Wazuh Nedir?
Wazuh açık kaynaklı bir Host Detection System (HIDS) sistemidir.
Wazuh, tehdit algılama, bütünlük izleme, olay yanıtı ve uyumluluk için ücretsiz, açık kaynaklı, kurumsal kullanıma hazır bir güvenlik izleme çözümüdür. Wazuh, kuruluşların izinsiz girişleri, tehditleri ve davranışsal anormallikleri tespit etmesine yardımcı olmak için güvenlik verilerini toplamak, indekslemek ve analiz etmek için kullanılır.
Wazuh, Windows kayıt defteri izleme, rootkit algılama, dosya bütünlüğü kontrolleri ve anında uyarılar ve response gibi özelliklere sahiptir.
Wazuh için iki farklı dağıtım seçeneği mevcuttur:
- Hepsi bir arada dağıtım: Wazuh ve Elasticsearch için Açık Dağıtım aynı ana bilgisayara kurulur.
- Dağıtılmış Dağıtım: Her bileşen, tek bir düğüm veya birden çok düğüm kümesi olarak ayrı bir ana bilgisayara kurulur. Bu dağıtım türü, ürünün yüksek düzeyde kullanılabilirliğini ve ölçeklenebilirliğini sağlar ve geniş çalışma ortamları için uygundur.
Wazuh Kurulumu
Wazuh aşağıdaki bileşenleri içerir;
- Wazuh Sunucusu
- Elastik Yığın (ELK)
- Wazuh Ajanı
Şimdi nasıl kurulacağı ve yapılandırılacağına bir bakalım.
Hepsi bir arada dağıtımda Elasticsearch bileşenleri için Wazuh ve Open Distro’yu kurun. İşte kurulum için adım adım bahsediyor olacağım.
Ben Ubuntu işletim sistemi üzerine kurulumu yapacağım.
Wazuh Deposunu ekleme
- İlk olarak kurulum için gerekli paketleri kuracağız.
- GPG anahtarının yüklenmesi
- Deponun eklenmesi
- Paket bilgilerinin güncellenmesi
2) Wazuh yöneticisini yükleme
- Wazuh yönetici paketinin kurulması
- Wazuh yönetici hizmetinin etkinleştirilmesi ve başlatılması.
- Wazuh yöneticisinin durumunu öğrenmek için şu komut çalıştırılabilir.
Ve komutun çıktısı şu şekilde olmalıdır.
3) Elasticsearch’ü yükleme
- Elasticsearch’in yüklenmesi ve Elasticsearch için dağıtımın açılması
4) Elasticsearch’ü Yapılandırma
- Yapılandırma dosyasını indirmek için aşağıdaki komutu çalıştırıtyoruz.
5) Elasticsearch kullanıcıları ve rolleri ayarlanması
- Kibana’yı doğru kullanabilmek için kullanıcı ve rol eklememiz gerekmektedir. Bunun için sırası ile şu komutları çalıştırmamız gerekmektedir.
6) Sertifika oluşturma
- Demo sertifikaları kaldırmak için şu komutu çalıştırın.
- Sertifikaları oluşturmak ve dağıtmak için sırasıyla şu komutları çalıtırmalıyız.
- Sertifikaları oluşturmak için şu komutu çalıştırıyoruz.
- Elasticsearch sertifikalarını ilgili konumlarına taşımak için sırası ile şu komutları çalıştırabiliriz.
- Elasticsearch hizmetinin etkinleştirilmesi ve başlatılması için sırası ile şu komutları çalıştırıyoruz.
- Yeni sertifika bilgilerini yüklemek ve başlatmak için Elasticsearch komut dosyasını çalıştırmak için şu komutu kullanıyoruz.
- Elasticsearch kurulumunun başarılı bir şekilde kurulup kurulmadığını kontrol etmek için şu komutu çalıştırıyoruz.
Localhost üzerinden görüntülemek için şu komutu tarayıcımıza yapıştırıyoruz ve görseldeki gibi bir sonuç alıyoruz.
7) Filebeat’i Yükleme
Filebeat, uyarıları ve kayıtlı olayları Elasticsearch’e güvenli bir şekilde ileten Wazuh sunucusundaki araçtır.
- Filebeat paketi şu şekilde kurulur.
- Wazuh uyarılarını Elasticsearch’e iletmek için kullanılan önceden yapılandırılmış Filebeat yapılandırma dosyasını indirmek için şu komutu kullanıyoruz.
- Elasticsearch için uyarı şablonunu indiriyoruz.
- Filebeat için Wazuh modülünü indiriyoruz.
- Elasticsearch sertifikalarını kopyalıyoruz.
- Filebeat hizmetini şu komutlarla etkinleştiriyor ve başlatıyoruz.
8) Kibana’nın Kurulumu
Kibana, Elasticsearch’te depolanan olayları görselleştirmek ve arayüz sağlamak için esnek ve sezgisel bir web arayüzüdür.
- Kibana paketini kuralım.
- Kibana yapılandırma dosyasını indirelim.
- Şu dizini oluşturuyoruz bunun için sırası ile şu komutları çalıştırıyoruz.
- Wazuh Kibana eklentisini kuruyoruz. Eklentinin kurulumu Kibana ana dizininden şu şekilde yapılmalıdır.
- Elasticsearch sertifikalarını şuraya kopyalıyoruz ve şu komutları çalıştırıyoruz.
- Kibana soketini ayrıcalıklı bağlantı noktası 443’e bağlıyoruz.
- Kibana hizmetini etkinleştiriyor ve başlatıyoruz.
- Kibana durumunu şu komutla kontrol ediyoruz.
- Web arayüzüne şu şekilde erişiyoruz.
Ben “wazuh_server_ip” kısmına IP adresini yazıyorum. Ve aşağıdaki gibi bir giriş ekranı geliyor.