Wazuh Server 4.3 e Filebeat-OSS

Published by Lello on

Procediamo i nostri articoli relativi alla piattaforma Wazuh, con l’installazione di Wazuh Server 4.3 e Filebeat-OSS. Il server ha il compito di analizzare i dati ricevuti dagli agents, attivando avvisi quando vengono rilevate minacce o anomalie. Viene inoltre utilizzato per gestire in remoto la configurazione degli agents e monitorarne lo stato. Filebeat-OSS si occupa di trasferire i dati raccolti da Wazuh Server verso Wazuh Indexer.

Il diagramma seguente rappresenta l’architettura e i componenti del server:

Installazione e configurazione Wazuh Server

Per effettuare l’installazione del server, utilizzeremo dnf con il repo di Wazuh installato e configurato precedentemente; successivamente abiliteremo ed avvieremo il servizio:

# dnf -y install wazuh-manager
# systemctl daemon-reload
# systemctl enable wazuh-manager
# systemctl start wazuh-manager

Wazuh Server è ora correttamente installato ed in esecuzione; possiamo dunque procedere con l’installazione di Filebeat-OSS.

Installazione e configurazione Filebeat-OSS

Filebeat-OSS è la parte della piattaforma che effettua data-ingestion dei dati provenienti da Wazuh Server verso Wazuh Indexer. La versione OSS di Filebeat è la versione che viene rilasciata da Elatic sotto licenza Apache 2.0.

I passi per effettuare l’installazione e la configurazione sono semplici. In primo luogo installiamo il package; successivamente completeremo la configurazione:

  • scaricando una versione del file di configurazione specifico per la piattaforma e sostituendola al predefinito (filebeat.yml)
  • scaricando i template degli alert per l’Indexer (wazuh-templates.json);
  • scaricando ed installando il modulo Wazuh per Filbeat (wazuh-filebeat-0.x.tar.gz)
# dnf install -y filebeat
# curl -so /etc/filebeat/filebeat.yml https://packages.wazuh.com/4.3/tpl/wazuh/filebeat/filebeat.yml
# curl -so /etc/filebeat/wazuh-template.json https://raw.githubusercontent.com/wazuh/wazuh/4.3/extensions/elasticsearch/7.x/wazuh-template.json
# chmod go+r /etc/filebeat/wazuh-template.json

Editiamo il file di configurazione /etc/filebeat/filebeat.yml; modifichiamolo per fare puntare Filebeat all’Indexer installato precedentemente:

# Wazuh - Filebeat configuration file
output.elasticsearch:
hosts: ["192.168.100.100:9200"]
protocol: https
username: ${username}     <-- Nome della variabile nel keystore che conterrà la username
password: ${password}     <-- Nome della variabile nel keystore che conterrà la password

Creiamo il keystore di Filebeat, ed aggiungiamo l’utente admin con password passw0rd:

# echo admin | filebeat keystore add username --stdin --force
# echo passw0rd | filebeat keystore add password --stdin --force

Installiamo infine i certificati:

# cd /etc/filebeat
# mkdir certs
# cp /usr/src/wazuh_install/wazuh-certificates/* certs/
# mv certs/wazuh.pem certs/filebeat.pem
# mv certs/wazuh-key.pem certs/filebeat-key.pem
# chmod 500 certs
# chmod 400 certs/*
# chown -R root:root certs

ATTENZIONE: glibc 2.34 (di default su AlmaLinux 9.0) ha aggiunto una nuova syscall rseq che non è nell’elenco predefinito delle syscall consentite. Per questo motivo, il servizio filebeat andrà in crash non appena verrà avviato. Esiste un workaround che permette di ovviare al problema. Occorre aggiungere al file di configurazione di filebeat, le seguenti direttive per permettere rseq:

seccomp:
  default_action: allow 
  syscalls:
  - action: allow
    names:
    - rseq

Procediamo con il l’abilitazione e l’avvio del servizio:

# systemctl daemon-reload
# systemctl enable filebeat
# systemctl start filebeat

Testiamo infine se il servizio funziona correttamente e si collega all’Indexer:

# filebeat test output
elasticsearch: https://192.168.100.100:9200...
  parse url... OK
  connection...
    parse host... OK
    dns lookup... OK
    addresses: 192.168.100.100
    dial up... OK
  TLS...
    security: server's certificate chain verification is enabled
    handshake... OK
    TLS version: TLSv1.3
    dial up... OK
  talk to server... OK
  version: 7.10.2

Abbiamo dunque correttamente installato un cluster Wazuh a nodo singolo; possiamo procedere con l’installazione di Wazuh Dashboard 4.3 che ci permetterà di analizzare i dati contenuti nell’Indexer.

Wazuh Indexer 4.3 Wazuh Dashboard 4.3 →