开源安全管理平台wazuh-安装与配置
文章目录
- 核心组件与工作方式
- 主要应用场景
- 安装与配置
- 1、资源要求
- 2、快速安装
- 3、修改密码
- 4、安装EDR的agent
- 5、验证EDR的效果
- 总结与建议
Wazuh是一个功能强大的开源安全平台,它集成了安全信息与事件管理(SIEM)和扩展检测与响应(XDR)的能力,旨在为本地、虚拟化、容器化及云环境中的工作负载提供统一的威胁预防、检测和响应解决方案。
Wazuh的核心能力如下:
| 核心功能 | 核心功能说明 |
|---|---|
| 威胁检测与响应 | 提供入侵检测(如恶意软件、Rootkit检测)、日志数据分析、文件完整性监控以及主动响应(如自动封禁IP)等能力。 |
| 资产与漏洞管理 | 自动进行资产盘点(端口、进程、应用等),并关联CVE数据库实现漏洞检测,帮助识别系统弱点。 |
| 合规性与配置评估 | 支持PCI DSS、GDPR、HIPAA等多种合规标准,提供预定义的检查策略和自动化报告生成功能。 |
| 云与容器安全 | 支持通过API监控AWS、Azure、Google Cloud等云环境,并能与Docker引擎集成,监控容器镜像、配置和运行时行为。 |
| 架构与可扩展性 | 采用代理/服务器架构,支持Windows、Linux、macOS等多种操作系统,并拥有灵活的规则引擎,允许用户自定义检测规则。 |
核心组件与工作方式
Wazuh的典型架构主要包含三个组件,它们协同工作以提供完整的安全防护闭环:
- Wazuh代理(Agent):这是安装在需要保护的端点(如服务器、笔记本电脑、云实例)上的轻量级软件。它负责收集日志、监控文件完整性、扫描系统配置和漏洞,并将这些数据安全地发送给中央管理器。
- Wazuh服务器(Server):作为大脑,服务器接收来自所有代理的数据,并通过内置的解码器和规则引擎进行分析,以识别潜在的安全威胁和异常活动。它还可以管理代理的配置和升级。
- Wazuh索引器(Index):Wazuh索引器是一个高度可扩展的全文本搜索和分析引擎。这个中央组件索引并存储由Wazuh服务器生成的警报。
- Wazuh仪表盘(dashboard):Wazuh仪表盘是数据可视化和分析的网络用户界面。它包括用于威胁狩猎、合规性(例如,PCI DSS、GDPR、CIS、HIPAA、NIST 800-53)的现成仪表盘,检测到的易受攻击的应用程序,文件完整性监控数据,配置评估结果,云基础设施监控事件以及其他内容。它还用于管理Wazuh配置并监控其状态。
主要应用场景
基于上述特点,Wazuh可以在多种环境中发挥重要作用:
- 企业网络安全:保护企业内网中的服务器和终端设备,检测和响应来自内部和外部的安全威胁,如SSH暴力破解、Web应用攻击等。
- 满足合规性要求:对于需要遵守PCI DSS、GDPR(通用数据保护条例)等法规的组织,Wazuh的自动化合规检查和报告功能可以显著降低审计复杂度。
- 云原生环境防护:在混合云或多云环境中,Wazuh能提供统一的安全视图,监控云基础设施的配置风险(如公开的S3存储桶)和容器化应用的安全。
安装与配置
1、资源要求
wazuh安装的硬件需求高度依赖于受保护端点数量和云工作负载。
以下配置在同一主机上all in one部署Wazuh服务器、Wazuh索引器和Wazuh仪表板。这通常足以监控多达100个端点,并存储90天的可查询/索引警报数据。下表显示了all in one部署的推荐硬件:
| Agents | CPU | RAM | Storage (90 days) |
|---|---|---|---|
| 1-25 | 4 vCPU | 8 GiB | 50 GB |
| 25–50 | 8 vCPU | 8 GiB | 100 GB |
| 50–100 | 8 vCPU | 8 GiB | 200 GB |
Wazuh 的中心组件需要 64 位 Intel、AMD 或 ARM Linux 处理器(x86_64/AMD64 或 AARCH64/ARM64 架构)来运行。Wazuh 推荐以下任何一种操作系统版本:
- Amazon Linux 2,Amazon Linux 2023
- CentOS 7,8
- CentOS Stream 10
- Red Hat Enterprise Linux 7,8,9,10
- Ubuntu 16.04,18.04,20.04,22.04,24.04
2、快速安装
Wazuh的安装很简单,直接执行以下命令即可。
curl -sO https://packages.wazuh.com/4.13/wazuh-install.sh && sudo bash ./wazuh-install.sh -a
命令执行完成,输出将显示访问用户名密码,并显示确认安装成功的消息。
INFO: --- Summary ---
INFO: You can access the web interface https://<WAZUH_DASHBOARD_IP_ADDRESS>User: adminPassword: <ADMIN_PASSWORD>
INFO: Installation finished.
通过web界面就可以访问安装好的wazuh
输入用户名和密码就可以登录到wazuh
3、修改密码
wazuh安装后会默认给个admin的密码,这个密码比较长也不好记忆。可以通过以下命令对admin的默认密码进行修改。
bash wazuh-passwords-tool.sh -u admin -p Secr3tP4ssw*rd
4、安装EDR的agent
Wazuh代理是一种单一且轻量级的监控软件。它是一个多平台组件,可以部署到笔记本电脑、台式机、服务器、云实例、容器或虚拟机。它通过收集关键系统和应用记录、库存数据以及检测异常,为端点的安全性提供可见性。
在wazuh的dashboard界面,找到Agents summary 点击进去后,点击“Deploy new agent” 安装新的agent代理
![[图片]](https://i-blog.csdnimg.cn/direct/dff721d766934dc890f309d3d250a063.png)
将显示agent安装的向导界面。
![[图片]](https://i-blog.csdnimg.cn/direct/2410523f53ba42d8840af9d18241bec9.png)
选择目标主机的操作系统,填写wazuh的服务的IP后,将自动生成安装agent的脚本命令。
![[图片]](https://i-blog.csdnimg.cn/direct/05c3406eb66c4347802234d1aaa3900a.png)
在目标主机上直接执行命令就可以成功将agent安装。
![[图片]](https://i-blog.csdnimg.cn/direct/ebc8fa18f7e04abcb789748bb06515cd.png)
通过以下命令启动wazuh-agent
sudo systemctl daemon-reload
sudo systemctl enable wazuh-agent
sudo systemctl start wazuh-agent
再通过 sudo systemctl status wazuh-agent 查看wazuh-agent的运行状态。
![[图片]](https://i-blog.csdnimg.cn/direct/f05aa339d79e450ca0549505ce0892b6.png)
5、验证EDR的效果
wazuh-agent安装完后,就可以在wazuh的dashbord中看到agent采集到的相应的安全风险概览数据了。
![[图片]](https://i-blog.csdnimg.cn/direct/9f687447bd4e4f3ea4b950b7de613d55.png)
总结与建议
总的来说,Wazuh是一个功能全面、可扩展性强的开源安全平台,特别适合那些希望构建统一、高效且成本可控的安全运营体系的企业或技术团队。后续我将通过一系列POC来验证wazuh的能力。
作者博客:http://xiejava.ishareread.com/