WAZUH

Wazuh
syvtitLeave a Comment on WAZUH

1. Tổng quan

Wazuh là một nền tảng bảo mật cung cấp khả năng thống nhất XDR và SIEM bảo vệ cho các máy trạm và máy chủ. Giải pháp bao gồm một agent dùng chung duy nhất và 3 thành phần trung tâm: Wazuh Server, Wazuh Indexer và Wazuh dashboard.

Wazuh là nền tảng SIEM+XDR mã nguồn mở, dùng để:

  • Thu thập & phân tích log.
  • Phát hiện xâm nhập (HIDS).
  • File Integrity Monitoring (FIM).
  • Vulnerability Detection.
  • Compliance (PCI DSS, GDPR, NIST, …)
  • Tích hợp cloud, container, threat intel.

Các thành phần chính:

  • Wazuh Server: phân tích log, rule, agent management.
  • Wazuh Indexer: lưu trữ và search dữ liệu (OpenSearch-based).
  • Wazuh Dashboard: giao diện web.
  • Wazuh Agent: cài trên endpoint (Windows/Linux).

Wazuh là phần mềm miễn phí và mã nguồn mở. Các thành phần của Wazuh tuân thủ giấy phép GNU phiên bản 2 (GPLv2), và giấy phép Apache phiên bản 2 (Alv2).

2. Yêu cầu

2.1. Phần cứng

Yêu cầu phần cứng phụ thuộc rất nhiều vào số lượng máy trạm và máy chủ được bảo vệ. Con số này giúp ước tính lượng dữ liệu sẽ được phân tích cũng như số lượng cảnh báo bảo mật sẽ được lưu trữ và lập chỉ mục.

Khuyến nghị:

Đối với các môi trường có quy mô lớn hơn, Wazuh khuyến nghị triển khai theo mô hình phân tán. Wazuh hỗ trợ cấu hình cluster nhiều node cho cả Wazuh server và Wazuh indexer, giúp cung cấp tính sẵn sàng cao và cân bằng tải.

2.2. Hệ điều hành

Các thành phần trung tâm của Wazuh yêu cầu bộ xử lý Linux 64-bit thuộc kiến trúc Intel, AMD hoặc ARM để có thể hoạt động. Wazuh khuyến nghị sử dụng một trong các phiên bản hệ điều hành sau:

  • Amazon Linux 2, Amazon Linux 2023
  • CentOS Stream 10
  • Red Hat Enterprise Linux phiên bản 7, 8, 9, 10
  • Ubuntu phiên bản 16.04, 18.04, 20.04, 22.04, 24.04

3. Lab 1: Triển khai Wazuh và làm quen hệ thống

Sau khi hoàn thành phần này, bạn sẽ:

  • Triển khai thành công Wazuh All-in-One (Server + Indexer + Dashboard).
  • Truy cập và làm quen với Wazuh Dashboard.
  • Hiểu kiến trúc tổng thể của Wazuh.
  • Có nền tảng vững để bước sang các lab SOC tiếp theo.

Phần này minh sẽ cài đặt 3 thành phần (server+indexer+dashboard) trên cùng 1 máy chủ.

B1: Tải script cài đặt

B2: Cài đặt All-in-One

B3: đăng nhập vào giao diện web

B4: Đổi mật khẩu admin

4. Lab 2: Triển khai Wazuh agent

Mục tiêu:

  • Cài đặt Wazuh Agent trên endpoint.
  • Kết nối agent với Wazuh Manager.
  • Xác nhận Agent xuất hiện trên Dashboard.
  • Hiểu rõ luồng dữ liệu Agent -> Manager -> Indexer.

Điều kiện:

  • Agent kết nối được đến server các port sau:
    • 1514/tcp (agent -> manager)
    • 1515/tcp (agent registration)

4.1. Agent Windows

B1: Từ giao diện quản trị chọn Deploy new agent

B2: chọn thông tin phù hợp với hệ thống

B3: Chạy câu lệnh dưới máy windows cần cài đặt

B4: Start agent

B5: Kiểm tra trên giao diện quản trị

4.2. Agent Linux

B1: Chọn Agent Management > Summary > Deploy new agent

B2: chạy commands này để cài đặt agent

B3: Start agent

B4: Kiểm tra trên dashboard

Lab 3: Giám sát tính toàn vẹn tập tin (File Integrity Monitoring – FIM)

B1: Chọn Agents management > Groups > tạo 1 group để cấu hình FIM cho nhóm đó

B2: Chọn edit (icon hình bút chì trong group) > Save

B3: Chỉnh sửa tạo file trong thư mục C:\Testing

B4: Kiểm tra cảnh báo bằng cách chọn Endpoint Security > File Integrity Monitoring

B5: chọn Events để kiểm tra chi tiết

B6: Tương tự như vậy bạn có thể tạo nhóm cho linux, cấu hình FIM

B7: Thử tạo mới file trong đường dẫn trên và kiểm tra log

Lab 4: Log Collection & Security Events

Mục tiêu:

  • Thu thập:
    • Windows Events logs
    • Linux auth/syslog
  • Phát hiện hành vi bất thường.

Wazuh Agent tự bật log collection mặc định sau khi cài đặt.

Kiểm thử login thất bại trên windows

B1: Đăng nhập vào Windows sai mật khẩu nhiều lần

Kiểm thử login thất bại trên ubuntu

B1: thử truy cập ssh sai nhiều lần vào server ubuntu

Lab 5: Phát hiện brute-force

Mục tiêu:

  • Phát hiện brute-force SSH.
  • Là 1 use case SOC cực kỳ phổ biến.

Wazuh dung rule correlation để phát hiện brute-force

B1: Thử shell sau

B2: Kiểm tra phát hiện trên quản trị

Lab 6: Vulnerability Detection

Mục tiêu:

  • Phát hiện CVE trên endpoint
  • Phục vụ:
    • Patch management.
    • Risk assessment

Wazuh dung dữ liệu CVE chính thức để đối chiếu package inventory.

Mặc định thì Wazuh đã bật sẵn Vulnerability Detection.

B1: Chọn Endpoint Security > Vulnerability Detection

Related Posts

Leave a Reply

Your email address will not be published. Required fields are marked *