SIEM 구축 1편 Wazuh 설치

Wazuh 란?

Wazuh는 XDR과 SIEM 기능을 통합하는 무료 오픈 소스 보안 플랫폼입니다. 온프레미스, 가상화, 컨테이너화 및 클라우드 기반 환경에서 워크로드를 보호합니다. 여기에는 로그 데이터 분석, 침입 및 맬웨어 탐지, 파일 무결성 모니터링, 구성 평가, 취약성 탐지 및 규정 준수 지원 기능이 포함되어 있습니다.

이에 기능들에 대한 검증 및 운영 방법은 아래 글을 통해 확인해 보시길 바랍니다.

wazuh는 어떤 방식으로 침입 및 맬웨어 탐지, 파일 무결성 모니터링, 구성 평가, 취약성 탐지를 운

Wazuh 솔루션은 모니터링 대상 엔드포인트에 배포된 Wazuh 에이전트와 Wazuh 서버, Wazuh 인덱서, Wazuh 대시보드의 세 가지 중앙 구성 요소를 기반으로 합니다.

• Wazuh 인덱서는 확장성이 뛰어난 전체 텍스트 검색 및 분석 엔진입니다. 이 중앙 구성 요소는 Wazuh 서버에서 생성된 알림을 인덱싱하고 저장합니다.
• Wazuh 서버는 에이전트로부터 수신된 데이터를 분석합니다. 위협 인텔리전스를 사용하여 잘 알려진 침해 지표(IOC)를 찾기 위해 디코더와 규칙을 통해 데이터를 처리합니다. 단일 서버는 수백 또는 수천 개의 에이전트의 데이터를 분석하고 클러스터로 설정하면 수평적으로 확장할 수 있습니다. 이 중앙 구성 요소는 에이전트를 관리하고 필요한 경우 원격으로 구성하고 업그레이드하는 데에도 사용됩니다.
• Wazuh 대시보드는 데이터 시각화 및 분석을 위한 웹 사용자 인터페이스입니다. 여기에는 위협 사냥, 규정 준수(예: PCI DSS, GDPR, CIS, HIPAA, NIST 800-53), 감지된 취약한 애플리케이션, 파일 무결성 모니터링 데이터, 구성 평가 결과, 클라우드 인프라 모니터링 이벤트 등을 위한 기본 제공 대시보드가 ​​포함됩니다. 또한 Wazuh 구성을 관리하고 상태를 모니터링하는 데에도 사용됩니다.
• Wazuh 에이전트는 노트북, 데스크톱, 서버, 클라우드 인스턴스 또는 가상 머신과 같은 엔드포인트에 설치됩니다. 위협 예방, 탐지 및 대응 기능을 제공합니다. Linux, Windows, macOS, Solaris, AIX 및 HP-UX와 같은 운영 체제에서 실행됩니다.

에이전트 기반 모니터링 기능 외에도 Wazuh 플랫폼은 방화벽, 스위치, 라우터 또는 네트워크 IDS와 같은 에이전트 없는 장치를 모니터링할 수 있습니다. 예를 들어, 시스템 로그 데이터는 Syslog를 통해 수집할 수 있으며, 구성은 SSH 또는 API를 통해 데이터를 주기적으로 프로빙하여 모니터링할 수 있습니다.

아래 다이어그램은 Wazuh 구성 요소와 데이터 흐름을 나타냅니다.

지원 운영체제

Wazuh 중앙 구성 요소는 실행하려면 64비트 Intel 또는 AMD Linux 프로세서(x86_64/AMD64 아키텍처)가 필요합니다. Wazuh는 다음 운영 체제 버전을 권장합니다.

아마존 리눅스 2, 아마존 리눅스 2023	CentOS 7, 8
레드햇 엔터프라이즈 리눅스 7, 8, 9	우분투 16.04, 18.04, 20.04, 22.04, 24.04

Wazuh 설치

운영 환경이 적은 곳이랑 Wazuh 서버, Wazuh 인덱서, Wazuh 대시보드를 한 서버에 일괄 설치하여 진행할 수 있습니다.

1. Wazuh 설치 도우미를 다운로드하여 실행하세요.

$ curl -sO https://packages.wazuh.com/4.11/wazuh-install.sh && sudo bash ./wazuh-install.sh -a

설치를 완료하면 액세스 자격 증명과 설치가 성공적이었음을 확인하는 메시지가 아래와 같이 출력됩니다.이제 Wazuh를 설치하고 구성했습니다.

INFO: --- Summary ---
INFO: You can access the web interface https://<WAZUH_DASHBOARD_IP_ADDRESS>
    User: admin
    Password: <ADMIN_PASSWORD>
INFO: Installation finished.

Wazuh 웹 인터페이스에 접속하려면 https://<WAZUH_DASHBOARD_IP_ADDRESS> 로 이동하여 Username과 Password를 입력합니다.

처음으로 Wazuh 대시보드에 액세스하면 브라우저에 인증서가 신뢰할 수 있는 기관에서 발급되지 않았다는 경고 메시지가 표시됩니다. 고급 모드로 접속시면 됩니다.

• 사용자 이름 :admin
• 비밀번호 :<ADMIN_PASSWORD>

모든 Wazuh 인덱서와 Wazuh API 사용자의 비밀번호는 . wazuh-passwords.txt안의 파일 에서 찾을 수 있습니다

권장 조치 : Wazuh 업데이트를 비활성화하세요.

실수로 업그레이드하여 환경을 손상시키는 것을 방지하기 위해 설치 후에는 Wazuh 패키지 저장소를 비활성화하는 것이 좋습니다.

Wazuh 저장소를 비활성화하려면 다음 명령을 실행하세요.

CentOS

# sed -i "s/^enabled=1/enabled=0/" /etc/yum.repos.d/wazuh.repo

데비안/우분투

sudo sed -i "s/^deb /#deb /" /etc/apt/sources.list.d/wazuh.list
sudo apt update

다음 단계

이제 Wazuh 설치가 준비되었으므로 Wazuh 에이전트를 배포할 수 있습니다. 이를 사용하여 랩톱, 데스크톱, 서버, 클라우드 인스턴스, 컨테이너 또는 가상 머신을 보호할 수 있습니다. 에이전트는 가볍고 다목적이며 다양한 보안 기능을 제공합니다.