VM	VMware
Sistema	CentOS 7
Memória	8 GB
Disco	1 VHD 500GB
CPUs	4
Serviços Extensões Módulos	-> Kibana ->Logstash ->Elasticsearch ->Wazuh API ->Wazuh Manager ->Wazuh Agent
IP da VM	172.16.50.5
Porta SSH	51321
User: root	Senha: Zxvc@1234
IP WEB	127.16.50.5:5601

Adicionando Agente no Gerenciador Wazuh

---

1 - No servidor Wazuh digite:

/var/ossec/bin/manage_agents

A seguinte tela aparecerá

2 – Selecione A para adicionar um agente. Será solicitado o nome do agente (use o nome do host do agente ou outro nome arbitrário), depois digite o endereço IP do agente e posteriormente o ID do agente (esse campo pode ser deixado em branco para atribuir automaticamente um ID). Feito isso, confirme teclando “Y”.

Extrair key do agente a ser adicionado

---

Para a instalação do agente na máquina desejada, será necessário extrair a chave do agente no qual deseja efetuar a instalação. Para extrair a chave, siga os seguintes passos:

1 - No servidor Wazuh digite:

/var/ossec/bin/manage_agents

2 – Tecle “E”, e depois digite a ID do agente desejado.
3 – Copie a Key para que seja usada no agente desejado.

Remover agente do servidor

---

1 - No servidor Wazuh digite:

/var/ossec/bin/manage_agents

2 – Tecle “R”, e depois digite a ID do agente desejado. Feito isso, confirme teclando “Y”.

Instalar agente windows

---

Para que o computador desejado seja monitorado pelo Wazuh, se faz necessário a instalação de um agente que será responsável pela comunicação entre o computador e o servidor Wazuh. Para efetuar a instalação em uma máquina Windows, siga os seguintes passos:

1 – Acesse o seguinte endereço para baixar o agente: https://documentation.wazuh.com/3.x/installation-guide/packages-list/index.html

2 – Selecione o arquivo correspondente a versão para Windows e efetue o download.

3 – Após o download, efetue a instalação do agente, concordando com os termos de uso, e ao final da instalação selecione a checkbox “Run Agent configuration interface” e dê enter.

4 – Com a tela do agente aberta, no campo “Manager IP” digite o endereço IP do servidor Wazuh, e no campo “Authentication Key” digite ou cole a Key extraída no servidor wazuh para o agente desejado. Feito isso, clique em “Save”.

5 – Para iniciar o monitoramento, clique em “Manager” e depois em “Start”. Feito isso, o computador estará registrado no servidor wazuh e começará a enviar os logs.

Instalar agente linux

---

Para efetuar a instalação do Wazuh no Linux, primeiro identifique a versão do seu S.O.

A seguir, segue uma descrição de como instalar o agente wazuh em uma distribuição CentOS. Para demais distribuições, por favor acesse o seguinte link:https://documentation.wazuh.com/3.x/installation-guide/installing-wazuh-agent/index.html

1 - O primeiro passo para instalar o agente Wazuh é adicionar o repositório Wazuh ao computador CentOS desejado. Para isso configure o repositório executando os seguintes comandos no terminal:

# cat> /etc/yum.repos.d/wazuh.repo <<\EOF [wazuh_repo] gpgcheck=1 gpgkey=https://packages.wazuh.com/key/GPG-KEY-WAZUH enabled=1 name=Wazuh repository baseurl=https://packages.wazuh.com/3.x/yum/ protect=1 EOF

2 – Ainda no terminal, execute o seguinte comando para a instalação:

# yum install wazuh-agent

3- Após a instalação, efetuaremos o registro do agente. Para isso, no terminal, execute o seguinte comando:

# /var/ossec/bin/manage_agents

A seguinte tela aparecerá:

4 – Pressione a tecla “I” e dê Enter. Após isso, cole ou digite a Key extraída no servidor wazuh para o agente desejado. Confirme a adição teclando “Y”. Feito isso, digite “Q” e tecle Enter para sair da configuração.

5 – Edite o arquivo de configuração “Ossec.conf” para adicionar o endereço IP do servidor Wazuh. Para isso, digite no terminal:

# vim /var/ossec/etc/ossec.conf

Na sessão cliente, altere o MANAGER IP para o endereço do Servidor Wazuh.

6 – Reinicie o agente com o seguinte comando:

# /var/ossec/bin/ossec-control restart

Atribuindo agentes a grupos

---

Depois que um agente for adicionado ao gerenciador, você pode atribui-lo a um grupo usando a ferramenta agente_groups. Segue abaixo um exemplo de como atribuir um agente com ID 002 ao grupo 'Servidores_Detic' usando estes métodos:

1 – No servidor Wazuh digite o seguinte comando no terminal:

# /var/ossec/bin/agent_groups -a -i 002 -g Servidores_Detic

Configurando alertas por e-mail

---

Como o servidor SMTP da DETIC utiliza autenticação, uma retransmissão do servidor precisará ser configurada, pois o Wazuh não suporta isso. O postfix pode ser configurado para fornecer esse recurso. O guia a seguir descreve a configuração mínima necessária para usar o Postfix para enviar e-mails.

1 – Instale os pacotes necessários, utilizando o seguinte comando:

# yum update && yum install postfix mailx cyrus-sasl cyrus-sasl-plain

2 – Após a instalação, iremos configurar o Postfix editando o seguinte arquivo: /etc/postfix/main.cf

3 – Adicione ao final do arquivo “main.cf” as seguintes linhas:

relayhost = [smtp2.detic.ro.gov.br]:587\\ smtp_sasl_auth_enable = yes\\<# echo [smtp2.detic.ro.gov.br]:587 SEU_EMAIL@detic.ro.gov.br:SUA_SENHA> /etc/postfix/sasl_passwd # postmap /etc/postfix/sasl_passwd # chmod 400 /etc/postfix/sasl_passwd smtp_sasl_password_maps = hash:/etc/postfix/sasl_passwd\\ smtp_sasl_security_options = noanonymous\\ smtp_tls_CAfile = /etc/ssl/certs/ca-bundle.crt\\ smtp_use_tls = yes

4 – Configure o e-mail e a senha utilizada para o envio dos e-mails usando os seguintes comandos:

# echo [smtp2.detic.ro.gov.br]:587 SEU_EMAIL@detic.ro.gov.br:SUA_SENHA> /etc/postfix/sasl_passwd # postmap /etc/postfix/sasl_passwd # chmod 400 /etc/postfix/sasl_passwd # postmap /etc/postfix/sasl_passwd # chmod 400 /etc/postfix/sasl_passwd

5 – Para proteger a senha do banco de dados, utilize os seguintes comandos:

# chown root:root /etc/postfix/sasl_passwd /etc/postfix/sasl_passwd.db # chmod 0600 /etc/postfix/sasl_passwd /etc/postfix/sasl_passwd.db

6 – Reinicie o Postfix:

# systemctl reload postfix

7 – Para configurar o Wazuh para enviar os alertas de e-mail, as configurações de e-mail devem ser configuradas na seção < global > do arquivo “ossec.conf”. Para isso, utilizando o editor de sua preferência, edite o arquivo /var/ossec/etc/ossec.conf. No campo < global>, deixe o arquivo da seguinte maneira:

< jsonout_output>yes < /jsonout_output> < alerts_log>yes < /alerts_log> < logall>no < /logall> < logall_json>no < /logall_json> < email_notification>yes < /email_notification> < smtp_server>localhost < /smtp_server> < email_from>SEU_EMAIL@detic.ro.gov.br < /email_from> < email_to>EMAIL_DESTINO@detic.ro.gov.br < /email_to> < email_maxperhour>12 < /email_maxperhour> < /global>

8 – Após a configuração acima, precisamos definir o nível mínimo de alerta que irá acionar um e-mail. Por padrão, o nível é definido como 7. Se desejar mudar, basta alterar o número referente ao nível dentro do campo: < email_alert_level >. No exemplo abaixo, definiremos o nível mínimo como 10:

< ossec_config> < alerts> < email_alert_level>10< /email_alert_level> < /alerts ... < /ossec_config>

9 – Ao final da edição do arquivo “ossec.conf”, precisamos reiniciar o wazuh-manager. Para isso, utilizaremos o seguinte comando:

# systemctl restart wazuh-manager

Instalando e configurando Openscap Scanner

---

O OpenScap Scanner funciona somente em máquinas Linux, e precisa ser instalado e configurado após a instalação do agente wazuh. Segue abaixo os passos para a instalação:

1 – No agente desejado, efetue a instalação do open-scap scanner utilizando o seguinte comando:

# yum install openscap-scanner

2 – Após a instalação do openscap-scanner, com o editor de sua preferência, abra o arquivo: /var/ossec/etc/ossec.conf. Feito isso, procure: “< wodle name=“open-scap”>” e altere o campo “< disabled>no < /disabled>” para “< disabled>yes < /disabled>”.

3 – Salve o arquivo e reinicie o ossec-control com o seguinte comando:

# /var/ossec/bin/ossec-control restart