Wazuh. Instalacja agenta.
Jak zainstalować agenta Wazuha?
Instalacja agenta jest bardzo prosta, ponieważ sam Wazuh dostarcza gotowe narzędzia. Korzystając z górnego menu, wystarczy wejść na podstronę Agents (https://adres-servera/app/wazuh#/agents-preview/) i kliknąć przycisk po lewej stronie, tuż nad listą, Deploy new agents – zostaniemy przeniesieni na stronę gdzie w kilku punktach mamy do wypełnienia dane na temat środowiska dla nowego agenta.
- Choose the operating system
Tu wybieramy rodzinę systemu operacyjnego. Na początku wymienię są te najpopularniejsze – Windows, Ubuntu, MacOS… ale po rozwinięciu listy Show more mamy też inne mniej popularne – Alpine, AIX, Solaris, itp… - Choose the version
Teraz możemy bliżej określić wersję systemu operacyjnego - Choose the architecture
Tu wybieramy architekturę procesora na której stoi nasz docelowy system dla agenta. W większości przypadków będzie to x64. Co ciekawe, w przypadku dystrybucji systemu Linux mamy też dostępne bardziej egzotyczne jak arm czy PowerPC. - Wazuh server address
Tu podajemy adres IP naszego serwera Wazuha albo, jeśli mamy ustawioną domene, to pełna nazwę domenową (FQDN). Pamiętaj, że to ma być adres IP lub domena która jest osiągalna dla agentów (dopuszczony jest ruch sieciowy). - Assign a name and a group to the agent
Tu podajemy nazwę dla agenta. Najczęściej jest to nazwa hosta, na której będzie działać agent, choć nie jest to konieczne, jednak dla czytelności dobrze tak właśnie ustawić tu nazwę taka sama jak hostname.
W kolejnym polu przypisujemy grupę dla agenta. Możesz pozostać grupę default ale jeśli mamy utworzone właściwe grupy – na przykład systemy Windows lub Linux lub grupy określające działy IT, to dobrze będzie tak odpowiednio przypisać agenta. Dzięki czemu będzie nam potem łatwiej zarządzać wspólną konfiguracja dla całych grup aniżeli pojedynczych agentów gdy w naszym środowisku pojawi się więcej hostów do monitorowania przez Wazuha.
Jeden agent może być do więcej niż jednej grupy - Install and enroll the agent
W tym punkcie dostajemy już gotowe, wygenerowane przez Wazuha polecenie do wykonania, które pobierze i skonfiguruje w podstawowym stopniu naszego nowego agenta. Polecenie oczywiście należy skopiować i wykonać na docelowym hoście gdzie ma nowy agent działać.
W ten sposób można też aktualizować agenta jeśli jest już zainstalowany to wykonanie polecenia spowoduje że jestem zainstalowana nowa wersja. - Start the agent
Tu dostajemy gotowe polecenie lub polecenia do wykonania aby uruchomić proces agenta i ustawić jako demona w przypadku systemu Linux
Po poprawnym wykonaniu poleceń z punktu 6 i 7 odczekaj kilka chwil i sprawdź swoją listę agentów, czy pojawił się na niej nowy host. Jeśli nie, to sprawdź czy masz odpowiednio skonfigurowany firewall i dodane wyjątki pomiędzy serwerem a agentem na porcie TCP 1514 i 1515.
Agent też może się dodatkowo autoryzować na serwerze – ale to temat na inny artykuł.