Herkese selam! Bu yazımda ele aldığım konu Wazuh Nedir ,Nasıl Kurulur? Keyifli Okumalar.  🙂

Açık kaynak kodlu herhangi bir lisans ücreti olmayan host tabanlı IDS’dir.

Wazuh kurduğumuz sistemlerde

Tehdit algılama

Bütünlük izleme

Olaya müdahale

Uyumluluk takibi gibi içerisinde barındırdığı birçok özelliği sunmaktadır.

Windows’da

Wazuh agent ve manager yapısı ile çalışmaktadır.

Wazuhu kurduğumuz son kullanıcı tarafından kurduğumuz agent ile normalde wazuh agent tarafında System security ve Application loglarını topluyor

Biz son kullanıcı veya sunucu tarafında kurduğumuz sysmon Event’lerınde Wazuhu Agent’ına ayrıyeten oku bunları da al ve merkeze gönder diyebiliyoruz.

Yani burada Agent tarafında kurduğumuz Agent’a System security ve applicationun yanında sysmon loglarını da oku servisine ilet diyoruz.

Manager server üzerinde de gelen toplanan bu loglar aslında Pre-decoding,decoding ve rule matching işlemlerinden geçiyor.

Ve günün sonunda bize bir dosyaya alarm olarak oluşturuluyor.

Wazuhun çalışma yapısı windows da böyle ama sadece agent tarafında log toplama değil istersek Rsyslog ve syslog servisi üzerinden de log toplayabiliyoruz.

Veya agent yapısı olarak da log toplama yeteneklerine sahip host IDS’dir.

Wazuh birçok sistemde kurulabilir ben bu yazımda ise Ubuntu üzerinde kurulumunu yapacağım.

Terminalimize ilk komutumuz olan komutu gerekli paketleri yüklemek için kullanıyoruz.

apt install curl apt-transport-https unzip wget libcap2-bin software-properties-common lsb-release gnupg

Paketleri yükledikten sonra GPG key yüklememiz gerekiyor bunun için ise aşağıdaki komutu yazmamız gerekecektir.

curl -s https://packages.wazuh.com/key/GPG-KEY-WAZUH | apt-key add -

İhtiyacımız olan repoyu da ekliyoruz.

echo "deb https://packages.wazuh.com/4.x/apt/ stable main" | tee -a /etc/apt/sources.list.d/wazuh.list

İlk adım olan wazuh repo ekleme kısmında son olarak paket bilgilerini güncelliyoruz.

apt-get update     

Gereklilikleri karşıladık şimdi ise wazuh manager kurulumuna geçiyoruz.

Wazuh Manager paketini apt-get yardımıyla yüklüyoruz

apt-get install wazuh-manager

Wazuh manager servisini aktif edip çalıştırıyoruz.

systemctl daemon-reload

systemctl enable wazuh-manager

systemctl start wazuh-manager

Tekrar systemctl yardımıyla Wazuh manager servisinin aktif olduğunu doğruluyoruz.

systemctl status wazuh-manager

Terminalde görüldüğü üzere aktif olduğunu görebiliriz.

Şimdi Elasticsearch kurulumu ile devam ediyoruz.

Elastichsearch Kurulumu

Elasticsearch bize gelişmiş güvenlik, uyarı, dizin yönetimi, derin performans analizi ve diğer birçok ek özellik sunar.

Elasticsearch OSS ve Elasticsearch için Open Distro yüklüyoruz.

apt install elasticsearch-oss opendistroforelasticsearch

Kurulum için kısa bir süre bekliyoruz.

Kurulum tamamlandıktan sonra Elasticsearch konfigürasyonunu aşağıdaki komut ile indiriyoruz.

curl -so /etc/elasticsearch/elasticsearch.yml https://packages.wazuh.com/resources/4.2/open-distro/elasticsearch/7.x/elasticsearch_all_in_one.yml

Wazuh kibanayı sorunsuz kullanmak için kullanıcı ve rol eklemeniz gerekmektedir bunun için aşağıdaki komut satırları ile rolleri ekliyoruz.

curl -so /usr/share/elasticsearch/plugins/opendistro_security/securityconfig/roles.yml https://packages.wazuh.com/resources/4.2/open-distro/elasticsearch/roles/roles.yml

curl -so /usr/share/elasticsearch/plugins/opendistro_security/securityconfig/roles_mapping.yml https://packages.wazuh.com/resources/4.2/open-distro/elasticsearch/roles/roles_mapping.yml
curl -so /usr/share/elasticsearch/plugins/opendistro_security/securityconfig/internal_users.yml https://packages.wazuh.com/resources/4.2/open-distro/elasticsearch/roles/internal_users.yml

Bu kullanıcılar ve roller Wazuh Kibana eklentisi ile birlikte çalışacak şekilde tasarlanmıştır

Sertifikaların oluşturulmasına geçiyoruz şimdide.

Demo sertifikaları aşağıdaki komut ile kaldırıyoruz.

rm /etc/elasticsearch/esnode-key.pem /etc/elasticsearch/esnode.pem /etc/elasticsearch/kirk-key.pem /etc/elasticsearch/kirk.pem /etc/elasticsearch/root-ca.pem –f

Ardından sertifikaları oluşturup konumlandıralım
 
curl -so ~/wazuh-cert-tool.sh https://packages.wazuh.com/resources/4.2/open-distro/tools/certificate-utility/wazuh-cert-tool.sh

curl -so ~/instances.yml https://packages.wazuh.com/resources/4.2/open-distro/tools/certificate-utility/instances_aio.yml
Sertifika oluşturmak için indirdiğimiz scripti çalıştıralım.
bash ~/wazuh-cert-tool.sh

Elasticsearch sertifikalarını ilgili konumlara taşıyın.

mkdir /etc/elasticsearch/certs/
mv ~/certs/elasticsearch* /etc/elasticsearch/certs/
mv ~/certs/admin* /etc/elasticsearch/certs/
cp ~/certs/root-ca* /etc/elasticsearch/certs/
Sertifika işlemleri bittikten sonra elasticsearch servisini aktif edip çalıştıyoruz.
systemctl daemon-reload

systemctl enable elasticsearch

systemctl start elasticsearch
Yeni sertifika bilgilerini yüklemek ve clusterı başlatmak için securityadmin scriptini çalıştıralım.
export JAVA_HOME=/usr/share/elasticsearch/jdk/ && /usr/share/elasticsearch/plugins/opendistro_security/tools/securityadmin.sh -cd /usr/share/elasticsearch/plugins/opendistro_security/securityconfig/ -nhnv -cacert /etc/elasticsearch/certs/root-ca.pem -cert /etc/elasticsearch/certs/admin.pem -key /etc/elasticsearch/certs/admin-key.pem
Kurulumun başarılı olduğunu aşağıdaki komut ile test edin.

curl –X GET “localhost:9200/” 

Örnek çıktı yukarıdakine benzer olmalıdır.

Filebeat Kurulumu

Filebeat, kurmaktaki amaç Wazuh sunucu üzerindeki logları görebilmek.
Filebeat paketini yükleyin
apt-get install filebeat
Wazuh uyarılarını elasticsearche iletmek için kullanılan önceden konfigüre edilmiş Filebeat konfigürasyon dosyasını aşağıdaki komut satırı ile indiriyoruz.
curl -so /etc/filebeat/filebeat.yml https://packages.wazuh.com/resources/4.2/open-distro/filebeat/7.x/filebeat_all_in_one.yml
Elasticsearch için uyarı şablonlarını indiriyoruz
curl -so /etc/filebeat/wazuh-template.json https://raw.githubusercontent.com/wazuh/wazuh/4.2/extensions/elasticsearch/7.x/wazuh-template.json
chmod go+r /etc/filebeat/wazuh-template.
json

Filebeat için Wazuh modülü indiriyoruz.

curl -s https://packages.wazuh.com/4.x/filebeat/wazuh-filebeat-0.1.tar.gz | tar -xvz -C /usr/share/filebeat/modüle

Wazuh bileşenleri kendi aralarında SSL ile görüşüyor. Bu yüzden yine sertifika ayarlarını yapıyoruz.

mkdir /etc/filebeat/certs
cp ~/certs/root-ca.pem /etc/filebeat/certs/
mv ~/certs/filebeat* /etc/filebeat/certs/

Filebeat servisini aktif edip çalıştıralım

systemctl daemon-reload
systemctl enable filebeat
systemctl start filebeat

Filebeat’in başarılı şekilde kurulduğunu test etmek için aşağıdaki komutu çalıştıralım.

filebeat test output

Dedikten sonra eğer hata yoksa devam ediyoruz

Kibana Kurulumu

Kibana, Elasticsearch’te depolanan olayları ve arşivleri araştırmak ve görselleştirmek için esnek ve sezgisel bir web arayüzüdür.

İlk olarak kibana paketini yükleyelim.

apt-get install opendistroforelasticsearch-kibana

Kibana konfigürasyon dosyasını indiriyoruz.

curl -so /etc/kibana/kibana.yml https://packages.wazuh.com/resources/4.2/open-distro/kibana/7.x/kibana_all_in_one.yml

./usr/share/kibana/data dizinini oluşturup ve gerekli izinleri verelim.

Wazuh Kibana pluginini yükleyin. Yükleme işlemi Kibana’nın ana dizini içinde yapılmalıdır.

cd /usr/share/kibana
sudo -u kibana /usr/share/kibana/bin/kibana-plugin install https://packages.wazuh.com/4.x/ui/kibana/wazuh_kibana-4.2.4_7.10.2-1.zip

Kibana sertifika ayarlarını yapıyoruz. Elasticsearch sertifikalarını /etc/kibana/certs içerisine kopyalayın

mkdir /etc/kibana/certs
cp ~/certs/root-ca.pem /etc/kibana/certs/
mv ~/certs/kibana* /etc/kibana/certs/
chown kibana:kibana /etc/kibana/certs/*

Kibana soketini ayrıcalıklı 443 portuna bağlıyoruz.

setcap 'cap_net_bind_service=+ep' /usr/share/kibana/node/bin/node

Son olarak kibana servisini de aktif edip çalıştırıyoruz ardından web arayüzüne erişebiliriz.

systemctl daemon-reload
systemctl enable kibana
systemctl start kibana

Bu aşamaya kadar her şeyi sorunsuz yaptıysanız Kurulum tamamlandı. Ara yüze erişmek için “https://ip adresi” şeklinde internet tarayıcınıza giriyorsunuz

Default kullanıcı adı ve şifre : admin/admin

Umarım WAZUH ile ilgili bu yazımı faydalı bulmuşsunuzdur. Okuduğunuz için teşekkürler.  

Share this content:

Bir yanıt yazın

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

Explore More

SPİDERFOOT NEDİR ? NASIL KURULUR ?

Herkese Selam! Bugün ele aldığımız konu Spiderfoot kullanımı ve kurulumu nedir , iyi okumalar 🙂 Spiderfoot kısaca ,belirli bir hedef hakkında bilgi sürecini otomatikleştirme işlevi olan açık kaynaklı bilgi toplama

MAİL HEADER ANALİZİ

Herkese selam! Bu yazımda ele aldığım konuMAİL HEADER ANALİZİ , Keyifli Okumalar.  🙂 Siber saldırganların çevrimiçi kimlik avı aracılığıyla kullanıcılara saldırmaya daha fazla odaklanması doğaldır.  Bunun kim tarafından nasıl yapıldığını tespit

THE HARVESTER (İNSAN KEŞFİ) NEDİR? NASIL KULLANILIR?

Herkese Selam! Bugün ele aldığımız konu theHarvester Nedir? Nasıl Kullanılır? , iyi okumalar 🙂  Hedef sisteme ait subdomain ve maillerin bulunmasında kullanılan bir araçtır. Örneğin araştırma yapmak istediğimiz şirketteki çalışanların