ELK、OpenSourceのSIEM、Open Distro：WAZUHとの統合

私たちのプロジェクトを前進させます。SIEMパートが完了しました。私たちのプロジェクトを単純なオブザーバーからアクティブなレスポンダーに移す時が来ました。これに使用した重要なツールの1つはWazuhです。この記事では、このツールが提供するメリットについて説明したいと思います。また、インストール方法と使用方法についても説明します。

Wazuhは、オープンソースのセキュリティコンプライアンス検出、表示、および比較エンジンです。

これはOSSECHIDSのフォークとして作成され、後にElastic StackおよびOpenSCAPと統合され、より包括的なソリューションになりました。

Wazuhは、オペレーティングシステムとアプリケーション層でホストを追跡することにより、インフラストラクチャ全体のセキュリティの可視性を高めるのに役立ちます。

すべての投稿の目次。

• 前書き。SOC as a Service（SOCasS）のインフラストラクチャとテクノロジーの展開
• ELKスタック-インストールと構成
• オープンディストロを歩く
• ダッシュボードとELKSIEMの視覚化
• WAZUHとの統合
• アラート
• レポート作成
• ケース管理

この記事は次のセクションに分かれています。

• Wazuhサーバーとエージェントのインストール

1. Wazuhサーバーのインストール

   
   
   

2. Wazuhエージェントのインストール

   
   
   

3. アプリのインストールとkibanaとの統合

   
   
   

4. エージェントの構成と接続

   
   
   

1- wazuh

Wazuh — , , , . , .

Wazuh: Wazuh, API Filebeat. .

Wazuh: , . Wazuh, .

1.1- Wazuh:

Wazuh , , . , ( , , , . .), / . Elasticsearch .

(Single-host architecture (HIDS)), :

. :

https://documentation.wazuh.com/3.8/getting-started/architecture.html

1.2- Wazuh manager, API Filebeat

wazuh

https://documentation.wazuh.com/3.12/installation-guide/installing-wazuh-manager/linux/ubuntu/wazuh_server_packages_ubuntu.html#wazuh-server-packages-ubuntu

filebeat: filebeat elasticsearch logstash. elasticsearch ssl ( , )

cd /etc/filebeat
nano filebeat.yml

3 :

filebeat setup — index-management
service filebeat start
service wazuh-manager start
service wazuh-api start

1.3- wazuh-

https://documentation.wazuh.com/3.12/installation-guide/installing-wazuh-agent/linux/ubuntu12.04-or-greater/wazuh_agent_package_ubuntu12.04_or_greater.html#wazuh-agent-package-ubuntu12-04-or —

, wazuh-agent:

1.4- wazuh Kibana:

Wazuh Kibana ELK, .

Git Hub, -.

wazuh, ELK Stack 7.6.1. .

cd /usr/share/kibana

sudo -u kibana bin/kibana-plugin install https://packages.wazuh.com/wazuhapp/wazuhapp-3.12.2_7.6.1.zip

Kibana, :

cat >> /etc/default/kibana << EOF
NODE_OPTIONS=" —max_old_space_size=2048"
EOF

:

systemctl restart kibana

:

https://github.com/wazuh/wazuh-kibana-app

, wazuh . . wazuh api. . . , . , .

1–5

. .

Wazuh manager manage_agents, . . :

/var/ossec/bin/manage_agents

, A . , , user1. IP- . : IP- , () IP-. Enter

, wazuh.

E . , 001.

, Wazuh, Linux root. .

/var/ossec/bin/manage_agents -i "__"

, "y" Enter.

Wazuh /var/ossec/etc/ossec.conf, IP- Wazuh. <> <> MANAGER_IP Wazuh. Wazuh- IP- DNS-:

1.6- :

, ELK wazuh. . - (wazuh-alert wazuh-monitoring)

1. Wazuh:

   
   
   

Wazuh , Wazuh-manager.

— , , . — . , .

, IP- , , , Bruteforce, , RDP SSH, .

, IP- , , Wazuh. SSH-Bruteforce. 8 . , "5712 — SSHD ". . , IP .

-, , .

OSSEC , . / var / ossec / active-response / bin / . firewall-drop.sh, Linux / Unix IP- .

ossec.conf OSSEC Manager:

nano /var/ossec/etc/ossec.conf

firewall-drop.sh, Linux / Unix IP- .

OSSEC . :

-command: (firewall-drop).

-location: . , . , local.

-rules_id: , 5712.

-timeout: IP 60 (iptables, ipfilter . .)

. wazuh-manager :

service wazuh-manager restart

wazuh-agent ossec.conf :

<active-response>
<disabled>no</disabled>
</active-response>

SSH -, Wazuh, 60 8 .

Wazuh, :

https://documentation.wazuh.com/3.7/user-manual/capabilities/active-response/how-it-works.html

Elasticsearchでのテレグラムチャット：https：//t.me/elasticsearch_ru