Yapılandırma

/var/ossec/etc/ossec.confUyarı eşiği , Wazuh sunucusundaki yapılandırma dosyasında XML etiketi içerisinde yapılandırılır <alerts>.

Aşağıdaki kod bloğu, olaylar ve uyarıların e-posta yoluyla iletilmesi için varsayılan uyarı eşiği yapılandırmasını gösterir:

<ossec_config>
  <alerts>
    <log_alert_level>3</log_alert_level>
    <email_alert_level>12</email_alert_level>
  </alerts>
</ossec_config>

Nerede:

• <log_alert_level> etiket , /var/ossec/logs/alerts/alerts.log ve/veya /var/ossec/logs/alerts/alerts.json dosyada  depolanan uyarıları tetiklemek için minimum önem seviyesini ayarlar . Varsayılan değer 3'dür . İzin verilen değer, kurallar sınıflandırma kılavuzunda belirtildiği gibi 1 ila 16 arasında herhangi bir tam sayıdır 

• Etiket <email_alert_level>, bir uyarının e-posta bildirimi oluşturması için minimum önem seviyesini ayarlar. Varsayılan değer 'dir 12. İzin verilen değer, 1'den 'e kadar herhangi bir tam sayıdır 16. Bu ayar, ayrıntılı e-posta uyarısı yapılandırmasını geçersiz kılar. Ancak, bireysel kurallar içindeki alert_by_email seçenek , bir e-posta uyarısını tetiklemek için hem genel hem de ayrıntılı uyarı düzeyi eşiklerini geçersiz kılabilir.

Uyarı eşiği yapılandırma hakkında ayrıntılı bilgi için uyarı başvuru kılavuzuna bakın.

Not:  Yapılandırma dosyasında herhangi bir değişiklik yaptığınızda Wazuh yöneticisini yeniden başlatın. Bu eylem değişikliklerin etkili olmasını sağlar. 

Aşağıdaki komutla komut satırı arayüzü üzerinden Wazuh yöneticisini yeniden başlatın:

Systemd

systemctl restart wazuh-manager

SysV Başlatma 

service wazuh-manager restart

Syslog Çıktısını Yapılandırma

Syslog_output seçeneğini kullanarak Wazuh sunucusunu bir syslog sunucusuna uyarılar gönderecek şekilde yapılandırabilirsiniz . Uyarıları bir syslog sunucusuna iletmek, merkezi izleme ve özel raporlama için yararlı olabilir.

<ossec_config>
  <syslog_output>
    <level>9</level>
    <server>192.168.1.241</server>
  </syslog_output>
</ossec_config>

Systemd

systemctl restart wazuh-manager

SysV Başlatma

service wazuh-manager restart

<ossec_config>
  <syslog_output>
    <server>192.168.1.240</server>
  </syslog_output>

  <syslog_output>
    <level>9</level>
    <server>192.168.1.241</server>
  </syslog_output>
</ossec_config>

E-posta Uyarılarını Yapılandırma

Wazuh, bir Wazuh sunucusunda oluşturulduğunda e-posta sistemlerine uyarılar göndermek için bir özellik sunar. Kurallar tetiklendiğinde veya özelleştirilmiş ayarlara göre bir veya daha fazla e-posta adresine e-posta uyarıları göndermek üzere yapılandırabilirsiniz. Bu yapılandırma günlük olay raporları ve daha fazlası için size yardımcı olabilir.

Kural kimliği 553tetiklendiğinde Wazuh tarafından gönderilen örnek bir e-posta aşağıda gösterilmektedir:

  Wazuh Notification.
  2024 Apr 29 08:58:30

  Received From: wazuh-server->syscheck
  Rule: 553 fired (level 7) -> "File deleted."
  Portion of the log(s):

  File '/var/ossec/test_dir/somefile.
  txt' deleted
  Mode: realtime

  Attributes:
   - Size: 0
   - Permissions: rw-r--r--
   - Date: Mon Apr 29 08:46:12 2024
   - Inode: 841858
   - User: root (0)
   - Group: root (0)
   - MD5: d41d8cd98f00b204e9800998ecf8427e
   - SHA1: da39a3ee5e6b4b0d3255bfef95601890afd80709
   - SHA256: e3b0c44298fc1c149afbf4c8996fb92427ae41e4649b934ca495991b7852b855


--END OF NOTIFICATION

<ossec_config>
  <global>
    <email_notification>yes</email_notification>
    <email_to>me@test.com</email_to>
    <smtp_server>mail.test.com</smtp_server>
    <email_from>wazuh@test.com</email_from>
  </global>
  ...
</ossec_config>

<ossec_config>
  <alerts>
    <email_alert_level>10</email_alert_level>
  </alerts>
  ...
</ossec_config>

Veritabanı Çıktısını Yapılandırma

Wazuh, uyarıları veritabanı sistemlerine iletmeyi destekler. Wazuh yöneticisini, oluşturulan uyarıları bir veritabanına çıktı olarak verecek şekilde yapılandırabilirsiniz. Bu yapılandırmayı elde etmek için, Wazuh yöneticisini kullanmak istediğiniz veritabanı türündeki kaynaklardan derlemelisiniz. Wazuh şu anda MySQL ve PostgreSQL veritabanlarını destekler.

Not:  Bu kılavuz, MySQL veya PostgreSQL'i zaten kurduğunuzu ve kullanıcıları ve veritabanlarını nasıl oluşturacağınızı bildiğinizi varsayar.

Arşivlemeyi Etkinleştirme

Wazuh sunucunuzda arşivlemeyi etkinleştirmek için aşağıdaki adımları izleyin.

1. Wazuh yöneticisi yapılandırma dosyasını düzenleyin /var/ossec/etc/ossec.confve aşağıda vurgulanan alanların değerini şu şekilde ayarlayın yes:
   
   

   <ossec_config>
     <global>
       <jsonout_output>yes</jsonout_output>
       <alerts_log>yes</alerts_log>
       <logall>yes</logall>
       <logall_json>yes</logall_json>
   
      ...
   </ossec_config>
   

   Nerede:

   • <logall>tüm günlük iletilerinin arşivlenmesini etkinleştirir veya devre dışı bırakır. Etkinleştirildiğinde, Wazuh sunucusu günlükleri bir syslog biçiminde depolar. İzin verilen değerler yesve ' dir no.

   • <logall_json>olayların günlüğe kaydedilmesini etkinleştirir veya devre dışı bırakır. Etkinleştirildiğinde, Wazuh sunucusu olayları bir JSON biçiminde depolar. İzin verilen değerler yesve ' dir no.

   İstediğiniz biçime bağlı olarak, vurgulanan alanlardan bir veya her iki değeri de olarak ayarlayabilirsiniz yes. Ancak, yalnızca bu <logall_json>yes</logall_json>seçenek Wazuh panosundaki olayları görselleştirmek için kullanılabilecek bir dizin oluşturmanıza olanak tanır.
   
   

2. Yapılandırma değişikliklerini uygulamak için Wazuh yöneticisini yeniden başlatın:
   
   

   systemctl restart wazuh-manager

Seçtiğiniz formata bağlı olarak, dosya archives.log, , veya her ikisi de Wazuh sunucusundaki dizinde archives.jsonoluşturulacaktır ./var/ossec/logs/archives/

Wazuh varsayılan bir günlük döndürme politikası kullanır. Günlükleri günlük, aylık ve yıllık bazda döndürerek ve sıkıştırarak kullanılabilir disk alanının korunmasını sağlar.

Dashboard'daki Olayların Görselleştirilmesi

1. Filebeat yapılandırma dosyasını düzenleyin ve from /etc/filebeat/filebeat.ymldeğerini şu şekilde değiştirin :archives: enabledfalsetrue
   
   

   archives:
    enabled: true

2. Yapılandırma değişikliklerini uygulamak için Filebeat'i yeniden başlatın:
   
   

   systemctl restart filebeat

Wazuh Dashboard

1. Ana menüyü açmak için sol üst menü simgesine tıklayın. Pano yönetimi'ni genişletin ve Pano yönetimi > Dizin desenleri'ne gidin . Sonra, Dizin deseni oluştur'a tıklayın . Dizin deseni adı olarak kullanın wazuh-archives-*ve Zaman alanı açılır listesinde timestampayarlayın .

   Aşağıdaki GIF, endeks deseninin nasıl oluşturulacağını göstermektedir.
   
   

   
   

2. Gösterge tablosundaki etkinlikleri görüntülemek için sol üst menü simgesine tıklayın ve Keşfet'e gidin . Dizin desenini olarak değiştirin wazuh-archives-*.
   
   

   

Use Case: İmzalanmış İkili Proxy Yürütmeyi Algılama

T1218.010İmzalanmış ikili proxy yürütme, tehdit aktörlerinin kötü amaçlı kod çalıştırmak için güvenilir ikili dosyaları kullanarak uygulama beyaz listesini atlatmak için kullandıkları bir tekniktir. Bu teknik , MITRE ATT&CK çerçevesine dayalı olarak tanımlanmıştır .

Bu kullanım örneğinde, regsvr32.exeuygulama denetimlerini atlatmak için Windows yardımcı programı 'nın nasıl kötüye kullanılacağını gösteriyoruz. Daha sonra bu teknikle ilgili şüpheli etkinliği tespit etmek için Wazuh arşivlerindeki olayları analiz ediyoruz.

İsteğe Bağlı Filtreler

Wazuh Integrator modülü, hangi uyarıların harici platformlara gönderileceğini belirlemek için isteğe bağlı filtre alanlarını kullanır. Yalnızca filtre koşullarını karşılayan uyarılar gönderilir. Hiçbir filtre belirtilmezse, tüm uyarılar gönderilir.

Filtreler ayarlanırken aşağıdaki hususlara dikkat edilmelidir:

• Virgülle ayrılmış liste etiketini kullanarak birden fazla grup adı belirtmek mümkündür <group>. Uyarının grubu listedeki gruplardan herhangi biriyle eşleşirse uyarı gönderilir, aksi takdirde yok sayılır.

• Virgülle ayrılmış liste etiketini kullanarak birden fazla kural kimliği belirtmek mümkündür <rule_id>. Uyarı, uyarının kural kimliği listedeki herhangi bir kimlikle eşleşirse gönderilir, aksi takdirde yok sayılır.

• Daha önce açıklanan alanları birlikte belirtmek mümkündür. Uyarı, hem uyarının kural kimliği hem de grubu listelerdeki kimliklerden ve gruplardan herhangi biriyle eşleşirse gönderilir, aksi takdirde yok sayılır.

Not:  Yukarıda belirtilen grup ve kural tanımlayıcılarının dikkatlice kontrol edilmesi önerilir, çünkü bunların yanlış tanımlanması entegrasyona beklenen uyarıların gönderilmemesine neden olacaktır.

Entegrasyon Betiği Oluşturma

Entegrasyon betiği oluştururken aşağıdaki talimatları izlemeniz önerilir:

1. /var/ossec/integrations/Yapılandırma bloğunda belirtilen adla aynı adı taşıyan betiği Wazuh sunucusundaki dizinde oluşturun .

2. Komut dosyası yürütme izinleri içermeli ve rootgrubun kullanıcısına ait olmalıdır wazuh. Aşağıdaki komutlar /var/ossec/integrations/custom-scriptkomut dosyasına izinler ve sahiplik atar.

   chmod 750 /var/ossec/integrations/custom-script
   chown root:wazuh /var/ossec/integrations/custom-script

3. Entegrasyon betiğinin ilk satırı yorumlayıcısını belirtmelidir, aksi takdirde Wazuh betiği nasıl okuyacağını ve çalıştıracağını bilemez. Aşağıdaki örnek satır Python yorumlayıcısını belirtir:
   
   

   #!/usr/bin/env python

4. Komut dosyası aşağıdaki argümanları kontrol eder çünkü onlardan yapılandırma seçenekleri alacaktır.

   • İlk parametre uyarıyı içeren dosyanın konumunu içerir. Parametre /logs/alerts/alerts.jsonWazuh Integrator modülünde varsayılan olarak geçirilen dosyadır:
     
     

     alert_file = open(sys.argv[1])
     

   • api_keyİkinci parametre, blokta tanımlanan seçenek olan API anahtarını içerir <integration>:
     
     

     api_key = sys.argv[2]
     

   • hook_urlÜçüncü parametre, blokta tanımlanan seçenek olan webhook URL'sini içerir <integration>:
     
     

     hook_url = sys.argv[3]
     

   Yukarıdakilerden hiçbiri belirtilmezse parametreler boş alınacaktır.

5. İlk parametrede belirtilen dosyanın içeriğini okuyun ve uyarıdan entegrasyon için ilgili alanları çıkarın. Seçenekte JSON kullanılmışsa alert_format, bilginin bir JSON nesnesi olarak yüklenmesi gerekir.
   
   

   alert_level = alert_json['rule']['level']
   ruleid = alert_json['rule']['id']
   description = alert_json['rule']['description']
   agentid = alert_json['agent']['id']
   agentname = alert_json['agent']['name']
   path = alert_json['syscheck']['path']
   

/logs/alerts/alerts.jsonEntegrasyon betiğinin geliştirilmesine başlamadan önce, yorumlanacak uyarıların formatını bulmak için dosyayı kontrol etmenizi öneririz .

Filebeat

Bu bileşen, Wazuh yöneticisi tarafından işlenen uyarıları ve arşivlenmiş olayları indeksleme ve depolama için Wazuh indeksleyicisine güvenli bir şekilde iletmek üzere tasarlanmış hafif bir veri taşıyıcısıdır. Wazuh analiz motorunun çıktısını okur ve olayları gerçek zamanlı olarak gönderir.

# Wazuh - Filebeat configuration file
output.elasticsearch.hosts:
        - 127.0.0.1:9200
#        - <elasticsearch_ip_node_2>:9200
#        - <elasticsearch_ip_node_3>:9200

output.elasticsearch:
  protocol: https
  username: ${username}
  password: ${password}
  ssl.certificate_authorities:
    - /etc/filebeat/certs/root-ca.pem
  ssl.certificate: "/etc/filebeat/certs/wazuh-server.pem"
  ssl.key: "/etc/filebeat/certs/wazuh-server-key.pem"
setup.template.json.enabled: true
setup.template.json.path: '/etc/filebeat/wazuh-template.json'
setup.template.json.name: 'wazuh'
setup.ilm.overwrite: true
setup.ilm.enabled: false

filebeat.modules:
  - module: wazuh
    alerts:
      enabled: true
    Archives:

logging.level: info
logging.to_files: true
logging.files:
  path: /var/log/filebeat
  name: filebeat
  keepfiles: 7
  permissions: 0644

logging.metrics.enabled: false

seccomp:
  default_action: allow
  syscalls:
  - action: allow
    names:
    - rseq

Wazuh Indeksleyici Bağlayıcısı

Wazuh dizinleyici bağlayıcısı şu anda Wazuh yöneticisinden güvenlik açığı verilerini alıyor ve güvenli bir şekilde Wazuh dizinleyicisine iletiyor. Güvenlik açığı verilerini Elastic Common Schema'yı (ECS) takip eden JSON formatında alıyor ve veri tutarlılığı ve güvenilirliğini sağlamak için durumunu Wazuh dizinleyicisiyle senkronize ediyor. Wazuh dizinleyici bağlayıcısı Wazuh yöneticisiyle birlikte gönderilir.

/var/ossec/etc/ossec.confİndeksleyici bağlayıcısı için standart yapılandırma , Wazuh sunucusundaki dosyada aşağıda gösterildiği gibi belirtilmiştir :

<ossec_config>
 <indexer>
    <enabled>yes</enabled>
    <hosts>
      <host>https://127.0.0.1:9200</host>
    </hosts>
    <ssl>
      <certificate_authorities>
        <ca>/etc/filebeat/certs/root-ca.pem</ca>
      </certificate_authorities>
      <certificate>/etc/filebeat/certs/filebeat.pem</certificate>
      <key>/etc/filebeat/certs/filebeat-key.pem</key>
    </ssl>
  </indexer>
</ossec_config>

Nerede:

• <indexer>Wazuh indeksleyici bağlayıcısı için yapılandırma seçeneklerini belirtir.

• <enabled>Wazuh dizinleyici bağlayıcısını etkinleştirir veya devre dışı bırakır. Bu seçenek için izin verilen değerler ve'dir yes. noDeğer, yesWazuh dizinleyici bağlayıcısını etkinleştirir ve nodevre dışı bırakır. Varsayılan değer 'dir yes.

• <hosts>bağlanılacak Wazuh dizinleyici düğümlerinin bir listesini belirtir. hostHer düğüm bağlantısını ayarlamak için seçeneği kullanın.

• <host>bağlanılacak Wazuh dizinleyici düğüm URL'sini veya IP adresini belirtir. Örneğin, http://172.16.1.11veya 192.168.3.2:9230. Varsayılan olarak, değer localhost ana bilgisayarına ayarlanır: https://127.0.0.1:9200.

• <ssl>SSL parametreleri için yapılandırma seçeneklerini belirtir.

• <certificate_authorities>doğrulama için kök sertifika dosya yollarının bir listesini belirtir. caHer CA sertifika dosya yolunu ayarlamak için seçeneği kullanın.

• <ca>HTTPS sunucu doğrulamaları için kök CA sertifikasını belirtir. Varsayılan değer 'dir /etc/filebeat/certs/root-ca.pem. Olası değer herhangi bir geçerli CA sertifikasıdır.

• <certificate>Filebeat SSL sertifikasına giden yolu belirtir. Varsayılan değer 'dir /etc/filebeat/certs/filebeat-key.pem. Olası değer herhangi bir geçerli anahtardır.

• <key>kimlik doğrulama için kullanılan sertifika anahtarını belirtir. Varsayılan değer 'dir /etc/filebeat/certs/filebeat-key.pem. Olası değer herhangi bir geçerli anahtardır.

Referans kılavuzunun dizinleyici bölümünde mevcut yapılandırma seçenekleri hakkında daha fazla bilgi edinebilirsiniz .

Yapılandırma

Aşağıdaki blok , Wazuh sunucusunun dosyasındaki <auth>varsayılan aracı kayıt hizmeti yapılandırmasıdır :/var/ossec/etc/ossec.conf

<auth>
  <disabled>no</disabled>
  <remote_enrollment>yes</remote_enrollment>
  <port>1515</port>
  <use_source_ip>no</use_source_ip>
  <force>
    <enabled>yes</enabled>
    <disconnected_time enabled="yes">1h</disconnected_time>
    <after_registration_time>1h</after_registration_time>
    <key_mismatch>yes</key_mismatch>
  </force>
  <purge>yes</purge>
  <use_password>no</use_password>
  <ciphers>HIGH:!ADH:!EXP:!MD5:!RC4:!3DES:!CAMELLIA:@STRENGTH</ciphers>
  <!-- <ssl_agent_ca></ssl_agent_ca> -->
  <ssl_verify_host>no</ssl_verify_host>
  <ssl_manager_cert>etc/sslmanager.cert</ssl_manager_cert>
  <ssl_manager_key>etc/sslmanager.key</ssl_manager_key>
  <ssl_auto_negotiate>no</ssl_auto_negotiate>
</auth>

Nerede:

• <disabled>Wazuh aracısının Wazuh yöneticisine kaydolma ve kimlik doğrulama işlemini etkinleştirir veya devre dışı bırakır. Varsayılan değer 'dir no. İzin verilen değerler yesve 'dir no.

• <remote_enrollment>Wazuh yöneticisinin varsayılan olarak 1515 numaralı bağlantı noktasında TLS şifrelemesi kullanarak yeni Wazuh aracılarından gelen bağlantıları kabul etmesini sağlar. Varsayılan değer 'dir yes. İzin verilen değerler yesve 'dir no.

• <port>Bağlantıları dinlemek için TCP bağlantı noktası numarasını belirtir. Varsayılan değer 'dir . İzin verilen değer ve 1515arasındaki herhangi bir bağlantı noktası numarasıdır .065535

• <use_source_ip>istemcinin kaynak IP adresinin mi yoksa "herhangi biri"nin mi kullanılacağını tanımlar. İzin verilen değerler ve'dir yes. noDeğer hayır olduğunda, kayıt için kullanılan kaynak IP değişse bile Wazuh aracısı Wazuh yöneticisine bağlanabilir. Ancak değer evet olduğunda, kaynak IP adresi değişse bile Wazuh aracısı Wazuh yöneticisine bağlanamaz.

• <force>Wazuh aracısının etiketi içinde yeniden kaydı için yapılandırılacak seçenekleri belirtir. Yeniden kaydın başarılı olması için tüm koşulların karşılanması gerekir. Aşağıdaki seçenekler, seçeneğin ayarlarını tanımlar force:

  • <enabled>yinelenen bir ad veya IP adresi varsa bir Wazuh aracısının eklenmesinin zorlanıp zorlanmayacağını belirtir. Eğer öyleyse enabled, aynı ad veya IP adresine sahip eski Wazuh aracısını kaldıracaktır. Varsayılan değer 'dir yes. Olası değerler yesve 'dir no.

  • <disconnected_time>yalnızca ayarda yapılandırılan değerden daha uzun süre bağlantısı kesilmiş olan Wazuh aracıları için bir değiştirme yapılıp yapılmayacağını belirtir. Varsayılan değer 1h(bir saat)'tir. İzin verilen değer sıfırdan büyük veya sıfıra eşit herhangi bir sayıdır. s, h, m, ve gibi soneklerin dsaniye, saat, dakika ve günü temsil etmesine izin verir. Öznitelik ayarı enabledvarsayılan değerine sahiptir yes, yani değiştirme yalnızca belirtilen bağlantı kesme süresi aşıldıktan sonra gerçekleşir. Etkin özniteliğin yesve olmak üzere iki olasılığı vardır no.

  • <after_registration_time>Wazuh aracısı değişiminin yalnızca Wazuh aracısı kaydının ayarda yapılandırılan değerden büyük olması durumunda gerçekleştirileceğini belirtir. Varsayılan değer 'dir 1h. İzin verilen değer sıfırdan büyük veya ona eşit herhangi bir sayıdır. s, h, m, ve gibi soneklerin dsaniye, saat, dakika ve günü temsil etmesine izin verir.

  • <key_mismatch>Wazuh aracısının elinde tuttuğu anahtar, yönetici tarafından kaydedilen anahtardan farklı olduğunda Wazuh aracısının değiştirilmesinin gerçekleştiğini tanımlar. Varsayılan değer 'dir yes. Olası değerler yesve 'dir no.

• <purge>Wazuh aracıları kaldırıldığında istemci anahtarlarının silinip silinmeyeceğini belirtir. Değer olduğunda no, kaldırılan Wazuh aracıları kaldırılmış olarak işaretlenen istemci anahtarları dosyasında kalır. Değer olarak ayarlandığında yes, istemci anahtarları dosyası temizlenir. Varsayılan değer 'dir yes. Olası değerler yesve 'dir no.

• <use_password>paylaşımlı parola kimlik doğrulamasının kullanımını belirler. Değer olduğunda no, bu seçenek devre dışıdır. Değer olarak ayarlandığında yes, dosyadan paylaşımlı bir parola okunur /var/ossec/etc/authd.pass. Bu dosya mevcut değilse, rastgele bir parola oluşturulur ve /var/ossec/logs/ossec.logWazuh sunucusundaki dosyada saklanır. 

• <ciphers>SSL kullanarak ağ iletişimi için şifrelerin listesini ayarlar. Varsayılan değer HIGH:!ADH:!EXP:!MD5:!RC4:!3DES:!CAMELLIA:@STRENGTH.

• <ssl_agent_ca>istemcileri doğrulamak için kullanılan CA sertifikasına giden yolu belirtir. Wazuh kurulum dizini altındaki bağıl yol veya tam yol olarak adlandırılabilir. Olası değer herhangi bir geçerli yoldur.

• <ssl_verify_host>CA sertifikası belirtildiğinde kaynak ana bilgisayar doğrulamasını açar ve kapatır. İstemci kaynak IP adresi Ortak Ad alanı kullanılarak doğrulanacaktır. Varsayılan değer 'dir no. İzin verilen değerler yesve 'dir no.

• <ssl_manager_cert>sunucu SSL sertifikasına giden yolu belirtir. Wazuh kurulum dizinindeki bağıl yol veya tam yol olarak adlandırılabilir. Varsayılan değer etc/sslmanager.cert'dir. Olası değer herhangi bir geçerli yoldur.

• <ssl_manager_key>sunucunun SSL anahtarına giden yolu belirtir. Wazuh kurulum dizininin altındaki bağıl yol veya tam yol olarak adlandırılabilir. Varsayılan değer etc/sslmanager.key'dir. Olası değer herhangi bir geçerli yoldur.

• <ssl_auto_negotiate>SSL/TLS yönteminin otomatik olarak seçilip seçilmeyeceğini değiştirir. Varsayılan olarak yalnızca TLS v1.2'ye izin verilir. olarak ayarlandığında yes, sistem istemciyle en güvenli ortak yöntemi müzakere eder. Yöneticinin TLS v1.2'yi desteklemediği eski sistemlerde, bu seçenek otomatik olarak etkinleştirilir. Varsayılan değer 'dir no. İzin verilen değerler yesve 'dir no.

Yapılandırma dosyasında değişiklik yaptığınızda, aşağıdaki komutu kullanarak komut satırı arayüzü üzerinden Wazuh yöneticisini yeniden başlatın:

Systemd

systemctl restart wazuh-manager

service wazuh-manager restart

Yapılandırma

Aşağıdaki blok Wazuh sunucu yapılandırma dosyasındaki varsayılan bağlantı hizmeti yapılandırmasıdır /var/ossec/etc/ossec.conf:

<ossec_config>
  <remote>
    <connection>secure</connection>
    <port>1514</port>
    <protocol>tcp</protocol>
    <queue_size>131072</queue_size>
  </remote>
</ossec_config>

Nerede:

• <connection>kabul edilecek gelen bağlantının türünü belirtir. Varsayılan değer güvenlidir. İzin verilen değerler secureve ' dir syslog.

• <port>olayları dinlemek için kullanılacak portu belirtir. Varsayılan port değeri 1514güvenli bağlantı ve syslog bağlantısı içindir . İzin verilen değer ve 514arasındaki herhangi bir port numarasıdır .165535

• <protocol>bağlantı için kullanılacak protokolü belirtir. Varsayılan değer 'dir tcp. İzin verilen değerler tcpve 'dir udp.

• <queue_size>Uzak daemon kuyruğunun kapasitesini Wazuh aracı olaylarının sayısı olarak ayarlamanıza olanak tanır. Varsayılan değer 'dir . İzin verilen değer ile 131072arasında bir tam sayıdır . Uzak kuyruk yalnızca Wazuh aracı olayları için kullanılabilir, syslog olayları için kullanılamaz. Bu seçenek yalnızca bağlantı güvenli olarak ayarlandığında çalışır. Bu yapılandırma ayarı hakkında daha fazla bilgi edinmek için Wazuh kuyruğu ile ilgili belgelerimize bakın .1262144

Değişiklikler yapıldıysa, değişiklikleri uygulamak için aşağıdaki komutla Wazuh yöneticisini komut satırı arayüzü üzerinden yeniden başlatın:

Systemd

systemctl restart wazuh-manager

service wazuh-manager restart

Örneğin, bir Windows uç noktasındaki (IP adresi 192.168.71.125) bir Wazuh yöneticisine (IP adresi 192.168.71.203) bir Wazuh aracısının kaydı sırasında netstat kullanarak bağlantı hizmetinin çalışmasını doğrulayabilirsiniz. Ayrıca, herhangi bir Wazuh destekli uç noktada çalışan bir Wazuh aracısı, güvenlik olaylarını port üzerindeki Wazuh yöneticisine iletir . Yukarıdaki aracı bağlantı hizmeti yapılandırma1514 bölümünde ayrıntılı olarak açıklanan yapılandırmayı kullanır .

Wazuh yöneticisi ile Wazuh aracısı arasındaki bağlantı hizmetinin çalışmasını doğrulamak için aşağıdaki adımları gerçekleştirin:

1. Windows uç noktasında komut istemini başlatın ve uç noktadaki bağlantıları listelemek için şu komutları çalıştırın:netstat -a
   
   

   netstat -a
   

   Output

   C:\Users\Tony>netstat -a
   
   Active Connections
   
     Proto  Local Address          Foreign Address        State
       TCP    192.168.71.125:51787   a23-53-42-162:https    ESTABLISHED
     TCP    192.168.71.125:51788   a-0003:https           ESTABLISHED
     TCP    192.168.71.125:51789   a-0003:https           ESTABLISHED
     TCP    192.168.71.125:51790   a23-53-42-162:https    ESTABLISHED
     TCP    192.168.71.125:51791   192.168.71.203:1514    SYN_SENT
   

   192.168.71.125IP adresine sahip Windows uç noktasının bir TCP paketi gönderdiğini ve porttaki SYN_SENTIP adresine sahip Wazuh sunucusuyla bağlantı kurmayı beklediğini görebiliyoruz .192.168.71.2031514
   
   

2. netstatWazuh sunucusunun Windows 10 uç noktasıyla ne zaman bağlantı kurduğunu görüntülemek için komutu çalıştırın.
   
   

   netstat

   Output

   Active Connections
   
     Proto  Local Address          Foreign Address        State
     TCP    192.168.71.125:3389    192.168.71.1:25743     ESTABLISHED
     TCP    192.168.71.125:51572   a23-64-12-19:https     CLOSE_WAIT
     TCP    192.168.71.125:51573   192.229.221.95:http    CLOSE_WAIT
     TCP    192.168.71.125:51694   192.168.71.203:1514    ESTABLISHED
     TCP    192.168.71.125:51699   192.168.20.103:ms-do   SYN_SENT
     TCP    192.168.71.125:51701   192.168.20.101:ms-do   SYN_SENT
     TCP    192.168.71.125:51703   20.231.121.79:http     SYN_SENT
     TCP    192.168.71.125:51704   192.168.20.125:ms-do   SYN_SENT
   

   IP adresine sahip Windows uç noktasının , port üzerindeki 192.168.71.125IP adresine sahip Wazuh sunucusuna bağlı olduğunu görebiliyoruz .192.168.71.2031514

Veri Kaynakları

Wazuh, çeşitli kaynaklardan günlükler toplayarak BT altyapınızın tüm yönlerinin kapsamlı bir şekilde izlenmesine olanak tanır. Bu, Wazuh'un karmaşık tehditleri tespit etmesini, güvenlik açığı riskini azaltmasını, güvenlik politikalarına uyumu sağlamasını ve belirlenen güvenlik olaylarına hızla yanıt vermesini sağlar. Aşağıda Wazuh tarafından desteklenen bazı yaygın veri kaynakları verilmiştir:

• İşletim sistemi günlükleri : Wazuh, Windows , Linux ve macOS gibi çeşitli işletim sistemleri tarafından oluşturulan günlükleri toplar . Syslog, auditd, uygulama günlükleri ve diğerleri dahil olmak üzere Linux uç noktalarından çeşitli günlükler toplayabilir. Windows uç noktalarında, Wazuh varsayılan olarak Sistem, Uygulamalar ve Güvenlik olay kanallarından Windows olay günlüklerini toplar. Wazuh, macOS birleşik günlük sistemi (ULS) kullanarak macOS uç noktalarındaki günlükleri toplar. macOS ULS, tüm sistem düzeylerinde günlüklerin yönetimini ve depolanmasını merkezileştirir.

• Syslog olayları : Wazuh , Linux/Unix sistemleri ve Wazuh aracısı kurulumu gerektirmeyen ağ aygıtları da dahil olmak üzere çeşitli syslog özellikli aygıtlardan günlükleri toplar.

• Aracısız izleme : Wazuh aracısız izleme yeteneği, aracı kurulumunu desteklemeyen uç noktaları izler. Uç nokta ile Wazuh sunucusu arasında bir SSH bağlantısı gerektirir. Bu yetenek, dosyaların, dizinlerin veya yapılandırmaların izlenmesini ve uç noktada komutların çalıştırılmasını sağlar.

• Bulut sağlayıcı günlükleri : Wazuh, AWS , Azure , Google Cloud ve Office 365 gibi bulut hizmet sağlayıcılarından doğrudan günlükleri ve olayları toplayarak bulut altyapısını izler . Bunlara EC2 örnekleri, S3 kovaları, Azure VM'leri ve daha fazlası gibi bulut hizmetlerinden gelen günlükler dahildir.

• Özel günlükler : Wazuh'u VirusTotal , Windows Defender , ClamAV ve daha fazlası dahil olmak üzere çeşitli uygulamalardan ve üçüncü taraf güvenlik araçlarından günlükleri toplayacak ve ayrıştıracak şekilde yapılandırabilirsiniz .

Kod Çözme

Kod çözme, farklı veri kaynaklarından gelen günlükler gibi yapılandırılmış veya yapılandırılmamış verileri, izleme ve uyarı için kullanılabilecek anlamlı bilgiler çıkarmak için analiz etme sürecidir. Wazuh'ta kod çözmenin temel amacı, ham verileri Wazuh yöneticisinin yorumlayabileceği ve işleyebileceği bir biçime dönüştürmektir. İki süreci içerir:

• Ön kod çözme aşaması : Bu aşamada, günlük analiz motoru günlük başlığından zaman damgası, ana bilgisayar adı ve program adı gibi syslog benzeri bilgileri çıkarır. Ön kod çözme aşaması günlük yapısını basitleştirir ve daha ileri analiz için hazırlar. Ön kod çözme sürecini göstermek için aşağıdaki örnek günlük girişini göz önünde bulundurun:
  
  

  Feb 14 12:19:04 192.168.1.1 sshd[25474]: Accepted password for Stephen from 192.168.1.133 port 49765 ssh2
  

  Ön kod çözme aşamasını göstermek için Wazuh Logtest aracını kullanıyoruz. Wazuh sunucusunda aşağıdaki adımları gerçekleştirin:

  1. /var/ossec/bin/wazuh-logtestWazuh sunucusunda komut satırından çalıştırın

  2. Yukarıdaki örnek günlüğü kopyalayıp yapıştırın ve enter'a basın.

  Ön kod çözme aşaması sonrasında elde edilen bilgiler aşağıda gösterilmektedir:
  
  

  Starting wazuh-logtest v4.8.0
  Type one log per line
  
  Feb 14 12:19:04 192.168.1.1 sshd[25474]: Accepted password for Stephen from 192.168.1.133 port 49765 ssh
  
  **Phase 1: Completed pre-decoding.
          full event: 'Feb 14 12:19:04 192.168.1.1 sshd[25474]: Accepted password for Stephen from 192.168.1.133 port 49765 ssh'
          timestamp: 'Feb 14 12:19:04'
          hostname: '192.168.1.1'
          program_name: 'sshd'
  

• Kod çözme : Bu aşamada, Wazuh analiz motoru günlükle eşleşen bir kod çözücü uygular. Kod çözücüler, günlüklerde bulunan kullanıcı adları, IP adresleri, hata kodları, URL'ler ve diğer ilgili bilgiler gibi alanları ayıklar. Aşağıdaki kod çözücüler örnek günlükle eşleşir. Bu kod çözücüler /var/ossec/rulesets/decoders/0310-ssh_decoders.xmlWazuh sunucusundaki dosyadadır:
  
  

  <decoder name="sshd">
    <program_name>^sshd</program_name>
  </decoder>
  
  <decoder name="sshd-success">
    <parent>sshd</parent>
    <prematch>^Accepted</prematch>
    <regex offset="after_prematch">^ \S+ for (\S+) from (\S+) port (\S+)</regex>
    <order>user, srcip, srcport</order>
    <fts>name, user, location</fts>
  </decoder>
  

  Kod çözücü sshdprogram adıyla eşleşirken sshd, kod çözücü örnek günlükten , , ve ssh-successöğelerini çıkarır .Stephen192.168.1.13349765

  Kod çözme aşamasını göstermek için Wazuh Logtest aracını kullanıyoruz. Wazuh sunucusunda aşağıdaki adımları gerçekleştirin:

  1. /var/ossec/bin/wazuh-logtestWazuh sunucusunda from komut satırını çalıştırın .

  2. Yukarıdaki örnek günlüğü kopyalayıp yapıştırın ve enter'a basın.

  Kod çözme aşaması sonucunda elde edilen bilgiler aşağıda gösterilmektedir:
  
  

  Starting wazuh-logtest v4.7.5
  Type one log per line
  
  Feb 14 12:19:04 192.168.1.1 sshd[25474]: Accepted password for Stephen from 192.168.1.133 port 49765 ssh
  
  **Phase 1: Completed pre-decoding.
          full event: 'Feb 14 12:19:04 192.168.1.1 sshd[25474]: Accepted password for Stephen from 192.168.1.133 port 49765 ssh'
          timestamp: 'Feb 14 12:19:04'
          hostname: '192.168.1.1'
          program_name: 'sshd'
  
  **Phase 2: Completed decoding.
          name: 'sshd'
          parent: 'sshd'
          dstuser: 'Stephen'
          srcip: '192.168.1.133'
          srcport: '49765'
  

Kural Değerlendirmesi ve Uyarı

Günlük çözüldükten sonra, Wazuh yöneticisi bunu bir kural setiyle karşılaştırır. Wazuh kural setleri XML dosyalarında tanımlanır ve farklı izleme ihtiyaçlarına uyacak şekilde özelleştirilebilir. Bu kurallar, karşılandığında uyarıları tetikleyen koşulları belirtir. 5715Aşağıdaki kural, önceki bölümdeki örnek günlükle eşleşir. Bu kural, /var/ossec/ruleset/rules/0095-sshd_rules.xmlWazuh sunucusundaki dosyadadır.

<rule id="5715" level="3">
  <if_sid>5700</if_sid>
  <match>^Accepted|authenticated.$</match>
  <description>sshd: authentication success.</description>
  <group>authentication_success,pci_dss_10.2.5,</group>
</rule>

Nerede:

• <rule id="5715" level="3">kural kimliğini 5715ve kural düzeyini olarak belirtir 3. Kural kimliği kural için benzersiz bir tanımlayıcıdır, düzey ise kural eşleştiğinde olayın önem düzeyini temsil eder.

• <if_sid>5700</if_sid>ID'li başka bir kurala bağımlılığı belirtir 5700. Kural yalnızca daha önce eşleşmişse değerlendirilecektir 5700.

• <match>^Accepted|authenticated.$</match>ile başlayan Acceptedveya biten herhangi bir günlük girişiyle eşleşir authenticated..

• <description>sshd: authentication success.</description>kuralın neyi algıladığını açıklar. Bu durumda, başarılı bir SSH kimlik doğrulamasını gösterir.

• <group>authentication_success,pci_dss_10.2.5,</group>kuralı authentication_successve pci_dss_10.2.5 gruplarına atar.

Varsayılan olarak, Wazuh sunucusu 2'nin üzerinde bir seviyeye sahip herhangi bir kural için uyarılar üretir. Bu senaryoda, kural seviyesi 3 olduğu için günlük bir uyarıyı tetikler ve bu Wazuh panosunda görünür olacaktır.

Varsayılan olarak desteklenmeyen günlükleri analiz etmek için özel kod çözücüler ve kurallar oluşturabilirsiniz. Özel kurallar ve kod çözücülerin nasıl oluşturulacağını öğrenmek için özel kurallar ve özel kod çözücüler belgelerine bakın.

Wazuh Agent İletişim Kuyruğu Nasıl Yapılandırılır

1. Wazuh sunucusundaki /var/ossec/etc/ossec.conf dosyasının <queue_size>uzak bölümünde düzenleme yaparak Wazuh aracı iletişim kuyruğunu yapılandırın:
   
   

   <remote>
     <connection>secure</connection>
     <port>1514</port>
     <protocol>tcp,udp</protocol>
     <queue_size>131072</queue_size>
     <rids_closing_time>5m</rids_closing_time>
     <connection_overtake_time>600</connection_overtake_time>
     <agents>
       <allow_higher_versions>no</allow_higher_versions>
     </agents>
   </remote>
   

   Değişken <queue_size>, Wazuh aracı iletişim kuyruğunun kuyruk kapasitesini ayarlar. Aşağıdaki tablo <queue_size> değişkenin yapılandırmasını gösterir.
   
   

   Varsayılan değer	İzin verilen değerler
   131072	1 ile 262144 arasında herhangi bir sayı.

   Not:  Wazuh aracı iletişim kuyruğu ( queue_rd) yalnızca Wazuh aracı olayları için kullanılabilir, uzak syslog olayları için kullanılamaz. Bu seçenek yalnızca bağlantı olarak ayarlandığında çalışır secure.

    

   
   

2. Değişiklikleri uygulamak için Wazuh yönetici hizmetini yeniden başlatın.
   
   

   systemctl restart wazuh-manager

Olay düşüşleri gözlemlendiğinde /var/ossec/etc/ossec.conf dosyasının <remote> bloğundaki queue_size değerini ve /var/ossec/etc/internal_options.conf dosyasındaki worker_pool boyutunu artırabilirsiniz.

worker_poolAşağıdaki tablo Wazuh sunucusundaki boyut yapılandırmasını göstermektedir .

Wazuh sunucu API'sini wazuh-remoted sorgulayarak veya daemon istatistiksel durum dosyasını okuyarak olay düşüşlerini izleyebilirsiniz .

cat /var/ossec/var/run/wazuh-remoted.state

# State file for wazuh-remoted
# THIS FILE WILL BE DEPRECATED IN FUTURE VERSIONS
# Updated every 5 seconds.

# Queue size
queue_size='0'

# Total queue size
total_queue_size='131072'

# TCP sessions
tcp_sessions='1'

# Events sent to Analysisd
evt_count='126714'

# Control messages received
ctrl_msg_count='2637'

# Discarded messages
discarded_count='0'

# Total number of bytes sent
sent_bytes='4434745'

# Total number of bytes received
recv_bytes='93866086'

# Messages dequeued after the agent closes the connection
dequeued_after_close='0'

Wazuh Analiz Motoru Kuyruğu Nasıl Yapılandırılır

Wazuh analiz motoru kuyruğu, queue_and kuyruğu kullanarak analiz için Wazuh ajanlarından günlükleri alır. Gelen tüm günlük mesajları kategorilere ayrılır ve aşağıdaki kategorilerde sıraya alınır:

• Dosya bütünlüğü izleme olayı kod çözücü kuyruğu.

• Syscollector olay kod çözücü kuyruğu.

• Kök denetimi olayı kod çözücü kuyruğu.

• Ana bilgisayar bilgisi olay kod çözücü kuyruğu.

• Olay kod çözücü kuyruğu.

• Windows olay kod çözücü kuyruğu.

Her kuyruk kategorisinin İlk Giren İlk Çıkar (FIFO) olay yönetiminden sorumlu bir dizi iş parçacığı vardır. İş parçacığı sayısı, /var/ossec/etc/internal_options.conf Wazuh sunucusundaki dosya aracılığıyla olay türüne göre ayrı ayrı yapılandırılabilir.

Not:  Yükseltmelerin kuyruk yapılandırmalarını geçersiz kılmamasını sağlamak için /var/ossec/etc/local_internal_options.conf dosyası yerine  /var/ossec/etc/internal_options.conf dosyasını kullanın.

Aşağıdaki tabloda Wazuh analiz motoru kuyruğu ( queue_and) için kullanılabilen yapılandırma seçenekleri gösterilmektedir.

Wazuh analiz motorunda "olay düşüşleri" gözlemlendiğinde kuyruk ayarları ayarlanmalıdır. Wazuh sunucu API'sini sorgulayarak veya daemon istatistiksel durum dosyasını okuyarak wazuh-analysisd'deki olay düşüşlerini izleyebilirsiniz .

cat /var/ossec/var/run/wazuh-analysisd.state

# State file for wazuh-analysisd
# THIS FILE WILL BE DEPRECATED IN FUTURE VERSIONS

# Total events decoded
total_events_decoded='137726'

# Syscheck events decoded
syscheck_events_decoded='3935'

# Syscollector events decoded
syscollector_events_decoded='2590'

# Rootcheck events decoded
rootcheck_events_decoded='37'

# Security configuration assessment events decoded
sca_events_decoded='8991'

# Winevt events decoded
winevt_events_decoded='87993'

# Database synchronization messages dispatched
dbsync_messages_dispatched='26004'

# Other events decoded
other_events_decoded='8176'

# Events processed (Rule matching)
events_processed='112252'

# Events received
events_received='138283'

# Events dropped
events_dropped='0'

# Alerts written to disk
alerts_written='6707'

# Firewall alerts written to disk
firewall_written='0'

# FTS alerts written to disk
fts_written='0'

# Syscheck queue
syscheck_queue_usage='0.00'

# Syscheck queue size
syscheck_queue_size='16384'

# Syscollector queue
syscollector_queue_usage='0.00'

# Syscollector queue size
syscollector_queue_size='16384'

# Rootcheck queue
rootcheck_queue_usage='0.00'

# Rootcheck queue size
rootcheck_queue_size='16384'

# Security configuration assessment queue
sca_queue_usage='0.00'

# Security configuration assessment queue size
sca_queue_size='16384'

# Hostinfo queue
hostinfo_queue_usage='0.00'

# Hostinfo queue size
hostinfo_queue_size='16384'

# Winevt queue
winevt_queue_usage='0.00'

# Winevt queue size
winevt_queue_size='16384'

# Database synchronization message queue
dbsync_queue_usage='0.00'

# Database synchronization message queue size
dbsync_queue_size='16384'

# Upgrade module message queue
upgrade_queue_usage='0.00'

# Upgrade module message queue size
upgrade_queue_size='16384'

# Event queue
event_queue_usage='0.00'

# Event queue size
event_queue_size='16384'

# Rule matching queue
rule_matching_queue_usage='0.00'

# Rule matching queue size
rule_matching_queue_size='16384'

# Alerts log queue
alerts_queue_usage='0.00'

# Alerts log queue size
alerts_queue_size='16384'

# Firewall log queue
firewall_queue_usage='0.00'

# Firewall log queue size
firewall_queue_size='16384'

# Statistical log queue
statistical_queue_usage='0.00'

# Statistical log queue size
statistical_queue_size='16384'

# Archives log queue
archives_queue_usage='0.00'

# Archives log queue size
archives_queue_size='16384'

Wazuh Kuyruk Çözücü ve Kuralları

Wazuh, olay sel çıkışını analiz etmek ve Wazuh panosunda uyarılar oluşturmak için kullanıma hazır bir kod çözücü ve kurallar sağlar.

<decoder name="agent-buffer">
  <parent>wazuh</parent>
  <prematch offset="after_parent">^Agent buffer:</prematch>
  <regex offset="after_prematch">^ '(\S+)'.</regex>
  <order>level</order>
</decoder>

<!-- Agent buffer rules -->
<rule id="201" level="0">
  <if_sid>200</if_sid>
  <match>^wazuh: Agent buffer: </match>
  <description>Agent event queue rule</description>
  <group>agent_flooding,</group>
</rule>

<rule id="202" level="7">
  <if_sid>201</if_sid>
  <field name="level">%</field>
  <description>Agent event queue is $(level) full.</description>
  <group>agent_flooding,pci_dss_10.6.1,gdpr_IV_35.7.d,</group>
</rule>

<rule id="203" level="9">
  <if_sid>201</if_sid>
  <field name="level">full</field>
  <description>Agent event queue is full. Events may be lost.</description>
  <group>agent_flooding,pci_dss_10.6.1,gdpr_IV_35.7.d,</group>
</rule>

<rule id="204" level="12">
  <if_sid>201</if_sid>
  <field name="level">flooded</field>
  <description>Agent event queue is flooded. Check the agent configuration.</description>
  <group>agent_flooding,pci_dss_10.6.1,gdpr_IV_35.7.d,</group>
</rule>

<rule id="205" level="3">
  <if_sid>201</if_sid>
  <field name="level">normal</field>
  <description>Agent event queue is back to normal load.</description>
  <group>agent_flooding,</group>
</rule>