Wie man

So installieren Sie den Wazuh-Server auf CentOS 8

So installieren Sie den Wazuh-Server auf CentOS 8

Dieser Artikel behandelt die Installation des Wazuh-Servers auf CentOS 8. Wazuh-Server ist ein kostenloses Open-Source-Sicherheitsüberwachungstool, das Elastic Stack (ELK) verwendet . Es wird verwendet, um Sicherheitsereignisse auf Anwendungs- und Betriebssystemebene zu überwachen. So erhalten Sie Informationen über Bedrohungserkennung, Reaktion auf Vorfälle und Integritätsüberwachung. In diesem Tutorial werden wir Wazuh auf einem Single-Node-CentOS-Host bereitstellen, wobei ELK auf demselben Host installiert ist.

Sie können Wazuh für die folgenden Anwendungen verwenden:

  1. Sicherheitsanalyse
  2. Protokollanalyse
  3. Schwachstellenerkennung
  4. Containersicherheit
  5. Cloud-Sicherheit

Die folgenden Schritte führen uns durch die Einrichtung des Wazuh-Servers auf einer CentOS 8-Instanz.

Schritt 1 - Wazuh Server auf CentOS 8 installieren

Stellen Sie sicher, dass Ihr System aktualisiert ist:

sudo dnf update -y

Wazuh GPG-Schlüssel hinzufügen

sudo rpm --import https://Pakete.wazuh.com/key/GPG-KEY-WAZUH

Wazuh-Repository hinzufügen

sudo tee /etc/yum.repos.d/wazuh.repo <

Wazuh-Server installieren:

sudo dnf -y install wazuh-manager

Wazuh-Server ausführen

sudo systemctl enable --now wazuh-manager

Deaktivieren Sie Updates, um Probleme mit der Versionskontrolle zu vermeiden.

sudo sed -i "s/^enabled=1/enabled=0/" /etc/yum.repos.d/wazuh.repo

Schritt 2 - Installieren Sie Elastic Stack auf CentOS 8

Wir werden den ELK-Stack auf unserer CentOS 8-Instanz installieren. Elasticsearch, Logstash und Kibana bilden den ELK-Stack, der für die Log-Analyse verwendet wird. Diese Tools arbeiten mit dem Wazuh-Server zusammen, um die Analyse und das Management von Sicherheitsvorfällen bereitzustellen.

Installieren Sie Java auf CentOS 8

Elasticsearch ist eine Java-Anwendung, das bedeutet, dass wir JDK installiert haben müssen.

sudo dnf install java-11-openjdk-devel

Bestätigen Sie, dass Sie es installiert haben

Java-Version

Beispielausgabe:

openjdk-Version "11.0.5" 15.10.2019 LTS OpenJDK Laufzeitumgebung 18.9 (Bau 11.0.5+10-LTS) OpenJDK 64-Bit-Server-VM 18.9 (Bau 11.0.5+10-LTS, gemischter Modus, Teilen)

Installieren Sie Elasticsearch auf CentOS 8

GPG-Schlüssel für Elasticsearch hinzufügen

sudo rpm --import https://artifacts.elastisch.co/GPG-KEY-elasticsearch

Elasticsearch-Repository-Datei hinzufügen

sudo tee /etc/yum.repos.d/elastische Suche.repo << EOF [elasticsearch-7.x] name=Elasticsearch repository for 7.x packages baseurl=https://artifacts.elastic.co/packages/7.x/yum gpgcheck=1 gpgkey=https://artifacts.elastic.co/GPG-KEY-elasticsearch enabled=1 autorefresh=1 type=rpm-md EOF

Elasticsearch installieren:

sudo dnf install Elasticsearch

Starten und aktivieren Sie Elasticsearch

sudo systemctl aktivieren elasticsearch.Service jetzt

Kibana installieren auf CentOS 8

Kibana wird für das Dashboard in ELK . verwendet.

sudo dnf -y installiere Kibana 

KIbana konfigurieren - Die Konfigurationsdatei für Kibana befindet sich unter /etc/kibana/kibana.yml.

Konfigurieren Sie den Serverhost so, dass er auf die Anwendung localhost elasticsearch verweist.

$ sudo vim /etc/kibana/kibana.yml # Kibana wird von einem Back-End-Server bereitgestellt. Diese Einstellung gibt den zu verwendenden Port an. # Server.Port: 5601-Server.port: 5601… # Um Verbindungen von Remote-Benutzern zuzulassen, setzen Sie diesen Parameter auf eine Nicht-Loopback-Adresse. #Server.host: "localhost"-Server.host: "localhost" # Die URL für die elasticsearch-Instanz elasticsearch.Hosts: [http://localhost:9200]

Kibana starten und aktivieren

sudo systemctl enable --now kibana

Filebeat installieren auf CentOS 8

Filebeat ist ein Protokollversender, der verwendet wird, um Protokolle aus den angegebenen Protokollverzeichnissen an Easticsearch zu sendensearch.

sudo yum installiere filebeat

Konfigurieren Sie Filebeat auf CentOS 8

Konfigurieren Sie Flebeat für die Zusammenarbeit mit Wazuh. Sichern Sie die vorhandene Filebeat-Konfigurationsdatei und ersetzen Sie sie dann durch eine heruntergeladene vorkonfigurierte Datei.

sudo mv /etc/filebeat/filebeat.yml,.bak sudo curl -so /etc/filebeat/filebeat.yml https://raw.githubusercontent.com/wazuh/wazuh/v4.0.3/Erweiterungen/filebeat/7.x/filebeat.yml

Bearbeiten Sie die heruntergeladene Datei entsprechend Ihrem Setup

$ sudo vim /etc/filebeat/filebeat.yml #ausgabe.elastische Suche.hosts: ['http://YOUR_ELASTIC_SERVER_IP:9200'] Ausgabe.elastische Suche.Hosts: ['http://localhost:9200']

Fügen Sie der Konfigurationsdatei auch die folgenden Zeilen hinzu, wenn Sie den Pfad angeben möchten, von dem filebeat die Protokolle holen soll.

Protokollierung.Ebene: Infologging.to_files: echte Protokollierung.Dateien: Pfad: /var/log/filebeat Name: filebeat Keepfiles: 7 Berechtigungen: 0644

Testen Sie die Ausgabe wie folgt:

$ sudo filebeat test output elasticsearch: http://localhost:9200… URL analysieren… OK Verbindung… Host analysieren… OK DNS-Suche… OK Adressen: 192.168.1.83 einwählen… OK TLS… WARN sichere Verbindung deaktiviert mit Server sprechen… OK Version: 7.9.3

Schritt 3 - Installieren Sie das Filebeat Wazuh-Modul

Laden Sie das Wazuh-Modul für Filebeat herunter und installieren Sie es mit den folgenden Befehlen:

wget https://Pakete.wazuh.com/4.x/filebeat/wazuh-filebeat-0.1.Teer.gz -P /tmp/ sudo mkdir /usr/share/filebeat/module/wazuh sudo tar xzf /tmp/wazuh-filebeat-0.1.Teer.gz -C /usr/share/filebeat/module/wazuh/ --strip-components=1

Laden Sie die Indexvorlage für Wazuh Elasticsearch Alerts herunter und richten Sie sie ein.

$ sudo curl -so /etc/filebeat/wazuh-template.json https://raw.githubusercontent.com/wazuh/wazuh/v4.0.3/Erweiterungen/elastische Suche/7.x/wazuh-Vorlage.json $ sudo filebeat setup --path.config /etc/filebeat --path.home /usr/share/filebeat --path.data /var/lib/filebeat --index-management -E setup.Vorlage.json.aktiviert=falsch

Filebeat neu starten

sudo systemctl Neustart filebeat

Schritt 4 – Kibana-Plugin für Wazuh installieren

Setzen Sie den Besitz auf die Verzeichnisse /usr/share/kibana/optimize/ und /usr/share/kibana/plugins zu Kibana Benutzer.

sudo chown -R kibana: /usr/share/kibana/optimize,plugins

Kibana-Plugin für Wazuh installieren.

$ cd /usr/share/kibana $ sudo -u kibana bin/kibana-plugin install https://packages.wazuh.com/4.x/ui/kibana/wazuh_kibana-4.0.3_7.9.3-1.Postleitzahl

Überprüfen Sie nach Abschluss die installierten Plugins

$ sudo -u kibana /usr/share/kibana/bin/kibana-plugin list [email protected]

Starten Sie den erforderlichen Dienst neu, um die Änderungen zu übernehmen.

sudo systemctl restart Kibana sudo systemctl restart elasticsearch sudo systemctl restart wazuh-manager

Schritt 5 – Firewalld konfigurieren

Konfigurieren Sie die Firewall, um den Zugriff auf Kibana von einem Remote-Host aus zuzulassen. Möglicherweise müssen Sie Elasticsearch auch zulassen, wenn Kibana und Elasticsearch auf verschiedenen Hosts installiert sind.

sudo Firewall-cmd --zone=public --add-port=5601/tcp --permanent sudo Firewall-cmd --reload

Sie können jetzt über auf Ihre Kibana-Oberfläche zugreifen http://Server-IP:5601

Sie können dann zum linken Menü navigieren und Wazuh in der Liste auswählen.

Damit können Sie Ihre Systeme mit dem Wazuh-Server überwachen, indem Sie Agenten auf Ihren Client-Systemen konfigurieren.

Schauen Sie sich diese anderen interessanten Artikel von dieser Seite an:

Leiten Sie Server-Logs und -Metriken mit Beats an Elasticsearch weiter

Automatisieren Sie Icinga2-Konfigurationen mit Icinga Director auf CentOS | RHEL 8

So installieren Sie Netdata auf Kubernetes mit Helm

So führen Sie macOS auf KVM / QEMU aus
macOS ist ein proprietäres grafisches Betriebssystem, das von Apple Inc. entwickelt wurde. seit 2001. Es ist das primäre Betriebssystem für Apples Mac...
So erstellen Sie eine Linux-Netzwerkbrücke unter RHEL 8 / CentOS 8
Wie kann ich eine Linux-Netzwerkbrücke auf einem RHEL 8 / CentOS 8 Linux-System erstellen??. Im heutigen Tutorial schauen wir uns an, wie man eine Lin...
Installieren Sie OpenNebula Front-End auf Ubuntu 20.04|18.04|16.04
In dieser Anleitung führe ich Sie durch die Schritte zum Installieren von OpenNebula Front-End auf Ubuntu 20.04|18.04 & Ubuntu 16.04 LTS. OpenNebula i...