Adım Adım Kurulum

Adım adım talimatları izleyerek Wazuh sunucusunu tek düğümlü veya çok düğümlü küme olarak kurun ve yapılandırın. Wazuh sunucusu, Wazuh yöneticisi ve Filebeat'i içeren merkezi bir bileşendir. Wazuh yöneticisi, dağıtılan Wazuh aracılarından veri toplar ve analiz eder. Tehditler veya anormallikler algılandığında uyarıları tetikler. Filebeat, uyarıları ve arşivlenmiş olayları güvenli bir şekilde Wazuh dizinleyicisine iletir.

Kurulum süreci iki aşamaya ayrılıyor.

Wazuh sunucu düğümü kurulumu
Çoklu düğüm dağıtımı için küme yapılandırması

Not: Aşağıda açıklanan tüm komutları çalıştırabilmek için root kullanıcı ayrıcalıklarına sahip olmanız gerekir.

1. Wazuh Sunucu Düğümü Kurulumu

Wazuh Deposunu Ekleme

Not: Wazuh sunucusunu Wazuh indeksleyicisinin bulunduğu ana bilgisayara kuruyorsanız, Wazuh deposunu daha önce eklemiş olabileceğiniz için bu adımları atlayabilirsiniz.

Yum:

GPG anahtarını içe aktarın.

rpm --import https://packages.wazuh.com/key/GPG-KEY-WAZUH

Depoyu ekleyin.

echo -e '[wazuh]\ngpgcheck=1\ngpgkey=https://packages.wazuh.com/key/GPG-KEY-WAZUH\nenabled=1\nname=EL-$releasever - Wazuh\nbaseurl=https://packages.wazuh.com/4.x/yum/\nprotect=1' | tee /etc/yum.repos.d/wazuh.repo

APT:

Eğer eksikse aşağıdaki paketleri kurun.
```
apt-get install gnupg apt-transport-https
```

GPG anahtarını yükleyin.

curl -s https://packages.wazuh.com/key/GPG-KEY-WAZUH | gpg --no-default-keyring --keyring gnupg-ring:/usr/share/keyrings/wazuh.gpg --import && chmod 644 /usr/share/keyrings/wazuh.gpg

Depoyu ekleyin.

echo "deb [signed-by=/usr/share/keyrings/wazuh.gpg] https://packages.wazuh.com/4.x/apt/ stable main" | tee -a /etc/apt/sources.list.d/wazuh.list

Paket bilgilerini güncelleyin.
```
apt-get update
```

Wazuh yöneticisinin kurulumu

Wazuh yönetici paketini yükleyin.

Yum:
```
yum -y install wazuh-manager
```
APT:
```
apt-get update
```

Filebeat'i yükleme

Yum:

yum -y install filebeat

APT:

apt-get -y install filebeat

Filebeat'i yapılandırma

Önceden yapılandırılmış Filebeat yapılandırma dosyasını indirin.
Yapılandırma dosyasını düzenleyin /etc/filebeat/filebeat.ymlve aşağıdaki değeri değiştirin:

a. hosts: Bağlanılacak Wazuh dizinleyici düğümlerinin listesi. IP adreslerini veya ana bilgisayar adlarını kullanabilirsiniz. Varsayılan olarak, ana bilgisayar localhost olarak ayarlanmıştır . Bunu uygun şekilde Wazuh dizinleyici adresinizle değiştirin.hosts: ["127.0.0.1:9200"]

b. Birden fazla Wazuh dizinleyici düğümünüz varsa, adresleri virgül kullanarak ayırabilirsiniz. Örneğin,hosts: ["10.0.0.1:9200", "10.0.0.2:9200", "10.0.0.3:9200"]

# Wazuh - Filebeat configuration file
output.elasticsearch:
hosts: ["10.0.0.1:9200"]
protocol: https
username: ${username}
password: ${password}
Kimlik doğrulama bilgilerini güvenli bir şekilde depolamak için bir Filebeat anahtar deposu oluşturun.
```
filebeat keystore create
```

Varsayılan kullanıcı adı ve parolayı admin: admingizli anahtar deposuna ekleyin.

echo admin | filebeat keystore add username --stdin --force
echo admin | filebeat keystore add password --stdin --force

Wazuh indeksleyicisi için uyarı şablonunu indirin.

curl -so /etc/filebeat/wazuh-template.json https://raw.githubusercontent.com/wazuh/wazuh/v4.9.2/extensions/elasticsearch/7.x/wazuh-template.json
chmod go+r /etc/filebeat/wazuh-template.json

Filebeat için Wazuh modülünü yükleyin.

curl -s https://packages.wazuh.com/4.x/filebeat/wazuh-filebeat-0.4.tar.gz | tar -xvz -C /usr/share/filebeat/module

Sertifikaların Dağıtımı

Not: wazuh-certificates.tarİlk yapılandırma adımında oluşturulan dosyanın bir kopyasının çalışma dizininize yerleştirildiğinden emin olun .

<SERVER_NODE_NAME>Wazuh sunucu düğüm sertifika adınızla değiştirin , config.ymlsertifikaları oluştururken kullanılanla aynı. Ardından, sertifikaları karşılık gelen konumlarına taşıyın.

NODE_NAME=<SERVER_NODE_NAME>

mkdir /etc/filebeat/certs
tar -xf ./wazuh-certificates.tar -C /etc/filebeat/certs/ ./$NODE_NAME.pem ./$NODE_NAME-key.pem ./root-ca.pem
mv -n /etc/filebeat/certs/$NODE_NAME.pem /etc/filebeat/certs/filebeat.pem
mv -n /etc/filebeat/certs/$NODE_NAME-key.pem /etc/filebeat/certs/filebeat-key.pem
chmod 500 /etc/filebeat/certs
chmod 400 /etc/filebeat/certs/*
chown -R root:root /etc/filebeat/certs

Wazuh Indexer Bağlantısını Yapılandırma

Not: Eğer güvenlik açığı tespit özelliğini kullanmayacaksanız bu adımı atlayabilirsiniz.

Not: Varsayılan adım adım kurulum kimlik bilgileri şunlardır
admin:admin

Wazuh dizinleyici kullanıcı adını ve parolasını wazuh-keystore aracını kullanarak Wazuh yöneticisi anahtar deposuna kaydedin:
```
echo '<INDEXER_USERNAME>' | /var/ossec/bin/wazuh-keystore -f indexer -k username
echo '<INDEXER_PASSWORD>' | /var/ossec/bin/wazuh-keystore -f indexer -k password
```
~~Not: Varsayılan adım adım kurulum kimlik bilgileri şunlardır~~
admin:admin
/var/ossec/etc/ossec.confDizinleyici bağlantısını yapılandırmak için düzenleyin .

Varsayılan olarak, dizinleyici ayarları bir ana bilgisayara yapılandırılmıştır. Aşağıda vurgulandığı gibi ayarlanmıştır 0.0.0.0.
```
<indexer>
  <enabled>yes</enabled>
  <hosts>
    <host>https://0.0.0.0:9200</host>
  </hosts>
  <ssl>
    <certificate_authorities>
      <ca>/etc/filebeat/certs/root-ca.pem</ca>
    </certificate_authorities>
    <certificate>/etc/filebeat/certs/filebeat.pem</certificate>
    <key>/etc/filebeat/certs/filebeat-key.pem</key>
  </ssl>
</indexer>
```
Wazuh dizinleyici düğüm IP adresiniz veya ana bilgisayar adınızla değiştirin 0.0.0.0. Bu değeri Filebeat yapılandırma dosyasında bulabilirsiniz /etc/filebeat/filebeat.yml.

Filebeat sertifikasının ve anahtar adının /etc/filebeat/certs.

Bir Wazuh dizinleyici kümeniz varsa, <host>düğümlerinizin her biri için bir giriş ekleyin. Örneğin, iki düğümlü bir yapılandırmada:
```
<hosts>
  <host>https://10.0.0.1:9200</host>
  <host>https://10.0.0.2:9200</host>
</hosts>
```
Güvenlik açığı tespiti, listedeki ilk düğüme raporlamayı önceliklendirir. Kullanılabilir olmadığında bir sonraki düğüme geçer.

Wazuh yöneticisinin başlatılması

Wazuh yönetici servisini etkinleştirin ve başlatın.

İşletim sisteminize göre bir seçenek seçin:

RPM tabanlı işletim sistemi:

# chkconfig --add wazuh-manager
# service wazuh-manager start

Debian tabanlı işletim sistemi:

# update-rc.d wazuh-manager defaults 95 10
# service wazuh-manager start

Systemd:

systemctl daemon-reload
systemctl enable wazuh-manager
systemctl start wazuh-manager

Wazuh yöneticisinin durumunu doğrulamak için aşağıdaki komutu çalıştırın.

SysV Başlatma:

service wazuh-manager status

Systemd:

systemctl status wazuh-manager

Filebeat hizmetini başlatmaBu başlığa kalıcı bağlantı

Filebeat servisini etkinleştirin ve başlatın.
Kullanılan işletim sistemine göre bir seçenek seçin.

RPM tabanlı işletim sistemi:
# chkconfig --add filebeat
# service filebeat start
Debian tabanlı işletim sistemi:
# update-rc.d filebeat defaults 95 10
# service filebeat start
Filebeat'in başarıyla yüklendiğini doğrulamak için aşağıdaki komutu çalıştırın.
# filebeat test output
Örnek yanıtı görmek için çıktıyı genişletin.

Output
elasticsearch: https://127.0.0.1:9200...
  parse url... OK
  connection...
    parse host... OK
    dns lookup... OK
    addresses: 127.0.0.1
    dial up... OK
  TLS...
    security: server's certificate chain verification is enabled
    handshake... OK
    TLS version: TLSv1.3
    dial up... OK
  talk to server... OK
  version: 7.10.2

Wazuh sunucu düğümünüz artık başarıyla kuruldu. Kurulum sürecinin bu aşamasını Wazuh kümenizdeki her Wazuh sunucu düğümü için tekrarlayın, ardından Wazuh kümesini yapılandırmaya devam edin. Wazuh sunucusu tek düğümlü bir küme istiyorsanız, her şey ayarlanmıştır ve doğrudan Wazuh panosunu adım adım yükleme ile devam edebilirsiniz .

2. Çoklu düğüm dağıtımı için küme yapılandırmasıBu başlığa kalıcı bağlantı

Sonraki adımlarBu başlığa kalıcı bağlantı

Wazuh sunucu kurulumu artık tamamlandı ve adım adım Wazuh ~~panosunu~~dashboard yüklemeye geçebilirsiniz .

Wazuh sunucusunu kaldırmak istiyorsanız Wazuh sunucusunu kaldırma bölümüne bakın .