Bagaimana untuk

Cara Memasang pelayan Wazuh di CentOS 8

Cara Memasang pelayan Wazuh di CentOS 8

Artikel ini akan merangkumi cara memasang pelayan Wazuh di CentOS 8. Pelayan Wazuh adalah alat pemantauan keselamatan sumber terbuka percuma yang menggunakan Elastic stack (ELK) . Ini digunakan untuk memantau peristiwa keamanan pada tingkat aplikasi dan OS. Oleh itu, anda dapat memperoleh maklumat mengenai pengesanan ancaman, tindak balas kejadian dan pemantauan integriti. Dalam tutorial ini, kita akan menggunakan Wazuh pada host CentOS nod tunggal, dengan ELK dipasang pada host yang sama.

Anda boleh menggunakan Wazuh untuk aplikasi berikut:

  1. Analisis keselamatan
  2. Analisis log
  3. Pengesanan kerentanan
  4. Keselamatan kontena
  5. Keselamatan awan

Langkah-langkah di bawah ini akan memberi petunjuk kepada kami tentang cara menyediakan pelayan Wazuh pada instance CentOS 8.

Langkah 1 - Pasang Wazuh Server di CentOS 8

Pastikan sistem anda dikemas kini:

sudo dnf kemas kini -y

Tambah kunci GPG Wazuh

sudo rpm --import https: // pakej.wazuh.com / kunci / GPG-KEY-WAZUH

Tambah repo Wazuh

sudo tee / etc / yum.repos.d / wazuh.repo <

Pasang pelayan Wazuh:

sudo dnf -y pasang wazuh-manager

Jalankan pelayan Wazuh

sudo systemctl aktifkan - sekarang wazuh-manager

Lumpuhkan kemas kini untuk mengelakkan masalah dengan kawalan versi.

sudo sed -i "s / ^ enabled = 1 / enabled = 0 /" / etc / yum.repos.d / wazuh.repo

Langkah 2 - Pasang Elastic Stack di CentOS 8

Kami akan terus memasang timbunan ELK pada contoh CentOS 8 kami. Elasticsearch, Logstash dan Kibana membentuk timbunan ELK yang digunakan untuk analisis log. Alat ini bekerjasama dengan pelayan Wazuh untuk menyediakan analisis dan pengurusan insiden keselamatan.

Pasang Java di CentOS 8

Elasticsearch adalah aplikasi Java, ini bermaksud bahawa kita perlu memasang JDK.

sudo dnf pasang java-11-openjdk-devel

Sahkan bahawa anda memasangnya

java -versi

Keluaran sampel:

versi openjdk "11.0.5 "2019-10-15 LTS OpenJDK Runtime Environment 18.9 (bina 11.0.5 + 10-LTS) OpenJDK 64-Bit Server VM 18.9 (bina 11.0.5 + 10-LTS, mod campuran, perkongsian)

Pasang Elasticsearch di CentOS 8

Tambahkan kunci GPG untuk Elasticsearch

sudo rpm --import https: // artifak.elastik.co / GPG-KEY-elasticsearch

Tambahkan fail repo Elasticsearch

sudo tee / etc / yum.repos.d / carian elastik.repo << EOF [elasticsearch-7.x] name=Elasticsearch repository for 7.x packages baseurl=https://artifacts.elastic.co/packages/7.x/yum gpgcheck=1 gpgkey=https://artifacts.elastic.co/GPG-KEY-elasticsearch enabled=1 autorefresh=1 type=rpm-md EOF

Pasang Elasticsearch:

sudo dnf pasang elasticsearch

Mulakan dan aktifkan Elasticsearch

sudo systemctl membolehkan elasticsearch.perkhidmatan - sekarang

Pasang Kibana di CentOS 8

Kibana digunakan untuk papan pemuka dalam ELK.

sudo dnf -y pasang kibana 

Konfigurasi KIbana - Fail konfigurasi untuk kibana terletak di bawah / etc / kibana / kibana.yml.

Konfigurasikan host pelayan untuk menunjuk ke aplikasi elasticsearch localhost.

$ sudo vim / etc / kibana / kibana.yml # Kibana dilayan oleh pelayan hujung belakang. Tetapan ini menentukan port yang akan digunakan. # pelayan.port: pelayan 5601.port: 5601… # Untuk membenarkan sambungan dari pengguna jarak jauh, tetapkan parameter ini ke alamat bukan gelung balik. #servis.hos: pelayan "localhost".hos: "localhost" # URL untuk elasticsearch contoh elasticsearch.hos: [http: // localhost: 9200]

Mulakan dan aktifkan Kibana

sudo systemctl aktifkan - sekarang kibana

Pasang Filebeat di CentOS 8

Filebeat adalah pengirim log yang digunakan untuk menghantar log ke Easticsearch dari direktori log yang ditentukan.

sudo yum pasang filebeat

Konfigurasikan Filebeat di CentOS 8

Konfigurasikan Flebeat untuk bekerjasama dengan Wazuh. Sandarkan fail konfigurasi Filebeat yang ada kemudian gantikan dengan fail pra-konfigurasi yang dimuat turun.

sudo mv / etc / filebeat / filebeat.yml ,.bak sudo curl -so / etc / filebeat / filebeat.yml https: // mentah.githubusercontent.com / wazuh / wazuh / v4.0.3 / sambungan / filebeat / 7.x / filebeat.yml

Edit fail yang dimuat turun agar sesuai dengan persediaan anda

$ sudo vim / etc / filebeat / filebeat.yml #keluaran.carian elastik.hos: ['http: // YOUR_ELASTIC_SERVER_IP: 9200'] output.carian elastik.hos: ['http: // localhost: 9200']

Tambahkan juga baris berikut ke fail konfigurasi jika anda ingin menentukan jalan yang harus diambil log dari bilah fail.

pembalakan.tahap: pembalakan maklumat.to_files: pembalakan sebenar.files: path: / var / log / filebeat name: filebeat keepfiles: 7 kebenaran: 0644

Uji output seperti di bawah:

$ sudo filebeat output output elasticsearch: http: // localhost: 9200 ... parse url ... OK connection ... parse host ... OK dns lookup ... Alamat OK: 192.168.1.83 mendail… OK TLS… WARN sambungan selamat dilumpuhkan bercakap dengan pelayan… Versi OK: 7.9.3

Langkah 3 - Pasang Modul Wazuh Filebeat

Muat turun dan pasang modul wazuh untuk Filebeat menggunakan arahan di bawah:

wget https: // pakej.wazuh.com / 4.x / filebeat / wazuh-filebeat-0.1.tar.gz -P / tmp / sudo mkdir / usr / share / filebeat / module / wazuh sudo tar xzf / tmp / wazuh-filebeat-0.1.tar.gz -C / usr / share / filebeat / module / wazuh / --strip-components = 1

Muat turun templat indeks peringatan Wazuh Elasticsearch dan siapkan.

$ sudo curl -so / etc / filebeat / wazuh-template.json https: // mentah.githubusercontent.com / wazuh / wazuh / v4.0.3 / sambungan / carian elastik / 7.x / wazuh-templat.json $ sudo filebeat setup - jalan.config / etc / filebeat - jalan.home / usr / share / filebeat - jalan.data / var / lib / filebeat --index-management -E setup.templat.json.didayakan = salah

Mulakan semula Filebeat

sudo systemctl mulakan semula filebeat

Langkah 4 - Pasang Kibana Plugin untuk Wazuh

Tetapkan pemilikan ke direktori / usr / share / kibana / optimumkan / dan / usr / share / kibana / plugin ke kibana pengguna.

sudo chown -R kibana: / usr / share / kibana / optimize, plugins

Pasang plugin Kibana untuk wazuh.

$ cd / usr / share / kibana $ sudo -u kibana bin / kibana-plugin pasang pakej https: //.wazuh.com / 4.x / ui / kibana / wazuh_kibana-4.0.3_7.9.3-1.zip

Setelah selesai, periksa pemalam yang dipasang

Senarai $ sudo -u kibana / usr / share / kibana / bin / kibana-plugin [dilindungi e-mel]

Mulakan semula perkhidmatan yang diperlukan untuk melaksanakan perubahan.

sudo systemctl restart kibana sudo systemctl restart elasticsearch sudo systemctl restart wazuh-manager

Langkah 5 - Konfigurasikan Firewalld

Konfigurasikan firewall untuk membenarkan akses ke Kibana dari host jauh. Anda mungkin diminta untuk membenarkan Elasticsearch juga jika Kibana dan Elasticsearch dipasang pada host yang berbeza.

sudo firewall-cmd --zone = public --add-port = 5601 / tcp - sudo firewall tetap-cmd --load

Anda kini boleh mengakses antara muka kibana anda menggunakan http: // pelayan-IP: 5601

Anda kemudian boleh menavigasi ke menu kiri dan memilih Wazuh dalam senarai.

Dengan ini, anda akan dapat memantau sistem anda menggunakan pelayan Wazuh dengan mengkonfigurasi ejen pada sistem pelanggan anda.

Lihat artikel menarik lain dari laman web ini:

Log dan metrik Pelayan Maju ke Elasticsearch menggunakan Beats

Automasikan Konfigurasi Icinga2 dengan Pengarah Icinga di CentOS | RHEL 8

Cara Memasang Netdata di Kubernetes menggunakan Helm

Meminimumkan Risiko Pihak Ketiga dengan Strategi Keselamatan Zero Trust
Kejadian baru-baru ini menjadikan pihak ketiga dan rantaian bekalan berisiko menjadi perhatian utama keselamatan banyak organisasi. Walau bagaimanapun...
Tidak Dapat Memadam Fail atau Folder di Windows 10? Paksa Padamkannya
Untuk mengoptimumkan ruang penyimpanan komputer dan peranti penyimpanan media lain, anda perlu kerap menghapus fail dan folder yang tidak diperlukan u...
Pasang Pelayan Chat Zulip di Ubuntu 20.04 | 18.04 / Debian 10 | 9
Dalam catatan ini, saya akan membimbing anda untuk memasang Zulip Chat Server di Ubuntu 20.04/18.04/16.04 & Debian 10/9 dengan Let's Encrypt SSL. Pela...