alicangonullu tarafından 2022-02-15 11:23:09 tarihinde yazıldı. Tahmini okunma süresi 6 dakika, 11 saniye. 210 kere görüntülendi.
Disclaimer
Merhabalar,
Günümüzde şirket bazında sistem güvenliği çok önemli bir seviyeye ulaşmıştır. Dolayısıyla güvenlik programları ve bunları kullanan Siber Güvenlik ekiplerinin sorumluluğu artmıştır. Bu yazımda sizlere Wazuh adındaki bir HIDS yazılımından bahsedeceğim
Wazuh, açık kaynak kodlu bir HIDS yazılımıdır. Görev olarak,
ve benzeri pek çok görevi vardır. Ücretsiz olan bu HIDS yazılımı Elasticsearch ve Kibana adındaki görselleştirme ve log ayıklama yazılımlarıyla entegre çalışır. Bu entegrasyon ile pek çok şema ve log anlamlı hale getirilir.
Ufak bir bilgiden sonra Wazuh kurulumu kısmına geçebiliriz
Wazuh kurmak için iki kısım vardır
Öncelikle bir Manage Server kurmamız gerekmekte. Ben bunun için CentOS 9 Stream sürümünü kullanacağım. Siz isterseniz bu linkten direkt VMWare makinesini indirip kurabilirsiniz.
Öncelikle şu komutlarla paketlerimizi güncelliyoruz
yum -y update
yum -y upgradeArdından otomatik kurulum ve manuel kurulum olarak iki seçeneğimiz var. Ben manuel olarak kuracağım ancak otomatik kurulum komutu şu şekilde giriliyor
curl -so ~/unattended-installation.sh https://packages.wazuh.com/resources/4.2/open-distro/unattended-installation/unattended-installation.sh && bash ~/unattended-installation.shManuel olarak yüklemek için öncelikle Wazuh repositorysini ekleyip gerekli paketleri yüklüyoruz
yum install curl unzip wget libcap epel-release
rpm --import https://packages.wazuh.com/key/GPG-KEY-WAZUH
cat > /etc/yum.repos.d/wazuh.repo << EOF
[wazuh]
gpgcheck=1
gpgkey=https://packages.wazuh.com/key/GPG-KEY-WAZUH
enabled=1
name=EL-\$releasever - Wazuh
baseurl=https://packages.wazuh.com/4.x/yum/
protect=1
EOF
yum -y updateArdından wazuh-manager'i kuruyoruz. Şu komutu girmemiz gerekiyor.
yum install wazuh-manager -yBu komutla yazılımımızın server kısmını yüklemiş bulunuyoruz. Şimdi Server kısmını aktif ediyoruz
systemctl daemon-reload
systemctl enable wazuh-manager
systemctl start wazuh-managerŞimdi ise Kibana ve Elasticseach programlarını kuruyoruz. Şu komutları takip ediyoruz.
yum install opendistroforelasticsearch -y
curl -so /etc/elasticsearch/elasticsearch.yml https://packages.wazuh.com/resources/4.2/open-distro/elasticsearch/7.x/elasticsearch_all_in_one.yml
curl -so /usr/share/elasticsearch/plugins/opendistro_security/securityconfig/roles.yml https://packages.wazuh.com/resources/4.2/open-distro/elasticsearch/roles/roles.yml
curl -so /usr/share/elasticsearch/plugins/opendistro_security/securityconfig/roles_mapping.yml https://packages.wazuh.com/resources/4.2/open-distro/elasticsearch/roles/roles_mapping.yml
curl -so /usr/share/elasticsearch/plugins/opendistro_security/securityconfig/internal_users.yml https://packages.wazuh.com/resources/4.2/open-distro/elasticsearch/roles/internal_users.yml
rm /etc/elasticsearch/esnode-key.pem /etc/elasticsearch/esnode.pem /etc/elasticsearch/kirk-key.pem /etc/elasticsearch/kirk.pem /etc/elasticsearch/root-ca.pem -f
curl -so ~/wazuh-cert-tool.sh https://packages.wazuh.com/resources/4.2/open-distro/tools/certificate-utility/wazuh-cert-tool.sh
curl -so ~/instances.yml https://packages.wazuh.com/resources/4.2/open-distro/tools/certificate-utility/instances_aio.yml
bash ~/wazuh-cert-tool.sh
mkdir /etc/elasticsearch/certs/
mv ~/certs/elasticsearch* /etc/elasticsearch/certs/
mv ~/certs/admin* /etc/elasticsearch/certs/
cp ~/certs/root-ca* /etc/elasticsearch/certs/
systemctl daemon-reload
systemctl enable elasticsearch
systemctl start elasticsearchElasticseach'i kurduktan sonra test ediyoruz. Şu komutlar ve buna benzer bir çıktı almanız gerekiyor.
curl -XGET https://localhost:9200 -u admin:admin -k
{
"name" : "node-1",
"cluster_name" : "elasticsearch",
"cluster_uuid" : "tWYgqpgdRz6fGN8gH11flw",
"version" : {
"number" : "7.10.2",
"build_flavor" : "oss",
"build_type" : "rpm",
"build_hash" : "747e1cc71def077253878a59143c1f785afa92b9",
"build_date" : "2021-01-13T00:42:12.435326Z",
"build_snapshot" : false,
"lucene_version" : "8.7.0",
"minimum_wire_compatibility_version" : "6.8.0",
"minimum_index_compatibility_version" : "6.0.0-beta1"
},
"tagline" : "You Know, for Search"
}Java ayarları ile beraber FileBeat kurulumunu yapıyoruz.
export JAVA_HOME=/usr/share/elasticsearch/jdk/ && /usr/share/elasticsearch/plugins/opendistro_security/tools/securityadmin.sh -cd /usr/share/elasticsearch/plugins/opendistro_security/securityconfig/ -nhnv -cacert /etc/elasticsearch/certs/root-ca.pem -cert /etc/elasticsearch/certs/admin.pem -key /etc/elasticsearch/certs/admin-key.pem
yum install filebeat -y
curl -so /etc/filebeat/filebeat.yml https://packages.wazuh.com/resources/4.2/open-distro/filebeat/7.x/filebeat_all_in_one.yml
curl -so /etc/filebeat/wazuh-template.json https://raw.githubusercontent.com/wazuh/wazuh/4.2/extensions/elasticsearch/7.x/wazuh-template.json
chmod go+r /etc/filebeat/wazuh-template.json
curl -s https://packages.wazuh.com/4.x/filebeat/wazuh-filebeat-0.1.tar.gz | tar -xvz -C /usr/share/filebeat/module
mkdir /etc/filebeat/certs
cp ~/certs/root-ca.pem /etc/filebeat/certs/
mv ~/certs/filebeat* /etc/filebeat/certs/
systemctl daemon-reload
systemctl enable filebeat
systemctl start filebeatFilebeat erişimini test ediyoruz. Çıktısı ve komutu şöyle olmalı
filebeat test output
elasticsearch: https://127.0.0.1:9200...
parse url... OK
connection...
parse host... OK
dns lookup... OK
addresses: 127.0.0.1
dial up... OK
TLS...
security: server's certificate chain verification is enabled
handshake... OK
TLS version: TLSv1.3
dial up... OK
talk to server... OK
version: 7.10.2
Buna benzer bir çıktı aldıysanız program kurulmuştur. Şimdi ise Kibana programını kurmamız gerekiyor. Şu komutları giriyoruz
yum install opendistroforelasticsearch-kibana -y
curl -so /etc/kibana/kibana.yml https://packages.wazuh.com/resources/4.2/open-distro/kibana/7.x/kibana_all_in_one.yml
mkdir /usr/share/kibana/data
chown -R kibana:kibana /usr/share/kibana/data
cd /usr/share/kibana
sudo -u kibana /usr/share/kibana/bin/kibana-plugin install https://packages.wazuh.com/4.x/ui/kibana/wazuh_kibana-4.2.5_7.10.2-1.zip
mkdir /etc/kibana/certs
cp ~/certs/root-ca.pem /etc/kibana/certs/
mv ~/certs/kibana* /etc/kibana/certs/
chown kibana:kibana /etc/kibana/certs/*
setcap 'cap_net_bind_service=+ep' /usr/share/kibana/node/bin/node
systemctl daemon-reload
systemctl enable kibana
systemctl start kibanaArdından Wazuh Server kurulumumuz tamamlanmış oluyor.
Panel linki
URL: https:// manager_IP
user: admin
password: adminŞimdi izlemek istediğimiz bilgisayara Wazuh Agent kurmamız gerekiyor.
Kurmadan önce ise doğrulama için key oluşturmamız gerekiyor. Key oluşturmak için Linux kabuğunda şu kodları giriyoruz
/var/ossec/bin/agent-auth -m manager_IPArdından gerekli bilgileri doldurarak çıkan keyi kopyalayıp Wazuh Agent kurulumuna başlıyoruz.
Agent kurulumunu pek çok farklı platformda yapabiliriz. Bazılarını belirtelim
Şu komutları Terminal penceresi içerisine girin
launchctl setenv WAZUH_MANAGER "10.0.0.2" && installer -pkg wazuh-agent-4.2.5-1.pkg -target /
sudo /Library/Ossec/bin/wazuh-control startŞu komutları girmelisiniz
wget https://packages.wazuh.com/4.x/aix/wazuh-agent-4.2.5-1.aix.ppc.rpm
WAZUH_MANAGER="10.0.0.2" rpm -ivh wazuh-agent-4.2.5-1.aix.ppc.rpm
startsrc -s wazuh-agent
rpm -e wazuh-agentwget https://packages.wazuh.com/4.x/hp-ux/wazuh-agent-4.2.5-1-hpux-11v3-ia64.tar
groupadd ossec
useradd -G ossec ossec
tar -xvf wazuh-agent-4.2.5-1-hpux-11v3-ia64.tar
/var/ossec/etc/ossec.conf
1514
tcp
/sbin/init.d/wazuh-agent starthttps://packages.wazuh.com/4.x/solaris/i386/10/wazuh-agent_v4.2.5-sol10-i386.pkg
pkgadd -d wazuh-agent_v4.2.5-sol10-i386.pkgBu kurulumları yaptıktan sonra direkt olarak sistemi başlatma komutlarıyla başlatıp auth key ve manager IP girmemiz gerekiyor. ossec.conf üzerinden bunları ayarlayabilirsiniz.
Okudğunuz için teşekkürler!