Difference between revisions of "Cyber Security: Wazuh Install Manual"

From OnnoWiki
Jump to navigation Jump to search
(Created page with "Wazuh Manager Install Manual Bagi kita yang mempunyai nyali dan ingin menginstall secara detail di Ubuntu, kita dapat mengikuti langkah-langkah berikut ini. Sebelum melakukan...")
 
 
Line 7: Line 7:
 
Lakukan instalasi Elasticsearch. Untuk Ubuntu 22.04, buka terminal di Ubuntu. Tambahkan repository Elasticsearch dengan perintah berikut:
 
Lakukan instalasi Elasticsearch. Untuk Ubuntu 22.04, buka terminal di Ubuntu. Tambahkan repository Elasticsearch dengan perintah berikut:
  
apt install curl apt-transport-https unzip wget libcap2-bin software-properties-common lsb-release gnupg2
+
apt install curl apt-transport-https unzip wget libcap2-bin software-properties-common lsb-release gnupg2
wget -qO - httapt install elasticsearch=7.17.9ps://artifacts.elastic.co/GPG-KEY-elasticsearch \
+
wget -qO - httapt install elasticsearch=7.17.9ps://artifacts.elastic.co/GPG-KEY-elasticsearch \
| sudo gpg --dearmor -o /etc/apt/trusted.gpg.d/elastic.gpg
+
| sudo gpg --dearmor -o /etc/apt/trusted.gpg.d/elastic.gpg
echo "deb https://artifacts.elastic.co/packages/7.x/apt stable main" \
+
echo "deb https://artifacts.elastic.co/packages/7.x/apt stable main" \
> /etc/apt/sources.list.d/elastic-7.x.list
+
> /etc/apt/sources.list.d/elastic-7.x.list
apt update
+
apt update
  
 
Instal Elasticsearch 7.17.9 di ubuntu 22.04 dengan perintah:
 
Instal Elasticsearch 7.17.9 di ubuntu 22.04 dengan perintah:
  
sudo apt install elasticsearch=7.17.9
+
sudo apt install elasticsearch=7.17.9
  
 
atau jika kita ingin menggunakan elasticsearch versi default dari ubuntu 22.04, dapat menggunakan perintah
 
atau jika kita ingin menggunakan elasticsearch versi default dari ubuntu 22.04, dapat menggunakan perintah
  
sudo apt install elasticsearch
+
sudo apt install elasticsearch
  
 
Secara default, Elasticsearch seharusnya bekerja dengan pengaturan default secara default. Jangan ragu untuk memeriksa pengaturan Penting Elasticsearch. Jika Elasticsearch perlu diakses oleh Beats eksternal lainnya, maka Anda perlu mengatur alamat IP dan menentukan apakah akan berjalan di cluster multi node atau node tunggal. Konfigurasi Elasticsearch dengan membuka file konfigurasi:
 
Secara default, Elasticsearch seharusnya bekerja dengan pengaturan default secara default. Jangan ragu untuk memeriksa pengaturan Penting Elasticsearch. Jika Elasticsearch perlu diakses oleh Beats eksternal lainnya, maka Anda perlu mengatur alamat IP dan menentukan apakah akan berjalan di cluster multi node atau node tunggal. Konfigurasi Elasticsearch dengan membuka file konfigurasi:
  
sudo nano /etc/elasticsearch/elasticsearch.yml
+
sudo nano /etc/elasticsearch/elasticsearch.yml
  
 
Temukan dan ubah baris berikut:
 
Temukan dan ubah baris berikut:
  
# network.host: 192.168.0.1
+
# network.host: 192.168.0.1
  
 
Ubah menjadi:
 
Ubah menjadi:
  
network.host: 0.0.0.0
+
network.host: 0.0.0.0
  
 
Simpan perubahan dan keluar dari editor teks. Start dan enable Elasticsearch untuk run saat system boot,
 
Simpan perubahan dan keluar dari editor teks. Start dan enable Elasticsearch untuk run saat system boot,
  
systemctl enable --now elasticsearch
+
systemctl enable --now elasticsearch
  
 
Konfirmasi Elasticsearch port sudah terbuka,
 
Konfirmasi Elasticsearch port sudah terbuka,
  
ss -altnp | grep 9200
+
ss -altnp | grep 9200
  
 
Kita juga dapat check status elasticsearch dengan perintah,
 
Kita juga dapat check status elasticsearch dengan perintah,
  
systemctl status elasticsearch
+
systemctl status elasticsearch
  
 
Kita dapat cek log jika dibutuhkan. Secara default log akan di tulis ke /var/log/elasticsearch/CLUSTER_NAME.log . Dimana CLUSTER_NAME default adalah elasticsearch. Maka, default log file adalah,
 
Kita dapat cek log jika dibutuhkan. Secara default log akan di tulis ke /var/log/elasticsearch/CLUSTER_NAME.log . Dimana CLUSTER_NAME default adalah elasticsearch. Maka, default log file adalah,
  
/var/log/elasticsearch/elasticsearch.log.
+
/var/log/elasticsearch/elasticsearch.log.
  
 
Kibana adalah komponen penting dalam instalasi Wazuh karena menyediakan antarmuka web untuk visualisasi dan analisis data keamanan yang dikumpulkan oleh Wazuh. Berikut adalah beberapa alasan mengapa Kibana penting saat menginstalasi Wazuh:
 
Kibana adalah komponen penting dalam instalasi Wazuh karena menyediakan antarmuka web untuk visualisasi dan analisis data keamanan yang dikumpulkan oleh Wazuh. Berikut adalah beberapa alasan mengapa Kibana penting saat menginstalasi Wazuh:
Line 60: Line 60:
 
Secara keseluruhan, Kibana memberikan antarmuka yang interaktif dan intuitif untuk mengakses dan menganalisis data keamanan yang dikumpulkan oleh Wazuh. Selanjutnya, kita dapat menginstal  Kibana 7.17.9 on Ubuntu 22.04
 
Secara keseluruhan, Kibana memberikan antarmuka yang interaktif dan intuitif untuk mengakses dan menganalisis data keamanan yang dikumpulkan oleh Wazuh. Selanjutnya, kita dapat menginstal  Kibana 7.17.9 on Ubuntu 22.04
  
apt install kibana=7.17.9
+
apt install kibana=7.17.9
  
 
Konfigurasi Kibana dapat dilakukan dengan set IP server Kibana agar dapat diakses oleh IP  address external. Biasanya, Kibana hanya mendengarkan loopback interface. Contoh, jika IP address server Kibana kita adalah 192.168.56.124. Maka, kita dapat menset agar listen ke host IP address dengan menjalankan perintah berikut,
 
Konfigurasi Kibana dapat dilakukan dengan set IP server Kibana agar dapat diakses oleh IP  address external. Biasanya, Kibana hanya mendengarkan loopback interface. Contoh, jika IP address server Kibana kita adalah 192.168.56.124. Maka, kita dapat menset agar listen ke host IP address dengan menjalankan perintah berikut,
  
sed -i '/server.host:/s/^#//;s/localhost/192.168.56.124/' /etc/kibana/kibana.yml
+
sed -i '/server.host:/s/^#//;s/localhost/192.168.56.124/' /etc/kibana/kibana.yml
  
 
Jika kita ingin mengkonfigurasi Kibana untuk listen ke semua interface, kita dapat menggunakan 0.0.0.0 bukan IP di atas, contoh,
 
Jika kita ingin mengkonfigurasi Kibana untuk listen ke semua interface, kita dapat menggunakan 0.0.0.0 bukan IP di atas, contoh,
  
sed -i '/server.host:/s/^#//;s/localhost/0.0.0.0/' /etc/kibana/kibana.yml
+
sed -i '/server.host:/s/^#//;s/localhost/0.0.0.0/' /etc/kibana/kibana.yml
  
 
Setting lainnya dapat menggunakan nilai default, tidak perlu diubah.
 
Setting lainnya dapat menggunakan nilai default, tidak perlu diubah.
Line 74: Line 74:
 
Start dan enable Kibana agar run saat system boot,
 
Start dan enable Kibana agar run saat system boot,
  
systemctl enable --now kibana
+
systemctl enable --now kibana
  
 
Konfirmasi bahwa Kibana port telat terbuka, menggunakan perintah,
 
Konfirmasi bahwa Kibana port telat terbuka, menggunakan perintah,
  
ss -altnp | grep 5601
+
ss -altnp | grep 5601
  
 
Jika dibutuhkan, cek syslog dengan file log /var/log/kibana/kibana.log . Jika digunakan firewall, kita perlu membuka port Kibana di firewall. Jika kita menggunakan UFW, jalankan,
 
Jika dibutuhkan, cek syslog dengan file log /var/log/kibana/kibana.log . Jika digunakan firewall, kita perlu membuka port Kibana di firewall. Jika kita menggunakan UFW, jalankan,
  
ufw allow 5601/tcp
+
ufw allow 5601/tcp
  
 
Jika menggunakan iptables,
 
Jika menggunakan iptables,
  
iptables -I INPUT -p tcp --dport 5601 -j ACCEPT
+
iptables -I INPUT -p tcp --dport 5601 -j ACCEPT
iptables-save > /etc/iptables/rules.v4
+
iptables-save > /etc/iptables/rules.v4
  
 
Filebeat dibutuhkan untuk memforward Wazuh manager alerts dan archived event ke Elasticsearch. Kita dapat menginstal versi 7.17.9, di ubuntu 22.04, menggunakan perintah berikut,
 
Filebeat dibutuhkan untuk memforward Wazuh manager alerts dan archived event ke Elasticsearch. Kita dapat menginstal versi 7.17.9, di ubuntu 22.04, menggunakan perintah berikut,
  
apt install filebeat=7.17.9 -y
+
apt install filebeat=7.17.9 -y
  
 
Enable filebeat agar run saat boot,
 
Enable filebeat agar run saat boot,
  
systemctl enable filebeat
+
systemctl enable filebeat
  
  
Line 107: Line 107:
 
Langkah selanjutnya, kita dapat menginstal Wazuh. Tambahkan repository Wazuh dengan perintah berikut:
 
Langkah selanjutnya, kita dapat menginstal Wazuh. Tambahkan repository Wazuh dengan perintah berikut:
  
curl -sL https://packages.wazuh.com/key/GPG-KEY-WAZUH | sudo apt-key add -
+
curl -sL https://packages.wazuh.com/key/GPG-KEY-WAZUH | sudo apt-key add -
echo "deb https://packages.wazuh.com/4.x/apt/ stable main" | sudo tee /etc/apt/sources.list.d/wazuh.list
+
echo "deb https://packages.wazuh.com/4.x/apt/ stable main" | sudo tee /etc/apt/sources.list.d/wazuh.list
  
curl -s https://packages.wazuh.com/key/GPG-KEY-WAZUH | \
+
curl -s https://packages.wazuh.com/key/GPG-KEY-WAZUH | \
gpg --dearmor > /etc/apt/trusted.gpg.d/wazuh.gpg
+
gpg --dearmor > /etc/apt/trusted.gpg.d/wazuh.gpg
echo "deb https://packages.wazuh.com/4.x/apt stable main" > /etc/apt/sources.list.d/wazuh.list
+
echo "deb https://packages.wazuh.com/4.x/apt stable main" > /etc/apt/sources.list.d/wazuh.list
apt update
+
apt update
  
 
Instal Wazuh manager dengan perintah:
 
Instal Wazuh manager dengan perintah:
  
sudo apt install wazuh-manager
+
sudo apt install wazuh-manager
  
 
Instal Wazuh API dengan perintah:
 
Instal Wazuh API dengan perintah:
  
sudo apt install wazuh-api
+
sudo apt install wazuh-api
  
 
Setelah instalasi selesai,  kita dapat start enable agar run saat system boot,
 
Setelah instalasi selesai,  kita dapat start enable agar run saat system boot,
  
systemctl enable --now wazuh-manager
+
systemctl enable --now wazuh-manager
systemctl enable --now wazuh-api
+
systemctl enable --now wazuh-api
  
 
Buka Wazuh Manager Port di Firewall. Biasanya, secara default, Wazuh agent akan berkomunikasi dengan  Wazuh manager melalui TCP port 1514. Oleh karenanya, buka port 1514/tcp pada  Wazuh manager.
 
Buka Wazuh Manager Port di Firewall. Biasanya, secara default, Wazuh agent akan berkomunikasi dengan  Wazuh manager melalui TCP port 1514. Oleh karenanya, buka port 1514/tcp pada  Wazuh manager.
  
iptables -A INPUT -p tcp --dport 1514 -j ACCEPT
+
iptables -A INPUT -p tcp --dport 1514 -j ACCEPT
 
atau
 
atau
ufw allow 1514/tcp
+
ufw allow 1514/tcp
  
 
Juga buka, 1515/tcp untuk registrasi agent,
 
Juga buka, 1515/tcp untuk registrasi agent,
  
iptables -A INPUT -p tcp --dport 1515 -j ACCEPT
+
iptables -A INPUT -p tcp --dport 1515 -j ACCEPT
 
atau
 
atau
ufw allow 1515/tcp
+
ufw allow 1515/tcp
  
 
Setelah instalasi selesai. Kita dapat mulai mengkonfigurasi dan memulai Wazuh. Buka file konfigurasi Wazuh dengan menggunakan editor teks:
 
Setelah instalasi selesai. Kita dapat mulai mengkonfigurasi dan memulai Wazuh. Buka file konfigurasi Wazuh dengan menggunakan editor teks:
  
sudo nano /var/ossec/etc/ossec.conf
+
sudo nano /var/ossec/etc/ossec.conf
  
 
Temukan dan ubah baris berikut:
 
Temukan dan ubah baris berikut:
  
<client>
+
<client>
  <server-ip>127.0.0.1</server-ip>
+
  <server-ip>127.0.0.1</server-ip>
</client>
+
</client>
  
 
Ubah <server-ip> menjadi alamat IP Elasticsearch, misalnya:
 
Ubah <server-ip> menjadi alamat IP Elasticsearch, misalnya:
  
<client>
+
<client>
  <server-ip>localhost</server-ip>
+
  <server-ip>localhost</server-ip>
</client>
+
</client>
  
 
Simpan perubahan dan keluar dari editor teks.
 
Simpan perubahan dan keluar dari editor teks.
 
Restart Wazuh manager dengan perintah:
 
Restart Wazuh manager dengan perintah:
  
sudo systemctl restart wazuh-manager
+
sudo systemctl restart wazuh-manager
  
 
Restart Wazuh API dengan perintah:
 
Restart Wazuh API dengan perintah:
  
sudo systemctl restart wazuh-api
+
sudo systemctl restart wazuh-api
  
 
Setelah langkah-langkah di atas, Wazuh sudah terinstal dan siap digunakan pada sistem Ubuntu Anda. Anda dapat mengakses antarmuka web Wazuh melalui browser dengan menggunakan alamat IP server dan port 5601. Misalnya, http://alamat-ip-server:5601.
 
Setelah langkah-langkah di atas, Wazuh sudah terinstal dan siap digunakan pada sistem Ubuntu Anda. Anda dapat mengakses antarmuka web Wazuh melalui browser dengan menggunakan alamat IP server dan port 5601. Misalnya, http://alamat-ip-server:5601.
Line 171: Line 171:
 
Untuk mengintegrasikan Wazuh Manager dengan ELK Stack (Elasticsearch, Logstash, Kibana). Kita perlu install Wazuh Manager Kibana App plugin. Untuk install Wazuh manager/server Kibana App, lakukan proses berikut,
 
Untuk mengintegrasikan Wazuh Manager dengan ELK Stack (Elasticsearch, Logstash, Kibana). Kita perlu install Wazuh Manager Kibana App plugin. Untuk install Wazuh manager/server Kibana App, lakukan proses berikut,
  
chown -R kibana: /usr/share/kibana/plugins
+
chown -R kibana: /usr/share/kibana/plugins
  
 
Pastikan versi plugin yang di install compatible dengan versi ELK Stack dan Wazuh manager yang di install.
 
Pastikan versi plugin yang di install compatible dengan versi ELK Stack dan Wazuh manager yang di install.
  
sudo -u kibana /usr/share/kibana/bin/kibana-plugin install \
+
sudo -u kibana /usr/share/kibana/bin/kibana-plugin install \
https://packages.wazuh.com/4.x/ui/kibana/wazuh_kibana-4.4.1_7.17.9-1.zip
+
https://packages.wazuh.com/4.x/ui/kibana/wazuh_kibana-4.4.1_7.17.9-1.zip
  
 
Buat Wazuh Kibana data directory dan set ownership ke kibana user.
 
Buat Wazuh Kibana data directory dan set ownership ke kibana user.
  
mkdir /usr/share/kibana/data
+
mkdir /usr/share/kibana/data
chown -R kibana: /usr/share/kibana/data
+
chown -R kibana: /usr/share/kibana/data
  
 
Restart Kibana,
 
Restart Kibana,
  
systemctl restart kibana
+
systemctl restart kibana
  
 
Konfigurasi Filebeat untuk Wazuh Manager. Buat backup dari file konfigurasi default dan ganti menggunakan konfigurasi berikut,
 
Konfigurasi Filebeat untuk Wazuh Manager. Buat backup dari file konfigurasi default dan ganti menggunakan konfigurasi berikut,
  
mv /etc/filebeat/filebeat.{yml,stock}
+
mv /etc/filebeat/filebeat.{yml,stock}
cat > /etc/filebeat/filebeat.yml << 'EOL'
+
cat > /etc/filebeat/filebeat.yml << 'EOL'
output.elasticsearch:
+
output.elasticsearch:
  hosts: ["localhost:9200"]
+
  hosts: ["localhost:9200"]
setup.template.json.enabled: true
+
setup.template.json.enabled: true
setup.template.json.path: '/etc/filebeat/wazuh-template.json'
+
setup.template.json.path: '/etc/filebeat/wazuh-template.json'
setup.template.json.name: 'wazuh'
+
setup.template.json.name: 'wazuh'
setup.ilm.overwrite: true
+
setup.ilm.overwrite: true
setup.ilm.enabled: false
+
setup.ilm.enabled: false  
 
+
filebeat.modules:
+
filebeat.modules:
  - module: wazuh
+
  - module: wazuh
    alerts:
+
    alerts:
      enabled: true
+
      enabled: true
    archives:
+
    archives:
      enabled: false
+
      enabled: false
logging.level: info
+
logging.level: info
logging.to_files: true
+
logging.to_files: true
logging.files:
+
logging.files:
  path: /var/log/filebeat
+
  path: /var/log/filebeat
  name: filebeat
+
  name: filebeat
  keepfiles: 7
+
  keepfiles: 7
  permissions: 0644
+
  permissions: 0644
logging.metrics.enabled: false
+
logging.metrics.enabled: false  
 
+
seccomp:
+
seccomp:
  default_action: allow
+
  default_action: allow
  syscalls:
+
  syscalls:
  - action: allow
+
  - action: allow
    names:
+
    names:
    - rseq
+
    - rseq
EOL
+
EOL
  
 
Install Filebeat Wazuh Module:
 
Install Filebeat Wazuh Module:
  
wget -qO- https://packages.wazuh.com/4.x/filebeat/wazuh-filebeat-0.2.tar.gz \
+
wget -qO- https://packages.wazuh.com/4.x/filebeat/wazuh-filebeat-0.2.tar.gz \
| tar -xz -C /usr/share/filebeat/module/
+
| tar -xz -C /usr/share/filebeat/module/
  
 
Download dan install Wazuh alerts Elasticsearch template:
 
Download dan install Wazuh alerts Elasticsearch template:
  
wget -O /etc/filebeat/wazuh-template.json \
+
wget -O /etc/filebeat/wazuh-template.json \
https://raw.githubusercontent.com/wazuh/wazuh/4.4/extensions/elasticsearch/7.x/wazuh-template.json
+
https://raw.githubusercontent.com/wazuh/wazuh/4.4/extensions/elasticsearch/7.x/wazuh-template.json
chmod go+r /etc/filebeat/wazuh-template.json
+
chmod go+r /etc/filebeat/wazuh-template.json
  
 
Test Filebeat config;
 
Test Filebeat config;
  
filebeat test config
+
filebeat test config
  
Config OK
+
Config OK
  
 
Test Filebeat Elasticsearch output;
 
Test Filebeat Elasticsearch output;
  
filebeat test output
+
filebeat test output
  
elasticsearch: http://localhost:9200...
+
elasticsearch: http://localhost:9200...
  parse url... OK
+
  parse url... OK
  connection...
+
  connection...
    parse host... OK
+
    parse host... OK
    dns lookup... OK
+
    dns lookup... OK
    addresses: 127.0.0.1
+
    addresses: 127.0.0.1
    dial up... OK
+
    dial up... OK
  TLS... WARN secure connection disabled
+
  TLS... WARN secure connection disabled
  talk to server... OK
+
  talk to server... OK
  version: 7.17.9
+
  version: 7.17.9
  
 
Restart Kibana, Elasticsearch, Filebeat dan Wazuh-manager
 
Restart Kibana, Elasticsearch, Filebeat dan Wazuh-manager
Line 261: Line 261:
 
Check status masing-masing service,
 
Check status masing-masing service,
  
systemctl status elasticsearch kibana filebeat wazuh-manager
+
systemctl status elasticsearch kibana filebeat wazuh-manager
  
 
Pastikan tidak ada error, dan semua service active.
 
Pastikan tidak ada error, dan semua service active.
Line 267: Line 267:
 
Akses Kibana Web Interface melalui URL,
 
Akses Kibana Web Interface melalui URL,
  
http://<server-IP-or-hostname>:5601
+
http://<server-IP-or-hostname>:5601
  
 
Saat mengakses UI, klik Explore dan di bawah bagian Kibana menu, kita harusnya dapat melihat Wazuh App. Contoh tampilan Wazuh tampak pada gambar di bawah ini,
 
Saat mengakses UI, klik Explore dan di bawah bagian Kibana menu, kita harusnya dapat melihat Wazuh App. Contoh tampilan Wazuh tampak pada gambar di bawah ini,

Latest revision as of 09:49, 18 July 2023

Wazuh Manager Install Manual Bagi kita yang mempunyai nyali dan ingin menginstall secara detail di Ubuntu, kita dapat mengikuti langkah-langkah berikut ini. Sebelum melakukan instalasi kita perlu memastikan sistem siap, seperti,

Pastikan sistem Ubuntu Anda sudah terhubung ke internet. Pastikan Anda memiliki hak administratif (sudo) untuk menginstal paket.

Lakukan instalasi Elasticsearch. Untuk Ubuntu 22.04, buka terminal di Ubuntu. Tambahkan repository Elasticsearch dengan perintah berikut:

apt install curl apt-transport-https unzip wget libcap2-bin software-properties-common lsb-release gnupg2
wget -qO - httapt install elasticsearch=7.17.9ps://artifacts.elastic.co/GPG-KEY-elasticsearch \
| sudo gpg --dearmor -o /etc/apt/trusted.gpg.d/elastic.gpg
echo "deb https://artifacts.elastic.co/packages/7.x/apt stable main" \
> /etc/apt/sources.list.d/elastic-7.x.list
apt update

Instal Elasticsearch 7.17.9 di ubuntu 22.04 dengan perintah:

sudo apt install elasticsearch=7.17.9

atau jika kita ingin menggunakan elasticsearch versi default dari ubuntu 22.04, dapat menggunakan perintah

sudo apt install elasticsearch

Secara default, Elasticsearch seharusnya bekerja dengan pengaturan default secara default. Jangan ragu untuk memeriksa pengaturan Penting Elasticsearch. Jika Elasticsearch perlu diakses oleh Beats eksternal lainnya, maka Anda perlu mengatur alamat IP dan menentukan apakah akan berjalan di cluster multi node atau node tunggal. Konfigurasi Elasticsearch dengan membuka file konfigurasi:

sudo nano /etc/elasticsearch/elasticsearch.yml

Temukan dan ubah baris berikut:

# network.host: 192.168.0.1

Ubah menjadi:

network.host: 0.0.0.0

Simpan perubahan dan keluar dari editor teks. Start dan enable Elasticsearch untuk run saat system boot,

systemctl enable --now elasticsearch

Konfirmasi Elasticsearch port sudah terbuka,

ss -altnp | grep 9200

Kita juga dapat check status elasticsearch dengan perintah,

systemctl status elasticsearch

Kita dapat cek log jika dibutuhkan. Secara default log akan di tulis ke /var/log/elasticsearch/CLUSTER_NAME.log . Dimana CLUSTER_NAME default adalah elasticsearch. Maka, default log file adalah,

/var/log/elasticsearch/elasticsearch.log.

Kibana adalah komponen penting dalam instalasi Wazuh karena menyediakan antarmuka web untuk visualisasi dan analisis data keamanan yang dikumpulkan oleh Wazuh. Berikut adalah beberapa alasan mengapa Kibana penting saat menginstalasi Wazuh:

Visualisasi Data Pemantauan Keamanan Real-Time Pencarian dan Analisis Data yang Fleksibel Pembuatan Laporan Integrasi dengan Solusi Lainnya

Secara keseluruhan, Kibana memberikan antarmuka yang interaktif dan intuitif untuk mengakses dan menganalisis data keamanan yang dikumpulkan oleh Wazuh. Selanjutnya, kita dapat menginstal Kibana 7.17.9 on Ubuntu 22.04

apt install kibana=7.17.9

Konfigurasi Kibana dapat dilakukan dengan set IP server Kibana agar dapat diakses oleh IP address external. Biasanya, Kibana hanya mendengarkan loopback interface. Contoh, jika IP address server Kibana kita adalah 192.168.56.124. Maka, kita dapat menset agar listen ke host IP address dengan menjalankan perintah berikut,

sed -i '/server.host:/s/^#//;s/localhost/192.168.56.124/' /etc/kibana/kibana.yml

Jika kita ingin mengkonfigurasi Kibana untuk listen ke semua interface, kita dapat menggunakan 0.0.0.0 bukan IP di atas, contoh,

sed -i '/server.host:/s/^#//;s/localhost/0.0.0.0/' /etc/kibana/kibana.yml

Setting lainnya dapat menggunakan nilai default, tidak perlu diubah.

Start dan enable Kibana agar run saat system boot,

systemctl enable --now kibana

Konfirmasi bahwa Kibana port telat terbuka, menggunakan perintah,

ss -altnp | grep 5601

Jika dibutuhkan, cek syslog dengan file log /var/log/kibana/kibana.log . Jika digunakan firewall, kita perlu membuka port Kibana di firewall. Jika kita menggunakan UFW, jalankan,

ufw allow 5601/tcp

Jika menggunakan iptables,

iptables -I INPUT -p tcp --dport 5601 -j ACCEPT
iptables-save > /etc/iptables/rules.v4

Filebeat dibutuhkan untuk memforward Wazuh manager alerts dan archived event ke Elasticsearch. Kita dapat menginstal versi 7.17.9, di ubuntu 22.04, menggunakan perintah berikut,

apt install filebeat=7.17.9 -y

Enable filebeat agar run saat boot,

systemctl enable filebeat





Langkah selanjutnya, kita dapat menginstal Wazuh. Tambahkan repository Wazuh dengan perintah berikut:

curl -sL https://packages.wazuh.com/key/GPG-KEY-WAZUH | sudo apt-key add -
echo "deb https://packages.wazuh.com/4.x/apt/ stable main" | sudo tee /etc/apt/sources.list.d/wazuh.list
curl -s https://packages.wazuh.com/key/GPG-KEY-WAZUH | \
gpg --dearmor > /etc/apt/trusted.gpg.d/wazuh.gpg
echo "deb https://packages.wazuh.com/4.x/apt stable main" > /etc/apt/sources.list.d/wazuh.list
apt update

Instal Wazuh manager dengan perintah:

sudo apt install wazuh-manager

Instal Wazuh API dengan perintah:

sudo apt install wazuh-api

Setelah instalasi selesai, kita dapat start enable agar run saat system boot,

systemctl enable --now wazuh-manager
systemctl enable --now wazuh-api

Buka Wazuh Manager Port di Firewall. Biasanya, secara default, Wazuh agent akan berkomunikasi dengan Wazuh manager melalui TCP port 1514. Oleh karenanya, buka port 1514/tcp pada Wazuh manager.

iptables -A INPUT -p tcp --dport 1514 -j ACCEPT

atau

ufw allow 1514/tcp

Juga buka, 1515/tcp untuk registrasi agent,

iptables -A INPUT -p tcp --dport 1515 -j ACCEPT

atau

ufw allow 1515/tcp

Setelah instalasi selesai. Kita dapat mulai mengkonfigurasi dan memulai Wazuh. Buka file konfigurasi Wazuh dengan menggunakan editor teks:

sudo nano /var/ossec/etc/ossec.conf

Temukan dan ubah baris berikut:

<client>
  <server-ip>127.0.0.1</server-ip>
</client>

Ubah <server-ip> menjadi alamat IP Elasticsearch, misalnya:

<client>
  <server-ip>localhost</server-ip>
</client>

Simpan perubahan dan keluar dari editor teks. Restart Wazuh manager dengan perintah:

sudo systemctl restart wazuh-manager

Restart Wazuh API dengan perintah:

sudo systemctl restart wazuh-api

Setelah langkah-langkah di atas, Wazuh sudah terinstal dan siap digunakan pada sistem Ubuntu Anda. Anda dapat mengakses antarmuka web Wazuh melalui browser dengan menggunakan alamat IP server dan port 5601. Misalnya, http://alamat-ip-server:5601.

Pastikan juga untuk mempelajari dokumentasi resmi Wazuh untuk konfigurasi tambahan dan integrasi dengan solusi keamanan lainnya.

Untuk mengintegrasikan Wazuh Manager dengan ELK Stack (Elasticsearch, Logstash, Kibana). Kita perlu install Wazuh Manager Kibana App plugin. Untuk install Wazuh manager/server Kibana App, lakukan proses berikut,

chown -R kibana: /usr/share/kibana/plugins

Pastikan versi plugin yang di install compatible dengan versi ELK Stack dan Wazuh manager yang di install.

sudo -u kibana /usr/share/kibana/bin/kibana-plugin install \
https://packages.wazuh.com/4.x/ui/kibana/wazuh_kibana-4.4.1_7.17.9-1.zip

Buat Wazuh Kibana data directory dan set ownership ke kibana user.

mkdir /usr/share/kibana/data
chown -R kibana: /usr/share/kibana/data

Restart Kibana,

systemctl restart kibana

Konfigurasi Filebeat untuk Wazuh Manager. Buat backup dari file konfigurasi default dan ganti menggunakan konfigurasi berikut,

mv /etc/filebeat/filebeat.{yml,stock}
cat > /etc/filebeat/filebeat.yml << 'EOL'
output.elasticsearch:
  hosts: ["localhost:9200"]
setup.template.json.enabled: true
setup.template.json.path: '/etc/filebeat/wazuh-template.json'
setup.template.json.name: 'wazuh'
setup.ilm.overwrite: true
setup.ilm.enabled: false 

filebeat.modules:
  - module: wazuh
    alerts:
      enabled: true
    archives:
      enabled: false
logging.level: info
logging.to_files: true
logging.files:
  path: /var/log/filebeat
  name: filebeat
  keepfiles: 7
  permissions: 0644
logging.metrics.enabled: false 

seccomp:
  default_action: allow
  syscalls:
  - action: allow
    names:
    - rseq
EOL

Install Filebeat Wazuh Module:

wget -qO- https://packages.wazuh.com/4.x/filebeat/wazuh-filebeat-0.2.tar.gz \
| tar -xz -C /usr/share/filebeat/module/

Download dan install Wazuh alerts Elasticsearch template:

wget -O /etc/filebeat/wazuh-template.json \
https://raw.githubusercontent.com/wazuh/wazuh/4.4/extensions/elasticsearch/7.x/wazuh-template.json
chmod go+r /etc/filebeat/wazuh-template.json

Test Filebeat config;

filebeat test config
Config OK

Test Filebeat Elasticsearch output;

filebeat test output
elasticsearch: http://localhost:9200...
  parse url... OK
  connection...
    parse host... OK
    dns lookup... OK
    addresses: 127.0.0.1
    dial up... OK
  TLS... WARN secure connection disabled
  talk to server... OK
  version: 7.17.9

Restart Kibana, Elasticsearch, Filebeat dan Wazuh-manager Konfigurasi selesai!

systemctl restart elasticsearch kibana filebeat wazuh-manager

Check status masing-masing service,

systemctl status elasticsearch kibana filebeat wazuh-manager

Pastikan tidak ada error, dan semua service active.

Akses Kibana Web Interface melalui URL,

http://<server-IP-or-hostname>:5601

Saat mengakses UI, klik Explore dan di bawah bagian Kibana menu, kita harusnya dapat melihat Wazuh App. Contoh tampilan Wazuh tampak pada gambar di bawah ini,


Tampak pada Screenshot gambar di atas, beberapa informasi penting yang dapat kita dapat dari Wazuh, seperti, Level 12 Alert Kegagalan Autentikasi Evolusi berbagai alert, seperti adduser, sudo, yum dll.