栏目头部广告

开源Wazuh安全平台容器化部署

一、Wazuh简介

Wazuh 是一个免费、开源和企业级的安全监控解决方案,用于威胁检测、完整性监控、事件响应和合规性。Wazuh由部署到受监视系统的端点安全代理和管理服务器组成,管理服务器收集和分析代理收集的数据。此外,Wazuh已与Elastic Stack完全集成,提供了搜索引擎和数据可视化工具,使用户可以浏览其安全警报。Wazuh提供的功能包括日志数据分析,入侵和恶意软件检测,文件完整性监视,配置评估,漏洞检测以及对法规遵从性的支持。

官网地址:https://documentation.wazuh.com/current/installation-guide/index.html
GitHub地址:https://github.com/wazuh/wazuh-docker

1.1 Wazuh平台的组件和体系结构

Wazuh平台主要包括三个主要组件,分别是Wazuh代理,Wazuh服务器和Elastic Stack。

(1)Wazuh代理:它安装在端点上,例如:服务器,云实例或虚拟机。它提供了预防,检测和响应功能。它确实支持Windows,Linux,macOS,HP-UX,Solaris和AIX平台。
(2)Wazuh服务器:它分析从代理收到的数据,通过解码器和规则对其进行处理,并使用威胁情报来查找众所周知的危害指标(IOC)。一台服务器可以分析来自成百上千个代理的数据,并在设置为集群时水平扩展。该服务器还用于管理代理,在必要时进行远程配置和升级。
(3)Elastic Stack:它索引和存储Wazuh服务器生成的警报。此外,Wazuh和Kibana之间的集成为数据的可视化和分析提供了强大的用户界面。该界面还可用于管理Wazuh配置并监视其状态。

1.2 架构图

【注】放大页面可以查看高清图片。

(1)整体架构图

容器化部署开源Wazuh安全平台(图1)

官网地址:https://documentation.wazuh.com/current/getting-started/components/index.html

(2)Agent端组件架构

architecture-agent1.png

官网地址:https://documentation.wazuh.com/current/getting-started/components/wazuh_agent.html#wazuh-agent

(3)Server端架构

architecture-server1.png

官网地址:https://documentation.wazuh.com/current/getting-started/components/wazuh_server.html#wazuh-server

二、Wazuh部署

官网容器化部署介绍:https://documentation.wazuh.com/current/docker/docker-installation.html

2.1 准备工作

(1)安装Docker compose工具

[root@10-27-0-224 ~]# curl -L "https://github.com/docker/compose/releases/download/1.28.3/docker-compose-$(uname -s)-$(uname -m)" -o /usr/local/bin/docker-compose

(2)添加可执行权限

[root@10-27-0-224 ~]# chmod +x /usr/local/bin/docker-compose

(3)添加软连接

[root@10-27-0-224 ~]# ln -s /usr/local/bin/docker-compose /usr/bin/docker-compose

(4)内核参数调整

[root@10-27-0-224 ~]# sysctl -w vm.max_map_count=262144

2.2 演示部署

(1)克隆Wazuh容器仓库

[root@10-27-0-224 ~]# git clone https://github.com/wazuh/wazuh-docker.git -b v4.2.0 --depth=1

(2)启动容器

[root@10-27-0-224 ~]# cd wazuh-docker/
[root@10-27-0-224 wazuh-docker]# docker-compose up -d

(3)拓展内容(绑定自定义域名)

[root@10-27-0-224 wazuh-docker]# vim docker-compose.yml
……
  kibana:
    image: wazuh/wazuh-kibana-odfe:4.2.0
    hostname: kibana
    restart: always
    ports:
      - 5601:5601                     # 修改默认443端口卫5601
    environment:
      - ELASTICSEARCH_USERNAME=admin
      - ELASTICSEARCH_PASSWORD=admin
      #- SERVER_SSL_ENABLED=true     # 屏蔽
      #- SERVER_SSL_CERTIFICATE=/usr/share/kibana/config/opendistroforelasticsearch.example.org.cert  # 屏蔽
      #- SERVER_SSL_KEY=/usr/share/kibana/config/opendistroforelasticsearch.example.org.key           # 屏蔽
……

# nginx代理转发配置
[root@10-27-0-224 ~]# vim /etc/nginx/conf.d/wazuh.starcto.com.conf 
server {
   listen 80;
   listen [::]:80;
   server_name wazuh.starcto.com;
   rewrite ^ https://$http_host$request_uri? permanent;
}

server {
   listen       443 ssl http2 ;
   listen       [::]:443 ssl http2;
   server_name  wazuh.starcto.com;

   ssl_certificate "/data/ssl/wazuh.starcto.com/public.pem";
   ssl_certificate_key "/data/ssl/wazuh.starcto.com/private.key";
   ssl_session_cache shared:SSL:1m;
   ssl_session_timeout  10m;
   ssl_ciphers HIGH:!aNULL:!MD5;
   ssl_prefer_server_ciphers on;

   location / {
   proxy_pass        http://10.25.25.25:5601;
         proxy_ssl_session_reuse off;
         proxy_set_header   Host             $host;
         proxy_set_header   X-Real-IP        $remote_addr;
         proxy_set_header   X-Forwarded-For  $proxy_add_x_forwarded_for;
   }
}

三、浏览器访问配置

3.1 查看容器运行情况

[root@10-27-0-224 ~]# docker ps
CONTAINER ID   IMAGE                                        COMMAND                  CREATED          STATUS          PORTS                                                                                        NAMES
3f67b222b5c5   wazuh/wazuh-kibana-odfe:4.2.0                "/bin/sh -c ./entryp…"   30 minutes ago   Up 30 minutes   0.0.0.0:443->5601/tcp                                                                        wazuh-docker_kibana_1
5f1a270c037d   wazuh/wazuh-odfe:4.2.0                       "/init"                  30 minutes ago   Up 30 minutes   0.0.0.0:1514-1515->1514-1515/tcp, 0.0.0.0:514->514/udp, 0.0.0.0:55000->55000/tcp, 1516/tcp   wazuh-docker_wazuh_1
f863669ad885   amazon/opendistro-for-elasticsearch:1.13.2   "/usr/local/bin/dock…"   30 minutes ago   Up 30 minutes   9300/tcp, 9600/tcp, 0.0.0.0:9200->9200/tcp, 9650/tcp                                         wazuh-docker_elasticsearch_1

3.2 登录配置

https://10.27.0.224/  默认用户:admin    默认密码:admin

容器化部署开源Wazuh安全平台(图4)


3.3 安装并配置客户端Agent

Agent客户端安装教程:https://documentation.wazuh.com/4.2/installation-guide/wazuh-agent/wazuh_agent_package_linux.html

容器化部署开源Wazuh安全平台(图5)


容器化部署开源Wazuh安全平台(图6)

(1)安装agent客户端

[root@10-27-0-224 ~]# sudo WAZUH_MANAGER='10.27.0.224' WAZUH_AGENT_GROUP='default' yum install https://packages.wazuh.com/4.x/yum/wazuh-agent-4.2.0-1.x86_64.rpm

(2)启动agent客户端

[root@10-27-0-224 ~]# sudo systemctl daemon-reload
[root@10-27-0-224 ~]# sudo systemctl enable wazuh-agent
[root@10-27-0-224 ~]# sudo systemctl start wazuh-agent

(3)查看添加成功

容器化部署开源Wazuh安全平台(图7)

3.4 变更密码

https://documentation.wazuh.com/current/user-manual/elasticsearch/elastic_tuning.html

作者:UStarGao
链接:https://www.starcto.com/open-sourcing/230.html
来源:STARCTO
著作权归作者所有。商业转载请联系作者获得授权,非商业转载请注明出处

UCloud云平台推荐


UCloud新用户专属注册连接

UCloud CDN超值特惠专场

UCloud全球云主机(UHost/VPS)大促页面

UCloud快杰云主机大促页面

文章页广告

随便看看

栏目底部广告
`