.key /etc/filebeat/certs/filebeat.key # 啟動(dòng)filebeat服務(wù) systemctl daemon-reload systemctl enable filebeat systemctl start filebeat # 進(jìn)行測(cè)試 filebeat test output

3.2.5 安裝kibana

yum install kibana-7.11.2 -y mkdir /etc/kibana/certs/ca -p cp -R /etc/elasticsearch/certs/ca/ /etc/kibana/certs/ cp /etc/elasticsearch/certs/elasticsearch.key /etc/kibana/certs/kibana.key cp /etc/elasticsearch/certs/elasticsearch.crt /etc/kibana/certs/kibana.crt chown -R kibana:kibana /etc/kibana/ chmod -R 500 /etc/kibana/certs chmod 440 /etc/kibana/certs/ca/ca.* /etc/kibana/certs/kibana.* # 下載kibana配置文件 curl -so /etc/kibana/kibana.yml https://packages.wazuh.com/resources/4.2/elastic-stack/kibana/7.x/kibana_all_in_one.yml

編輯 /etc/kibana/kibana.yml，填寫es正確密碼。

# 創(chuàng)建kiban數(shù)據(jù)目錄 mkdir /usr/share/kibana/data chown -R kibana:kibana /usr/share/kibana # 安裝kibana wazuh 插件 cd /usr/share/kibana sudo -u kibana /usr/share/kibana/bin/kibana-plugin install https://packages.wazuh.com/4.x/ui/kibana/wazuh_kibana-4.2.0_7.11.2-1.zip # 將 Kibana 的套接字鏈接到特權(quán)端口 443： setcap 'cap_net_bind_service=+ep' /usr/share/kibana/node/bin/node # 啟動(dòng)服務(wù) systemctl daemon-reload systemctl enable kibana systemctl start kibana

四 使用

4.1 頁(yè)面訪問(wèn)

URL: https:// user: elastic password:

查看es數(shù)據(jù)

curl -k -u elastic:R8QSKDoyXUTRy81K50ix https://localhost:9200/_cluster/ curl -k -u elastic:R8QSKDoyXUTRy81K50ix https://localhost:9200/_cat/indices

4.2 Agent安裝

sudo WAZUH_MANAGER='localhost' WAZUH_AGENT_GROUP='default' yum install https://packages.wazuh.com/4.x/yum/wazuh-agent-4.2.0-1.x86_64.rpm -y

sudo systemctl daemon-reload sudo systemctl enable wazuh-agent sudo systemctl start wazuh-agent

參考鏈接

https://documentation.wazuh.com/current/index.html

https://cloud.tencent.com/developer/article/1857261

https://github.com/wazuh/wazuh

https://www.5axxw.com/wiki/content/dsodbe#

https://documentation.wazuh.com/current/installation-guide/open-distro/all-in-one-deployment/unattended-installation.html

https://github.com/wazuh/wazuh-kubernetes

https://www.5axxw.com/wiki/content/dsodbe

網(wǎng)絡(luò) 通用安全

版權(quán)聲明：本文內(nèi)容由網(wǎng)絡(luò)用戶投稿，版權(quán)歸原作者所有，本站不擁有其著作權(quán)，亦不承擔(dān)相應(yīng)法律責(zé)任。如果您發(fā)現(xiàn)本站中有涉嫌抄襲或描述失實(shí)的內(nèi)容，請(qǐng)聯(lián)系我們jiasou666@gmail.com 處理，核實(shí)后本網(wǎng)站將在24小時(shí)內(nèi)刪除侵權(quán)內(nèi)容。

版權(quán)聲明：本文內(nèi)容由網(wǎng)絡(luò)用戶投稿，版權(quán)歸原作者所有，本站不擁有其著作權(quán)，亦不承擔(dān)相應(yīng)法律責(zé)任。如果您發(fā)現(xiàn)本站中有涉嫌抄襲或描述失實(shí)的內(nèi)容，請(qǐng)聯(lián)系我們jiasou666@gmail.com 處理，核實(shí)后本網(wǎng)站將在24小時(shí)內(nèi)刪除侵權(quán)內(nèi)容。