Tutorial Instalasi Wazuh SIEM – WWW.TRIJULIAN.WEB.ID

Intro

Wazuh merupakan salah satu dari sekian banyak platform Security Information and Event Management (SIEM) yang populer di kalangan praktisi Cybersecurity (Blue Team).

Wazuh dapat menjadi pilihan SIEM yang powerfull dan komprehensif jika rekan-rekan merupakan pegiat opensource, dengan kata lain penggunaan Wazuh tidak dikenakan biaya langganan alias gratis jika digunakan pada infrastuktur pribadi.

Pada artikel kali ini, kita akan melakukan instalasi Wazuh beserta komponen-komponen yang diperlukan.

Wazuh Agent

Selain central components, wazuh agent juga diperlukan agar endpoint dapat terhubung dan berkomunikasi dengan central components.

Wazuh agent ini nantinya akan kita install pada perangkat/endpoint yang akan kita monitor.

Jadi secara umum akan ada dua perangkat yang kita gunakan pada turorial ini yakni:

Wazuh Server / Central Components: perangkat yang dijadikan sebagai wazuh server; berisikan wazuh indexer, server, dan dashboard.
Endpoint: perangkat akan dimonitor; terinstall wazuh agent.

Requirements

Sebelum lanjut ke proses instalasi, ada baiknya kita mempersiapkan requirement yang dibutuhkan dalam proses ini.

Infrastruktur : cloud (gcp, aws, azure) / local server (on-premises) / virtualisasi (virtual box, vmware workstation)
Hardware : requirements
Sistem operasi : Ubuntu, CentOS, RHEL, more

Installation Method

Wazuh menyediakan banyak metode instalasi yang dapat kita pilih sesuai dengan keperluan dan skema penggunaan yang dibutuhkan.

Wazuh installation assistant
Ready-to-use machines (OVA, AMI)
Containers (Docker, Kubernetes)
Offline
From sources

Pada tutorial kali ini kita akan mengguanakan Wazuh installation assistant untuk melakukan instalasi wazuh.

Installation

Hal yang perlu diperhatikan sebelum melakukan instalasi menggunakan Wazuh installation assistant adalah komputer atau VM yang kita gunakan untuk instalasi harus memiliki akses internet yang stabil.

Hal tersebut dikarenakan metode instalasi yang saat ini kita gunakan melakukan proses download dan instalasi package wazuh secara otomatis menggunakan script yang berbasis bash.

Pastikan melakukan package update sesuai dengan package manager yang digunakan.

Debian / Ubuntu / Linux Mint : sudo apt update

CentOS / RHEL / Red Hat / Fedora : yum apt update

Pastikan juga rekan-rekan membuka port berikut:

443,1514,1515,55000,9200,9300–9400 (TCP)

Instalasi wazuh central components dapat dilakukan dengan perintah berikut:

curl -sO https://packages.wazuh.com/4.4/wazuh-install.sh && sudo bash ./wazuh-install.sh -a

4.4 merupakan versi wazuh yang penulis gunakan

Jalankan perintah tersebut di server/device yang akan kita jadikan sebagai Wazuh Server.

Setelah dijalankan, Wazuh akan memulai proses instalasi secara otomatis.

Instalasi wazuh dengan Wazuh installation assistant

Simpan kredensial login yang telah digenerate oleh wazuh

User: admin
Password: BRA4kARxxxxxxxxxxxxxxxxxxxxx

Pada tahap ini, instalasi Wazuh Central Components sudah berhasil. Rekan-rekan dapat mengakses wazuh dashboard melalui web interface

https://<wazuh-dashboard-ip>

Jika terdapat peringatan Your connection isnt’t private bisa diabaikan dan klik Continue saja. Hal tersebut disebabkan karena penulis belum mengkonfigurasi protokol HTTPS.

HTTPS dapat diaktifkan menggunakan Let’s Encrypt atau Certbot.

Setelah muncul login page wazuh dashboard, masukkan kredensial yang telah digenerate pada saat proses instalasi.

Wazuh Agent Deployment

Langkah selanjutnya adalah wazuh agent deployment. Pada tahap ini, kita akan melakukan instalasi wazuh agent ke endpoint yang akan kita monitor.

Setelah berhasil login, kita akan diarahkan ke wazuh dashboard. Untuk melakukan deployment, pilih Add agent pada dashboard.

Pada tahap ini, kita konfigurasi wazuh agent sesuai dengan spesifikasi endpoint device yang akan kita monitor. Jadi konfigurasi bisa disesuaikan dengan enviroment masing-masing.

Disini penulis mencoba untuk memonitor endpoint dengan sistem operasi Ubuntu 22.4 dengan arsitektur x86.

Untuk wazuh server address bisa diisi dengan IP Address/domain dari wazuh server yang telah diinstall sebelumnya. Atau jika rekan-rekan menginstall wazuh server secara lokal, maka bisa diisi dengan localhost atau 127.0.0.1.

Langkah selanjutnya adalah install atau enroll agent ke endpoint yang akan kita monitor.

Copy perintah yang telah digenerate melalui wazuh dashboard dan jalankan perintah tersebut pada endpoint.

curl -so wazuh-agent.deb https://packages.wazuh.com/4.x/apt/pool/main/w/wazuh-agent/wazuh-agent_4.4.1-1_amd64.deb && sudo WAZUH_MANAGER='IP wazuh server' WAZUH_AGENT_GROUP='default' WAZUH_AGENT_NAME='nama agent' dpkg -i ./wazuh-agent.deb

Perintah diatas merupakan konfigurasi wazuh agent sesuai dengan spesifikasi endpoint yang penulis gunakan. Rekan-rekan bisa generate sendiri sesuai dengan spesifikasi endpoint yang akan dimonitor.

eksekusi perintah untuk deployment wazuh agent

Jalankan perintah tersebut di endpoint, setelah berhasil jalankan wazuh agent dengan perintah:

sudo systemctl daemon-reload
sudo systemctl enable wazuh-agent
sudo systemctl start wazuh-agent

eksekusi perintah untuk menjalankan agent

Cek apakah wazuh agent sudah berjalan dengan perintah:

sudo systemctl status wazuh-agent

Jika hasilnya seperti diatas, maka wazuh agent sudah selesai terinstall.

Terakhir, cek wazuh dashboard pada bagian agent.

Endpoint sudah terdeteksi dan rekan-rekan bisa melakukan security monitoring pada perangkat tersebut.

source : https://medium.com/@anamkhairul51/tutorial-instalasi-wazuh-siem-73c59968a8a8

Posted on: September 11, 2023, by : Julian's | 462 views

M	T	W	T	F	S	S
				1	2	3
4	5	6	7	8	9	10
11	12	13	14	15	16	17
18	19	20	21	22	23	24
25	26	27	28	29	30