Cara Menginstal Wazuh di Ubuntu Server

./X3NUX January 30, 2024

Pada tutorial kali ini kita akan membahas cara untuk memasang dan melakukan konfigurasi wazuh di ubuntu server.

Wazuh merupakan salah satu dari sekian banyak aplikasi SIEM yang berbasis open sourch. Wazuh menggabungkan fungsi yang terpisah secara historis untuk menjadi single agent dan platform arsitektur. Perlindungan keamanan yang ditawarkan seperti untuk cloud public, cloud pribadi, dan pusat data. Wazuh juga memberikan analisis korelasi secara real-time, respons yang diberikan juga aktif dan bersifat granular, serta mencakup perbaikan pada perangkat sehingga end point akan tetap terjaga kebersihannya. Selain itu, pada aplikasi Wazuh juga melakukan analisis log, pengecekan integritas, pemantauan registry Windows, deteksi rootkit, peringatan berbasis waktu, dan respons aktif secara real-time. Wazuh terbagi atas 2 bagian, yaitu Wazuh Server dan Wazuh Agent.

Wazuh Server adalah perangkat yang berfungsi untuk manajemen agen dan dasbor sistem monitoring baik berupa file integritas, intrusion, ataupun log. Wazuh Agent adalah perangkat yang dipasang pada perangkat end point untuk pembacaan sistem, pengumpulan log, dan mengirimkan data ke Wazuh Server.

Cara Menginstal Wazuh Server di Ubuntu

Wazuh menyediakan script installer yang berfungsi untuk menginstall dependensi, memasang repository Wazuh kedalam sistem, serta melakukan deploy Wazuh.

$ curl -sO https://packages.wazuh.com/4.7/wazuh-install.sh && sudo bash ./wazuh-install.sh -a

Saat kalian selesai menginstall Wazuh, akan muncul informasi kredensial untuk login ke Dashboard. Wazuh sendiri berjalan di port 443. Untuk mendapatkan IP dashboardnya cukup cek menggunakan perintah ip addr.

Untuk proses instalisasi di atas akan membuat service systemd dengan nama wazuh-dashboard, wazuh-indexer, dan wazuh-manager akan berjalan. Kamu bisa cek dengan perintah:

$ sudo service wazuh-dashboard status
$ sudo service wazuh-indexer status
$ sudo service wazuh-manager status

Setelah proses selesai terdapat file wazuh-install-files.tar di direktori kalian mengeksekusi script bash installer diatas. Ketika diekstrak, didalamnya berisi beberapa log dan juga kredensial untuk Wazuh Indexer dan Wazuh API yang tersimpan pada file wazuh-passwords.txt.

Pada proses di atas kamu akan mendapatkan kredensial admin untuk masuk ke dashboard.

Langkah berikutnya ialah memasang wazuh agent, Klik Add agent. Disini kita akan menginstall agent di sistem operasi Windows.

Pada kolom Server Address, masukkan IP dari wazuh server. Dan untuk Agent Name, silahkan isi bebas, ini hanya untuk keperluan identifikasi saja.

Setelah itu muncul command yang akan di jalankan dengan menggunaakn powershell, jalankan dengan menggunakan hak akses administator.

Invoke-WebRequest -Uri https://packages.wazuh.com/4.x/windows/wazuh-agent-4.7.2-1.msi -OutFile ${env.tmp}\wazuh-agent; msiexec.exe /i ${env.tmp}\wazuh-agent /q WAZUH_MANAGER='172.16.8.137' WAZUH_AGENT_NAME='Windows10-Agent' WAZUH_REGISTRATION_SERVER='172.16.8.137'

Jika tidak terdapat error jalankan agent dengan menggunakan perintah,

start-Service Wazuh

Setelah Agent terpasang, balik ke Wazuh Dashboard. Sekarang harusnya sudah terdeteksi satu agent yang aktif.

Langkah berikutnya yaitu melakukan sysmon dan wazuh caranya download Sysmon dari Sysinternal di Windows. Lalu unduh juga konfigurasi Sysmon dari sysmon-modular . Disini saya gunakan sysmonconfig.xml.

Jalankan perintah.

.\sysmon64.exe -accepteula -i sysmonconfig.xml

Kemudian lanjut modifikasi file ossec.conf di Windows, yang berlokasi di:

C:\Program Files (x86)\ossec-agent\ossec.conf

Tambahkan baris berikut.

<localfile>
<location>Microsoft-Windows-Sysmon/Operational</location>
<log_format>eventchannel</log_format>
</localfile>

Tambahkan rule baru dengan nama rules.local di /var/ossec/etc pada wazuh server pada ubuntu.

$ sudo nano /var/ossec/etc/local_rules.xml

Berikut isinya.

<group name="sysmon,">
 <rule id="255000" level="12">
 <if_group>sysmon_event1</if_group>
 <field name="sysmon.image">\powershell.exe||\.ps1||\.ps2</field>
 <description>Sysmon - Event 1: Bad exe: $(sysmon.image)</description>
 <group>sysmon_event1,powershell_execution,</group>
 </rule>
</group>

Rertart wazuh di linux.

$ sudo service wazuh-manager restart

Dan juga restart wazuh di windows.

Restart-Service Wazuh