Merhaba Opensource HIDS aracı olan Wazuh kurulumunu en basit şekilde anlatmaya çalışacağım. Wazuh kurulumu yaparken aslında birden çok seçeneğiniz var Linux makinenize kurabilirsiniz,Security Onion kurup içerisinde çalışan Wazuh sunucunusu kullanabilirsiniz.
En hızlı ve sorunsuz yükleme benim için Wazuhun sayfasında bulunan .ova dosyasını import edip ardından çalıştırmak oldu.
Wazuh Nedir?
Wazuh eski adı Ossec olan HIDS aracıdır.Log managment yapabileceğiniz, kurallar oluşturup olay müdahalesi gerçekleştirebileceğiniz, tehdit algılama yapabileceğiniz bir araçtır.
İlk olarak Wazuh aracının web sitesinde bulunan .ova dosyasını indiriyoruz ve import ediyoruz. https://documentation.wazuh.com/current/deployment-options/virtual-machine/virtual-machine.html
Ben Virtulbox kullandım fakat diğer sanallaştırma uygulamalarınıda kullanabilirsiniz .ova desteklemesi yeterli olacaktır.
Ayrıca import aşamasında dikkat etmeniz gereken en önemli husus kaynakların yeterli verilmesidir.
Önerilen kaynaklar:
Wazuh .ova dosyasını seçim import ediyoruz.
Diğer önemli husus import sonrası network ayarlarının yapılması burada network adaptörünü seçip ilgili ağa dahil etmelisiniz Seçim size kalmış seçtiğiniz network de bir test makinesi olması yeterli.
Network ayarlarından sonra makineyi çalıştırıyoruz ve defaul user password ile login oluyoruz.
Default User: wazuh-user
Password: wazuh
ip a komutu ile managment IP adresini öğreniyoruz.
Dasboard managment adreside aynı IP adresi http://<managmentIp>
Default username:admin Passwor: admin
Şimdi agent yükleme aşamasını geçelim.
Agent sekmesini seçip gelen ekranda +deploy new agent ‘a tıklıyoruz.Agent yükleyeceğimiz işletim sistemini seçiyoruz .Ben Windows işletim sistemine kuracağımı.
Ekran görüntüsündeki komutu Poweshell açıp komut satırına yazıyoruz sonrasında NET START WazuhSvc komutu ile Wazuh servisini çalıştıryoruz.
Ben bu adımları yaptım fakat key hatası aldım onun içinde komutu çalıştırdıktan sonra C:\Program Files (x86)\ossec-agent dosyasına gidip (bu path default install pathdir) Wazuh agent’ı çalıştırdım
Key almadığını görünce Powershell açıp ekran görüntüsündeki komutları girdim ve sonrasında agent manager’ı restart ettim.Başarılı şekilde key aldığını gördüm.Sonrasında dashboarda gidip kontrol sağladım.
Son olarak ben wazuh-dasboard servisinde birkaç kez hata aldım bunu çözmek için wazuh sunucusuna gidip servis durumunu kontrol edip servisi restart etmeniz yeterli
Komutlar :
Bir Türk Atasözü :” Kapat aç düzelir :)”