Wazuh Tutorial

Wazuh Tutorial:
Guia do Usuário

Wazuh Server

O gerenciador Wazuh é o sistema que analisa os dados recebidos de todos os agentes cadastrados e dispara alertas quando um evento coincide com uma regra. Por exemplo, intrusão detectada, arquivo modificado, configuração não de acordo com a política, possível rootkit, entre outros. O gerente também trabalha como um agente na máquina local, o que significa que ele tem todos os recursos que um agente tem. Além disso, o gestor pode encaminhar os alertas que aciona por meio do Syslog, e-mails ou APIs externas integradas.

Alert threshold

Cada evento coletado pelo agente Wazuh é transmitido ao Gerente Wazuh. O Gerenciador atribuirá ao evento um nível de severidade, dependendo de quais regras ele corresponder do conjunto de regras. Por padrão, ele só registrará alertas com um nível de severidade de 3 ou superior.

Configuração: O limite de nível de alerta é configurado no arquivo usando a marca XML. As opções disponíveis para isso estão detalhadas na referência de alertas.

<ossec_config>
  <alerts>
      <log_alert_level>6</log_alert_level>
  </alerts>
</ossec_config>

Isso definirá o nível mínimo de severidade que acionará alertas que serão armazenados no e/ou no(s) arquivo(s).
Quando qualquer valor é alterado no arquivo, o serviço deve ser reiniciado antes que as alterações entrem em vigor.

systemctl restart wazuh-manager

Arquivos Wazuh

Os arquivos Wazuh referem-se aos arquivos de armazenamento criados pelo servidor Wazuh que contêm logs, alertas e outros dados relacionados à segurança coletados de pontos de extremidade monitorados. Os arquivos Wazuh armazenam todos os eventos recebidos pelo servidor Wazuh, independentemente de serem ou não cumpridos em uma regra. Os arquivos Wazuh são úteis para a caça a ameaças, pois as equipes de segurança usam logs arquivados para revisar dados históricos de incidentes de segurança, analisar tendências e gerar relatórios.
Por padrão, os arquivos Wazuh são desabilitados porque armazenam um grande número de logs no servidor Wazuh. Quando habilitados, os arquivos Wazuh permitem que as organizações armazenem e retenham dados de segurança para fins de conformidade e forense.
Nota: Os arquivos Wazuh retêm logs coletados de todos os pontos de extremidade monitorados, consumindo recursos de armazenamento significativos no servidor Wazuh ao longo do tempo. Portanto, é importante considerar o impacto no espaço em disco e no desempenho antes de habilitá-los.

Integração com APIs de terceiros

O daemon Integrator permite que o Wazuh se conecte a APIs externas e ferramentas de alerta, como Slack, PagerDuty, VirusTotal, Shuffle e Maltiverse.
Configuração: As integrações são configuradas no arquivo gerenciador Wazuh. Você pode encontrar esse arquivo na pasta de instalação do Wazuh . Para configurar uma integração, adicione a seguinte configuração na seção: ossec.conf /var/ossec/etc/ <ossec_config>

<integration>
  <name> </name>
  <hook_url> </hook_url> <!-- Required for Slack, Shuffle, and Maltiverse -->
  <api_key> </api_key> <!-- Required for PagerDuty, VirusTotal, and Maltiverse -->
  <alert_format>json</alert_format> <!-- Required for Slack, PagerDuty, VirusTotal, Shuffle, and Maltiverse -->

  <!-- Optional filters -->
  <rule_id> </rule_id>
  <level> </level>
  <group> </group>
  <event_location> </event_location>

  <!-- Optional settings -->
  <max_log> </max_log>
  <options> </options>
  <timeout> </timeout>
  <retries> </retries>
</integration>

Configurando a saída do Syslog

Wazuh pode ser configurado para enviar alertas para syslog da seguinte maneira:
Configuração: A saída do Syslog é configurada no arquivo. Todas as opções disponíveis são detalhadas na saída syslog. ossec.conf

<ossec_config>
  <syslog_output>
    <level>9</level>
    <server>192.168.1.241</server>
  </syslog_output>

  <syslog_output>
    <server>192.168.1.240</server>
  </syslog_output>
</ossec_config>

A configuração acima enviará alertas para e, se o nível de alerta for maior que 9, também para 192.168.1.240 192.168.1.241.
Para aplicar as alterações, reinicie o Wazuh:

systemctl restart wazuh-manager

Configurando a saída do banco de dados

É possível configurar o Wazuh para enviar os alertas em um banco de dados. Para fazer isso, os usuários devem compilar o Wazuh com o tipo de banco de dados que os usuários desejam usar.
Neste momento, os bancos de dados MySQL e PostgreSQL são suportados.
Nesta seção, os usuários encontrarão instruções para configurar a saída do banco de dados para qualquer um dos sistemas de banco de dados mencionados anteriormente.
Nota: Este tutorial pressupõe que o usuário já tenha instalado o MySQL ou PostgreSQL e saiba como criar os usuários e os bancos de dados. Se forem necessárias instruções para instalá-los no host dos usuários, por favor, encontre alguns tutoriais para as principais distribuições no final desta página.

Cluster de servidores Wazuh

Configuração de nós de cluster: O cluster Wazuh é composto por nós do tipo manager. Apenas um deles assumirá o papel de mestre, os outros assumirão o papel de trabalhador. Para ambos os tipos de nó, o arquivo de configuração contém os valores de configuração do cluster. Dentro dos rótulos, os seguintes valores de configuração podem ser definidos: /var/ossec/etc/ossec.conf <cluster>...</cluster>

• ▫️ name: Nome que será atribuído ao cluster
• ▫️ node_name: Nome do nó atual
• ▫️ key: A chave deve ter 32 caracteres e deve ser a mesma para todos os nós do cluster. Você pode usar o seguinte comando para gerar um aleatório
• ▫️ node_type: Definir o tipo de nó (mestre/trabalhador)
• ▫️ port: Porta de destino para comunicação de cluster
• ▫️ bind_addr: Endereço IP onde este nó está escutando (0.0.0.0 qualquer IP)
• ▫️ nodes: O endereço do mestre , ele deve ser especificado em todos os nós (incluindo o próprio mestre). O endereço pode ser um IP ou um DNS
• ▫️ hidden: Alterna se deseja ou não mostrar informações sobre o cluster que gerou um alerta
• ▫️ disabled: Indica se o nó será habilitado ou não no cluster

Fonte: Wazuh documentation

Fale com um especialista »