ELK，OpenSource的SIEM，Open Distro：与WAZUH集成

推进我们的项目。我们已经完成了SIEM部分。现在是时候将我们的项目从一个简单的观察者转变为一个积极的响应者了。Wazuh是我们用于此目的的重要工具之一。在本文中，我们希望对您进行培训，以使您了解此工具提供的好处。我们还将告诉您如何安装和使用它。

Wazuh是一个开源安全合规性检测，查看和比较引擎。

它是OSSEC HIDS的分支创建的，后来与Elastic Stack和OpenSCAP集成在一起，从而变成了更全面的解决方案。

Wazuh通过在操作系统和应用程序层跟踪主机，可以帮助您在基础架构中获得更深入的安全可见性。

所有职位的目录。

• 介绍。SOC即服务（SOCasS）的基础架构和技术部署
• ELK堆栈-安装和配置
• 走过开放的发行版
• 仪表板和ELK SIEM可视化
• 与WAZUH集成
• 警示
• 制作报告
• 案例管理

本文分为以下几节：

• 安装Wazuh服务器和代理

1. 安装Wazuh服务器

   
   
   

2. 安装Wazuh代理

   
   
   

3. 应用程序安装和与Kibana集成

   
   
   

4. 配置和连接代理

   
   
   

1- wazuh

Wazuh — , , , . , .

Wazuh: Wazuh, API Filebeat. .

Wazuh: , . Wazuh, .

1.1- Wazuh:

Wazuh , , . , ( , , , . .), / . Elasticsearch .

(Single-host architecture (HIDS)), :

. :

https://documentation.wazuh.com/3.8/getting-started/architecture.html

1.2- Wazuh manager, API Filebeat

wazuh

https://documentation.wazuh.com/3.12/installation-guide/installing-wazuh-manager/linux/ubuntu/wazuh_server_packages_ubuntu.html#wazuh-server-packages-ubuntu

filebeat: filebeat elasticsearch logstash. elasticsearch ssl ( , )

cd /etc/filebeat
nano filebeat.yml

3 :

filebeat setup — index-management
service filebeat start
service wazuh-manager start
service wazuh-api start

1.3- wazuh-

https://documentation.wazuh.com/3.12/installation-guide/installing-wazuh-agent/linux/ubuntu12.04-or-greater/wazuh_agent_package_ubuntu12.04_or_greater.html#wazuh-agent-package-ubuntu12-04-or —

, wazuh-agent:

1.4- wazuh Kibana:

Wazuh Kibana ELK, .

Git Hub, -.

wazuh, ELK Stack 7.6.1. .

cd /usr/share/kibana

sudo -u kibana bin/kibana-plugin install https://packages.wazuh.com/wazuhapp/wazuhapp-3.12.2_7.6.1.zip

Kibana, :

cat >> /etc/default/kibana << EOF
NODE_OPTIONS=" —max_old_space_size=2048"
EOF

:

systemctl restart kibana

:

https://github.com/wazuh/wazuh-kibana-app

, wazuh . . wazuh api. . . , . , .

1–5

. .

Wazuh manager manage_agents, . . :

/var/ossec/bin/manage_agents

, A . , , user1. IP- . : IP- , () IP-. Enter

, wazuh.

E . , 001.

, Wazuh, Linux root. .

/var/ossec/bin/manage_agents -i "__"

, "y" Enter.

Wazuh /var/ossec/etc/ossec.conf, IP- Wazuh. <> <> MANAGER_IP Wazuh. Wazuh- IP- DNS-:

1.6- :

, ELK wazuh. . - (wazuh-alert wazuh-monitoring)

1. Wazuh:

   
   
   

Wazuh , Wazuh-manager.

— , , . — . , .

, IP- , , , Bruteforce, , RDP SSH, .

, IP- , , Wazuh. SSH-Bruteforce. 8 . , "5712 — SSHD ". . , IP .

-, , .

OSSEC , . / var / ossec / active-response / bin / . firewall-drop.sh, Linux / Unix IP- .

ossec.conf OSSEC Manager:

nano /var/ossec/etc/ossec.conf

firewall-drop.sh, Linux / Unix IP- .

OSSEC . :

-command: (firewall-drop).

-location: . , . , local.

-rules_id: , 5712.

-timeout: IP 60 (iptables, ipfilter . .)

. wazuh-manager :

service wazuh-manager restart

wazuh-agent ossec.conf :

<active-response>
<disabled>no</disabled>
</active-response>

SSH -, Wazuh, 60 8 .

Wazuh, :

https://documentation.wazuh.com/3.7/user-manual/capabilities/active-response/how-it-works.html

在Elasticsearch上进行电报聊天：https：//t.me/elasticsearch_ru