Cara Install Wazuh di Ubuntu Server

Cara Install Wazuh di Ubuntu Server. Tutorial ini adalah quickstart bagaimana cara memasang dan mengkonfigurasi Wazuh di Ubuntu Server.

Apa itu Wazuh?

Singkatnya, Wazuh adalah aplikasi open-source untuk keamanan siber yang berfungsi untuk mendeteksi dan mencegah serangan cyber dengan menggunakan berbagai metode, seperti analisis log, pemantauan integritas file, dan penilaian konfigurasi sistem.

Untuk menggunakan Wazuh, dibutuhkan satu instance yang bertindak sebagai server, dan nantinya server ini akan digunakan untuk memantau aktifitas dari agent yang dipasang di komputer ataupun server client.

Di tutorial ini saya kita akan menggunakan satu VM Ubuntu Server untuk memasang Wazuh Manager dan Wazuh Dashboard, serta satu VM Windows untuk memasang Agent.

Install Wazuh Server

Cara installnya cukup gampang. Wazuh menyediakan script installer yang berfungsi untuk menginstall dependensi, memasang repository Wazuh kedalam sistem, serta melakukan deploy Wazuh.

curl -sO https://packages.wazuh.com/4.7/wazuh-install.sh && sudo bash ./wazuh-install.sh -a

Prosesnya sendiri lumayan lama. Terutama jika dependensi yang dibutuhkan belum tersedia.

Wazuh Install
Wazuh Installer

Nah ketika kalian selesai menginstall Wazuh, akan muncul informasi kredensial untuk login ke Dashboard. Wazuh sendiri berjalan di port 443. Untuk mendapatkan IP dashboardnya cukup cek menggunakan perintah ip addr.

Namun sebelum kesana, perlu diketahui proses instalasi diatas akan membuat service systemd dengan nama wazuh-dashboard, wazuh-indexer, dan wazuh-manager akan berjalan. Kalian bisa cek dengan perintah:

sudo service wazuh-dashboard status

sudo service wazuh-indexer status

sudo service wazuh-manager status
Wazuh Systemd Service
Wazuh Systemd Service

Catatan tambahan, setelah proses instalasi selesai, akan terdapat file wazuh-install-files.tar di direktori kalian mengeksekusi script bash installer diatas. Ketika diekstrak, didalamnya berisi beberapa log dan juga kredensial untuk Wazuh Indexer dan Wazuh API yang tersimpan pada file wazuh-passwords.txt. Sehingga pastikan file ini disimpan di tempat yang aman, karena jika sampai bocor ke attacker maka kredensial akses Wazuh kalian juga akan ikut bocor.

Oke lanjut...

Akses Dashboard

Pada proses instalasi diatas kalian mendapatkan kredensial admin untuk masuk ke dashboard.

Wazuh Dashboard Login Page
Wazuh Dashboard Login Page

Login menggunakan kredensial yang didapat.

Wazuh Dashboard
Wazuh Dashboard

Kalian sudah masuk ke dashboard, namun ada note bahwa belum ada agent yang terpasang. Nah, langkah selanjutnya adalah memasang Wazuh Agent. Di tutorial ini kita akan memasang Agent di OS Windows 10.

Install Wazuh Agent

Klik Add agent. Disini kita akan menginstall agent di sistem operasi Windows.

Deploy Wazuh Agent
Deploy Wazuh Agent

Pada kolom Server Address, masukkan IP dari wazuh server. Dan untuk Agent Name, silahkan isi bebas, ini hanya untuk keperluan identifikasi saja.

Add Agent Name
Add Agent Name

Nah, setelah muncul command yang harus dijalankan, cukup jalankan saja command tersebut via PowerShell di Windows. Pastikan run dengan hak akses Administrator ya.

Contoh command:

Invoke-WebRequest -Uri https://packages.wazuh.com/4.x/windows/wazuh-agent-4.7.2-1.msi -OutFile ${env.tmp}\wazuh-agent; msiexec.exe /i ${env.tmp}\wazuh-agent /q WAZUH_MANAGER='172.16.8.137' WAZUH_AGENT_NAME='Windows10-Agent' WAZUH_REGISTRATION_SERVER='172.16.8.137'

Jika tidak ada error, jalankan Agent dengan perintah

Start-Service Wazuh

Wazuh Agent Installed

Setelah Agent terpasang, balik ke Wazuh Dashboard. Sekarang seharusnya sudah terdeteksi satu agent yang aktif.

Windows Agent on Wazuh Dashboard

Oke sampai disini seharusnya semua event yang ada di Windows bisa terdeteksi di Wazuh Dashboard. Namun agar lebih powerfull, kita akan integrasikan juga Sysmon dengan Wazuh.

Integrasi Sysmon dan Wazuh

Pertama, download Sysmon dari Sysinternal di Windows. Lalu unduh juga konfigurasi Sysmon dari sysmon-modular. Disini saya gunakan sysmonconfig.xml.

Jalankan perintah:

.\Sysmon64.exe -accepteula -i sysmonconfig.xml

Jika sudah oke, lanjut modifikasi file ossec.conf di Windows, yang berlokasi di:

C:\Program Files (x86)\ossec-agent\ossec.conf

Tambahkan baris berikut kedalamnya:

<localfile>
<location>Microsoft-Windows-Sysmon/Operational</location>
<log_format>eventchannel</log_format>
</localfile>

Edit ossec.conf on Windows

Nah selanjutnya, pada Wazuh Server, yang pada tutorial ini berada di server Ubuntu, tambahkan rule baru dengan nama rules.local di /var/ossec/etc.

sudo nano /var/ossec/etc/local_rules.xml

Berikut isinya:

<group name="sysmon,">
 <rule id="255000" level="12">
 <if_group>sysmon_event1</if_group>
 <field name="sysmon.image">\powershell.exe||\.ps1||\.ps2</field>
 <description>Sysmon - Event 1: Bad exe: $(sysmon.image)</description>
 <group>sysmon_event1,powershell_execution,</group>
 </rule>
</group>
Wazuh Custom Rules

Jangan lupa restart Service Wazuh Manager di Linux dengan perintah:

sudo service wazuh-manager restart

Sementara di Windows, tempat agent berada, juga restart dengan perintah:

Restart-Service Wazuh

Intinya, setiap ada perubahan jangan lupa lakukan restart pada Wazuh.

Dan berikut adalah logging ketika saya menjalankan perintah "powershell -ep bypass" di Windows.

Command Detected

Oke mungkin sekian catatan singkat kali ini, semoga bermanfaat. Jika ada yang ingin ditanyakan silahkan tinggalkan komentar.

Posting Komentar untuk "Cara Install Wazuh di Ubuntu Server"