WAZUH – Host Tabanlı Saldırı Tespit Sistemi(HIDS)

WAZUH – Host Tabanlı Saldırı Tespit Sistemi(HIDS)

Hepinize merhabalar, yeni makalemde sizlere Host tabanlı bir saldırı tespit sistemi olan Wazuhtan bahsettim. Umarım faydalı olur. 🙂

 

Wazuh Nedir? 

Wazuh açık kaynaklı bir Host Detection System (HIDS) sistemidir.

Wazuh, tehdit algılama, bütünlük izleme, olay yanıtı ve uyumluluk için ücretsiz, açık kaynaklı ve kurumsal kullanıma hazır bir güvenlik izleme çözümüdür. Wazuh, güvenlik verilerini toplamak, toplamak, indekslemek ve analiz etmek için kullanılır ve kuruluşların izinsiz girişleri, tehditleri ve davranışsal anormallikleri tespit etmesine yardımcı olur.

Wazuh, Windows kayıt defteri izleme, rootkit tespit etme, dosya bütünlük denetimi yapma, anlık olarak uyarı ve response gibi özelliklere sahiptir.

Wazuh Dağıtım Türleri

Wazuh için iki farklı dağıtım seçeneği mevcuttur:

  1. Hepsi bir arada dağıtım : Wazuh ve Elasticsearch için Açık Dağıtım aynı ana bilgisayara kurulur.
  2. Dağıtılmış dağıtım : Her bileşen, tek düğümlü veya çok düğümlü bir küme olarak ayrı bir ana bilgisayara kurulur. Bu dağıtım türü, ürünün yüksek düzeyde kullanılabilirliğini ve ölçeklenebilirliğini sağlar ve geniş çalışma ortamları için uygundur.

Wazuh Kurulumu

Wazuh aşağıdaki bileşenleri içerir;

  • Wazuh Sunucusu
  • Elastik Yığın(ELK)
  • Wazuh Ajanı

Şimdi nasıl kurulacağı ve yapılandırılacağına bir bakalım.

Hepsi bir arada bir dağıtımda Elasticsearch bileşenleri için Wazuh ve Open Distro’yu kuracağız. Burada kurulumdan adım adım bahsediyor olacağım.

Ben Ubuntu işletm sistemi üzerine kurulumu yapacağım.

1) Wazuh Deposunu ekleme

  • İlk olarak kurulum için gerekli paketleri kuracağız.
apt install curl apt-transport-https unzip wget libcap2-bin software-properties-common lsb-release gnupg
  • GPG anahtarının yüklenmesi
curl -s https://packages.wazuh.com/key/GPG-KEY-WAZUH | apt-key add -
  • Deponun eklenmesi
echo "deb https://packages.wazuh.com/4.x/apt/ stable main" | tee -a /etc/apt/sources.list.d/wazuh.list
  • Paket bilgilerinin güncellenmesi
apt-get update

 

 2) Wazuh yöneticisini yükleme

  • Wazuh yönetici paketinin kurulması
apt-get install wazuh-manager
  • Wazuh yönetici hizmetinin etkinleştirilmesi ve başlatılması.
systemctl daemon-reload 
systemctl enable wazuh-manager
systemctl start wazuh-manager
  • Wazuh yöneticisinin durumunu öğrenmek için şu komut çalıştırılabilir.
 systemctl status wazuh-manager

Ve komutun çıktısı şu şekilde olmalıdır.

 

3) Elasticsearch’ü yükleme

  • Elasticsearch’in yüklenmesi ve Elasticsearch için dağıtımın açılması
apt install elasticsearch-oss opendistroforelasticsearch

 

4) Elasticsearch’ü Yapılandırma

  • Yapılandırma dosyasını indirmek için aşağıdaki komutu çalıştırıtyoruz.
curl -so /etc/elasticsearch/elasticsearch.yml https://packages.wazuh.com/resources/4.2/open-distro/elasticsearch/7.x/elasticsearch_all_in_one.yml

5) Elasticsearch kullanıcıları ve rolleri ayarlanması

  • Kibana’yı doğru kullanabilmek için kullanıcı ve rol eklememiz gerekmektedir. Bunun için sırası ile şu komutları çalıştırmamız gerekmektedir.
curl -so /usr/share/elasticsearch/plugins/opendistro_security/securityconfig/roles.yml https://packages.wazuh.com/resources/4.2/open-distro/elasticsearch/roles/roles.yml
curl -so /usr/share/elasticsearch/plugins/opendistro_security/securityconfig/roles_mapping.yml https://packages.wazuh.com/resources/4.2/open-distro/elasticsearch/roles/roles_mapping.yml
curl -so /usr/share/elasticsearch/plugins/opendistro_security/securityconfig/internal_users.yml https://packages.wazuh.com/resources/4.2/open-distro/elasticsearch/roles/internal_users.yml

 

6) Sertifika oluşturma

  • Demo sertifikaları kaldırmak için şu komutu çalıştırın.
# rm /etc/elasticsearch/esnode-key.pem /etc/elasticsearch/esnode.pem /etc/elasticsearch/kirk-key.pem /etc/elasticsearch/kirk.pem /etc/elasticsearch/root-ca.pem -f
  • Sertifikaları oluşturmak ve dağıtmak için sırasıyla şu komutları çalıtırmalıyız.
curl -so ~/wazuh-cert-tool.sh https://packages.wazuh.com/resources/4.2/open-distro/tools/certificate-utility/wazuh-cert-tool.sh
curl -so ~/instances.yml https://packages.wazuh.com/resources/4.2/open-distro/tools/certificate-utility/instances_aio.yml
  • Sertifikaları oluşturmak için şu komutu çalıştırıyoruz.
bash ~/wazuh-cert-tool.sh
  • Elasticsearch sertifikalarını ilgili konumlarına taşımak için sırası ile şu komutları çalıştırabiliriz.
mkdir /etc/elasticsearch/certs/
mv ~/certs/elasticsearch* /etc/elasticsearch/certs/
mv ~/certs/admin* /etc/elasticsearch/certs/
cp ~/certs/root-ca* /etc/elasticsearch/certs/
  • Elasticsearch hizmetinin etkinleştirilmesi ve başlatılması için sırası ile şu komutları çalıştırıyoruz.
systemctl daemon-reload
systemctl enable elasticsearch
systemctl start elasticsearch
  • Yeni sertifika bilgilerini yüklemek ve başlatmak için Elasticsearch komut dosyasını çalıştırmak için şu komutu kullanıyoruz.
export JAVA_HOME=/usr/share/elasticsearch/jdk/ && /usr/share/elasticsearch/plugins/opendistro_security/tools/securityadmin.sh -cd /usr/share/elasticsearch/plugins/opendistro_security/securityconfig/ -nhnv -cacert /etc/elasticsearch/certs/root-ca.pem -cert /etc/elasticsearch/certs/admin.pem -key /etc/elasticsearch/certs/admin-key.pem
  • Elasticsearch kurulumunun başarılı bir şekilde kurulup kurulmadığını kontrol etmek için şu komutu çalıştırıyoruz.
curl -XGET https://localhost:9200 -u admin:admin -k

Localhost üzerinden görüntülemek için şu komutu tarayıcımıza yapıştırıyoruz ve görseldeki gibi bir sonuç alıyoruz.

https://localhost:9200

 

7) Filebeat’i Yükleme

Filebeat, uyarıları ve kayıtlı olayları Elasticsearch’e güvenli bir şekilde ileten Wazuh sunucusundaki araçtır.

  • Filebeat paketi şu şekilde kurulur.
apt-get install filebeat
  • Wazuh uyarılarını Elasticsearch’e iletmek için kullanılan önceden yapılandırılmış Filebeat yapılandırma dosyasını indirmek için şu komutu kullanıyoruz.
curl -so /etc/filebeat/filebeat.yml https://packages.wazuh.com/resources/4.2/open-distro/filebeat/7.x/filebeat_all_in_one.yml
  • Elasticsearch için uyarı şablonunu indiriyoruz.
curl -so /etc/filebeat/wazuh-template.json https://raw.githubusercontent.com/wazuh/wazuh/4.2/extensions/elasticsearch/7.x/wazuh-template.json
chmod go+r /etc/filebeat/wazuh-template.json
  • Filebeat için Wazuh modülünü indiriyoruz.
curl -s https://packages.wazuh.com/4.x/filebeat/wazuh-filebeat-0.1.tar.gz | tar -xvz -C /usr/share/filebeat/module
  • Elasticsearch sertifikalarını kopyalıyoruz.
# mkdir /etc/filebeat/certs
# cp ~/certs/root-ca.pem /etc/filebeat/certs/
# mv ~/certs/filebeat* /etc/filebeat/certs/
  • Filebeat hizmetini şu komutlarla etkinleştiriyor ve başlatıyoruz.
# systemctl daemon-reload
# systemctl enable filebeat
# systemctl start filebeat

 

8) Kibana’nın Kurulumu

Kibana, Elasticsearch’te depolanan olayları görselleştirmek ve arayüz sağlamak için esnek ve sezgisel bir web arayüzüdür.

  • Kibana paketini kuralım.
apt-get install opendistroforelasticsearch-kibana
  • Kibana yapılandırma dosyasını indirelim.
curl -so /etc/kibana/kibana.yml https://packages.wazuh.com/resources/4.2/open-distro/kibana/7.x/kibana_all_in_one.yml
  • Şu dizini oluşturuyoruz bunun için sırası ile şu komutları çalıştırıyoruz.
# mkdir /usr/share/kibana/data
# chown -R kibana:kibana /usr/share/kibana/data
  • Wazuh Kibana eklentisini kuruyoruz. Eklentinin kurulumu Kibana ana dizininden şu şekilde yapılmalıdır
# cd /usr/share/kibana
# sudo -u kibana /usr/share/kibana/bin/kibana-plugin install https://packages.wazuh.com/4.x/ui/kibana/wazuh_kibana-4.2.5_7.10.2-1.zip
  • Elasticsearch sertifikalarını şuraya kopyalıyoruz ve şu komutları çalıştırıyoruz.
# mkdir /etc/kibana/certs
# cp ~/certs/root-ca.pem /etc/kibana/certs/
# mv ~/certs/kibana* /etc/kibana/certs/
# chown kibana:kibana /etc/kibana/certs/*
  • Kibana soketini ayrıcalıklı bağlantı noktası 443’e bağlıyoruz.
setcap 'cap_net_bind_service=+ep' /usr/share/kibana/node/bin/node
  • Kibana hizmetini etkinleştiriyor ve başlatıyoruz.
# systemctl daemon-reload
# systemctl enable kibana
# systemctl start kibana
  • Kibana durumunu şu komutla kontrol ediyoruz.

 

  • Web arayüzüne şu şekilde erişiyoruz.
URL: https://<wazuh_server_ip>
user: admin
password: admin

Ben “wazuh_server_ip” kısmına IP adresini yazıyorum. Ve aşağıdaki gibi bir giriş ekranı geliyor.

 

 

Buraya kadar okuduğunuz için Teşekkürler. 🙂

Bir yanıt yazın

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir