Instalación de WAZUH en Centos Instalación de WAZUH en Centos
{:es}Wazuh es un sistema gratuito de detección de intrusiones basado en host (HIDS). Realiza análisis de registros, comprobación de integridad, supervisión del registro de... Instalación de WAZUH en Centos

{:es}Wazuh es un sistema gratuito de detección de intrusiones basado en host (HIDS). Realiza análisis de registros, comprobación de integridad, supervisión del registro de Windows, detección de rootkits, alertas basadas en el tiempo y respuestas activas. Proporciona detección de intrusos para la mayoría de los sistemas operativos, incluidos Linux, OpenBSD, FreeBSD, OS X, Solaris y Windows. Wazuh tiene una arquitectura centralizada y multiplataforma que permite monitorear y administrar múltiples sistemas.

Partimos de una máquina Centos limpia, vamos a explicar paso a paso como instalar:

  1. Instalar Wazuh-manager
  2. Instalar Wazuh-api
  3. Conectar Wazuh app con la Wazuh-api

Como segunda parte, trataremos de integrar los datos recogidos de OSSEC en Kibana:

Integrarlo con ELK para visualización de logs

Y por último ver la configuración de los agentes HIDS:

  • Instalar Wazuh-agent
    6. Conectar Wazuh-agent con Wazuh-manager

Comenzamos la instalación, lo primero que tenemos que hacer es añadir los repositorios de Wazuh en la máquina Centos:

cat > /etc/yum.repos.d/wazuh.repo <<\EOF
[wazuh_repo]
gpgcheck=1
gpgkey=https://packages.wazuh.com/key/GPG-KEY-WAZUH
enabled=1
name=Wazuh repository
baseurl=https://packages.wazuh.com/3.x/yum/
protect=1
EOF

Instalación de Wazuh-manager:

yum update
yum install wazuh-manager

Comprobamos que esta instalado y el servicio esta corriendo:

Instalación de Wazuh API:

curl --silent --location https://rpm.nodesource.com/setup_6.x | bash -

yum install nodejs

yum install wazuh-api

Conectar Wazuh app con la Wazuh-api:

cd /var/ossec/api/configuration/auth/

node htpasswd -c user soporte

systemctl restart wazuh-api

Nos pedirá el password para ese usuario…

Ya tenemos el API protegida con usuario y password, lista para recibir peticiones por el puerto 55000 (por defecto).

Puedes ver más información de como montarte tu propio stack de Elastic ELK aquí.

Ahora en nuestro ELK tenemos que configurar el plugin y dar de alta la URL del servidor de Wazuh, usuario y password de la API que acabamos de establecer en el punto anterior:

Nos vamos al servidor de ELK e instalamos el plugin (dependiendo de la versión de kibanan, usamos uno u otro):

Como último paso, ahí que ir a ELK y aparecerá el nuevo menu de Wazuh donde configuramos la URL de la API junto el usuario y el password:

Seguimos contando cosas en próximas entradas. Saludos.{:}{:en}Wazuh is a free host-based intrusion detection system (HIDS). It performs log analysis, integrity checking, Windows registry monitoring, rootkit detection, time-based alerts and active responses. It provides intrusion detection for most operating systems, including Linux, OpenBSD, FreeBSD, OS X, Solaris and Windows. Wazuh has a centralized and multiplatform architecture that allows monitoring and managing multiple systems.

We start from a clean Centos machine, we will explain step by step how to install:

1 – Install Wazuh-manager
2 – Install Wazuh-api
3 – Connect Wazuh app with the Wazuh-api
4 – As a second part, we will try to integrate the data collected from OSSEC in Kibana:

Integrate with ELK for logs display

And finally see the configuration of the HIDS agents:

5 – Install Wazuh-agent
6 – Connect Wazuh-agent with Wazuh-manager
We started the installation, the first thing we have to do is add the Wazuh repositories in the Centos machine:

cat > /etc/yum.repos.d/wazuh.repo <<\EOF
[wazuh_repo]
gpgcheck=1
gpgkey=https://packages.wazuh.com/key/GPG-KEY-WAZUH
enabled=1
name=Wazuh repository
baseurl=https://packages.wazuh.com/3.x/yum/
protect=1
EOF

Instalación de Wazuh-manager:

yum update
yum install wazuh-manager

Check if the installations was suscesfull and the service is running:

Wazuh API Installation:

curl --silent --location https://rpm.nodesource.com/setup_6.x | bash -

yum install nodejs

yum install wazuh-api

Connect Wazuh app with Wazuh-api:

cd /var/ossec/api/configuration/auth/

node htpasswd -c user soporte

systemctl restart wazuh-api

Need to input the password of that user:

We already have the API protected with username and password, ready to receive requests by port 55000 (by default).

You can see more information on how to build your own Elastic ELK stack here.

Now in our ELK we have to configure the plugin and register the URL of the Wazuh server, user and password of the API that we just established in the previous point:

We go to the ELK server and install the plugin (depending on the version of kibanan, we use one or the other):

As a last step, go to ELK and the new Wazuh menu will appear where we configure the API URL together with the username and password:

See you in the next post.

Thanks for reading.{:}

gpinero

No hay comentarios

Se el primero en dejar un comentario.

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

CAPTCHA ImageChange Image