Cara Menginstal Wazuh di Ubuntu Server
Pada tutorial kali ini kita akan membahas cara untuk memasang dan melakukan konfigurasi wazuh di ubuntu server.
Wazuh merupakan salah satu dari sekian banyak aplikasi SIEM yang berbasis open sourch. Wazuh menggabungkan fungsi yang terpisah secara historis untuk menjadi single agent dan platform arsitektur. Perlindungan keamanan yang ditawarkan seperti untuk cloud public, cloud pribadi, dan pusat data. Wazuh juga memberikan analisis korelasi secara real-time, respons yang diberikan juga aktif dan bersifat granular, serta mencakup perbaikan pada perangkat sehingga end point akan tetap terjaga kebersihannya. Selain itu, pada aplikasi Wazuh juga melakukan analisis log, pengecekan integritas, pemantauan registry Windows, deteksi rootkit, peringatan berbasis waktu, dan respons aktif secara real-time. Wazuh terbagi atas 2 bagian, yaitu Wazuh Server dan Wazuh Agent.
Wazuh Server adalah perangkat yang berfungsi untuk manajemen agen dan dasbor sistem monitoring baik berupa file integritas, intrusion, ataupun log. Wazuh Agent adalah perangkat yang dipasang pada perangkat end point untuk pembacaan sistem, pengumpulan log, dan mengirimkan data ke Wazuh Server.
Cara Menginstal Wazuh Server di Ubuntu
$ curl -sO https://packages.wazuh.com/4.7/wazuh-install.sh && sudo bash ./wazuh-install.sh -a
$ sudo service wazuh-dashboard status
$ sudo service wazuh-indexer status
$ sudo service wazuh-manager status
Invoke-WebRequest -Uri https://packages.wazuh.com/4.x/windows/wazuh-agent-4.7.2-1.msi -OutFile ${env.tmp}\wazuh-agent; msiexec.exe /i ${env.tmp}\wazuh-agent /q WAZUH_MANAGER='172.16.8.137' WAZUH_AGENT_NAME='Windows10-Agent' WAZUH_REGISTRATION_SERVER='172.16.8.137'
start-Service Wazuh
.\sysmon64.exe -accepteula -i sysmonconfig.xml
C:\Program Files (x86)\ossec-agent\ossec.conf
<localfile>
<location>Microsoft-Windows-Sysmon/Operational</location>
<log_format>eventchannel</log_format>
</localfile>
$ sudo nano /var/ossec/etc/local_rules.xml
<group name="sysmon,">
<rule id="255000" level="12">
<if_group>sysmon_event1</if_group>
<field name="sysmon.image">\powershell.exe||\.ps1||\.ps2</field>
<description>Sysmon - Event 1: Bad exe: $(sysmon.image)</description>
<group>sysmon_event1,powershell_execution,</group>
</rule>
</group>
$ sudo service wazuh-manager restart
Restart-Service Wazuh