Difference between revisions of "Cyber Security: Security Onion Agent"
Onnowpurbo (talk | contribs) |
Onnowpurbo (talk | contribs) |
||
| Line 44: | Line 44: | ||
Kita perlu run so-allow untuk mengijinkan traffic dari IP address dari Wazuh agent. | Kita perlu run so-allow untuk mengijinkan traffic dari IP address dari Wazuh agent. | ||
| − | ==Maximum | + | ==Jumlah Maximum Agent== |
| − | Security Onion | + | |
| + | Security Onion dikonfigurasi untuk mendukung jumlah maksimum 14.000 Wazuh agent yang melapor ke satu manajer Wazuh. | ||
==Automated Deployment== | ==Automated Deployment== | ||
Revision as of 17:46, 14 July 2023
Sumber: http://stuff.is-a-geek.net/OnlineDocs/Security/securityonion.readthedocs.io/en/latest/wazuh.html
Wazuh pada Security Onion
Security Onion menggunakan Wazuh sebagai Host Intrusion Detection System (HIDS). Wazuh akan memonitor dan mempertahankan Security Onion itself. Di samping itu, kita juga dapat menambahkan Wazuh agent untuk monitor host lainnya di jaringan kita.
Wazuh menggantikan OSSEC: https://blog.securityonion.net/2018/10/wazuh-361-elastic-641-and-associated.html
Konfigurasi
File konfigurasi utama untuk Wazuh adalah /var/ossec/etc/ossec.conf.
- Email - Wazuh dapat di konfigurasi untuk mengirimkan email Alert.
- Syslog - Wazuh dapat di konfigurasi untuk mencatat log pada external syslog collector.
Active Response
Terkadang, Wazuh dapat mengenali aktivitas yang sah sebagai berpotensi berbahaya, dan terlibat dalam Respons Aktif untuk memblokir koneksi. Hal ini dapat mengakibatkan konsekuensi yang tidak diinginkan dan/atau black list dari IP tepercaya. Untuk mencegah hal ini terjadi, Anda dapat memasukkan alamat IP Anda ke white list dan mengubah pengaturan lainnya di /var/ossec/etc/ossec.conf:
<global> <white_list>desired_ip</white_list> </global>
Tuning Rule
Kita dapat menambahkan rules baru dan memodifikasi rules yang ada di /var/ossec/rules/local_rules.xml.
Wazuh alert pada level 5 atau lebih tinggi akan mengisi Sguil database, dan bisa dilihat melalui Sguil dan/atau Squert. Jika kita ingin mengubah level dimana alert dikirim ke sguild, kita dapat memodifikasi nilai OSSEC_AGENT_LEVEL di /etc/nsm/securityonion.conf dan restart NSM service.
Menambahkan Agent
Wazuh agent adalah cross platform dan kita dapat men-download agents untuk Windows/Unix/Linux/FreeBSD sesuai dengan panduan di Wazuh website:
https://documentation.wazuh.com/3.9/installation-guide/packages-list/index.html
Perlu dicatat, penting untuk memastikan bahwa versi wazuh server dan wazuh agent sebaiknya sama. Contoh, jika versi wazuh server 3.9.5, maka kita perlu menginstall Wazuh agent 3.9.5.
Setelah Anda menginstal agen Wazuh di host yang akan dipantau, lakukan langkah-langkah yang ditentukan di sini:
https://documentation.wazuh.com/current/user-manual/registering/cli/using-command-line-linux.html
Kita perlu run so-allow untuk mengijinkan traffic dari IP address dari Wazuh agent.
Jumlah Maximum Agent
Security Onion dikonfigurasi untuk mendukung jumlah maksimum 14.000 Wazuh agent yang melapor ke satu manajer Wazuh.
Automated Deployment
If you would like to automate the deployment of Wazuh agents, the Wazuh server includes ossec-authd: https://documentation.wazuh.com/3.9/user-manual/reference/daemons/ossec-authd.html When using ossec-authd, be sure to add a firewall exception for agents to access port 1515/tcp on the Wazuh manager node:
sudo ufw allow proto tcp from agent_ip to any port 1515
More Information For more information about Wazuh, please see https://documentation.wazuh.com/3.9/.