Introdução:

O Wazuh é uma ferramenta Open Source que provê proteção XDR e SIEM para Workloads na Nuvem e Endpoints (ativos nas pontas).

Algumas telas de exemplo de funcionalidades e features que podem ser instaladas e agregadas com outras ferramentas:

SIEM:

Um SIEM (Security Information and Event Management) é um Gerenciador de Eventos e Informações de Segurança de ativos de TI. Esse tipo de sistema pode ser muito útil quando se precisa monitorar diversos ativos em uma rede coletando eventos que são básicos e avançados, o que é praticamente humanamente impossível pois diariamente existem registros (logs) nos computadores que dizem, por exemplo, testes de força bruta em senhas de usuários em sistemas windows. Como descobrir isso de forma imediata?

Tudo começa com a coleta desses logs, depois vem a análise e correlação entre eles em um banco de dados robusto de inteligência que é alimentado diariamente por diversas fontes de especialistas e empresas de Segurança da Informação.

A diferença entre esse tipo de sistemas e outros na área de segurança é que existe a possibilidade de resposta automatizada as ameaças que surgem em problemas que geralmente preceseria ter uma resposta humana.

Uma funcionalidade comum entre SIEMs é a geração de Alertas, com notificações em tempo real, outro é geração de relatórios personalizáveis. Análise de conformidade com normas e padrões de segurança, correlacionando os dados recebidos nos logs e esses padrões.

Alguns SIEMs podem ter Gerenciamento de Vulnerabilidades, identificando e monitorando possíveis brechas em Sistemas Operacionais e Aplicativos.

Em resumo, um SIEM oferece uma visão unificada da segurança da informação, facilitando a detecção e resposta a ameaças, além de auxiliar no cumprimento de requisitos de conformidade.

Mais Sobre o Wazuh

Pré-Requisitos:

Hardware:

Os pré-requisitos do Wazuh dependem altamente do número de endpoints que serão protegidos, e workloads em cloud. Esse número pode ajudar a estimar quanto de dados serão analizados e quanos alertas de segurança serão armazenados e indexados.

Seguindo com esse guia inicial, podemos lançar o Wazuh Server, Wazuh Indexer e o Wazuh Dashboard na mesma máquina. Isso é normalmente o suficiente para monitorar até 100 ativos e por 90 dias de dados de alertas indexados/pesquisáveis. A tabela a seguir mostrar a recomendação de Hardware para uma instalação inicial.

Para um ambiente maior o Wazuh recomenda instalações distribuídas, a configuração multi-nó está disponível para o Servidor Wazuh e Indexador Wazuh, provendo alta disponibilidade e balanceamento de Carga.

Sistema Operacional:

Os componentes da Central Wazuh podem ser instalados em um Sistema Operacional Wazuh de 64 bits, Wazuh recomenda qualquer um dos seguintes sistemas operacionais:

Instalando o Wazuh:

1. Baixe e rode o assistente de instalação do Wazuh:

$ curl -sO https://packages.wazuh.com/4.9/wazuh-install.sh && sudo bash ./wazuh-install.sh -a

Assim que o assistente de instalação terminar, a saída mostrará as credenciais de acesso e uma mensagem que confirma que a instalação terminou com sucesso.

INFO: --- Summary ---
INFO: You can access the web interface https://<wazuh-dashboard-ip>
    User: admin
    Password: <ADMIN_PASSWORD>
INFO: Installation finished.

Wazuh então já está instalado e configurado.

1. Acesse a interface web do Wazuh com o https://<wazuh-dashboard-ip> e suas credenciais:

   Usuário: admin

   Senha: <SENHA_ADMIN>

   
   

2. Quando você acessar o Dashboard Wazuh pela primeiravez, o navegador vai mostrar uma mensagem de alerta indicando que o certificado não foi confirmado uma autoridade confiável. Isso é experado e o usuário tem a opção de aceitar o certificado como uma exceção ou alternativamente, configurar o sistema para usar um certificado de uma autoridade confiável.

   
   

   Nota:

   Você consegue achar as senhas para todos usuários do Indexador e API do Wazuh no arquivo wazuh-passwords.txt dentro de wazuh-install-files.tar. Para "printar" elas rode o seguinte comando:

$ sudo tar -O -xvf wazuh-install-files.tar wazuh-install-files/wazuh-passwords.txt

Se você quiser ou precisar desinstalar os componentes da central Wazuh, rode o assistente de instalação do Wazuh com opção -u ou --uninstall.

Próximos Passos:

Agora que sua instalação do Wazuh Server terminou, você pode iniciar a instalação dos Agentes do Wazuh. Ele pode ser usado para proteger notebooks, desktops, servidores, instancias em cloud, containers ou máquinas virtuais. O agente é leve e tem multi-propósito, provendo uma variedade de funcionalidades de segurança.

Instalando os Agentes do Wazuh em Windows:

Os agentes rodam em endpoints (ativos nas pontas) para monitorar e comunicar com o Servidor Wazuh, enviando dados o mais pŕoximo de tempo-real e através de um canal autenticado e encriptado. Monitore seus sistemas Windows com Wazuh, do Windows XP a última versão disponível, incluindo o Windows 11 e Windows Server 2022.

Nota:

Para rodar a instalação privilégios de administrador são necessários.

Passo a passo:

1. Para começar o processo, baixe o Windows installer, Instalador Windows MSI do AGENTE.

2. Escolha o método de instalação que você quer seguir abaixo: Linha de Comando (CLI) ou Interface de Usuário Gráfica (GUI).

   1. Em CLI escolha uma das alternativas em shell e edite a váriavel WAZUH_MANAGER para condizer com o IP ou Hostname do seu Gerenciador do Wazuh Server.

      1. Usando CMD:

wazuh-agent-4.9.2-1.msi /q WAZUH_MANAGER="10.0.0.2"

ii. Ou usando Powershell:

.\wazuh-agent-4.9.2-1.msi /q WAZUH_MANAGER="10.0.0.2"

Após a instalação terminar, inicie o serviço que foi criado no Sistema Operacional:

	NET START Wazuh

3. Para instalar o agente Wazuh no seu sistema, rode o instalador do Windows e siga o guia passo-a-passo. Se você não tem certeza como responder alguns dos prompts, use as respostas padrões. Uma vez instlaado, o agente usa o GUI para configuração, abrindo o arquivo de logs, e iniciando ou parando o serviço.

   
   

Uma vez o serviço iniciado, o agente do Wazuh vai iniciar o processo de "enrollment" (inscrição) do agente ao gerenciador (Wazuh Server).

O processo de instalação está completo, e o Agente Wazuh está instalado com sucesso no seu ativo Windows.

Por padrão, todos os arquivos são armazenados em C:\Program Files (x86)\ossec-agent após a instalação em ambientes (x64) e C:\Program Files\ossec-agent em sistemas (x86).

Exemplo de instalação com sucesso de Agentes e Servidor, mostrando o Dashboard do sistema.

Fontes:

Documentação Wazuh - QuickStart:

https://documentation.wazuh.com/current/quickstart.html

Documentação Wazuh - Instalação do Agente Wazuh no Windows:

https://documentation.wazuh.com/current/installation-guide/wazuh-agent/wazuh-agent-package-windows.html

Documentação Wazuh - Instalação do Agente Wazuh no Linux:

https://documentation.wazuh.com/current/installation-guide/wazuh-agent/wazuh-agent-package-linux.html