Irei seguir a documentação do site wazuh.com neste artigo. Já temos diversos outros artigos falando sobre o Wazuh: categoriaoutros.com.br/wazuh
Wazuh é uma plataforma de segurança que fornece proteção XDR e SIEM unificada para endpoints e cargas de trabalho na nuvem. A solução é composta por um único agente universal e três componentes centrais:
- servidor Wazuh
- indexador Wazuh
- painel Wazuh
Sabe o melhor de tudo? é que o Wazuh é gratuito e de código aberto(open source). Seus componentes estão sob GNU General Public License, version 2 e a Apache License, Version 2.0 (ALv2).
Os computadores(endpoints) que serão monitorados terão um programa cliente do wazuh instalado; a esse cliente chamamos de agente e ele é multiplataforma(Windows, Linux, Oracle Solaris…).
Requisitos de Hardware para Instalar o Wazuh
Os requisitos de hardware dependem muito do número de endpoints protegidos
Então, iremos implantar o servidor Wazuh, o indexador Wazuh e o painel Wazuh no mesmo host. Geralmente, isso é suficiente para monitorar até 100 pontos de extremidade e 90 dias de dados de alerta consultáveis/indexados. A tabela abaixo mostra o hardware recomendado para nosso cenário:
| Agentes | CPU | RAM | Armazenamento (90 dias) |
|---|---|---|---|
| 1–25 | 4 vCPU | 8 GiB | 50 GB |
| 25–50 | 8 vCPU | 8 GiB | 100 GB |
| 50–100 | 8 vCPU | 8 GiB | 200 GB |
Para ambientes maiores, o site do wazuh recomenda uma implantação distribuída. A configuração de cluster de vários nós está disponível para o servidor Wazuh e para o indexador Wazuh, fornecendo alta disponibilidade e balanceamento de carga.
Sistemas Operacionais Compatíveis com o Wazuh
Wazuh só está disponível para o Linux mesmo, por mais que no título desse artigo menciono Linux.
Essas são as distribuições:
- Ubuntu 16.04, 18.04, 20.04, 22.04
- Amazon Linux 2
- CentOS 7, 8
- Red Hat Enterprise Linux 7, 8, 9
E o Debian? ):
Por mais que não seja citado o Debian eu instalei o Wazuh nele e usei em laboratório. Desejaria muito que estivesse nela lista como algo homologado.
Instalando os Componentes do Wazuh
Você pode escolher entre dois métodos de instalação: instalar os componentes centrais em um único host ou em hosts separados. Isso porque o indexador Wazuh e o servidor Wazuh podem ser instalados em um único host ou distribuídos em configurações de cluster.
Aqui iremos ver como instalar o Wazuh em um único servidor. Se quiser instalar em mais de um siga esse link: wazuh.com/instalacao02
Vamos ao passo a passo para instalação do Wazuh.
#1 Baixe e execute o assistente de instalação do Wazuh. Execute os passos abaixo em um terminal Linux
curl -sO https://packages.wazuh.com/4.4/wazuh-install.sh
sudo bash ./wazuh-install.sh -a
Obs.: se estiver instalando em um distro que não esteja na lista das homologadas execute: bash ./wazuh-install.sh -a -i
Assim que o assistente terminar a instalação, a saída mostra as credenciais de acesso e uma mensagem que confirma que a instalação foi bem-sucedida.
INFO: --- Summary ---
INFO: You can access the web interface https://<wazuh-dashboard-ip>
User: admin
Password: <ADMIN_PASSWORD>
INFO: Installation finished.
Agora você instalou e configurou o Wazuh.
#2 Abra um navegador de internet e acesse a interface web do Wazuh com digitando o enderço IP dessa forma: https://digite-seu-endereco-ip e em seguida suas credenciais, seu usuário e senha.
Ao acessar o painel do Wazuh pela primeira vez, o navegador mostra uma mensagem de aviso informando que o certificado não foi emitido por uma autoridade confiável. Isso é esperado e o usuário tem a opção de aceitar o certificado como exceção ou, alternativamente, configurar o sistema para usar um certificado de uma autoridade confiável.
Onde Encontrar a Senha Caso Tenha Esquecido?
Você pode encontrar as senhas para todos os usuários do indexador Wazuh e da API Wazuh no arquivo wazuh-passwords.txt dentro de wazuh-install-files.tar. Para imprimi-los, execute o seguinte comando:
sudo tar -O -xvf wazuh-install-files.tar wazuh-install-files/wazuh-passwords.txt
Como Desinstalar o Wazuh?
Se você deseja desinstalar os componentes centrais do Wazuh, execute o assistente de instalação do Wazuh usando a opção -u ou –-uninstall.
sudo bash ./wazuh-install.sh --uninstall
E o Agente do Wazuh?
Sim, agora precisamos instalar o agente nas máquinas que queremos proteger.
Isso ficará para nosso outro post. veja: Wazuh: Instalando o Agente nos Dispositivos que Serão Protegidos
Comment on “Wazuh: Realizando a Instalação no Linux”