В стремительно развивающейся сегодня среде кибербезопасности организации сталкиваются с растущим набором угроз. К ним относятся вредоносное ПО, фишинговые атаки, внутренние угрозы и уязвимости программного обеспечения, что делает потребность в мощных и масштабируемых решениях безопасности более важной, чем когда-либо.
Wazuh — платформой безопасности с открытым исходным кодом, которая позволяет компаниям эффективно обнаруживать, отслеживать и реагировать на инциденты безопасности.
Это решение представляет собой единый универсальный агент для Windows, Mac, Cloud и т. д. и состоит из трех центральных компонентов:
Сервер Wazuh, индексатор Wazuh и панель управления Wazuh.
Требования Необходимые к железу по количеству обслуживаемых агентов, в данном случаи лучше развернуть на какой ни будь вертельной машине, что бы в любой момент подогнать под увеличивающеюся инфраструктуру организации.
Не забываем после установки системы обновить до последних компонентов, так как Wazuh не рекомендуется обновлять.
Установка Wazuh на сервер CentOS9
На сайте разработчика есть несколько вариантов установки Wazuh https://wazuh.com/install/ лучше выбирать быстрый вариант, меньше возни со сертификатами https://documentation.wazuh.com/current/quickstart.html
Для установки приложения выполните следующее:
curl -sO https://packages.wazuh.com/4.11/wazuh-install.sh && sudo bash ./wazuh-install.sh -a
При завершении установке сразу консоль не закрывайте, там будет автоматически сформированный пароль к пользователю admin, в моем случае выделенный красным.
Для смены пароля сначала необходимо загрузить скрипт wazuh-passwords-tool.sh:
curl -so wazuh-passwords-tool.sh https://packages.wazuh.com/4.11/wazuh-passwords-tool.sh
Затем уже меняем пароль у пользователя
sudo bash wazuh-passwords-tool.sh -u admin -p <mypassword>
После установки перейдите по адресу: https://<новый IP-адрес сервера>:443, где вы найдете логин:
Добавляем wazuh-agent на сервер wazuh
Переходим по адресу, для добавления нового агента https://ip/app/endpoints-summary#/agents-preview/deploy , выбираем какую архитектуру нужно для обслуживания.
Выставляем параметры сервера где вертится сам
- 1 пункт Wazuh
- 2 Имя Клиента где будет вертятся Wazuh-agent
- 3 пункт группа если они вам нужны
- 4 пунтке формируется строка для вставик и установке на вашем клиенте.
Варианты установки для более старых версии ОС https://github.com/wazuh/wazuh-packages/issues/1625
curl -o wazuh-agent-4.11.2-1.x86_64.rpm https://packages.wazuh.com/4.x/yum/wazuh-agent-4.11.2-1.x86_64.rpm && sudo WAZUH_MANAGER='192.168.1.2' WAZUH_AGENT_NAME='AST' rpm -ihv wazuh-agent-4.11.2-1.x86_64.rpm
Меняем пароль для авторизации для админа на свой
Скачиваем скрипт смены пароля пользователей с официального сайта
curl -so wazuh-passwords-tool.sh https://packages.wazuh.com/4.11/wazuh-passwords-tool.sh
Запускаем скрипт для смены пароля админа.
bash wazuh-passwords-tool.sh -u admin -p Secr3tP4ssw*rd