Wazuh4.9部署

1.1 硬件要求

硬件要求很大程度上取决于受保护的端点和云工作负载的数量。此数字有助于估计将分析的数据量以及将存储和索引的安全警报数。

在同一主机上部署Wazuh服务器、Wazuh索引器和Wazuh仪表盘。这通常足以监视多达100个终结点和90天的可查询/索引警报数据。

1.2 操作系统要求

Wazuh中心组件可以安装在64 位Linux操作系统上。Wazuh 建议使用以下任何操作系统版本：

1.3 操作系统下载地址

https://cn.ubuntu.com/download/server/step1

2）Kali下载地址

https://www.kali.org/get-kali/#kali-installer-images

https://msdn.itellyou.cn/

1.4 测试环境资源

2、基础配置

2.1 时间配置

设置时区

timedatectl set-timezone Asia/Shanghai

配置NTP

apt install wget apt-transport-https gnupg2 software-properties-commonapt install ntp -ysystemctl restart ntp

2.2 配置镜像源

deb https://mirrors.aliyun.com/ubuntu/ jammy main restricted universe multiversedeb-src https://mirrors.aliyun.com/ubuntu/ jammy main restricted universe multiversedeb https://mirrors.aliyun.com/ubuntu/ jammy-security main restricted universe multiversedeb-src https://mirrors.aliyun.com/ubuntu/ jammy-security main restricted universe multiversedeb https://mirrors.aliyun.com/ubuntu/ jammy-updates main restricted universe multiversedeb-src https://mirrors.aliyun.com/ubuntu/ jammy-updates main restricted universe multiverse# deb https://mirrors.aliyun.com/ubuntu/ jammy-proposed main restricted universe multiverse# deb-src https://mirrors.aliyun.com/ubuntu/ jammy-proposed main restricted universe multiversedeb https://mirrors.aliyun.com/ubuntu/ jammy-backports main restricted universe multiversedeb-src https://mirrors.aliyun.com/ubuntu/ jammy-backports main restricted universe multiverse

2.3 配置Wazuh仓库地址

apt-get install gnupg apt-transport-httpscurl -s https://packages.wazuh.com/key/GPG-KEY-WAZUH | gpg --no-default-keyring --keyring gnupg-ring:/usr/share/keyrings/wazuh.gpg --import && chmod 644 /usr/share/keyrings/wazuh.gpgecho "deb [signed-by=/usr/share/keyrings/wazuh.gpg] https://packages.wazuh.com/4.x/apt/ stable main" | tee -a /etc/apt/sources.list.d/wazuh.listapt-get update -y && apt upgrade  -y && apt autoremove -yreboot

2.4 安装apt-fast

add-apt-repository ppa:apt-fast/stable -yapt updateapt install apt-fast -y

3、Wazuh快速安装

3.1 运行Wazuh安装助手

curl -sO https://packages.wazuh.com/4.9/wazuh-install.sh && sudo bash ./wazuh-install.sh -a

助手完成安装后，输出将显示访问凭据和一条确认安装成功的消息

3.2访问WEB页面

https://<wazuh-dashboard-ip>

密码保存在wazuh-install-files.tar中，解压缩后获得wazuh-passwords.txt

sudo tar -O -xvf wazuh-install-files.tar wazuh-install-files/wazuh-passwords.txt

4、自动化分步骤安装

4.1安装Wazuh indexer

curl -sO https://packages.wazuh.com/4.9/wazuh-install.shcurl -sO https://packages.wazuh.com/4.9/config.yml

nodes:  # Wazuh indexer nodes  indexer:    - name: node-1      ip: "192.168.208.20"  server:    - name: wazuh-1      ip: "192.168.208.20"  dashboard:    - name: dashboard      ip: "192.168.208.20"

bash wazuh-install.sh --generate-config-files

apt-fast -y install wazuh-indexercurl -s https://packages.wazuh.com/key/GPG-KEY-WAZUH | gpg --no-default-keyring --keyring gnupg-ring:/usr/share/keyrings/wazuh.gpg --import && chmod 644 /usr/share/keyrings/wazuh.gpgbash wazuh-install.sh --wazuh-indexer node-1 -o

bash wazuh-install.sh --start-cluster

如果出现ERROR: The wazuh-alerts template could not be inserted into the Wazuh indexer cluster.

重启wazuh-indexer服务

systemctl restart wazuh-indexer

获取集群账号和密码

tar -axf wazuh-install-files.tar wazuh-install-files/wazuh-passwords.txt -O | grep -P "'admin'" -A 1

测试访问集群是否成功

curl -k -u admin:<ADMIN_PASSWORD> https://<WAZUH_INDEXER_IP>:9200

curl -k -u admin:<ADMIN_PASSWORD> https://<WAZUH_INDEXER_IP>:9200/_cat/nodes?v

4.2安装Wazuh server

apt-fast install wazuh-manager filebeat -y

bash wazuh-install.sh --wazuh-server wazuh-1 -o

3）安装Wazuh dashboard

apt-fast install wazuh-dashboard -y

bash wazuh-install.sh --wazuh-dashboard dashboard -o

5、基础配置

5.1添加组管理

在管理页面设置组列表

默认只有default组

创建自定义用户组

5.2配置服务

选择Server Management，选择Settings

选择编辑配置

默认只存储告警日志，设置成收集所有日志

如果需要发送告警邮件，可以配置邮件告警功能

默认已经开启，通过策略监控可以识别并修复违反策略的行为

默认已经开启，收集系统硬件、操作系统、网络、安装包相关

默认已经开启，检测应用组件版本相关漏洞

新版本默认开启

5.3重启服务

点击save保存配置

选择重启服务