Nedir?
Wazuh, XDR ve SIEM yeteneklerini birleştiren ücretsiz ve açık kaynaklı bir güvenlik platformudur. Kuruluşların ve bireylerin veri varlıklarını güvenlik tehditlerine karşı korumalarına yardımcı olur. Küçük işletmelerden büyük işletmelere kadar dünya çapında binlerce kuruluş tarafından yaygın olarak kullanılmaktadır. Ayrıca, PCI DSS veya HIPAA gibi yasal uyumluluk gereksinimlerini ve CIS sağlamlaştırma kılavuzları gibi yapılandırma standartlarını karşılamak için de kullanılır. Bileşenleri, GNU Genel Kamu Lisansı, sürüm 2 ve Apache Lisansı, Sürüm 2.0 (ALv2) ile uyumludur.
Aşağıda, Wazuh platformunun en yaygın kullanım örneklerinden bazılarının örneklerini bulabilirsiniz.
| Log data analysis | File integrity monitoring |
| Rootkits detection | Active response |
| Configuration assessment | System inventory |
| Vulnerability detection | Cloud security |
| Container security | Regulatory compliance |
Manager Kurulumu
Kuruluma geçmeden önce isterlere bakacak olursak donanım kısmında kurulan agent sayısına göre artış göstermektedir.
Donanım
| Ajan | CPU | RAM | Depolama (90 günlük) |
|---|---|---|---|
| 1–25 | 4 vCPU | 8 GiB | 50 GB |
| 25–50 | 8 vCPU | 8 GiB | 100 GB |
| 50–100 | 8 vCPU | 8 GiB | 200 GB |
Manager kurulumunu Ubuntu 22.04 üzerine yapıyor olcağım. Siz dilerseniz aşağıdaki işletim sistemlerinden bir tanesine Manager kurulumu yapabilirsiniz.
İşletim sistemi
| Amazon Linux 2 | CentOS 7, 8 |
| Red Hat Enterprise Linux 7, 8, 9 | Ubuntu 16.04, 18.04, 20.04, 22.04 |
Root yetkisine sahip bir kullanıcı ile kuruluma başlayabiliriz. Aşağıdaki komut ile güncel Manager kurulumuna başlayacağız. Yazının yazıldığı an itibari ile güncel sürüm 4.3 olmak ile sürüm kontrolü yapmanızda fayda var.
curl -sO https://packages.wazuh.com/4.3/wazuh-install.sh && sudo bash ./wazuh-install.sh -a
Kurulum kendiliğinden tamamlanacak ve varsayılan kullanıcı olan admin’e ait şifreyi size verecektir.
Manager web console giriş yapabilmemiz ve daha sonra kuracağımız agent’in manager ile haberleşebilmesi için aşağıdaki portları inbound olarak firewall üzerinde tanımlamamız gerekmektedir.
sudo ufw allow 443/tcp
sudo ufw allow 1514/tcp
sudo ufw allow 1515/tcp
sudo ufw allow 55000/tcp
Web Console Erişimi ve Agent Kurulumu
Artık https://<wazuh-dashboard-ip> ile Wazuh Manager web arayüzüne erişebilir ve aşağıdaki kullanıcı bilgileri ile oturum açabiliriz.
Kullanıcı adı: admin
Şifre: Kurulum tamamlanınca size verilmektedir.
Agent’ı test amaçlı olarak macOS işletim sistemli bir cihaza kuracağım. Fakat Wazuh Agent aşağıdaki tüm işletim sistemlerini desteklemektedir.
| Linux | Windows | macOS |
| Oracle Solaris | AIX | hpUX |
Arayüzde oturum açtıktan sonra sırasıyla Wazuh -> Agent -> Deploy New Agent yolunu izliyoruz.
Aşağıda görüleceği üzere agent’ın kurulacağı işletim sistemini seçip ve Wazuh Manager IP adresini girdikten sonra kurulum için çalıştırılması gereken komutu 4. bölümde bize veriyor. Yapmamız gereken tek şey bu komutu çalıştırmak.
En son 5. bölümde ise agent’ı başlatmamız için çalıştırmamız gereken komutu bize veriyor.
Öneri / Tavsiye
Örnek olması açısından kişisel bilgisayarımda risk olarak değerlendirdiği ve bunların kapatılması ile ilgili tavsiyeleri içeren ekran görüntüsünü paylaşıyorum.
Agent Kaldırma
Agent’ı kaldırmak isterseniz yine macOS özelinde aşağıdaki komutları sırasıyla çalıştırabilirsiniz.
sudo /Library/Ossec/bin/wazuh-control stop
sudo /bin/rm -r /Library/Ossec
sudo /bin/launchctl unload /Library/LaunchDaemons/com.wazuh.agent.plist
sudo /bin/rm -f /Library/LaunchDaemons/com.wazuh.agent.plist
sudo /bin/rm -rf /Library/StartupItems/WAZUH
sudo /usr/bin/dscl . -delete "/Users/wazuh"
sudo /usr/bin/dscl . -delete "/Groups/wazuh"
sudo /usr/sbin/pkgutil --forget com.wazuh.pkg.wazuh-agent
