실습에 사용된 우분투 버전 : ubuntu-22.04.4-live-server-amd64(RAM 4GB, CORE 2개 이상 설정 필수)
SIEM 버전 : wazuh 4.7
우분투 설치 완료 후 sudo apt-get update 를 통해서 최신버전으로 사용 가능한 패키지들과 그 버전에 대한 정보를 업데이트 진행
이 후 아래 게시글 절차에 따라 진행하면 된다.
지금부터 설치할 wazuh 에 대해서 아래에 wazuh siem 홈페이지 링크를 걸어두겠다.
https://wazuh.com/platform/siem/
SIEM | Wazuh
The Wazuh SIEM solution is a centralized platform for aggregating and analyzing telemetry in real time for threat detection and compliance.
wazuh.com
먼저 서버 구축을 진행하기전에 SIEM 이란 무엇인가에 대해 간략하게 알아보고 가자
sudo curl -sO https://packages.wazuh.com/4.7/wazuh-install.sh && sudo bash ./wazuh-install.sh -a
해당 명령어를 입력하면 바로 설치가 진행되고, 설치 완료가 됬다는 문구와 함께 admin 계정과 비밀번호가 출력된다.
(위 명령어를 입력했는데 에러가 나온다면 RAM을 4GB이상, process core 를 2개 이상 설정했는지 한번 확인해보자.)
설치 완료 시 아래와 같이 아이디 비밀번호를 제공해준다.
https://서버ip주소 로 접속하면 해당 화면이 나오고 아까 설치 완료시 받은 계정 정보를 이용해 로그인한다.
만약 패스워드를 확인하지 못하고 화면을 넘기거나 재부팅을 했을 경우에 wazuh 를 받아온 디렉토리에 보면
wazuh-install-files.tar 이 있다. 해당 압축 파일을 해제할 경우 (sudo tar -xvf wazuh-install-files.tar)
나오는 폴더 안에 wazuh-password.txt 파일이 있다. sudo cat 으로 읽어보면 상단에 admin password 가 나와있으니 여기서 확인하면 된다.
서버 설치가 아주 간단하게 완료 되었으니 에이전트를 등록해보자.
에이전트는 Centos 7 과 윈도우 에서 한번 테스트를 해보자. 일단 대쉬보드에서 에이전트 등록을 진행해준다.
상단에 화살표를 누르고 Agents 항목을 들어가보자.
이제 해당 필드 값들을 채워주기만 하면 된다. 첫번째로 centos 7 에 에이전트 등록을 먼저 해보자. 위에 운영체제 고르는 항목에서 centos 7 에 맞는 버전을 눌러주고 아래 필드값을 채워보자.
나머지 정보들 입력. default 값이 입력된 곳은 agent 그룹을 설정하는 곳. 따로 등록해둔 그룹이 없어서 default 로 진행됨.
필드값들을 모두 입력 완료하면 4번 항목에 어떤 명령어를 입력하면 agent 등록이 되는지 친절하게 나온다. 해당 명령어를 그대로 복사해서 centos 7 에 입력해주면 된다.
설치 완료 후 systemctl start wazuh-agent 로 서비스를 시작해주면
agents 가 활성화 된 것을 확인할 수 있다.
해당 agent의 각 탭에 들어가게 되면 여러 통계 자료들을 확인할 수 있고 상단에 security events , intergirty monitoring 등등여러 타입의 데이터들을 확인할 수 있다. 추가로 window agent 등록을 진행해보자.
window agent 등록에는 두 가지 방법이 있다. window power shell 을 이용해서 리눅스 agent 등록처럼 진행하는 법이 있고, agent 프로그램을 다운로드해서 gui 로 진행하는 방법이 있다.
power shell 을 이용하는 방법은 Deploy new agent 를 눌러서 아까 최초 agent 등록했던 화면으로 넘어가 똑같이 진행하면 된다. 운영체제 버전만 window로 선택해주자.
아까처럼 똑같이 복사해서 power shell 에 붙여넣기 하고,
NET START Wazuh를 입력해주면 된다.
지금 테스트해볼 방법은 agent 프로그램 설치 후 gui 로 진행해볼 것이다. 설치파일은 아래에서 받아주면 된다.
Installing Wazuh agents on Windows endpoints - Wazuh agent
User manual, installation and configuration guides. Learn how to get the most out of the Wazuh platform.
documentation.wazuh.com
형광펜 칠해진 링크를 누르면 자동으로 다운로드 되고, 다운로드된 파일을 실행시키면 설치가 진행된다.
해당 프로그램 설치는 어려울게 없다 그냥 다음 다음 누르면 된다. 설치 완료 후 실행하면 해당 화면이 나온다.
Manager IP 에 SIEM ip 를 입력하고 save. 상단 Manage 탭에서 start 를 눌러준다.
Start 를 누르고 Refresh 를 눌러주면 자동으로 Auth key 를 받아오고 status 가 Running 상태로 변경된다.
이제 홈페이지로 넘어가서 agent 가 활성화 되었는지 확인해보자.
정상적으로 등록된 것을 확인할 수 있다. 상단에 management 에서 Rules 작성 등을 진행할 수 있고,
Security 항목에서 역할, 권한설정, 정책 설정 등을 진행할 수 있다.
여기까지 ubuntu wazuh SIEM 구축 및 agent 등록을 진행해보았다. 혹여나 Centos 7 에서 SIEM 서버 구축을 테스팅하고싶으면 아래 참조 링크를 남겨두겠다.
https://wowgold-seller.com/ko/stories/6745-installing-and-configuring-wazuh-server-on-centos-7
CentOS 7에 Wazuh 서버 설치 및 구성
Redmine은 가장 널리 사용되는 오픈 소스 프로젝트 관리 및 문제 추적 소프트웨어 도구 중 하나입니다. 크로스 플랫폼 및 크로스 데이터베이스이며 Ruby on Rails 프레임워크를 기반으로 구축되었습
wowgold-seller.com