Đào Hải Đăng
Trang 3Giới thiệu tổng quan
Trang 4Wazuh là dự án mã nguồn mở có chức năng phát hiện lỗ hổng bảo mật, tăng cường khả năng quan sát và giám sát tuân thủ các quy định an ninh thông tin Nó tự động thu thập và tổng hợp dữ liệu bảo mật từ nhiều hệ điều hành như Linux, Windows, macOS, Solaris, và AIX, tạo nên một giải pháp SIEM toàn diện.
Giới thiệu tổng quan
Trang 5Khả năng của Wazuh
Trang 6Wazuh ban đầu được phát triển dựa trên OSSEC HIDS và sau đó được tích hợp thêm Elastic Stack cùng với OpenSCAP để trở thành một giải pháp an ninh toàn diện
Trang 7WAZUH SERVER
Các thành phần chính
WAZUH AGENT
Trang 8WAZUH SERVER
Là thành phần chính , có trách nhiệm phân tích dữ liệu từ các agent và gửi cảnh báo khi phát hiện các sự kiện an ninh
• Có thể được cài đặt trên một máy chủ vật lý hoặc máy ảo riêng biệt
• Có thể được cài đặt trên một máy trên đám mây • Có thể chạy các agent để tự giám sát chính nó.
Trang 10WAZUH AGENT
Thu thập dữ liệu từ hệ thống và ứng dụng, sau đó gửi đến Wazuh Server qua kênh truyền được mã hóa và xác thực
Wazuh agent có thể được cài đặt trên các hệ điều hành Windows, Linux, Solaris, BSD, và Mac
Giám sát máy chủ vật lý, máy ảo, các instance trên đám mây Các gói cài đặt agent hiện có cho Linux, HP-UX, AIX, Solaris, Windows và Darwin (Mac OS X).
Trang 13Kiến trúc của WAZUH
Trang 14Giao tiếp Agent – Server
Wazuh Agent liên tục gửi các sự kiện đến máy chủ Wazuh Server để phân tích và phát hiện mối đe dọa
để bắt đầu vận chuyển, Agent thiết lập kết nối với dịch vụ Server thông qua cổng 1514, mặc định
nhưng có thể được cấu hình
máy chủ Wazuh giải mã và kiểm tra các sự kiện đã nhận, phân tích Các sự kiện liên quan đến các quy tắc được bổ sung thông tin cảnh báo
Trang 15Giao tiếp Agent – Server
Các sự kiện liên quan đến quy tắc được bổ sung thông tin cảnh báo Được lưu vào một hoặc cả hai
sử dụng cả hai tệp để tạo cảnh báo có thể dẫn đến việc cảnh báo bị lặp lại Cả hai tệp đều chứa dữ liệu đã được giải mã và sử dụng mã hóa Blowfish 192-bit hoặc AES 128-bit.
Trang 16Filebeat gửi dữ liệu định dạng đến Elasticsearch (port 9200/TCP) và Kibana hiển thị dữ liệu (port 5601/TCP).
Giao tiếp WAZUH – Elastic
Wazuh App trên Kibana sử dụng RESTful API (port 55000/TCP) trên Wazuh manager để truy vấn và quản lý agent, với mã hóa TLS và xác thực username/password.
Trang 17Một số dịch vụ được sử dụng để liên lạc với các thành phần của Wazuh Bên đây là danh sách các cổng mặc định được sử dụng bởi các dịch vụ này.
Required ports & Archival data
Cảnh báo và sự kiện không cảnh báo được lưu trữ trong các tệp trên máy chủ Wazuh Có thể ở định dạng JSON hoặc văn bản thuần túy, được nén và ký bằng tổng kiểm MD5, SHA1 và SHA256 hàng ngày.
Trang 18Cài Đặt Wazuh
Wazuh Server
Trang 19Cài Đặt Wazuh
Wazuh Agent
Trang 20CẤU HÌNH ,TẠO LUẬTWAZUH
Trang 211.WAZUH AGENT
Cấu hình agent đúng cách là điều cần thiết để đảm bảo Wazuh hoạt động hiệu quả.
Trang 22• Mở file cấu hình agent (/etc/wazuh/agent.conf trên Linux).
• Chỉnh sửa các cài đặt sau:
⚬ Wazuh server IP: Địa chỉ IP của Wazuh server.
⚬ Wazuh server port: Cổng giao tiếp với Wazuh server.
⚬ Pre-shared key: Khóa bí mật được chia sẻ giữa agent và Wazuh server.
Cấu hình Wazuh agent
Trang 232.CẤU HÌNH WAZUH SERVER
Cấu hình Wazuh Server đúng cách giúp đảm bảo hiệu quả hoạt động và khả năng mở rộng của hệ thống.
Trang 24Sửa file cấu hình: /etc/wazuh/ossec.conf • Cấu hình giao diện mạng:
⚬ bind_address: Địa chỉ IP của server ⚬ port: Cổng của server
• Cấu hình agent:
⚬ active-response: Kích hoạt chức năng phản hồi chủ động ⚬ disabled_rules: Danh sách các quy tắc bị vô hiệu hóa
Cấu hình Wazuh server
Trang 253 CẤU HÌNH WAZUH INDEXER
Cấu hình Wazuh Indexer (hay còn gọi là Wazuh-ELK) là bước quan trọng để thiết lập hệ thống giám sát bảo mật hiệu quả với Wazuh
Trang 26Sửa file cấu hình: /etc/wazuh-indexer.conf
• kibana.url: Địa chỉ IP của Kibana • kibana.port: Cổng của Kibana
Cấu hình Wazuh indexer
Trang 274.CẤU HÌNH WAZUH DASHBOARD
Cấu hình Wazuh Dashboard đúng cách giúp bạn dễ dàng theo dõi tình trạng bảo mật, nhận cảnh báo và thực hiện các hành động khắc phục sự cố.
Trang 28Wazuh dashboard bao gồm một tập tin cấu hình nằm ở /usr/share/wazuh-dashboard/data/wazuh/config/wazuh yml,
nơi có thể định nghĩa các giá trị tùy chỉnh cho một số tùy chọnĐây là một ví dụ về cấu hình nhiều máy chủ:
Cấu hình Wazuh dashboard
Trang 294.2 TẠO LUẬT
Tạo luật của wazuh bao gồm những quy tắc Các quy tắc này được hệ thống sử dụng để phát hiện tấn công, xâm nhập, sử dụng sai phần mềm, vấn đề cấu hình, lỗi ứng dụng, phần mềm độc hại
Trang 30Cấu trúc cây thư mục tạo luật
Tạo luật Wazuh
Trang 31Để thêm mới hoặc thay đổi các quy tắc và bộ giải mã thì cần sửa file local_decoder.xml và
Trang 32Ta có thể thêm quy tắc mới vào /var/ossec/etc/rules/local_rules.xml
Luật được sử dụng để theo dõi hoạt động đăng nhập của người dùng cho chương trình "example"
Tạo luật Wazuh
Trang 33Có thể thay đổi quy tắc Wazuh mặc định trong thư
Trang 34VÍ DỤ CẤU HÌNH PHÒNG CHỐNG TẤN CÔNG SQL INJECTION:
Trang 35Bước 1: Ở máy agent ubuntu cập nhật các gói cục bộ:
sudo apt update sudo apt install apache2
Bước 2: Cài đặt máy chủ web Apache:
sudo systemctl status apache2 Bước 3: Sử dụng curl lệnh hoặc mở
http://<UBUNTU_IP> trong trình duyệt để xem trang đích Apache và xác minh cài đặt:
Trang 36Bước 4: Thêm các dòng sau vào tệp cấu hình
/var/ossec/etc/ossec.conf của Wazuh agent Điều này cho
phép Wazuh agent giám sát các nhật ký truy cập của máy chủ