DOE AGORA Qualquer valor

Implantação prática do sistema de detecção de intrusão baseado em host Wazuh (HIDS)

Implantação prática do sistema de detecção de intrusão baseado em host Wazuh (HIDS)

Olá Peerlysters,

Neste artigo vamos aprender como implantar um poderoso HIDS chamado "Wazuh"

Fonte da imagem

O que é um sistema de detecção de intrusão?

Os sistemas de detecção de intrusão são um conjunto de dispositivos ou softwares que desempenham um papel importante nas organizações modernas para se defender contra invasões e atividades maliciosas. Temos duas categorias principais de sistemas de detecção de intrusão:

  • Sistemas de detecção de intrusão baseados em host (HIDS): eles são executados nos hosts corporativos para detectar ataques de host
  • Sistemas de detecção de intrusão baseados em rede (NIDS): sua função é detectar anomalias na rede monitorando o tráfego de entrada e saída.

A detecção pode ser feita usando duas técnicas de detecção de intrusão:

  • Técnica de detecção baseada em assinatura: o tráfego é comparado com um banco de dados de assinaturas de ameaças conhecidas
  • Técnica de intrusão baseada em anomalias: inspeciona o tráfego com base no comportamento das atividades.

Como implantar o Wazuh HIDS?

De acordo com seu site oficial: https://wazuh.com

O Wazuh é uma solução de monitoramento de segurança gratuita, de código aberto e pronta para empresas para detecção de ameaças, monitoramento de integridade, resposta a incidentes e conformidade. O Wazuh é usado para coletar, agregar, indexar e analisar dados de segurança, ajudando as organizações a detectar intrusões, ameaças e anomalias comportamentais.

O Wazuh é usado para coletar, agregar, indexar e analisar dados de segurança, ajudando as organizações a detectar intrusões, ameaças e anomalias comportamentais.

Ele contém os seguintes componentes:

  • Servidor Wazuh
  • Pilha elástica
  • Agente Wazuh

Agora vamos explorar como implantá-lo. Para a demonstração, estou usando uma VM Ubuntu 18.04.

sudo apt-get update

sudo apt-get installcurl apt-transport-https lsb-release gnupg2

Instale a chave GPG:

wget -qO - https://artifacts.elastic.co/GPG-KEY-elasticsearch | sudo apt-key add -

Adicione o repositório

echo "deb https://artifacts.elastic.co/packages/7.x/apt stable main" | sudo tee -a /etc/apt/sources.list.d/elastic-7.x.list

Atualize as informações do pacote:

sudo apt-get update

Instalando o gerenciador do Wazuh

No seu terminal, instale o gerenciador Wazuh:

sudo apt-get install wazuh-manager

Quando o processo estiver concluído, você poderá verificar o status do serviço com:

service wazuh-manager status

Instalando a API Wazuh:

NodeJS \>= 4.6.1 é necessário para executar a API Wazuh.

sudo curl -sL https://deb.nodesource.com/setup_8.x | sudo bash -

e, em seguida, instale o NodeJS:

sudo apt-get install nodejs

Instale a API Wazuh:

sudo apt-get install wazuh-api

Quando o processo estiver concluído, você poderá verificar o status do serviço com:

sudo service wazuh-api status

Instalando o Filebeat

apt-get install filebeat=7.4.2

Esta é a pré-configuração para encaminhar alertas do Wazuh para o Elasticsearch

curl -so /etc/filebeat/filebeat.yml https://raw.githubusercontent.com/wazuh/wazuh/v3.11.4/extensions/filebeat/7.x/filebeat.yml

Baixe o modelo de alertas para Elasticsearch

curl -so /etc/filebeat/wazuh-template.json https://raw.githubusercontent.com/wazuh/wazuh/v3.11.4/extensions/elasticsearch/7.x/wazuh-template.json

Baixe o módulo Wazuh para Filebeat:

curl -s https://packages.wazuh.com/3.x/filebeat/wazuh-filebeat-0.1.tar.gz | sudo tar -xvz -C /usr/share/filebeat/module

sudo vi /etc/filebeat/filebeat.yml

Habilite e inicie o serviço Filebeat:

sudo update-rc.d filebeat defaults 95 10

sudo service filebeat start

Instalando o Elastic Stack

O Elasticsearch é um poderoso mecanismo de pesquisa distribuído, RESTful e baseado em JSON de código aberto. Você pode vê-lo como um servidor de pesquisa. É um banco de dados NoSQL. Para instalar o elasticsearch, precisamos ter certeza de que já temos o Java instalado.

sudo apt-get install elasticsearch=7.4.2

sudo vi /etc/elasticsearch/elasticsearch.yml

node.name: node-1
network.host: ["0.0.0.0"]
http.port: 9200
discovery.seed_hosts: []
cluster.initial_master_nodes: ["node-1"]

sudo update-rc.d elasticsearch defaults 95 10

sudo service elasticsearch start

Depois que o Elasticsearch estiver em execução, é recomendável carregar o modelo do Filebeat. Execute o seguinte comando onde o Filebeat foi instalado:

sudo filebeat setup --index-management -E setup.template.json.enabled=false

Instalando o Kibana

Kibana é uma interface da Web para pesquisar e visualizar logs. É um painel de registro de dados. Ele contém gráficos de pizza, barras, mapas de calor, gráficos de bolhas e gráficos de dispersão. É uma solução incrível para visualizar seus dados e detectar quaisquer padrões incomuns

apt-get install kibana=7.4.2

Instale o plug-in do aplicativo Wazuh para Kibana

sudo -u kibana bin/kibana-plugin install https://packages.wazuh.com/wazuhapp/wazuhapp-3.11.4_7.6.1.zip

sudo vi /etc/kibana/kibana.yml

server.port: 5601
server.host: 0.0.0.0
elasticsearch.hosts: ["http://localhost:9200"]

sudo update-rc.d kibana defaults 95 10

service kibana start

Transforme dados com o Logstash (opcional)

Logstash é um código aberto para coletar, analisar e transformar logs.

sudo apt-get install logstash=1:7.4.2-1

sudo systemctl daemon-reload

sudo systemctl enable logstash

Baixe o arquivo de configuração do Wazuh para o Logstash

sudo systemctl reiniciar logstash

sudo vi /etc/filebeat/filebeat.yml\</a

Configure a instância do Filebeat, altere o destino dos eventos da instância do Elasticsearch para a instância do Logstash.

Desabilite a saída do Elasticsearch:

Adicionar:

output.logstash.hosts: ["localhost:5000"]

sudo systemctl restart filebeat

Verifique se o Logstash está acessível a partir do Filebeat.

saída do teste sudo filebeat

Substitua as credenciais padrão pelo nome de usuário desejado, onde myUsername é mostrado abaixo para proteger sua API Wazuh

Mais informações: https://documentation.wazuh.com/3.3/installation-guide/installing-elastic-stack/connect_wazuh_app.html

Abra um navegador da Web e acesse o endereço IP do servidor Elastic Stack na porta 5601 (porta padrão do Kibana). Em seguida, no menu à esquerda, acesse o aplicativo Wazuh.

Clique em "Adicionar nova API" e preencha os campos da API. Se tudo correr bem, você obterá este painel principal do Wazuh.

Para adicionar um novo agente basta selecionar o SO, enrolar o pacote e instalá-lo:

Comentários

Ebook

Postagens mais visitadas