Difference between revisions of "Cyber Security: Wazuh Install Manual"
Onnowpurbo (talk | contribs) (Created page with "Wazuh Manager Install Manual Bagi kita yang mempunyai nyali dan ingin menginstall secara detail di Ubuntu, kita dapat mengikuti langkah-langkah berikut ini. Sebelum melakukan...") |
Onnowpurbo (talk | contribs) |
||
| Line 7: | Line 7: | ||
Lakukan instalasi Elasticsearch. Untuk Ubuntu 22.04, buka terminal di Ubuntu. Tambahkan repository Elasticsearch dengan perintah berikut: | Lakukan instalasi Elasticsearch. Untuk Ubuntu 22.04, buka terminal di Ubuntu. Tambahkan repository Elasticsearch dengan perintah berikut: | ||
| − | apt install curl apt-transport-https unzip wget libcap2-bin software-properties-common lsb-release gnupg2 | + | apt install curl apt-transport-https unzip wget libcap2-bin software-properties-common lsb-release gnupg2 |
| − | wget -qO - httapt install elasticsearch=7.17.9ps://artifacts.elastic.co/GPG-KEY-elasticsearch \ | + | wget -qO - httapt install elasticsearch=7.17.9ps://artifacts.elastic.co/GPG-KEY-elasticsearch \ |
| − | | sudo gpg --dearmor -o /etc/apt/trusted.gpg.d/elastic.gpg | + | | sudo gpg --dearmor -o /etc/apt/trusted.gpg.d/elastic.gpg |
| − | echo "deb https://artifacts.elastic.co/packages/7.x/apt stable main" \ | + | echo "deb https://artifacts.elastic.co/packages/7.x/apt stable main" \ |
| − | > /etc/apt/sources.list.d/elastic-7.x.list | + | > /etc/apt/sources.list.d/elastic-7.x.list |
| − | apt update | + | apt update |
Instal Elasticsearch 7.17.9 di ubuntu 22.04 dengan perintah: | Instal Elasticsearch 7.17.9 di ubuntu 22.04 dengan perintah: | ||
| − | sudo apt install elasticsearch=7.17.9 | + | sudo apt install elasticsearch=7.17.9 |
atau jika kita ingin menggunakan elasticsearch versi default dari ubuntu 22.04, dapat menggunakan perintah | atau jika kita ingin menggunakan elasticsearch versi default dari ubuntu 22.04, dapat menggunakan perintah | ||
| − | sudo apt install elasticsearch | + | sudo apt install elasticsearch |
Secara default, Elasticsearch seharusnya bekerja dengan pengaturan default secara default. Jangan ragu untuk memeriksa pengaturan Penting Elasticsearch. Jika Elasticsearch perlu diakses oleh Beats eksternal lainnya, maka Anda perlu mengatur alamat IP dan menentukan apakah akan berjalan di cluster multi node atau node tunggal. Konfigurasi Elasticsearch dengan membuka file konfigurasi: | Secara default, Elasticsearch seharusnya bekerja dengan pengaturan default secara default. Jangan ragu untuk memeriksa pengaturan Penting Elasticsearch. Jika Elasticsearch perlu diakses oleh Beats eksternal lainnya, maka Anda perlu mengatur alamat IP dan menentukan apakah akan berjalan di cluster multi node atau node tunggal. Konfigurasi Elasticsearch dengan membuka file konfigurasi: | ||
| − | sudo nano /etc/elasticsearch/elasticsearch.yml | + | sudo nano /etc/elasticsearch/elasticsearch.yml |
Temukan dan ubah baris berikut: | Temukan dan ubah baris berikut: | ||
| − | # network.host: 192.168.0.1 | + | # network.host: 192.168.0.1 |
Ubah menjadi: | Ubah menjadi: | ||
| − | network.host: 0.0.0.0 | + | network.host: 0.0.0.0 |
Simpan perubahan dan keluar dari editor teks. Start dan enable Elasticsearch untuk run saat system boot, | Simpan perubahan dan keluar dari editor teks. Start dan enable Elasticsearch untuk run saat system boot, | ||
| − | systemctl enable --now elasticsearch | + | systemctl enable --now elasticsearch |
Konfirmasi Elasticsearch port sudah terbuka, | Konfirmasi Elasticsearch port sudah terbuka, | ||
| − | ss -altnp | grep 9200 | + | ss -altnp | grep 9200 |
Kita juga dapat check status elasticsearch dengan perintah, | Kita juga dapat check status elasticsearch dengan perintah, | ||
| − | systemctl status elasticsearch | + | systemctl status elasticsearch |
Kita dapat cek log jika dibutuhkan. Secara default log akan di tulis ke /var/log/elasticsearch/CLUSTER_NAME.log . Dimana CLUSTER_NAME default adalah elasticsearch. Maka, default log file adalah, | Kita dapat cek log jika dibutuhkan. Secara default log akan di tulis ke /var/log/elasticsearch/CLUSTER_NAME.log . Dimana CLUSTER_NAME default adalah elasticsearch. Maka, default log file adalah, | ||
| − | /var/log/elasticsearch/elasticsearch.log. | + | /var/log/elasticsearch/elasticsearch.log. |
Kibana adalah komponen penting dalam instalasi Wazuh karena menyediakan antarmuka web untuk visualisasi dan analisis data keamanan yang dikumpulkan oleh Wazuh. Berikut adalah beberapa alasan mengapa Kibana penting saat menginstalasi Wazuh: | Kibana adalah komponen penting dalam instalasi Wazuh karena menyediakan antarmuka web untuk visualisasi dan analisis data keamanan yang dikumpulkan oleh Wazuh. Berikut adalah beberapa alasan mengapa Kibana penting saat menginstalasi Wazuh: | ||
| Line 60: | Line 60: | ||
Secara keseluruhan, Kibana memberikan antarmuka yang interaktif dan intuitif untuk mengakses dan menganalisis data keamanan yang dikumpulkan oleh Wazuh. Selanjutnya, kita dapat menginstal Kibana 7.17.9 on Ubuntu 22.04 | Secara keseluruhan, Kibana memberikan antarmuka yang interaktif dan intuitif untuk mengakses dan menganalisis data keamanan yang dikumpulkan oleh Wazuh. Selanjutnya, kita dapat menginstal Kibana 7.17.9 on Ubuntu 22.04 | ||
| − | apt install kibana=7.17.9 | + | apt install kibana=7.17.9 |
Konfigurasi Kibana dapat dilakukan dengan set IP server Kibana agar dapat diakses oleh IP address external. Biasanya, Kibana hanya mendengarkan loopback interface. Contoh, jika IP address server Kibana kita adalah 192.168.56.124. Maka, kita dapat menset agar listen ke host IP address dengan menjalankan perintah berikut, | Konfigurasi Kibana dapat dilakukan dengan set IP server Kibana agar dapat diakses oleh IP address external. Biasanya, Kibana hanya mendengarkan loopback interface. Contoh, jika IP address server Kibana kita adalah 192.168.56.124. Maka, kita dapat menset agar listen ke host IP address dengan menjalankan perintah berikut, | ||
| − | sed -i '/server.host:/s/^#//;s/localhost/192.168.56.124/' /etc/kibana/kibana.yml | + | sed -i '/server.host:/s/^#//;s/localhost/192.168.56.124/' /etc/kibana/kibana.yml |
Jika kita ingin mengkonfigurasi Kibana untuk listen ke semua interface, kita dapat menggunakan 0.0.0.0 bukan IP di atas, contoh, | Jika kita ingin mengkonfigurasi Kibana untuk listen ke semua interface, kita dapat menggunakan 0.0.0.0 bukan IP di atas, contoh, | ||
| − | sed -i '/server.host:/s/^#//;s/localhost/0.0.0.0/' /etc/kibana/kibana.yml | + | sed -i '/server.host:/s/^#//;s/localhost/0.0.0.0/' /etc/kibana/kibana.yml |
Setting lainnya dapat menggunakan nilai default, tidak perlu diubah. | Setting lainnya dapat menggunakan nilai default, tidak perlu diubah. | ||
| Line 74: | Line 74: | ||
Start dan enable Kibana agar run saat system boot, | Start dan enable Kibana agar run saat system boot, | ||
| − | systemctl enable --now kibana | + | systemctl enable --now kibana |
Konfirmasi bahwa Kibana port telat terbuka, menggunakan perintah, | Konfirmasi bahwa Kibana port telat terbuka, menggunakan perintah, | ||
| − | ss -altnp | grep 5601 | + | ss -altnp | grep 5601 |
Jika dibutuhkan, cek syslog dengan file log /var/log/kibana/kibana.log . Jika digunakan firewall, kita perlu membuka port Kibana di firewall. Jika kita menggunakan UFW, jalankan, | Jika dibutuhkan, cek syslog dengan file log /var/log/kibana/kibana.log . Jika digunakan firewall, kita perlu membuka port Kibana di firewall. Jika kita menggunakan UFW, jalankan, | ||
| − | ufw allow 5601/tcp | + | ufw allow 5601/tcp |
Jika menggunakan iptables, | Jika menggunakan iptables, | ||
| − | iptables -I INPUT -p tcp --dport 5601 -j ACCEPT | + | iptables -I INPUT -p tcp --dport 5601 -j ACCEPT |
| − | iptables-save > /etc/iptables/rules.v4 | + | iptables-save > /etc/iptables/rules.v4 |
Filebeat dibutuhkan untuk memforward Wazuh manager alerts dan archived event ke Elasticsearch. Kita dapat menginstal versi 7.17.9, di ubuntu 22.04, menggunakan perintah berikut, | Filebeat dibutuhkan untuk memforward Wazuh manager alerts dan archived event ke Elasticsearch. Kita dapat menginstal versi 7.17.9, di ubuntu 22.04, menggunakan perintah berikut, | ||
| − | apt install filebeat=7.17.9 -y | + | apt install filebeat=7.17.9 -y |
Enable filebeat agar run saat boot, | Enable filebeat agar run saat boot, | ||
| − | systemctl enable filebeat | + | systemctl enable filebeat |
| Line 107: | Line 107: | ||
Langkah selanjutnya, kita dapat menginstal Wazuh. Tambahkan repository Wazuh dengan perintah berikut: | Langkah selanjutnya, kita dapat menginstal Wazuh. Tambahkan repository Wazuh dengan perintah berikut: | ||
| − | curl -sL https://packages.wazuh.com/key/GPG-KEY-WAZUH | sudo apt-key add - | + | curl -sL https://packages.wazuh.com/key/GPG-KEY-WAZUH | sudo apt-key add - |
| − | echo "deb https://packages.wazuh.com/4.x/apt/ stable main" | sudo tee /etc/apt/sources.list.d/wazuh.list | + | echo "deb https://packages.wazuh.com/4.x/apt/ stable main" | sudo tee /etc/apt/sources.list.d/wazuh.list |
| − | curl -s https://packages.wazuh.com/key/GPG-KEY-WAZUH | \ | + | curl -s https://packages.wazuh.com/key/GPG-KEY-WAZUH | \ |
| − | gpg --dearmor > /etc/apt/trusted.gpg.d/wazuh.gpg | + | gpg --dearmor > /etc/apt/trusted.gpg.d/wazuh.gpg |
| − | echo "deb https://packages.wazuh.com/4.x/apt stable main" > /etc/apt/sources.list.d/wazuh.list | + | echo "deb https://packages.wazuh.com/4.x/apt stable main" > /etc/apt/sources.list.d/wazuh.list |
| − | apt update | + | apt update |
Instal Wazuh manager dengan perintah: | Instal Wazuh manager dengan perintah: | ||
| − | sudo apt install wazuh-manager | + | sudo apt install wazuh-manager |
Instal Wazuh API dengan perintah: | Instal Wazuh API dengan perintah: | ||
| − | sudo apt install wazuh-api | + | sudo apt install wazuh-api |
Setelah instalasi selesai, kita dapat start enable agar run saat system boot, | Setelah instalasi selesai, kita dapat start enable agar run saat system boot, | ||
| − | systemctl enable --now wazuh-manager | + | systemctl enable --now wazuh-manager |
| − | systemctl enable --now wazuh-api | + | systemctl enable --now wazuh-api |
Buka Wazuh Manager Port di Firewall. Biasanya, secara default, Wazuh agent akan berkomunikasi dengan Wazuh manager melalui TCP port 1514. Oleh karenanya, buka port 1514/tcp pada Wazuh manager. | Buka Wazuh Manager Port di Firewall. Biasanya, secara default, Wazuh agent akan berkomunikasi dengan Wazuh manager melalui TCP port 1514. Oleh karenanya, buka port 1514/tcp pada Wazuh manager. | ||
| − | iptables -A INPUT -p tcp --dport 1514 -j ACCEPT | + | iptables -A INPUT -p tcp --dport 1514 -j ACCEPT |
atau | atau | ||
| − | ufw allow 1514/tcp | + | ufw allow 1514/tcp |
Juga buka, 1515/tcp untuk registrasi agent, | Juga buka, 1515/tcp untuk registrasi agent, | ||
| − | iptables -A INPUT -p tcp --dport 1515 -j ACCEPT | + | iptables -A INPUT -p tcp --dport 1515 -j ACCEPT |
atau | atau | ||
| − | ufw allow 1515/tcp | + | ufw allow 1515/tcp |
Setelah instalasi selesai. Kita dapat mulai mengkonfigurasi dan memulai Wazuh. Buka file konfigurasi Wazuh dengan menggunakan editor teks: | Setelah instalasi selesai. Kita dapat mulai mengkonfigurasi dan memulai Wazuh. Buka file konfigurasi Wazuh dengan menggunakan editor teks: | ||
| − | sudo nano /var/ossec/etc/ossec.conf | + | sudo nano /var/ossec/etc/ossec.conf |
Temukan dan ubah baris berikut: | Temukan dan ubah baris berikut: | ||
| − | <client> | + | <client> |
| − | + | <server-ip>127.0.0.1</server-ip> | |
| − | </client> | + | </client> |
Ubah <server-ip> menjadi alamat IP Elasticsearch, misalnya: | Ubah <server-ip> menjadi alamat IP Elasticsearch, misalnya: | ||
| − | <client> | + | <client> |
| − | + | <server-ip>localhost</server-ip> | |
| − | </client> | + | </client> |
Simpan perubahan dan keluar dari editor teks. | Simpan perubahan dan keluar dari editor teks. | ||
Restart Wazuh manager dengan perintah: | Restart Wazuh manager dengan perintah: | ||
| − | sudo systemctl restart wazuh-manager | + | sudo systemctl restart wazuh-manager |
Restart Wazuh API dengan perintah: | Restart Wazuh API dengan perintah: | ||
| − | sudo systemctl restart wazuh-api | + | sudo systemctl restart wazuh-api |
Setelah langkah-langkah di atas, Wazuh sudah terinstal dan siap digunakan pada sistem Ubuntu Anda. Anda dapat mengakses antarmuka web Wazuh melalui browser dengan menggunakan alamat IP server dan port 5601. Misalnya, http://alamat-ip-server:5601. | Setelah langkah-langkah di atas, Wazuh sudah terinstal dan siap digunakan pada sistem Ubuntu Anda. Anda dapat mengakses antarmuka web Wazuh melalui browser dengan menggunakan alamat IP server dan port 5601. Misalnya, http://alamat-ip-server:5601. | ||
| Line 171: | Line 171: | ||
Untuk mengintegrasikan Wazuh Manager dengan ELK Stack (Elasticsearch, Logstash, Kibana). Kita perlu install Wazuh Manager Kibana App plugin. Untuk install Wazuh manager/server Kibana App, lakukan proses berikut, | Untuk mengintegrasikan Wazuh Manager dengan ELK Stack (Elasticsearch, Logstash, Kibana). Kita perlu install Wazuh Manager Kibana App plugin. Untuk install Wazuh manager/server Kibana App, lakukan proses berikut, | ||
| − | chown -R kibana: /usr/share/kibana/plugins | + | chown -R kibana: /usr/share/kibana/plugins |
Pastikan versi plugin yang di install compatible dengan versi ELK Stack dan Wazuh manager yang di install. | Pastikan versi plugin yang di install compatible dengan versi ELK Stack dan Wazuh manager yang di install. | ||
| − | sudo -u kibana /usr/share/kibana/bin/kibana-plugin install \ | + | sudo -u kibana /usr/share/kibana/bin/kibana-plugin install \ |
| − | https://packages.wazuh.com/4.x/ui/kibana/wazuh_kibana-4.4.1_7.17.9-1.zip | + | https://packages.wazuh.com/4.x/ui/kibana/wazuh_kibana-4.4.1_7.17.9-1.zip |
Buat Wazuh Kibana data directory dan set ownership ke kibana user. | Buat Wazuh Kibana data directory dan set ownership ke kibana user. | ||
| − | mkdir /usr/share/kibana/data | + | mkdir /usr/share/kibana/data |
| − | chown -R kibana: /usr/share/kibana/data | + | chown -R kibana: /usr/share/kibana/data |
Restart Kibana, | Restart Kibana, | ||
| − | systemctl restart kibana | + | systemctl restart kibana |
Konfigurasi Filebeat untuk Wazuh Manager. Buat backup dari file konfigurasi default dan ganti menggunakan konfigurasi berikut, | Konfigurasi Filebeat untuk Wazuh Manager. Buat backup dari file konfigurasi default dan ganti menggunakan konfigurasi berikut, | ||
| − | mv /etc/filebeat/filebeat.{yml,stock} | + | mv /etc/filebeat/filebeat.{yml,stock} |
| − | cat > /etc/filebeat/filebeat.yml << 'EOL' | + | cat > /etc/filebeat/filebeat.yml << 'EOL' |
| − | output.elasticsearch: | + | output.elasticsearch: |
| − | + | hosts: ["localhost:9200"] | |
| − | setup.template.json.enabled: true | + | setup.template.json.enabled: true |
| − | setup.template.json.path: '/etc/filebeat/wazuh-template.json' | + | setup.template.json.path: '/etc/filebeat/wazuh-template.json' |
| − | setup.template.json.name: 'wazuh' | + | setup.template.json.name: 'wazuh' |
| − | setup.ilm.overwrite: true | + | setup.ilm.overwrite: true |
| − | setup.ilm.enabled: false | + | setup.ilm.enabled: false |
| − | + | ||
| − | filebeat.modules: | + | filebeat.modules: |
| − | + | - module: wazuh | |
| − | + | alerts: | |
| − | + | enabled: true | |
| − | + | archives: | |
| − | + | enabled: false | |
| − | logging.level: info | + | logging.level: info |
| − | logging.to_files: true | + | logging.to_files: true |
| − | logging.files: | + | logging.files: |
| − | + | path: /var/log/filebeat | |
| − | + | name: filebeat | |
| − | + | keepfiles: 7 | |
| − | + | permissions: 0644 | |
| − | logging.metrics.enabled: false | + | logging.metrics.enabled: false |
| − | + | ||
| − | seccomp: | + | seccomp: |
| − | + | default_action: allow | |
| − | + | syscalls: | |
| − | + | - action: allow | |
| − | + | names: | |
| − | + | - rseq | |
| − | EOL | + | EOL |
Install Filebeat Wazuh Module: | Install Filebeat Wazuh Module: | ||
| − | wget -qO- https://packages.wazuh.com/4.x/filebeat/wazuh-filebeat-0.2.tar.gz \ | + | wget -qO- https://packages.wazuh.com/4.x/filebeat/wazuh-filebeat-0.2.tar.gz \ |
| − | | tar -xz -C /usr/share/filebeat/module/ | + | | tar -xz -C /usr/share/filebeat/module/ |
Download dan install Wazuh alerts Elasticsearch template: | Download dan install Wazuh alerts Elasticsearch template: | ||
| − | wget -O /etc/filebeat/wazuh-template.json \ | + | wget -O /etc/filebeat/wazuh-template.json \ |
| − | https://raw.githubusercontent.com/wazuh/wazuh/4.4/extensions/elasticsearch/7.x/wazuh-template.json | + | https://raw.githubusercontent.com/wazuh/wazuh/4.4/extensions/elasticsearch/7.x/wazuh-template.json |
| − | chmod go+r /etc/filebeat/wazuh-template.json | + | chmod go+r /etc/filebeat/wazuh-template.json |
Test Filebeat config; | Test Filebeat config; | ||
| − | filebeat test config | + | filebeat test config |
| − | Config OK | + | Config OK |
Test Filebeat Elasticsearch output; | Test Filebeat Elasticsearch output; | ||
| − | filebeat test output | + | filebeat test output |
| − | elasticsearch: http://localhost:9200... | + | elasticsearch: http://localhost:9200... |
| − | + | parse url... OK | |
| − | + | connection... | |
| − | + | parse host... OK | |
| − | + | dns lookup... OK | |
| − | + | addresses: 127.0.0.1 | |
| − | + | dial up... OK | |
| − | + | TLS... WARN secure connection disabled | |
| − | + | talk to server... OK | |
| − | + | version: 7.17.9 | |
Restart Kibana, Elasticsearch, Filebeat dan Wazuh-manager | Restart Kibana, Elasticsearch, Filebeat dan Wazuh-manager | ||
| Line 261: | Line 261: | ||
Check status masing-masing service, | Check status masing-masing service, | ||
| − | systemctl status elasticsearch kibana filebeat wazuh-manager | + | systemctl status elasticsearch kibana filebeat wazuh-manager |
Pastikan tidak ada error, dan semua service active. | Pastikan tidak ada error, dan semua service active. | ||
| Line 267: | Line 267: | ||
Akses Kibana Web Interface melalui URL, | Akses Kibana Web Interface melalui URL, | ||
| − | http://<server-IP-or-hostname>:5601 | + | http://<server-IP-or-hostname>:5601 |
Saat mengakses UI, klik Explore dan di bawah bagian Kibana menu, kita harusnya dapat melihat Wazuh App. Contoh tampilan Wazuh tampak pada gambar di bawah ini, | Saat mengakses UI, klik Explore dan di bawah bagian Kibana menu, kita harusnya dapat melihat Wazuh App. Contoh tampilan Wazuh tampak pada gambar di bawah ini, | ||
Latest revision as of 09:49, 18 July 2023
Wazuh Manager Install Manual Bagi kita yang mempunyai nyali dan ingin menginstall secara detail di Ubuntu, kita dapat mengikuti langkah-langkah berikut ini. Sebelum melakukan instalasi kita perlu memastikan sistem siap, seperti,
Pastikan sistem Ubuntu Anda sudah terhubung ke internet. Pastikan Anda memiliki hak administratif (sudo) untuk menginstal paket.
Lakukan instalasi Elasticsearch. Untuk Ubuntu 22.04, buka terminal di Ubuntu. Tambahkan repository Elasticsearch dengan perintah berikut:
apt install curl apt-transport-https unzip wget libcap2-bin software-properties-common lsb-release gnupg2 wget -qO - httapt install elasticsearch=7.17.9ps://artifacts.elastic.co/GPG-KEY-elasticsearch \ | sudo gpg --dearmor -o /etc/apt/trusted.gpg.d/elastic.gpg echo "deb https://artifacts.elastic.co/packages/7.x/apt stable main" \ > /etc/apt/sources.list.d/elastic-7.x.list apt update
Instal Elasticsearch 7.17.9 di ubuntu 22.04 dengan perintah:
sudo apt install elasticsearch=7.17.9
atau jika kita ingin menggunakan elasticsearch versi default dari ubuntu 22.04, dapat menggunakan perintah
sudo apt install elasticsearch
Secara default, Elasticsearch seharusnya bekerja dengan pengaturan default secara default. Jangan ragu untuk memeriksa pengaturan Penting Elasticsearch. Jika Elasticsearch perlu diakses oleh Beats eksternal lainnya, maka Anda perlu mengatur alamat IP dan menentukan apakah akan berjalan di cluster multi node atau node tunggal. Konfigurasi Elasticsearch dengan membuka file konfigurasi:
sudo nano /etc/elasticsearch/elasticsearch.yml
Temukan dan ubah baris berikut:
# network.host: 192.168.0.1
Ubah menjadi:
network.host: 0.0.0.0
Simpan perubahan dan keluar dari editor teks. Start dan enable Elasticsearch untuk run saat system boot,
systemctl enable --now elasticsearch
Konfirmasi Elasticsearch port sudah terbuka,
ss -altnp | grep 9200
Kita juga dapat check status elasticsearch dengan perintah,
systemctl status elasticsearch
Kita dapat cek log jika dibutuhkan. Secara default log akan di tulis ke /var/log/elasticsearch/CLUSTER_NAME.log . Dimana CLUSTER_NAME default adalah elasticsearch. Maka, default log file adalah,
/var/log/elasticsearch/elasticsearch.log.
Kibana adalah komponen penting dalam instalasi Wazuh karena menyediakan antarmuka web untuk visualisasi dan analisis data keamanan yang dikumpulkan oleh Wazuh. Berikut adalah beberapa alasan mengapa Kibana penting saat menginstalasi Wazuh:
Visualisasi Data Pemantauan Keamanan Real-Time Pencarian dan Analisis Data yang Fleksibel Pembuatan Laporan Integrasi dengan Solusi Lainnya
Secara keseluruhan, Kibana memberikan antarmuka yang interaktif dan intuitif untuk mengakses dan menganalisis data keamanan yang dikumpulkan oleh Wazuh. Selanjutnya, kita dapat menginstal Kibana 7.17.9 on Ubuntu 22.04
apt install kibana=7.17.9
Konfigurasi Kibana dapat dilakukan dengan set IP server Kibana agar dapat diakses oleh IP address external. Biasanya, Kibana hanya mendengarkan loopback interface. Contoh, jika IP address server Kibana kita adalah 192.168.56.124. Maka, kita dapat menset agar listen ke host IP address dengan menjalankan perintah berikut,
sed -i '/server.host:/s/^#//;s/localhost/192.168.56.124/' /etc/kibana/kibana.yml
Jika kita ingin mengkonfigurasi Kibana untuk listen ke semua interface, kita dapat menggunakan 0.0.0.0 bukan IP di atas, contoh,
sed -i '/server.host:/s/^#//;s/localhost/0.0.0.0/' /etc/kibana/kibana.yml
Setting lainnya dapat menggunakan nilai default, tidak perlu diubah.
Start dan enable Kibana agar run saat system boot,
systemctl enable --now kibana
Konfirmasi bahwa Kibana port telat terbuka, menggunakan perintah,
ss -altnp | grep 5601
Jika dibutuhkan, cek syslog dengan file log /var/log/kibana/kibana.log . Jika digunakan firewall, kita perlu membuka port Kibana di firewall. Jika kita menggunakan UFW, jalankan,
ufw allow 5601/tcp
Jika menggunakan iptables,
iptables -I INPUT -p tcp --dport 5601 -j ACCEPT iptables-save > /etc/iptables/rules.v4
Filebeat dibutuhkan untuk memforward Wazuh manager alerts dan archived event ke Elasticsearch. Kita dapat menginstal versi 7.17.9, di ubuntu 22.04, menggunakan perintah berikut,
apt install filebeat=7.17.9 -y
Enable filebeat agar run saat boot,
systemctl enable filebeat
Langkah selanjutnya, kita dapat menginstal Wazuh. Tambahkan repository Wazuh dengan perintah berikut:
curl -sL https://packages.wazuh.com/key/GPG-KEY-WAZUH | sudo apt-key add - echo "deb https://packages.wazuh.com/4.x/apt/ stable main" | sudo tee /etc/apt/sources.list.d/wazuh.list
curl -s https://packages.wazuh.com/key/GPG-KEY-WAZUH | \ gpg --dearmor > /etc/apt/trusted.gpg.d/wazuh.gpg echo "deb https://packages.wazuh.com/4.x/apt stable main" > /etc/apt/sources.list.d/wazuh.list apt update
Instal Wazuh manager dengan perintah:
sudo apt install wazuh-manager
Instal Wazuh API dengan perintah:
sudo apt install wazuh-api
Setelah instalasi selesai, kita dapat start enable agar run saat system boot,
systemctl enable --now wazuh-manager systemctl enable --now wazuh-api
Buka Wazuh Manager Port di Firewall. Biasanya, secara default, Wazuh agent akan berkomunikasi dengan Wazuh manager melalui TCP port 1514. Oleh karenanya, buka port 1514/tcp pada Wazuh manager.
iptables -A INPUT -p tcp --dport 1514 -j ACCEPT
atau
ufw allow 1514/tcp
Juga buka, 1515/tcp untuk registrasi agent,
iptables -A INPUT -p tcp --dport 1515 -j ACCEPT
atau
ufw allow 1515/tcp
Setelah instalasi selesai. Kita dapat mulai mengkonfigurasi dan memulai Wazuh. Buka file konfigurasi Wazuh dengan menggunakan editor teks:
sudo nano /var/ossec/etc/ossec.conf
Temukan dan ubah baris berikut:
<client> <server-ip>127.0.0.1</server-ip> </client>
Ubah <server-ip> menjadi alamat IP Elasticsearch, misalnya:
<client> <server-ip>localhost</server-ip> </client>
Simpan perubahan dan keluar dari editor teks. Restart Wazuh manager dengan perintah:
sudo systemctl restart wazuh-manager
Restart Wazuh API dengan perintah:
sudo systemctl restart wazuh-api
Setelah langkah-langkah di atas, Wazuh sudah terinstal dan siap digunakan pada sistem Ubuntu Anda. Anda dapat mengakses antarmuka web Wazuh melalui browser dengan menggunakan alamat IP server dan port 5601. Misalnya, http://alamat-ip-server:5601.
Pastikan juga untuk mempelajari dokumentasi resmi Wazuh untuk konfigurasi tambahan dan integrasi dengan solusi keamanan lainnya.
Untuk mengintegrasikan Wazuh Manager dengan ELK Stack (Elasticsearch, Logstash, Kibana). Kita perlu install Wazuh Manager Kibana App plugin. Untuk install Wazuh manager/server Kibana App, lakukan proses berikut,
chown -R kibana: /usr/share/kibana/plugins
Pastikan versi plugin yang di install compatible dengan versi ELK Stack dan Wazuh manager yang di install.
sudo -u kibana /usr/share/kibana/bin/kibana-plugin install \ https://packages.wazuh.com/4.x/ui/kibana/wazuh_kibana-4.4.1_7.17.9-1.zip
Buat Wazuh Kibana data directory dan set ownership ke kibana user.
mkdir /usr/share/kibana/data chown -R kibana: /usr/share/kibana/data
Restart Kibana,
systemctl restart kibana
Konfigurasi Filebeat untuk Wazuh Manager. Buat backup dari file konfigurasi default dan ganti menggunakan konfigurasi berikut,
mv /etc/filebeat/filebeat.{yml,stock}
cat > /etc/filebeat/filebeat.yml << 'EOL'
output.elasticsearch:
hosts: ["localhost:9200"]
setup.template.json.enabled: true
setup.template.json.path: '/etc/filebeat/wazuh-template.json'
setup.template.json.name: 'wazuh'
setup.ilm.overwrite: true
setup.ilm.enabled: false
filebeat.modules:
- module: wazuh
alerts:
enabled: true
archives:
enabled: false
logging.level: info
logging.to_files: true
logging.files:
path: /var/log/filebeat
name: filebeat
keepfiles: 7
permissions: 0644
logging.metrics.enabled: false
seccomp:
default_action: allow
syscalls:
- action: allow
names:
- rseq
EOL
Install Filebeat Wazuh Module:
wget -qO- https://packages.wazuh.com/4.x/filebeat/wazuh-filebeat-0.2.tar.gz \ | tar -xz -C /usr/share/filebeat/module/
Download dan install Wazuh alerts Elasticsearch template:
wget -O /etc/filebeat/wazuh-template.json \ https://raw.githubusercontent.com/wazuh/wazuh/4.4/extensions/elasticsearch/7.x/wazuh-template.json chmod go+r /etc/filebeat/wazuh-template.json
Test Filebeat config;
filebeat test config
Config OK
Test Filebeat Elasticsearch output;
filebeat test output
elasticsearch: http://localhost:9200... parse url... OK connection... parse host... OK dns lookup... OK addresses: 127.0.0.1 dial up... OK TLS... WARN secure connection disabled talk to server... OK version: 7.17.9
Restart Kibana, Elasticsearch, Filebeat dan Wazuh-manager Konfigurasi selesai!
systemctl restart elasticsearch kibana filebeat wazuh-manager
Check status masing-masing service,
systemctl status elasticsearch kibana filebeat wazuh-manager
Pastikan tidak ada error, dan semua service active.
Akses Kibana Web Interface melalui URL,
http://<server-IP-or-hostname>:5601
Saat mengakses UI, klik Explore dan di bawah bagian Kibana menu, kita harusnya dapat melihat Wazuh App. Contoh tampilan Wazuh tampak pada gambar di bawah ini,
Tampak pada Screenshot gambar di atas, beberapa informasi penting yang dapat kita dapat dari Wazuh, seperti, Level 12 Alert Kegagalan Autentikasi Evolusi berbagai alert, seperti adduser, sudo, yum dll.