wazuh_ui_admin
1.wazuh是什么?
Wazuh 是一个用于病毒检测、破绽扫描、安全监控、事件反应和计谋监控的开源
EDR科罚决议。
2.wazuh的功能有哪些?
图片
3.wazuh的系统框架?
图片
Wazuh平台主要包括三个主要组件:
wazuh-agent:装置在被监控端
wazuh-manager:装置在就业端
Elastic Stack(es+filebeat+kibana):装置在就业端
4.wazhu-server的装置标准?
装置形势采选:将所有组件装置在归并台主机上
系统:centos 7
图片
添加 Wazuh 源
装置必要的装置包:#yum install curl unzip wget libcap导入 GPG 密钥:#rpm --import https://packages.wazuh.com/key/GPG-KEY-WAZUH添加存储库:#cat > /etc/yum.repos.d/wazuh.repo << EOF[wazuh]gpgcheck=1gpgkey=https://packages.wazuh.com/key/GPG-KEY-WAZUHenabled=1name=EL-$releasever - Wazuhbaseurl=https://packages.wazuh.com/4.x/yum/protect=1EOF
装置 Wazuh manager
装置 Wazuh 经管器包:#yum install wazuh-manager启用并启动 Wazuh 经管器就业:#systemctl daemon-reload#systemctl enable wazuh-manager#systemctl start wazuh-manager运行以下大叫搜检 Wazuh 经管器是否处于活动景色:#systemctl status wazuh-manager
装置 Elasticsearch
Open Distro for Elasticsearch 是 Elasticsearch 的开源刊行版,Elasticsearch 是一种高度可推广的全文搜索引擎。它提供高等安全性、警报、索引经管、深度性能分析和其他一些附加功能。
装置 Open Distro for Elasticsearch:# yum install opendistroforelasticsearch成立 Elasticsearch,运行以下大叫下载成立文献/etc/elasticsearch/elasticsearch.yml:# curl -so /etc/elasticsearch/elasticsearch.yml https://packages.wazuh.com/resources/4.1/open-distro/elasticsearch/7.x/elasticsearch_all_in_one.ymlElasticsearch 用户和变装,您需要添加用户和变装技能正确使用 Wazuh、Kibana。运行以下大叫在 Kibana 中添加 Wazuh 用户和其他变装:# curl -so /usr/share/elasticsearch/plugins/opendistro_security/securityconfig/roles.yml https://packages.wazuh.com/resources/4.1/open-distro/elasticsearch/roles/roles.yml# curl -so /usr/share/elasticsearch/plugins/opendistro_security/securityconfig/roles_mapping.yml https://packages.wazuh.com/resources/4.1/open-distro/elasticsearch/roles/roles_mapping.yml# curl -so /usr/share/elasticsearch/plugins/opendistro_security/securityconfig/internal_users.yml https://packages.wazuh.com/resources/4.1/open-distro/elasticsearch/roles/internal_users.ymlWazuh 用户通过运行上述大叫添加到 Kibana:wazuh_user,它是为需要对 Wazuh Kibana 插件进行只读走访的用户而创建的。wazuh_admin,提议需要经管权限的用户使用。在 Kibana 中添加了 Wazuh 附加变装以向用户授予妥当的权限:wazuh_ui_user,它提供wazuh_user读取 Wazuh 索引的权限。wazuh_ui_admin,它允许wazuh_admin对 Wazuh 索引奉行读取、写入、经管和索引任务。这些用户和变装旨在与 Wazuh Kibana 插件一说念操作,但它们受到保护,无法从 Kibana 界面进行修改。要修改它们或添加新用户或变装,securityadmin必须运行剧本。文凭创建删除演示文凭:# rm /etc/elasticsearch/esnode-key.pem /etc/elasticsearch/esnode.pem /etc/elasticsearch/kirk-key.pem /etc/elasticsearch/kirk.pem /etc/elasticsearch/root-ca.pem -f生成并部署文凭:下载wazuh-cert-tool.sh:# curl -so ~/wazuh-cert-tool.sh https://packages.wazuh.com/resources/4.1/open-distro/tools/certificate-utility/wazuh-cert-tool.sh# curl -so ~/instances.yml https://packages.wazuh.com/resources/4.1/open-distro/tools/certificate-utility/instances_aio.yml运行 wazuh-cert-tool.sh以创建文凭:# bash ~/wazuh-cert-tool.sh将 Elasticsearch 文凭出动到相应位置:# mkdir /etc/elasticsearch/certs/# mv ~/certs/elasticsearch* /etc/elasticsearch/certs/# mv ~/certs/admin* /etc/elasticsearch/certs/# cp ~/certs/root-ca* /etc/elasticsearch/certs/启用并启动 Elasticsearch 就业:# systemctl daemon-reload# systemctl enable elasticsearch# systemctl start elasticsearch运行 Elasticsearchsecurityadmin剧本加载新文凭信息并启动集群:# export JAVA_HOME=/usr/share/elasticsearch/jdk/ && /usr/share/elasticsearch/plugins/opendistro_security/tools/securityadmin.sh -cd /usr/share/elasticsearch/plugins/opendistro_security/securityconfig/ -nhnv -cacert /etc/elasticsearch/certs/root-ca.pem -cert /etc/elasticsearch/certs/admin.pem -key /etc/elasticsearch/certs/admin-key.pem运行以下大叫,确保装置到手:# curl -XGET https://localhost:9200 -u admin:admin -k
示例反应应如下所示:
Output
{
"name" : "node-1",
"cluster_name" : "elasticsearch",
"cluster_uuid" : "tWYgqpgdRz6fGN8gH11flw",
"version" : {
"number" : "7.10.2",
"build_flavor" : "oss",
"build_type" : "rpm",首页-新康兴有限公司
"build_hash" : "89473hjh88a59143c1f785afa92b9", 克山县和欧食品有限公司
"build_date" : "2021-08-7T00:42:12.435326Z", 奇尚科技短连接管理平台
"build_snapshot" : false,
"lucene_version" : "8.7.1",
"minimum_wire_compatibility_version" : "6.8.0",
"minimum_index_compatibility_version" : "6.0.0-beta1"
},
"tagline" : "You Know, for Search"
}
Open Distro for Elasticsearch 性能分析器件是默许装置的,医疗可能会对系统资源产生负面影响。咱们提议使用以下大叫将其删除。之后请务必重启 Elasticsearch 就业
/usr/share/elasticsearch/bin/elasticsearch-plugin remove opendistro-performance-analyzer
装置 Filebeat
Filebeat 是 Wazuh 就业器上的器具,可将警报和归档事件安全地转发到 Elasticsearch。
装置 Filebeat 包:#yum install filebeat下载用于将 Wazuh 警报转发到 Elasticsearch 的预成立 Filebeat 成立文献:#curl -so /etc/filebeat/filebeat.yml https://packages.wazuh.com/resources/4.1/open-distro/filebeat/7.x/filebeat_all_in_one.yml下载 Elasticsearch 的警报模板:#curl -so /etc/filebeat/wazuh-template.json https://raw.githubusercontent.com/wazuh/wazuh/4.1/extensions/elasticsearch/7.x/wazuh-template.json#chmod go+r /etc/filebeat/wazuh-template.json下载 Filebeat 的 Wazuh 模块:curl -s https://packages.wazuh.com/4.x/filebeat/wazuh-filebeat-0.1.tar.gz | tar -xvz -C /usr/share/filebeat/module将 Elasticsearch 文凭复制到/etc/filebeat/certs:#mkdir /etc/filebeat/certs#cp ~/certs/root-ca.pem /etc/filebeat/certs/#mv ~/certs/filebeat* /etc/filebeat/certs/启用并启动 Filebeat 就业:#systemctl daemon-reload#systemctl enable filebeat#systemctl start filebeat为确保到手装置 Filebeat,请运行以下大叫:#filebeat test output
示例反应应如下所示:
Output
elasticsearch: https://127.0.0.1:9200...
parse url... OK
connection...
parse host... OK
dns lookup... OK
addresses: 127.0.0.1
dial up... OK
TLS...
security: server's certificate chain verification is enabled
handshake... OK
TLS version: TLSv1.3
dial up... OK
talk to server... OK
version: 7.10.2
装置 Kibana
Kibana 是一个天真且直不雅的 Web 界面,用于挖掘和可视化存储在 Elasticsearch 中的数据。
装置 Kibana 包:# yum install opendistroforelasticsearch-kibana下载 Kibana 成立文献:# curl -so /etc/kibana/kibana.yml https://packages.wazuh.com/resources/4.1/open-distro/kibana/7.x/kibana_all_in_one.yml在/etc/kibana/kibana.yml文献中,开采 server.host的值为0.0.0.0。这意味着 Kibana 不错从外部走访并领受主机的所有可用 IP。要是需要,不错针对特定 IP 转变此值。创建/usr/share/kibana/data目次:# mkdir /usr/share/kibana/data# chown -R kibana:kibana /usr/share/kibana/data装置 Wazuh Kibana 插件。插件的装置必须从 Kibana 主目次完成,如下所示:# cd /usr/share/kibana# sudo -u kibana /usr/share/kibana/bin/kibana-plugin install https://packages.wazuh.com/4.x/ui/kibana/wazuh_kibana-4.1.5_7.10.2-1.zip将 Elasticsearch 文凭复制到/etc/kibana/certs:# mkdir /etc/kibana/certs# cp ~/certs/root-ca.pem /etc/kibana/certs/# mv ~/certs/kibana* /etc/kibana/certs/# chown kibana:kibana /etc/kibana/certs/*将 Kibana 套接字王人集到特权端口 443:# setcap 'cap_net_bind_service=+ep' /usr/share/kibana/node/bin/node启用并启动 Kibana 就业:# systemctl daemon-reload# systemctl enable kibana# systemctl start kibana
走访网页界面:
URL: https://ip
user: admin
password: admin
5.wazuh-agent的装置?linux系统:形势1:系统不错连外网导入 GPG 密钥:# rpm --import https://packages.wazuh.com/key/GPG-KEY-WAZUH添加存储库:# cat > /etc/yum.repos.d/wazuh.repo << EOF[wazuh]gpgcheck=1gpgkey=https://packages.wazuh.com/key/GPG-KEY-WAZUHenabled=1name=EL-$releasever - Wazuhbaseurl=https://packages.wazuh.com/4.x/yum/protect=1EOF装置 Wazuh agent# WAZUH_MANAGER="10.0.0.2" yum install wazuh-agent启动# systemctl daemon-reload# systemctl enable wazuh-agent# systemctl start wazuh-agent推选操作- 禁用 Wazuh 更新当Wazuh Manager版块高于或就是Wazuh Agent版块时,保证Wazuh agent与Wazuh manager的兼容性。因此,咱们提议禁用 Wazuh 存储库以驻扎偶然升级。为此,请使用以下大叫:# sed -i "s/^enabled=1/enabled=0/" /etc/yum.repos.d/wazuh.repo
卸载 Wazuh agent# yum remove wazuh-agent形势2:主机莫得外网权限
1.外网下载对应版块的rpm包,上传到该主机https://documentation.wazuh.com/current/installation-guide/packages-list.html#linux2.装置rpm -i 旅途/包名windows:
下载wazuh-agent.msi
https://packages.wazuh.com/4.x/windows/wazuh-agent-4.1.5-1.msi
掀开msi,写入就业端ip,启动就业
图片
卸载
cmd进装置目次C:\Program Files (x86)\ossec-agent
msiexec.exe /x wazuh-agent-4.1.5-1.msi /qn
6.如何看在线的agent?
在就业端通过大叫:
图片
大约web上:
图片
~
装置完成,server端的成立文献及agent的成立文献均未转变。
当今的景色:不错平日走访web,仅有部分功能模块在开动成立下被开启。
走访: https://ip
用户名: admin
密码: admin
部分功能模块启用以后
安全事件:
图片
文献好意思满性搜检:
图片
图片
破绽扫描:
图片
图片
病毒扫描:
图片
告警辨别:
图片
图片
背面的执行先容如何针对各个功能模块来进行成立文献的转变,使功能平日运行。成立文献的转变包括(系统版块不相似,成立略有各异):
server端的转变:
agent端的转变(linux/windows):医疗
本站仅提供存储就业,所有执行均由用户发布,如发现存害或侵权执行,请点击举报。