Adım Adım Kurulum

Wazuh Deposunu Ekleme

Not: Wazuh sunucusunu Wazuh indeksleyicisinin bulunduğu ana bilgisayara kuruyorsanız, Wazuh deposunu daha önce eklemiş olabileceğiniz için bu adımları atlayabilirsiniz.

Yum:

1. GPG anahtarını içe aktarın.
   

   rpm --import https://packages.wazuh.com/key/GPG-KEY-WAZUH

   
   
2. Depoyu ekleyin.
   

   echo -e '[wazuh]\ngpgcheck=1\ngpgkey=https://packages.wazuh.com/key/GPG-KEY-WAZUH\nenabled=1\nname=EL-$releasever - Wazuh\nbaseurl=https://packages.wazuh.com/4.x/yum/\nprotect=1' | tee /etc/yum.repos.d/wazuh.repo

APT:

1. Eğer eksikse aşağıdaki paketleri kurun.
   
   

   apt-get install gnupg apt-transport-https

2. GPG anahtarını yükleyin.
   
   

   curl -s https://packages.wazuh.com/key/GPG-KEY-WAZUH | gpg --no-default-keyring --keyring gnupg-ring:/usr/share/keyrings/wazuh.gpg --import && chmod 644 /usr/share/keyrings/wazuh.gpg

3. Depoyu ekleyin.
   
   

   echo "deb [signed-by=/usr/share/keyrings/wazuh.gpg] https://packages.wazuh.com/4.x/apt/ stable main" | tee -a /etc/apt/sources.list.d/wazuh.list

4. Paket bilgilerini güncelleyin.
   
   

   apt-get update

Wazuh yöneticisinin kurulumu

1. Wazuh yönetici paketini yükleyin.

   
   Yum:
   
   

   yum -y install wazuh-manager

   APT:

   
   

   apt-get update

   
   
   
   

Filebeat'i yükleme

apt-get -y install filebeat

1. Önceden yapılandırılmış Filebeat yapılandırma dosyasını indirin.

   # curl -so /etc/filebeat/filebeat.yml https://packages.wazuh.com/4.9/tpl/wazuh/filebeat/filebeat.yml
   

2. Yapılandırma dosyasını düzenleyin /etc/filebeat/filebeat.ymlve aşağıdaki değeri değiştirin:

   1. hosts: Bağlanılacak Wazuh dizinleyici düğümlerinin listesi. IP adreslerini veya ana bilgisayar adlarını kullanabilirsiniz. Varsayılan olarak, ana bilgisayar localhost olarak ayarlanmıştır . Bunu uygun şekilde Wazuh dizinleyici adresinizle değiştirin.hosts: ["127.0.0.1:9200"]

      Birden fazla Wazuh dizinleyici düğümünüz varsa, adresleri virgül kullanarak ayırabilirsiniz. Örneğin,hosts: ["10.0.0.1:9200", "10.0.0.2:9200", "10.0.0.3:9200"]

       # Wazuh - Filebeat configuration file
       output.elasticsearch:
       hosts: ["10.0.0.1:9200"]
       protocol: https
       username: ${username}
       password: ${password}
      

3. Kimlik doğrulama bilgilerini güvenli bir şekilde depolamak için bir Filebeat anahtar deposu oluşturun.

   # filebeat keystore create
   

4. Varsayılan kullanıcı adı ve parolayı admin: admingizli anahtar deposuna ekleyin.

   # echo admin | filebeat keystore add username --stdin --force
   # echo admin | filebeat keystore add password --stdin --force
   

5. Wazuh indeksleyicisi için uyarı şablonunu indirin.

   # curl -so /etc/filebeat/wazuh-template.json https://raw.githubusercontent.com/wazuh/wazuh/v4.9.2/extensions/elasticsearch/7.x/wazuh-template.json
   # chmod go+r /etc/filebeat/wazuh-template.json
   

6. Filebeat için Wazuh modülünü yükleyin.

   # curl -s https://packages.wazuh.com/4.x/filebeat/wazuh-filebeat-0.4.tar.gz | tar -xvz -C /usr/share/filebeat/module
   

Sertifikaların dağıtımıBu başlığa kalıcı bağlantı

Not

 

wazuh-certificates.tarİlk yapılandırma adımında oluşturulan dosyanın bir kopyasının çalışma dizininize yerleştirildiğinden emin olun .

1. <SERVER_NODE_NAME>Wazuh sunucu düğüm sertifika adınızla değiştirin , config.ymlsertifikaları oluştururken kullanılanla aynı. Ardından, sertifikaları karşılık gelen konumlarına taşıyın.

   # NODE_NAME=<SERVER_NODE_NAME>
   

   # mkdir /etc/filebeat/certs
   # tar -xf ./wazuh-certificates.tar -C /etc/filebeat/certs/ ./$NODE_NAME.pem ./$NODE_NAME-key.pem ./root-ca.pem
   # mv -n /etc/filebeat/certs/$NODE_NAME.pem /etc/filebeat/certs/filebeat.pem
   # mv -n /etc/filebeat/certs/$NODE_NAME-key.pem /etc/filebeat/certs/filebeat-key.pem
   # chmod 500 /etc/filebeat/certs
   # chmod 400 /etc/filebeat/certs/*
   # chown -R root:root /etc/filebeat/certs
   

Wazuh dizinleyici bağlantısını yapılandırmaBu başlığa kalıcı bağlantı

Not

Eğer güvenlik açığı tespit özelliğini kullanmayacaksanız bu adımı atlayabilirsiniz.

1. Wazuh dizinleyici kullanıcı adını ve parolasını wazuh-keystore aracını kullanarak Wazuh yöneticisi anahtar deposuna kaydedin:

   # echo '<INDEXER_USERNAME>' | /var/ossec/bin/wazuh-keystore -f indexer -k username
   # echo '<INDEXER_PASSWORD>' | /var/ossec/bin/wazuh-keystore -f indexer -k password
   

   Not

    

   Varsayılan adım adım kurulum kimlik bilgileri şunlardır admin:admin

2. /var/ossec/etc/ossec.confDizinleyici bağlantısını yapılandırmak için düzenleyin .

   Varsayılan olarak, dizinleyici ayarları bir ana bilgisayara yapılandırılmıştır. Aşağıda vurgulandığı gibi ayarlanmıştır 0.0.0.0.

   <indexer>
     <enabled>yes</enabled>
     <hosts>
       <host>https://0.0.0.0:9200</host>
     </hosts>
     <ssl>
       <certificate_authorities>
         <ca>/etc/filebeat/certs/root-ca.pem</ca>
       </certificate_authorities>
       <certificate>/etc/filebeat/certs/filebeat.pem</certificate>
       <key>/etc/filebeat/certs/filebeat-key.pem</key>
     </ssl>
   </indexer>
   

   Wazuh dizinleyici düğüm IP adresiniz veya ana bilgisayar adınızla değiştirin 0.0.0.0. Bu değeri Filebeat yapılandırma dosyasında bulabilirsiniz /etc/filebeat/filebeat.yml.

   Filebeat sertifikasının ve anahtar adının /etc/filebeat/certs.

   Bir Wazuh dizinleyici kümeniz varsa, <host>düğümlerinizin her biri için bir giriş ekleyin. Örneğin, iki düğümlü bir yapılandırmada:

   <hosts>
     <host>https://10.0.0.1:9200</host>
     <host>https://10.0.0.2:9200</host>
   </hosts>
   

   Güvenlik açığı tespiti, listedeki ilk düğüme raporlamayı önceliklendirir. Kullanılabilir olmadığında bir sonraki düğüme geçer.

Wazuh yöneticisinin başlatılmasıBu başlığa kalıcı bağlantı

1. Wazuh yönetici servisini etkinleştirin ve başlatın.

   SistemdSysV başlatma

   İşletim sisteminize göre bir seçenek seçin:

   1. RPM tabanlı işletim sistemi:

   # chkconfig --add wazuh-manager
   # service wazuh-manager start
   

   2. Debian tabanlı işletim sistemi:

   # update-rc.d wazuh-manager defaults 95 10
   # service wazuh-manager start
   

2. Wazuh yöneticisinin durumunu doğrulamak için aşağıdaki komutu çalıştırın.

   SistemdSysV başlatma

   
   

   # service wazuh-manager status
   

   
   

Filebeat hizmetini başlatmaBu başlığa kalıcı bağlantı

1. Filebeat servisini etkinleştirin ve başlatın.

   SistemdSysV başlatma

   Kullanılan işletim sistemine göre bir seçenek seçin.

   1. RPM tabanlı işletim sistemi:

   # chkconfig --add filebeat
   # service filebeat start
   

   2. Debian tabanlı işletim sistemi:

   # update-rc.d filebeat defaults 95 10
   # service filebeat start
   

2. Filebeat'in başarıyla yüklendiğini doğrulamak için aşağıdaki komutu çalıştırın.

   # filebeat test output
   

   Örnek yanıtı görmek için çıktıyı genişletin.

   Output

   
   

   elasticsearch: https://127.0.0.1:9200...
     parse url... OK
     connection...
       parse host... OK
       dns lookup... OK
       addresses: 127.0.0.1
       dial up... OK
     TLS...
       security: server's certificate chain verification is enabled
       handshake... OK
       TLS version: TLSv1.3
       dial up... OK
     talk to server... OK
     version: 7.10.2
   

Wazuh sunucu düğümünüz artık başarıyla kuruldu. Kurulum sürecinin bu aşamasını Wazuh kümenizdeki her Wazuh sunucu düğümü için tekrarlayın, ardından Wazuh kümesini yapılandırmaya devam edin. Wazuh sunucusu tek düğümlü bir küme istiyorsanız, her şey ayarlanmıştır ve doğrudan Wazuh panosunu adım adım yükleme ile devam edebilirsiniz .