SIEM 구축 2편 Wazuh agent 설치

목차

• Wazuh agent란?
• Wazuh agent 기능
• Wazuh Server Port 허용
• Wazuh agent 배포
• Wazuh 제거

Wazuh agent란?

Wazuh 에이전트는 다중 플랫폼이며 사용자가 모니터링하려는 엔드포인트에서 실행됩니다. Wazuh 서버와 통신하여 암호화되고 인증된 채널을 통해 거의 실시간으로 데이터를 전송합니다.

Wazuh agent 기능

Log collector	Command execution
File integrity monitoring (FIM)	Security configuration assessment (SCA)
System inventory	Malware detection
Active Response	Container security
Cloud security

Wazuh Server Port 허용

Wazuh 에이전트에서 Wazuh 관리자 서비스로의 아웃바운드 연결.

• 에이전트 통신을 위한 1514/TCP.
• 자동 에이전트 요청을 통한 등록을 위해서는 1515/TCP.
• Wazuh 서버 API를 통한 등록을 위한 55000/TCP.

전 agent 요청 등록으로 설치했기 때문에 1514와 1515를 허용처리 해주었습니다.

sudo ufw allow 1514/tcp
sudo ufw allow 1515/tcp

sudo ufw status verbose

Wazuh agent 배포

서버나 엔드포인트 수가 많은 대규모 환경에 Wazuh를 배포하는 경우 Puppet , Chef , SCCM 또는 Ansible 과 같은 자동화 도구를 사용하여 배포할 수 있습니다.

또는 Wazuh 대시보드에서 agent를 배포할 수도 있습니다. 

에이전트 관리 > 요약으로 이동하여 새 에이전트 배포를 클릭합니다.

그러면 Wazuh 대시보드에서 새 에이전트를 배치하는 단계가 표시됩니다.

1번부터 3번까지 모두 입력하면 4번에서 PowerShell에 agent 설치를 위한 명령어를 제공해 줍니다. 

설치 서버로 이동하여 PowerShell 3.0 이상 실행하여 명령어를 작성합니다.

마지막으로 

Net START Wazuh

명령어로 Wazuh agent를 실행합니다.

기본적으로 모든 에이전트 파일은 C:\Program Files (x86)\ossec-agent 경로에 설치 후에 저장됩니다.

"Wazuh 서비스가 잘 시작되었습니다." 메시지 확인 후 Wazuh manager 관리자 페이지를 확인해보시면 다음과 같이 등록된 wazuh agent를 확인할 수 있습니다.

Wazuh 제거

/var/ossec/bin/manage_agents 도구 는 명령줄 인터페이스(CLI)를 사용하여 Wazuh 에이전트를 제거할 수도 있습니다.

Wazuh 서버에서 다음 명령을 실행하세요.

# /var/ossec/bin/manage_agents

****************************************
* Wazuh v4.8.0 Agent manager.        *
* The following options are available: *
****************************************
   (A)dd an a,gent (A).
   (E)xtract key for an agent (E).
   (L)ist already added agents (L).
   (R)emove an agent (R).
   (Q)uit.
Choose your action: A,E,L,R or Q: r

Available agents:
   ID: 002, Name: Ubuntu, IP: any

Provide the ID of the agent to be removed (or '\q' to quit): 002
Confirm deleting it?(y/n): y
Agent '002' removed.

manage_agents: Exiting.

Wazuh 서버에서 다음 명령을 실행하고 -r옵션을 사용하여 Wazuh 에이전트 ID를 지정할 수 있습니다.<WAZUH_AGENT_ID>Wazuh 에이전트의 에이전트 ID로 바꾸세요.

# /var/ossec/bin/manage_agents -r <WAZUH_AGENT_ID>

****************************************
* Wazuh v4.8.0 Agent manager.          *
* The following options are available: *
****************************************
   (A)dd an agent (A).
   (E)xtract key for an agent (E).
   (L)ist already added agents (L).
   (R)emove an agent (R).
   (Q)uit.
Choose your action: A,E,L,R or Q:
Available agents:
   ID: 001, Name: new, IP: any
Provide the ID of the agent to be removed (or '\q' to quit): 001
Confirm deleting it?(y/n): y
Agent '001' removed.

manage_agents: Exiting.

다음 agent가 설치된 PC에선 다음과 같이 삭제가 가능합니다.

제어판 > 프로그램 > 프로그램 및 기능에서 삭제를 진행합니다.

이제 관리할 모든 서버를 등록하여 사용하시면 됩니다.

다음 편에선 대시보드를 이쁘게 꾸며보도록 하겠습니다.