Wazuh è una piattaforma di monitoraggio della sicurezza e gestione degli eventi (SIEM - Security Information and Event Management) open source, che offre funzionalità avanzate per la rilevazione di minacce, la gestione degli incidenti e la conformità normativa. Se desideri implementare un sistema di monitoraggio completo per la sicurezza della tua rete, Wazuh è una delle soluzioni più robuste e scalabili, con una forte enfasi sulla protezione dei dati, la rilevazione degli attacchi e la gestione degli eventi.
In questo articolo, spiegherò i passaggi necessari per installare Wazuh su un server Linux, includendo l'installazione di componenti come l'agent, il server e la dashboard di Wazuh per una gestione completa della sicurezza.
Requisiti di Sistema
Prima di iniziare l'installazione, è importante verificare che il sistema soddisfi i seguenti requisiti minimi:
- Sistema operativo: Wazuh supporta diversi sistemi operativi, tra cui Ubuntu, CentOS, Debian, RHEL, e altre distribuzioni Linux. Può essere installato anche su macchine Windows, ma qui ci concentreremo su un'installazione su Linux.
- CPU: Processore moderno, meglio se multi-core.
- RAM: Almeno 4 GB di RAM (8 GB o più sono raccomandati per implementazioni su larga scala).
- Spazio su disco: Minimo 50 GB di spazio libero (a seconda della quantità di dati raccolti e conservati).
- Connettività di rete: È necessario avere accesso alla rete e una connessione internet stabile per scaricare i pacchetti necessari.
Fasi dell'Installazione di Wazuh
1. Installazione dei prerequisiti
Prima di installare Wazuh, è necessario preparare il sistema con alcuni pacchetti di base. Esegui questi comandi per aggiornare il sistema e installare le dipendenze:
sudo apt update sudo apt install -y curl apt-transport-https lsb-release
2. Aggiungere il Repository di Wazuh
Wazuh fornisce un repository ufficiale per semplificare l'installazione. Aggiungiamo il repository al sistema e importiamo la chiave GPG:
curl -s https://packages.wazuh.com/key/GPG-KEY-WAZUH | sudo apt-key add -
Successivamente, aggiungiamo il repository di Wazuh al sistema:
echo "deb https://packages.wazuh.com/4.x/apt stable main" | sudo tee /etc/apt/sources.list.d/wazuh.list
3. Installazione di Wazuh Manager
Wazuh Manager è il componente centrale che gestisce la raccolta e l'analisi dei log. Per installarlo, esegui i seguenti comandi:
sudo apt update sudo apt install wazuh-manager
Questo comando installa il server Wazuh che riceverà e analizzerà i dati dagli agenti.
4. Installazione di Elasticsearch (per il supporto SIEM)
Per una corretta gestione e archiviazione dei dati, Wazuh utilizza Elasticsearch, una potente piattaforma di ricerca e analisi.
Prima di installare Elasticsearch, aggiungi il repository ufficiale:
curl -fsSL https://artifacts.elastic.co/GPG-KEY-elasticsearch | sudo apt-key add -
Aggiungi il repository di Elasticsearch:
echo "deb https://artifacts.elastic.co/packages/7.x/apt stable main" | sudo tee /etc/apt/sources.list.d/elastic-7.x.list
Installa Elasticsearch:
sudo apt update
sudo apt install elasticsearch
Avvia e abilita Elasticsearch:
sudo systemctl start elasticsearch
sudo systemctl enable elasticsearch
5. Installazione di Kibana (Dashboard di Wazuh)
Kibana è il componente di visualizzazione che consente di esplorare i dati raccolti da Elasticsearch attraverso una dashboard interattiva.
Per installare Kibana, aggiungi il repository e installa il pacchetto:
sudo apt install kibana
Avvia e abilita Kibana:
sudo systemctl start kibana
sudo systemctl enable kibana
6. Configurazione di Wazuh con Elasticsearch e Kibana
Dopo aver installato tutti i componenti necessari, è necessario configurare Wazuh per integrarsi correttamente con Elasticsearch e Kibana.
- Modifica il file di configurazione di Wazuh (/etc/wazuh/wazuh.yml) per abilitare l'integrazione con Elasticsearch.
- Configura Kibana per caricare l'applicazione Wazuh. Puoi farlo modificando il file di configurazione di Kibana e aggiungendo il modulo Wazuh. Su Kibana, vai su Management > Kibana Settings > Wazuh.
7. Installazione degli Agenti Wazuh sui Client
Per raccogliere i log dai sistemi client, è necessario installare l'agente Wazuh su ogni macchina che vuoi monitorare.
Per installare un agente Wazuh su una macchina Linux, esegui:
sudo apt install wazuh-agent
Configura l'agente Wazuh modificando il file di configurazione /var/ossec/etc/ossec.conf, impostando l'IP del Wazuh Manager.
Avvia l'agente:
sudo systemctl start wazuh-agent
sudo systemctl enable wazuh-agent
Puoi verificare che l'agente sia in comunicazione con il server Wazuh usando:
sudo wazuh-control status
8. Verifica dell'Installazione
Per verificare che Wazuh sia correttamente configurato e operativo, accedi alla dashboard di Kibana e verifica che i dati provenienti dai client siano visibili. Puoi anche utilizzare i comandi di log di Wazuh per assicurarti che l'analisi dei dati sia in corso senza errori:
sudo tail -f /var/ossec/logs/ossec.log
Conclusioni
L'installazione di Wazuh ti consente di avere una solida infrastruttura di monitoraggio della sicurezza per la tua rete. Con l'integrazione di Elasticsearch per l'analisi dei log e Kibana per la visualizzazione dei dati, Wazuh diventa un potente strumento per la gestione degli incidenti di sicurezza.
Ricorda che, essendo una piattaforma altamente scalabile, Wazuh può essere configurato in modo avanzato per supportare ambienti complessi, incluso il monitoraggio di container, ambienti cloud e molto altro.