ELK, SIEM de OpenSource, Open Distro: Integración con WAZUH

Avanzando en nuestro proyecto. Hemos completado la parte SIEM. Es hora de pasar nuestro proyecto de un simple observador a un respondedor activo. Una de las herramientas importantes que hemos utilizado para esto es Wazuh. En este artículo, esperamos informarle sobre los beneficios que ofrece esta herramienta. También te diremos cómo instalarlo y usarlo.

Wazuh es un motor de detección, visualización y comparación de cumplimiento de seguridad de código abierto.

Fue creado como una bifurcación de OSSEC HIDS, luego integrado con Elastic Stack y OpenSCAP, que se convirtió en una solución más completa.

Wazuh lo ayuda a obtener una visibilidad de seguridad más profunda en toda su infraestructura mediante el seguimiento de los hosts en el sistema operativo y la capa de aplicación.

Tabla de contenido para todas las publicaciones.

• Introducción. Despliegue de infraestructura y tecnología para SOC como servicio (SOCasS)
• Pila ELK - instalación y configuración
• Caminando por la Distro abierta
• Dashboards y visualización ELK SIEM
• Integración con WAZUH
• Alertando
• Haciendo informe
• Gestión de casos

El artículo se divide en las siguientes secciones:

• Instalación del servidor y el agente de Wazuh

1. Instalación del servidor Wazuh

   
   
   

2. Instalación del agente de Wazuh

   
   
   

3. Instalación e integración de aplicaciones con kibana

   
   
   

4. Configurar y conectar agentes

   
   
   

1- wazuh

Wazuh — , , , . , .

Wazuh: Wazuh, API Filebeat. .

Wazuh: , . Wazuh, .

1.1- Wazuh:

Wazuh , , . , ( , , , . .), / . Elasticsearch .

(Single-host architecture (HIDS)), :

. :

https://documentation.wazuh.com/3.8/getting-started/architecture.html

1.2- Wazuh manager, API Filebeat

wazuh

https://documentation.wazuh.com/3.12/installation-guide/installing-wazuh-manager/linux/ubuntu/wazuh_server_packages_ubuntu.html#wazuh-server-packages-ubuntu

filebeat: filebeat elasticsearch logstash. elasticsearch ssl ( , )

cd /etc/filebeat
nano filebeat.yml

3 :

filebeat setup — index-management
service filebeat start
service wazuh-manager start
service wazuh-api start

1.3- wazuh-

https://documentation.wazuh.com/3.12/installation-guide/installing-wazuh-agent/linux/ubuntu12.04-or-greater/wazuh_agent_package_ubuntu12.04_or_greater.html#wazuh-agent-package-ubuntu12-04-or —

, wazuh-agent:

1.4- wazuh Kibana:

Wazuh Kibana ELK, .

Git Hub, -.

wazuh, ELK Stack 7.6.1. .

cd /usr/share/kibana

sudo -u kibana bin/kibana-plugin install https://packages.wazuh.com/wazuhapp/wazuhapp-3.12.2_7.6.1.zip

Kibana, :

cat >> /etc/default/kibana << EOF
NODE_OPTIONS=" —max_old_space_size=2048"
EOF

:

systemctl restart kibana

:

https://github.com/wazuh/wazuh-kibana-app

, wazuh . . wazuh api. . . , . , .

1–5

. .

Wazuh manager manage_agents, . . :

/var/ossec/bin/manage_agents

, A . , , user1. IP- . : IP- , () IP-. Enter

, wazuh.

E . , 001.

, Wazuh, Linux root. .

/var/ossec/bin/manage_agents -i "__"

, "y" Enter.

Wazuh /var/ossec/etc/ossec.conf, IP- Wazuh. <> <> MANAGER_IP Wazuh. Wazuh- IP- DNS-:

1.6- :

, ELK wazuh. . - (wazuh-alert wazuh-monitoring)

1. Wazuh:

   
   
   

Wazuh , Wazuh-manager.

— , , . — . , .

, IP- , , , Bruteforce, , RDP SSH, .

, IP- , , Wazuh. SSH-Bruteforce. 8 . , "5712 — SSHD ". . , IP .

-, , .

OSSEC , . / var / ossec / active-response / bin / . firewall-drop.sh, Linux / Unix IP- .

ossec.conf OSSEC Manager:

nano /var/ossec/etc/ossec.conf

firewall-drop.sh, Linux / Unix IP- .

OSSEC . :

-command: (firewall-drop).

-location: . , . , local.

-rules_id: , 5712.

-timeout: IP 60 (iptables, ipfilter . .)

. wazuh-manager :

service wazuh-manager restart

wazuh-agent ossec.conf :

<active-response>
<disabled>no</disabled>
</active-response>

SSH -, Wazuh, 60 8 .

Wazuh, :

https://documentation.wazuh.com/3.7/user-manual/capabilities/active-response/how-it-works.html

Chat de Telegram en Elasticsearch: https://t.me/elasticsearch_ru