Как установить сервер Wazuh на CentOS 8

В этой статье рассказывается, как установить сервер Wazuh на CentOS 8. Сервер Wazuh — это бесплатный инструмент мониторинга безопасности с открытым исходным кодом, который использует эластичный стек (ELK). Он используется для отслеживания событий безопасности на уровне приложений и ОС.

Таким образом, вы можете получить информацию об обнаружении угроз, реагировании на инциденты и мониторинге целостности. В этом руководстве мы развернем Wazuh на одноузловом хосте CentOS с установленным ELK на том же хосте.

Вы можете использовать Wazuh для следующих приложений:

  1. Анализ безопасности
  2. Анализ журнала
  3. Обнаружение уязвимости
  4. Безопасность контейнеров
  5. Облачная безопасность

Следующие шаги помогут нам настроить сервер Wazuh на экземпляре CentOS 8.

Шаг 1 — Установите Wazuh Server на CentOS 8

Убедитесь, что ваша система обновлена:

Добавить ключ Wazuh GPG

Добавить репо Wazuh

Установите сервер Wazuh:

Запустите сервер Wazuh

Отключите обновления, чтобы избежать проблем с контролем версий.

Шаг 2 — Установите Elastic Stack на CentOS 8

Мы продолжим установку стека ELK на нашем экземпляре CentOS 8. Elasticsearch, Logstash и Kibana составляют стек ELK, который используется для анализа журналов. Эти инструменты работают в сотрудничестве с сервером Wazuh, обеспечивая анализ инцидентов безопасности и управление ими.

Установить Java на CentOS 8

Elasticsearch — это приложение Java, это означает, что нам необходимо установить JDK.

Подтвердите, что он у вас установлен

Пример вывода:

Установите Elasticsearch на CentOS 8

Добавить ключ GPG для Elasticsearch

Добавить файл репо Elasticsearch

Установите Elasticsearch:

Запустите и включите Elasticsearch

Установите Kibana на CentOS 8

Kibana используется для приборной панели в ELK.

Настроить кибану — файл конфигурации для кибаны находится в папке /etc/kibana/kibana.yml.

Настройте хост сервера так, чтобы он указывал на приложение localhost elasticsearch.

Запустите и включите Kibana

Установите Filebeat на CentOS 8

Filebeat — это отправитель журналов, который используется для отправки журналов в Easticsearch из указанных каталогов журналов.

Настроить Filebeat в CentOS 8

Настройте Flebeat для работы с Wazuh. Сделайте резервную копию существующего файла конфигурации Filebeat, затем замените его загруженным предварительно настроенным файлом.

Отредактируйте загруженный файл в соответствии с вашими настройками

Также добавьте следующие строки в файл конфигурации, если вы хотите указать путь, из которого filebeat должен получать журналы.

Проверьте вывод, как показано ниже:

Шаг 3 — Установите модуль Filebeat Wazuh

Загрузите и установите модуль wazuh для Filebeat, используя следующие команды:

Загрузите шаблон индекса предупреждений Wazuh Elasticsearch и настройте его.

Перезапустить Filebeat

Шаг 4 — Установите плагин Kibana для Wazuh

Установите право собственности на каталоги /usr/share/kibana/optimize/  и  /usr/share/kibana/plugins  для пользователя kibana .

Установите плагин Kibana для wazuh.

По завершении проверьте установленные плагины

Перезапустите требуемую службу, чтобы изменения вступили в силу.

Шаг 5 — Настройте Firewalld

Настройте брандмауэр, чтобы разрешить доступ к Kibana с удаленного хоста. Вам также может потребоваться разрешить Elasticsearch, если у вас установлены Kibana и Elasticsearch на разных хостах.

Теперь вы можете получить доступ к своему интерфейсу кибаны, используя http: // server-IP: 5601

Затем вы можете перейти в левое меню и выбрать Wazuh в списке.

Благодаря этому вы сможете контролировать свои системы с помощью сервера Wazuh, настроив агентов в своих клиентских системах.

Оцените статью
Блог БИТ
Добавить комментарий