HIDS Wazuh 서버 구축

사무실내 개인PC 및 공용PC에 대한 보안 관리가 필요할것 같다

무료 오픈소스중에 Wazuh를 이용하여 설치를 진행해보려 한다

 

OS : Ubuntu 22.04

CPU : 2개 (CPU 최소기준 2개)

MEM : 4G

 

https://documentation.wazuh.com/current/installation-guide/wazuh-server/installation-assistant.html

Installing the Wazuh server using the assistant - Wazuh server

위 사이트에 설치 방법에 대해서 자세히 설명이 되어있다 참고 해도 좋을것 같다

 

초록색 : 명령어 입력

파랑색 : 설정 입력(Vi,Nano등)

빨강색 : 주석 

 

ㅁ Wazuh Server 설치

 1. 패키지 업데이트 및 필요 프로그램 설치

[root@wazuh ~]  # sudo apt update && sudo apt install curl apt-transport-https unzip wget libcap2-bin software-properties-common lsb-release gnupg2

 

 2. Wazuh 서버 설치

>> 작성일자 기준 최신 버젼 설치.10분정도 소요 된다

[root@wazuh ~]  # curl -sO https://packages.wazuh.com/4.7/wazuh-install.sh && chmod 744 wazuh-install.sh && bash ./wazuh-install.sh -a

 

설치후 마지막에 출력되는 아래 접속 정보는 복사해 두자

  User: admin
  Password: 2l??13WrelfsLjQ2oy8j?o.G

 

 3. Vulnerability(취약점) Scan 설정

https://documentation.wazuh.com/current/user-manual/capabilities/vulnerability-detection/configuring-scans.html 참고

 

[root@wazuh ~] # vi /var/ossec/etc/shared/default/agent.conf

>> 아래 파란색 내용 추가

 

<agent_config>

  <!-- Shared agent configuration here -->
<wodle name="syscollector">
   <disabled>no</disabled>
   <interval>1h</interval>
   <os>yes</os>
   <packages>yes</packages>
   <hotfixes>yes</hotfixes>
</wodle>

</agent_config>

 

[root@wazuh ~]# vi /var/ossec/etc/ossec.conf

>> 파란색 부분을 아래와 같이 수정(원하는 OS가 있으면 yes로 바꿔주면 된다)

 

<vulnerability-detector>
   <enabled>yes</enabled>
   <interval>5m</interval>
   <min_full_scan_interval>6h</min_full_scan_interval>
   <run_on_start>yes</run_on_start>

   <!-- Ubuntu OS vulnerabilities -->
   <provider name="canonical">
      <enabled>yes</enabled>
      <os>trusty</os>
      <os>xenial</os>
      <os>bionic</os>
      <os>focal</os>
      <os>jammy</os>
      <update_interval>1h</update_interval>
   </provider>

   <!-- Debian OS vulnerabilities -->
   <provider name="debian">
      <enabled>yes</enabled>
      <os>buster</os>
      <os>bullseye</os>
      <os>bookworm</os>
      <update_interval>1h</update_interval>
   </provider>

   <!-- RedHat OS vulnerabilities -->
   <provider name="redhat">
      <enabled>yes</enabled>
      <os>5</os>
      <os>6</os>
      <os>7</os>
      <os>8</os>
      <os>9</os>
      <update_interval>1h</update_interval>
   </provider>

   <!-- Amazon Linux OS vulnerabilities -->
   <provider name="alas">
      <enabled>yes</enabled>
      <os>amazon-linux</os>
      <os>amazon-linux-2</os>
      <os>amazon-linux-2023</os>
      <update_interval>1h</update_interval>
   </provider>

   <!-- SUSE Linux Enterprise OS vulnerabilities -->
   <provider name="suse">
      <enabled>yes</enabled>
      <os>11-server</os>
      <os>11-desktop</os>
      <os>12-server</os>
      <os>12-desktop</os>
      <os>15-server</os>
      <os>15-desktop</os>
      <update_interval>1h</update_interval>
   </provider>

   <!-- Arch OS vulnerabilities -->
   <provider name="arch">
      <enabled>yes</enabled>
      <update_interval>1h</update_interval>
   </provider>

   <!-- AlmaLinux OS vulnerabilities -->
   <provider name="almalinux">
      <enabled>yes</enabled>
      <os>8</os>
      <os>9</os>
      <update_interval>1h</update_interval>
   </provider>

   <!-- Windows OS vulnerabilities -->
   <provider name="msu">
      <enabled>yes</enabled>
      <update_interval>1h</update_interval>
   </provider>

   <!-- Aggregate vulnerabilities -->
   <provider name="nvd">
      <enabled>yes</enabled>
      <update_interval>1h</update_interval>
   </provider>
</vulnerability-detector>

 

[root@wazuh ~]#  systemctl restart wazuh-manager

>> 설정 적용을 위해 재시작

 

ㅁ Wazuh Agent 설치

 1. Wazuh Web 접속후 Agent 이동

https://Wazuh 서버IP

 

 

2. Deploy new agent 클릭

 1) OS 선택

 2) Server address 입력

 3) Agent 이름 임의 지정후 입력

 4) 그룹 선택(아래 그림에는 안나왔지만)

 

 

 위에 내용이 입력이 완료되면 아래와 같이 명령어가 생성된다.

Windows의 경우 Powershell을 관리자 모드로 실행후 아래 명령어 복사 붙여 넣기 하면 설치가 완료 되며

설치후 서비스를 시작해주면 된다

 

 

3. Wazuh 서버에서 확인

5~10분후 정도 시간이 지나면 아래와 같이 정보 확인이 가능하다.

만약 확인 되지 않는다면 Agent에서 서버쪽으로 1514~1515 포트로 접근이 되는지 확인이 필요하다