Implantação prática do sistema de detecção de intrusão baseado em host Wazuh (HIDS)
Implantação prática do sistema de detecção de intrusão baseado em host Wazuh (HIDS)
Olá Peerlysters,
Neste artigo vamos aprender como implantar um poderoso HIDS chamado "Wazuh"
O que é um sistema de detecção de intrusão?
Os sistemas de detecção de intrusão são um conjunto de dispositivos ou softwares que desempenham um papel importante nas organizações modernas para se defender contra invasões e atividades maliciosas. Temos duas categorias principais de sistemas de detecção de intrusão:
- Sistemas de detecção de intrusão baseados em host (HIDS): eles são executados nos hosts corporativos para detectar ataques de host
- Sistemas de detecção de intrusão baseados em rede (NIDS): sua função é detectar anomalias na rede monitorando o tráfego de entrada e saída.
A detecção pode ser feita usando duas técnicas de detecção de intrusão:
- Técnica de detecção baseada em assinatura: o tráfego é comparado com um banco de dados de assinaturas de ameaças conhecidas
- Técnica de intrusão baseada em anomalias: inspeciona o tráfego com base no comportamento das atividades.
Como implantar o Wazuh HIDS?
De acordo com seu site oficial: https://wazuh.com
O Wazuh é uma solução de monitoramento de segurança gratuita, de código aberto e pronta para empresas para detecção de ameaças, monitoramento de integridade, resposta a incidentes e conformidade. O Wazuh é usado para coletar, agregar, indexar e analisar dados de segurança, ajudando as organizações a detectar intrusões, ameaças e anomalias comportamentais.
O Wazuh é usado para coletar, agregar, indexar e analisar dados de segurança, ajudando as organizações a detectar intrusões, ameaças e anomalias comportamentais.
Ele contém os seguintes componentes:
- Servidor Wazuh
- Pilha elástica
- Agente Wazuh
Agora vamos explorar como implantá-lo. Para a demonstração, estou usando uma VM Ubuntu 18.04.
sudo apt-get update
sudo apt-get installcurl apt-transport-https lsb-release gnupg2
Instale a chave GPG:
wget -qO - https://artifacts.elastic.co/GPG-KEY-elasticsearch | sudo apt-key add -
Adicione o repositório
echo "deb https://artifacts.elastic.co/packages/7.x/apt stable main" | sudo tee -a /etc/apt/sources.list.d/elastic-7.x.list
Atualize as informações do pacote:
sudo apt-get update
Instalando o gerenciador do Wazuh
No seu terminal, instale o gerenciador Wazuh:
sudo apt-get install wazuh-manager
Quando o processo estiver concluído, você poderá verificar o status do serviço com:
service wazuh-manager status
Instalando a API Wazuh:
NodeJS \>= 4.6.1 é necessário para executar a API Wazuh.
sudo curl -sL https://deb.nodesource.com/setup_8.x | sudo bash -
e, em seguida, instale o NodeJS:
sudo apt-get install nodejs
Instale a API Wazuh:
sudo apt-get install wazuh-api
Quando o processo estiver concluído, você poderá verificar o status do serviço com:
sudo service wazuh-api status
Instalando o Filebeat
apt-get install filebeat=7.4.2
Esta é a pré-configuração para encaminhar alertas do Wazuh para o Elasticsearch
curl -so /etc/filebeat/filebeat.yml https://raw.githubusercontent.com/wazuh/wazuh/v3.11.4/extensions/filebeat/7.x/filebeat.yml
Baixe o modelo de alertas para Elasticsearch
curl -so /etc/filebeat/wazuh-template.json https://raw.githubusercontent.com/wazuh/wazuh/v3.11.4/extensions/elasticsearch/7.x/wazuh-template.json
Baixe o módulo Wazuh para Filebeat:
curl -s https://packages.wazuh.com/3.x/filebeat/wazuh-filebeat-0.1.tar.gz | sudo tar -xvz -C /usr/share/filebeat/module
sudo vi /etc/filebeat/filebeat.yml
Habilite e inicie o serviço Filebeat:
sudo update-rc.d filebeat defaults 95 10
sudo service filebeat start
Instalando o Elastic Stack
O Elasticsearch é um poderoso mecanismo de pesquisa distribuído, RESTful e baseado em JSON de código aberto. Você pode vê-lo como um servidor de pesquisa. É um banco de dados NoSQL. Para instalar o elasticsearch, precisamos ter certeza de que já temos o Java instalado.
sudo apt-get install elasticsearch=7.4.2
sudo vi /etc/elasticsearch/elasticsearch.yml
node.name: node-1
network.host: ["0.0.0.0"]
http.port: 9200
discovery.seed_hosts: []
cluster.initial_master_nodes: ["node-1"]
sudo update-rc.d elasticsearch defaults 95 10
sudo service elasticsearch start
Depois que o Elasticsearch estiver em execução, é recomendável carregar o modelo do Filebeat. Execute o seguinte comando onde o Filebeat foi instalado:
sudo filebeat setup --index-management -E setup.template.json.enabled=false
Instalando o Kibana
Kibana é uma interface da Web para pesquisar e visualizar logs. É um painel de registro de dados. Ele contém gráficos de pizza, barras, mapas de calor, gráficos de bolhas e gráficos de dispersão. É uma solução incrível para visualizar seus dados e detectar quaisquer padrões incomuns
apt-get install kibana=7.4.2
Instale o plug-in do aplicativo Wazuh para Kibana
sudo -u kibana bin/kibana-plugin install https://packages.wazuh.com/wazuhapp/wazuhapp-3.11.4_7.6.1.zip
sudo vi /etc/kibana/kibana.yml
server.port: 5601
server.host: 0.0.0.0
elasticsearch.hosts: ["http://localhost:9200"]
sudo update-rc.d kibana defaults 95 10
service kibana start
Transforme dados com o Logstash (opcional)
Logstash é um código aberto para coletar, analisar e transformar logs.
sudo apt-get install logstash=1:7.4.2-1
sudo systemctl daemon-reload
sudo systemctl enable logstash
Baixe o arquivo de configuração do Wazuh para o Logstash
sudo systemctl reiniciar logstash
sudo vi /etc/filebeat/filebeat.yml\</a
Configure a instância do Filebeat, altere o destino dos eventos da instância do Elasticsearch para a instância do Logstash.
Desabilite a saída do Elasticsearch:
Adicionar:
output.logstash.hosts: ["localhost:5000"]
sudo systemctl restart filebeat
Verifique se o Logstash está acessível a partir do Filebeat.
saída do teste sudo filebeat
Substitua as credenciais padrão pelo nome de usuário desejado, onde myUsername é mostrado abaixo para proteger sua API Wazuh
Mais informações: https://documentation.wazuh.com/3.3/installation-guide/installing-elastic-stack/connect_wazuh_app.html
Abra um navegador da Web e acesse o endereço IP do servidor Elastic Stack na porta 5601 (porta padrão do Kibana). Em seguida, no menu à esquerda, acesse o aplicativo Wazuh.
Clique em "Adicionar nova API" e preencha os campos da API. Se tudo correr bem, você obterá este painel principal do Wazuh.
Para adicionar um novo agente basta selecionar o SO, enrolar o pacote e instalá-lo:
Comentários
Postar um comentário