Cyber Security: Wazuh Install Manual

From OnnoWiki
Jump to navigation Jump to search

Wazuh Manager Install Manual Bagi kita yang mempunyai nyali dan ingin menginstall secara detail di Ubuntu, kita dapat mengikuti langkah-langkah berikut ini. Sebelum melakukan instalasi kita perlu memastikan sistem siap, seperti,

Pastikan sistem Ubuntu Anda sudah terhubung ke internet. Pastikan Anda memiliki hak administratif (sudo) untuk menginstal paket.

Lakukan instalasi Elasticsearch. Untuk Ubuntu 22.04, buka terminal di Ubuntu. Tambahkan repository Elasticsearch dengan perintah berikut:

apt install curl apt-transport-https unzip wget libcap2-bin software-properties-common lsb-release gnupg2
wget -qO - httapt install elasticsearch=7.17.9ps://artifacts.elastic.co/GPG-KEY-elasticsearch \
| sudo gpg --dearmor -o /etc/apt/trusted.gpg.d/elastic.gpg
echo "deb https://artifacts.elastic.co/packages/7.x/apt stable main" \
> /etc/apt/sources.list.d/elastic-7.x.list
apt update

Instal Elasticsearch 7.17.9 di ubuntu 22.04 dengan perintah:

sudo apt install elasticsearch=7.17.9

atau jika kita ingin menggunakan elasticsearch versi default dari ubuntu 22.04, dapat menggunakan perintah

sudo apt install elasticsearch

Secara default, Elasticsearch seharusnya bekerja dengan pengaturan default secara default. Jangan ragu untuk memeriksa pengaturan Penting Elasticsearch. Jika Elasticsearch perlu diakses oleh Beats eksternal lainnya, maka Anda perlu mengatur alamat IP dan menentukan apakah akan berjalan di cluster multi node atau node tunggal. Konfigurasi Elasticsearch dengan membuka file konfigurasi:

sudo nano /etc/elasticsearch/elasticsearch.yml

Temukan dan ubah baris berikut:

# network.host: 192.168.0.1

Ubah menjadi:

network.host: 0.0.0.0

Simpan perubahan dan keluar dari editor teks. Start dan enable Elasticsearch untuk run saat system boot,

systemctl enable --now elasticsearch

Konfirmasi Elasticsearch port sudah terbuka,

ss -altnp | grep 9200

Kita juga dapat check status elasticsearch dengan perintah,

systemctl status elasticsearch

Kita dapat cek log jika dibutuhkan. Secara default log akan di tulis ke /var/log/elasticsearch/CLUSTER_NAME.log . Dimana CLUSTER_NAME default adalah elasticsearch. Maka, default log file adalah,

/var/log/elasticsearch/elasticsearch.log.

Kibana adalah komponen penting dalam instalasi Wazuh karena menyediakan antarmuka web untuk visualisasi dan analisis data keamanan yang dikumpulkan oleh Wazuh. Berikut adalah beberapa alasan mengapa Kibana penting saat menginstalasi Wazuh:

Visualisasi Data Pemantauan Keamanan Real-Time Pencarian dan Analisis Data yang Fleksibel Pembuatan Laporan Integrasi dengan Solusi Lainnya

Secara keseluruhan, Kibana memberikan antarmuka yang interaktif dan intuitif untuk mengakses dan menganalisis data keamanan yang dikumpulkan oleh Wazuh. Selanjutnya, kita dapat menginstal Kibana 7.17.9 on Ubuntu 22.04

apt install kibana=7.17.9

Konfigurasi Kibana dapat dilakukan dengan set IP server Kibana agar dapat diakses oleh IP address external. Biasanya, Kibana hanya mendengarkan loopback interface. Contoh, jika IP address server Kibana kita adalah 192.168.56.124. Maka, kita dapat menset agar listen ke host IP address dengan menjalankan perintah berikut,

sed -i '/server.host:/s/^#//;s/localhost/192.168.56.124/' /etc/kibana/kibana.yml

Jika kita ingin mengkonfigurasi Kibana untuk listen ke semua interface, kita dapat menggunakan 0.0.0.0 bukan IP di atas, contoh,

sed -i '/server.host:/s/^#//;s/localhost/0.0.0.0/' /etc/kibana/kibana.yml

Setting lainnya dapat menggunakan nilai default, tidak perlu diubah.

Start dan enable Kibana agar run saat system boot,

systemctl enable --now kibana

Konfirmasi bahwa Kibana port telat terbuka, menggunakan perintah,

ss -altnp | grep 5601

Jika dibutuhkan, cek syslog dengan file log /var/log/kibana/kibana.log . Jika digunakan firewall, kita perlu membuka port Kibana di firewall. Jika kita menggunakan UFW, jalankan,

ufw allow 5601/tcp

Jika menggunakan iptables,

iptables -I INPUT -p tcp --dport 5601 -j ACCEPT
iptables-save > /etc/iptables/rules.v4

Filebeat dibutuhkan untuk memforward Wazuh manager alerts dan archived event ke Elasticsearch. Kita dapat menginstal versi 7.17.9, di ubuntu 22.04, menggunakan perintah berikut,

apt install filebeat=7.17.9 -y

Enable filebeat agar run saat boot,

systemctl enable filebeat





Langkah selanjutnya, kita dapat menginstal Wazuh. Tambahkan repository Wazuh dengan perintah berikut:

curl -sL https://packages.wazuh.com/key/GPG-KEY-WAZUH | sudo apt-key add -
echo "deb https://packages.wazuh.com/4.x/apt/ stable main" | sudo tee /etc/apt/sources.list.d/wazuh.list
curl -s https://packages.wazuh.com/key/GPG-KEY-WAZUH | \
gpg --dearmor > /etc/apt/trusted.gpg.d/wazuh.gpg
echo "deb https://packages.wazuh.com/4.x/apt stable main" > /etc/apt/sources.list.d/wazuh.list
apt update

Instal Wazuh manager dengan perintah:

sudo apt install wazuh-manager

Instal Wazuh API dengan perintah:

sudo apt install wazuh-api

Setelah instalasi selesai, kita dapat start enable agar run saat system boot,

systemctl enable --now wazuh-manager
systemctl enable --now wazuh-api

Buka Wazuh Manager Port di Firewall. Biasanya, secara default, Wazuh agent akan berkomunikasi dengan Wazuh manager melalui TCP port 1514. Oleh karenanya, buka port 1514/tcp pada Wazuh manager.

iptables -A INPUT -p tcp --dport 1514 -j ACCEPT

atau

ufw allow 1514/tcp

Juga buka, 1515/tcp untuk registrasi agent,

iptables -A INPUT -p tcp --dport 1515 -j ACCEPT

atau

ufw allow 1515/tcp

Setelah instalasi selesai. Kita dapat mulai mengkonfigurasi dan memulai Wazuh. Buka file konfigurasi Wazuh dengan menggunakan editor teks:

sudo nano /var/ossec/etc/ossec.conf

Temukan dan ubah baris berikut:

<client>
  <server-ip>127.0.0.1</server-ip>
</client>

Ubah <server-ip> menjadi alamat IP Elasticsearch, misalnya:

<client>
  <server-ip>localhost</server-ip>
</client>

Simpan perubahan dan keluar dari editor teks. Restart Wazuh manager dengan perintah:

sudo systemctl restart wazuh-manager

Restart Wazuh API dengan perintah:

sudo systemctl restart wazuh-api

Setelah langkah-langkah di atas, Wazuh sudah terinstal dan siap digunakan pada sistem Ubuntu Anda. Anda dapat mengakses antarmuka web Wazuh melalui browser dengan menggunakan alamat IP server dan port 5601. Misalnya, http://alamat-ip-server:5601.

Pastikan juga untuk mempelajari dokumentasi resmi Wazuh untuk konfigurasi tambahan dan integrasi dengan solusi keamanan lainnya.

Untuk mengintegrasikan Wazuh Manager dengan ELK Stack (Elasticsearch, Logstash, Kibana). Kita perlu install Wazuh Manager Kibana App plugin. Untuk install Wazuh manager/server Kibana App, lakukan proses berikut,

chown -R kibana: /usr/share/kibana/plugins

Pastikan versi plugin yang di install compatible dengan versi ELK Stack dan Wazuh manager yang di install.

sudo -u kibana /usr/share/kibana/bin/kibana-plugin install \
https://packages.wazuh.com/4.x/ui/kibana/wazuh_kibana-4.4.1_7.17.9-1.zip

Buat Wazuh Kibana data directory dan set ownership ke kibana user.

mkdir /usr/share/kibana/data
chown -R kibana: /usr/share/kibana/data

Restart Kibana,

systemctl restart kibana

Konfigurasi Filebeat untuk Wazuh Manager. Buat backup dari file konfigurasi default dan ganti menggunakan konfigurasi berikut,

mv /etc/filebeat/filebeat.{yml,stock}
cat > /etc/filebeat/filebeat.yml << 'EOL'
output.elasticsearch:
  hosts: ["localhost:9200"]
setup.template.json.enabled: true
setup.template.json.path: '/etc/filebeat/wazuh-template.json'
setup.template.json.name: 'wazuh'
setup.ilm.overwrite: true
setup.ilm.enabled: false 

filebeat.modules:
  - module: wazuh
    alerts:
      enabled: true
    archives:
      enabled: false
logging.level: info
logging.to_files: true
logging.files:
  path: /var/log/filebeat
  name: filebeat
  keepfiles: 7
  permissions: 0644
logging.metrics.enabled: false 

seccomp:
  default_action: allow
  syscalls:
  - action: allow
    names:
    - rseq
EOL

Install Filebeat Wazuh Module:

wget -qO- https://packages.wazuh.com/4.x/filebeat/wazuh-filebeat-0.2.tar.gz \
| tar -xz -C /usr/share/filebeat/module/

Download dan install Wazuh alerts Elasticsearch template:

wget -O /etc/filebeat/wazuh-template.json \
https://raw.githubusercontent.com/wazuh/wazuh/4.4/extensions/elasticsearch/7.x/wazuh-template.json
chmod go+r /etc/filebeat/wazuh-template.json

Test Filebeat config;

filebeat test config
Config OK

Test Filebeat Elasticsearch output;

filebeat test output
elasticsearch: http://localhost:9200...
  parse url... OK
  connection...
    parse host... OK
    dns lookup... OK
    addresses: 127.0.0.1
    dial up... OK
  TLS... WARN secure connection disabled
  talk to server... OK
  version: 7.17.9

Restart Kibana, Elasticsearch, Filebeat dan Wazuh-manager Konfigurasi selesai!

systemctl restart elasticsearch kibana filebeat wazuh-manager

Check status masing-masing service,

systemctl status elasticsearch kibana filebeat wazuh-manager

Pastikan tidak ada error, dan semua service active.

Akses Kibana Web Interface melalui URL,

http://<server-IP-or-hostname>:5601

Saat mengakses UI, klik Explore dan di bawah bagian Kibana menu, kita harusnya dapat melihat Wazuh App. Contoh tampilan Wazuh tampak pada gambar di bawah ini,


Tampak pada Screenshot gambar di atas, beberapa informasi penting yang dapat kita dapat dari Wazuh, seperti, Level 12 Alert Kegagalan Autentikasi Evolusi berbagai alert, seperti adduser, sudo, yum dll.