Instalación de WAZUH en Centos Instalación de WAZUH en Centos
Wazuh es un sistema gratuito de detección de intrusiones basado en host (HIDS). Realiza análisis de registros, comprobación de integridad, supervisión del registro de... Instalación de WAZUH en Centos

Wazuh es un sistema gratuito de detección de intrusiones basado en host (HIDS). Realiza análisis de registros, comprobación de integridad, supervisión del registro de Windows, detección de rootkits, alertas basadas en el tiempo y respuestas activas. Proporciona detección de intrusos para la mayoría de los sistemas operativos, incluidos Linux, OpenBSD, FreeBSD, OS X, Solaris y Windows. Wazuh tiene una arquitectura centralizada y multiplataforma que permite monitorear y administrar múltiples sistemas.

Partimos de una máquina Centos limpia, vamos a explicar paso a paso como instalar:

  1. Instalar Wazuh-manager
  2. Instalar Wazuh-api
  3. Conectar Wazuh app con la Wazuh-api

Como segunda parte, trataremos de integrar los datos recogidos de OSSEC en Kibana:

Integrarlo con ELK para visualización de logs

Y por último ver la configuración de los agentes HIDS:

  • Instalar Wazuh-agent
    6. Conectar Wazuh-agent con Wazuh-manager

Comenzamos la instalación, lo primero que tenemos que hacer es añadir los repositorios de Wazuh en la máquina Centos:

cat > /etc/yum.repos.d/wazuh.repo <<\EOF
[wazuh_repo]
gpgcheck=1
gpgkey=https://packages.wazuh.com/key/GPG-KEY-WAZUH
enabled=1
name=Wazuh repository
baseurl=https://packages.wazuh.com/3.x/yum/
protect=1
EOF

Instalación de Wazuh-manager:

yum update
yum install wazuh-manager

Comprobamos que esta instalado y el servicio esta corriendo:

Instalación de Wazuh API:

curl --silent --location https://rpm.nodesource.com/setup_6.x | bash -

yum install nodejs

yum install wazuh-api

Conectar Wazuh app con la Wazuh-api:

cd /var/ossec/api/configuration/auth/

node htpasswd -c user soporte

systemctl restart wazuh-api

Nos pedirá el password para ese usuario…

Ya tenemos el API protegida con usuario y password, lista para recibir peticiones por el puerto 55000 (por defecto).

Puedes ver más información de como montarte tu propio stack de Elastic ELK aquí.

Ahora en nuestro ELK tenemos que configurar el plugin y dar de alta la URL del servidor de Wazuh, usuario y password de la API que acabamos de establecer en el punto anterior:

Nos vamos al servidor de ELK e instalamos el plugin (dependiendo de la versión de kibanan, usamos uno u otro):

Como último paso, ahí que ir a ELK y aparecerá el nuevo menu de Wazuh donde configuramos la URL de la API junto el usuario y el password:

Seguimos contando cosas en próximas entradas. Saludos.

gpinero

No hay comentarios

Se el primero en dejar un comentario.

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

CAPTCHA ImageChange Image