Создание виртуальной машины Wazuh all in one
Компоненты
- Yandex cloud Wazuh modules(wodle)
- Wazuh v4.3
- Yandex Wazuh visualisation application
- Yara
- ClamAv
Запуск решения
Чтобы запустить наше решение, достаточно создать виртуальную машину из нашего образа и сделать минимальные настройки которые приведены ниже После создания и настройки веб-интерфейс будет доступен по ссылки https://ip или https://loadbalancer_ip Для получения логинов и паролей к веб интерфейсу/api и других компонентов, а так же сертификатов, вам необходимо подключиться к виртуальной машине по ssh, и распаковать архив который расположен в директории /var/ossec с именем wazuh-install-files.tar. {% note warning %}
Внимание:
Мы не храним у себя логины/пароли при изменение паролей мы не сможем их восстановить. Пожалуйста храните пароли в надежном месте. По-умолчанию пароли генерируются при первом старте.
Настройка получение событий
YC Wazuh modules
Реализация дает возможности глубокой интеграции между Wazuh и YC Trails
По-умолчанию мы поддерживаем два вида получения данных из Trails
Wazuh интеграция с Yandex Cloud logging
Интеграция с Yandex Cloud Logging самая простая и включена по-умолчанию
Перед началом необходимо настроить экспорт Yandex Cloud trails в Yandex Cloud logging
После настройки, достаточно создать виртуальную машину из нашего образа.
Внимание: Важно для доступа к Yandex Cloud logging и корректной работы нашего решения для виртуальной машины необходимо создать сервисный аккаунт со следующими правами:
logging.viewer
compute.viewer
logging.reader
Так же учтите наша реализация не использует сторонние сервисы данные права нужны для получения логов из Yandex Cloud Logging и получения метаданных о виртуальной машины, на которой запущено решение
Для получения логов, есть два метода
- На основе лейблов виртуальной машины
- На основе переменных окружения
Рассмотрим первый случай. Если вы остановились на использование лейблов. Тогда при создании виртуальной машины, нужно указать лейблы вида ключ-значение
yandex_log_group_id = "cloud_loggin_id"
Тогда после запуска, наше решение будет использовать значение которое вы установили Если же вы выбираете system variables, тогда подключитесь по ssh к виртуальном машине и добавьте переменную YANDEX_LOG_GROUP_ID со значение которое соответсвует идентификатору Yandex cloud logging группы
Например
vi /etc/profile.d/wazuh.sh
export YANDEX_LOG_GROUP_ID="cloud_loggin_id"
На этом настройка закончен и через некоторое время события будут доступны в веб-интерфейсе
Название | Тип | Описание |
---|---|---|
YANDEX_LOG_MINUTES_AGO | Integer | Относительное время. Время в минутах используется при запросе trails, то есть дельта между текущим временем и n минут назад. Значение по умолчанию 360 |
YANDEX_LOG_GROUP_ID | String | Идентификатор Yandex cloud logging группы |
Wazuh интеграция с Yandex Cloud Object Storage
Одна из возможность интеграция между YС и Wazuh для анализа Yandex Cloud Audit Trails, со стороны Yandex Cloud необходимо настроить экспорт Audit trail в объектное хранилище
После успешной настройки создайте виртуальную машину на основе нашего образа, после того как виртуальная машина была создана подключитесь по ssh
ssh user@new-vm-ip
Далее необходимо настроить использование YC Object storage как источника для Wazuh. Для этого интеграция предлагает гибкий механизм.
Достаточно отредактировать файл /etc/profile.d/wazuh.sh и установить необходимы переменные. Для работы с YC Object Storage необходимо сгенерировать ключи доступа
Название | Тип | Описание |
---|---|---|
YANDEX_TRAIL_BUCKET | String | Имя Yandex Object storage бакета, где храняться audit trails |
YANDEX_TRAIL_BUCKET_PATH | String | Путь, где хранятся audit trails |
AWS_ACCESS_KEY_ID | String | Идентификатор ключа, который нужно сгенерировать |
AWS_SECRET_ACCESS_KEY | String | Секретный ключ, который вы получили при генерации статического ключа. |
AWS_DEFAULT_REGION | String | Регион по-молчанию введите значение ru-central1 |
DEBUG | Boolean | Включение или выключение отладки. По умолчанию 0 |
Пример содержимого /etc/profile.d/wazuh.sh
export YANDEX_TRAIL_BUCKET="wazuh-yc"
export YANDEX_TRAIL_BUCKET_PATH="wazuh"
export AWS_ACCESS_KEY_ID="11111"
export AWS_SECRET_ACCESS_KEY="22222"
export AWS_DEFAULT_REGION="ru-central1"
export DEBUG=0
После конфигурации необходимо теперь включить плагин для работы с Object Storage, для этого необходимо отредактировать основной файл конфигурации для Wazuh
cd /var/ossec/etc/
Откройте в любимом редакторе файл ossec.conf например
vi ossec.conf
Найдите
<wodle name="command">
<disabled>yes</disabled>
<tag>yandex-cloudtrail</tag>
<command>/bin/bash /var/ossec/wodles/yandex/yandex</command>
<interval>1m</interval>
<ignore_output>yes</ignore_output>
<run_on_start>yes</run_on_start>
<timeout>0</timeout>
</wodle>
И поменяйте значение disabled с yes на no Должно быть примерно следующее
<wodle name="command">
<disabled>no</disabled>
<tag>yandex-cloudtrail</tag>
<command>/bin/bash /var/ossec/wodles/yandex/yandex</command>
<interval>1m</interval>
<ignore_output>yes</ignore_output>
<run_on_start>yes</run_on_start>
<timeout>0</timeout>
</wodle>
Сохраните файл и перезапустите wazuh-manager
systemctl restart wazuh-manager
После перезапуска через некоторое время вы увидите в события в wazuh-dasboard