Яндекс Облако и ВК облако документация
Документация по настройке решений в Yandex Cloud
Использование Wazuh в Yandex Cloud
Создание виртуальной машины Wazuh all in one

Создание виртуальной машины Wazuh all in one

Компоненты

  • Yandex cloud Wazuh modules(wodle)
  • Wazuh v4.3
  • Yandex Wazuh visualisation application
  • Yara
  • ClamAv

Запуск решения

Чтобы запустить наше решение, достаточно создать виртуальную машину из нашего образа и сделать минимальные настройки которые приведены ниже После создания и настройки веб-интерфейс будет доступен по ссылки https://ip или https://loadbalancer_ip Для получения логинов и паролей к веб интерфейсу/api и других компонентов, а так же сертификатов, вам необходимо подключиться к виртуальной машине по ssh, и распаковать архив который расположен в директории /var/ossec с именем wazuh-install-files.tar. {% note warning %}

Внимание:
Мы не храним у себя логины/пароли при изменение паролей мы не сможем их восстановить. Пожалуйста храните пароли в надежном месте. По-умолчанию пароли генерируются при первом старте.

Настройка получение событий

YC Wazuh modules

Реализация дает возможности глубокой интеграции между Wazuh и YC Trails

По-умолчанию мы поддерживаем два вида получения данных из Trails

Wazuh интеграция с Yandex Cloud logging

Интеграция с Yandex Cloud Logging самая простая и включена по-умолчанию

Перед началом необходимо настроить экспорт Yandex Cloud trails в Yandex Cloud logging

После настройки, достаточно создать виртуальную машину из нашего образа.

Внимание: Важно для доступа к Yandex Cloud logging и корректной работы нашего решения для виртуальной машины необходимо создать сервисный аккаунт со следующими правами:

logging.viewer
compute.viewer
logging.reader

Так же учтите наша реализация не использует сторонние сервисы данные права нужны для получения логов из Yandex Cloud Logging и получения метаданных о виртуальной машины, на которой запущено решение

Для получения логов, есть два метода

  • На основе лейблов виртуальной машины
  • На основе переменных окружения

Рассмотрим первый случай. Если вы остановились на использование лейблов. Тогда при создании виртуальной машины, нужно указать лейблы вида ключ-значение

yandex_log_group_id = "cloud_loggin_id"

Тогда после запуска, наше решение будет использовать значение которое вы установили Если же вы выбираете system variables, тогда подключитесь по ssh к виртуальном машине и добавьте переменную YANDEX_LOG_GROUP_ID со значение которое соответсвует идентификатору Yandex cloud logging группы

Например

vi /etc/profile.d/wazuh.sh
export YANDEX_LOG_GROUP_ID="cloud_loggin_id"

На этом настройка закончен и через некоторое время события будут доступны в веб-интерфейсе

НазваниеТипОписание
YANDEX_LOG_MINUTES_AGOIntegerОтносительное время. Время в минутах используется при запросе trails, то есть дельта между текущим временем и n минут назад. Значение по умолчанию 360
YANDEX_LOG_GROUP_IDStringИдентификатор Yandex cloud logging группы

Wazuh интеграция с Yandex Cloud Object Storage

Одна из возможность интеграция между YС и Wazuh для анализа Yandex Cloud Audit Trails, со стороны Yandex Cloud необходимо настроить экспорт Audit trail в объектное хранилище

После успешной настройки создайте виртуальную машину на основе нашего образа, после того как виртуальная машина была создана подключитесь по ssh

ssh user@new-vm-ip

Далее необходимо настроить использование YC Object storage как источника для Wazuh. Для этого интеграция предлагает гибкий механизм.

Достаточно отредактировать файл /etc/profile.d/wazuh.sh и установить необходимы переменные. Для работы с YC Object Storage необходимо сгенерировать ключи доступа

НазваниеТипОписание
YANDEX_TRAIL_BUCKETStringИмя Yandex Object storage бакета, где храняться audit trails
YANDEX_TRAIL_BUCKET_PATHStringПуть, где хранятся audit trails
AWS_ACCESS_KEY_IDStringИдентификатор ключа, который нужно сгенерировать
AWS_SECRET_ACCESS_KEYStringСекретный ключ, который вы получили при генерации статического ключа.
AWS_DEFAULT_REGIONStringРегион по-молчанию введите значение ru-central1
DEBUGBooleanВключение или выключение отладки. По умолчанию 0

Пример содержимого /etc/profile.d/wazuh.sh

export YANDEX_TRAIL_BUCKET="wazuh-yc"
export YANDEX_TRAIL_BUCKET_PATH="wazuh"
export AWS_ACCESS_KEY_ID="11111"
export AWS_SECRET_ACCESS_KEY="22222"
export AWS_DEFAULT_REGION="ru-central1"
export DEBUG=0

После конфигурации необходимо теперь включить плагин для работы с Object Storage, для этого необходимо отредактировать основной файл конфигурации для Wazuh

cd /var/ossec/etc/

Откройте в любимом редакторе файл ossec.conf например vi ossec.conf Найдите

<wodle name="command">
  <disabled>yes</disabled>
  <tag>yandex-cloudtrail</tag>
  <command>/bin/bash /var/ossec/wodles/yandex/yandex</command>
  <interval>1m</interval>
  <ignore_output>yes</ignore_output>
  <run_on_start>yes</run_on_start>
  <timeout>0</timeout>
</wodle>

И поменяйте значение disabled с yes на no Должно быть примерно следующее

<wodle name="command">
  <disabled>no</disabled>
  <tag>yandex-cloudtrail</tag>
  <command>/bin/bash /var/ossec/wodles/yandex/yandex</command>
  <interval>1m</interval>
  <ignore_output>yes</ignore_output>
  <run_on_start>yes</run_on_start>
  <timeout>0</timeout>
</wodle>

Сохраните файл и перезапустите wazuh-manager

systemctl restart wazuh-manager

После перезапуска через некоторое время вы увидите в события в wazuh-dasboard

Как рассчитать параметры виртуальной машины Wazuh all in one