iT邦幫忙

2023 iThome 鐵人賽

DAY 3
0
Security

一個人的藍隊系列 第 3

Wazuh Agent安裝與介面查看

  • 分享至 

  • xImage
  •  

安裝好Wazuh Server之後
接下來我們要來做幾個事情
我們先在一台要被監控的主機上
安裝一個Nginx的服務
接著我們利用wazuh來監控該主機

下一步我們登入wazuh之後來查看一下介面
這邊會簡單帶過,然後有些功能會在後面詳細說明
其他剩餘的就大家自行探索
開啟後使用預設帳密登入
全部都打勾正常就沒問題了
如果有問題就先看看Docker-compose的log看看是甚麼錯誤
https://ithelp.ithome.com.tw/upload/images/20230918/20114110ED4FsTyXSL.png

登入後可以看到面板會顯示目前有註冊的agents數量跟狀態
以及下方有許多功能

https://ithelp.ithome.com.tw/upload/images/20230918/20114110PEInMvH28E.png

點選Wazh字樣旁的向下箭頭
可以展開看到各種功能跟模組的設定

https://ithelp.ithome.com.tw/upload/images/20230918/20114110XweOXLBOZd.png

如果點選左側三條線
也可以看到一些功能

https://ithelp.ithome.com.tw/upload/images/20230918/20114110W3IGJu16S8.png

如果有碰過ELK的人,一定覺得眼熟
沒錯唷,這個就是ELK模改,實際上Wazuh這一套原生就整合ELK
所以這個介面看起來跟Kibana有個78成像
更早期的版本畫面上看到的圖示甚至還是kibana的 (如果沒記錯的話XD)

這個我們後面聊架構的也還會再提到一次就是了
訪問9200 port也可以知道elasticsearch的版本
這些我們都後續再來探索

首先接下來我們要安裝一個Agent在我們要監控的主機
點選add agent
填入適當的參數
以此次範例,我們另一台要監控的主機也是Ubuntu
所以選擇Ubuntu, 版本為15+, 架構為x86_64
伺服器IP就是我們現在用的這台的IP, 192.168.101.139
這邊如果有設定FQDN話可以直接填入FQDN
這樣之後就算換IP問題也不大,改一下DNS就好
(agnet的主機, 也就是client, 實際上也只有一個地方有紀錄Server IP)

Optional settings 名稱我們不填
但是群組選擇default
點選完成後,會自動幫我們產生在主機上要安裝跟啟動agent的指令
是不是超貼心方便的!

關於部署agent,實務上還是會大量部署,還是建議使用一些IaC工具例如ansible
但我們現在只示範一台,而且還沒教過IaC,所以我們先複製指令在主機上執行

curl -so wazuh-agent.deb https://packages.wazuh.com/4.x/apt/pool/main/w/wazuh-agent/wazuh-agent_4.5.0-1_amd64.deb && sudo WAZUH_MANAGER='192.168.101.139' WAZUH_AGENT_GROUP='default' dpkg -i ./wazuh-agent.deb
sudo systemctl daemon-reload
sudo systemctl enable wazuh-agent
sudo systemctl start wazuh-agent

https://ithelp.ithome.com.tw/upload/images/20230918/20114110ziPUf2kbXY.png

https://ithelp.ithome.com.tw/upload/images/20230918/20114110wVW94cAOSM.png

https://ithelp.ithome.com.tw/upload/images/20230918/20114110fUWz5rbfu8.png

現在我們進入第二台虛擬機
這台我是準備用來當成被監控的主機的
把上面指令複製貼上執行完成就是安裝並啟動完成了

https://ithelp.ithome.com.tw/upload/images/20230918/20114110uphuoNVyh2.png

也可以透過status查看目前運行狀態

sudo systemctl status wazuh-agent

https://ithelp.ithome.com.tw/upload/images/20230918/20114110PGbnnDhd3U.png

agent端與wazuh相關的設定都會在目錄/var/ossec底下

https://ithelp.ithome.com.tw/upload/images/20230918/20114110DlbeVOne7o.png

這台主機,我們來順便安裝一下nginx的
先安裝一個在主機上直接運行的nginx服務

sudo apt update
sudo apt install nginx

利用以下指令完成啟動並且查看狀態

sudo systemctl enable nginx
sudo systemctl start nginx
sudo systemctl status nginx

預設的nginx是監聽80 port

我們也可以直接訪問網頁查看運作是否正常

https://ithelp.ithome.com.tw/upload/images/20230918/20114110qFbL7C57Lo.png

接著我們再來安裝另一個nginx,這個都是為後續的路埋下伏筆
總之,可以先跟著做XD
我們利用docker啟動一個nginx

我們一樣用個docker-compose.yml
這邊我們監聽的port修改為86
因為80已經被原本的nginx給佔用了
然後我們把容器內的資料和log給bind mount到主機上

version: '3'
services:
    nginx:
      container_name: nginx
      image: nginx
      ports:
        - "86:80"
      volumes:
        - ./nginx/config:/etc/nginx
        - ./nginx/log:/var/log/nginx
		- ./nginx/html:/usr/share/nginx/html
      restart: always

........上面這段結果失敗惹XD
我們把失敗的容器給刪除,目錄也順便刪除掉好了

所以我們接下來要做一件稍顯麻煩的事情,我們先啟動一個nginx
然後把裡面的設定檔複製出來
接著放在主機上面,在執行一次docker-compose

mkdir -p ./nginx/config
mkdir -p ./nginx/html
docker run -d --name nginx nginx
docker cp nginx:/etc/nginx/. ./nginx/config
docker cp nginx:/usr/share/nginx/html/. ./nginx/html
docker stop nginx
docker rm nginx

https://ithelp.ithome.com.tw/upload/images/20230918/20114110ZmHYrcjYlx.png

https://ithelp.ithome.com.tw/upload/images/20230918/20114110YV3Wejb9us.png

在啟動一次就可以成功了
因為啟動的時候需要設定檔
訪問我們設定的86port可以看到正常運行

docker-compose up -d

https://ithelp.ithome.com.tw/upload/images/20230918/201141101YQp9F1EVm.png

同時我們也可以從宿主主機上面看到目錄結構

容器內的設定檔,網頁html檔案,以及日誌檔案都有被持久儲存在主機上

https://ithelp.ithome.com.tw/upload/images/20230918/20114110Xptf3qyE1S.png

終於處理完nginx的部分,不要忘了正事
我們回頭看我們wazuh server的地方,確認Agent註冊成功的
可以看到已經安裝好的Agent

在首頁欄位上會先顯示註冊的IP, Hostname, IP, 所屬的Group 以及作業系統版本
這邊順便提一下,其實可以看到hostname是很直觀的事情
所以大家在自己場域內取名時建議好好取名,可以一看就知道該主機用途的最好

https://ithelp.ithome.com.tw/upload/images/20230918/201141107vgl9gMDL0.png

點進去該agent
可以看到針對該agent所觸發的事件
以及各項的功能, 包含檔案完整性檢查, SCA, Auding, 弱點掃描等等
這些相關功能模組後續會介紹

https://ithelp.ithome.com.tw/upload/images/20230918/20114110UKikY9oolT.png

我們先點選右上角的Inventory data
這個是對這台agent的盤點
關於目前上面的資源盤點, CPU與記憶體, 作業系統, 以及網路介面, ps執行結果

https://ithelp.ithome.com.tw/upload/images/20230918/20114110YQnXOwEvtW.png

我們也可以在Security events查看到該Agent有哪些事件被觸發
剩下可以自己先探索看看
關於Agent的部分,明天先不談
明天會談關於Server的架構


上一篇
第一次架設Wazuh就上手
下一篇
Wazuh 架構
系列文
一個人的藍隊30
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

尚未有邦友留言

立即登入留言