Guía de Instalación de Wazuh en Ubuntu Server

En este blog voy a realizar la instalación de Wazuh en Ubuntu server, aclarar que realice el mismo proceso para instalarlo en Centos, esto pasos que detallare a continuación los saque del documento oficial de wazuh.

la versión de wazuh que se instalara es 4.3
la versión de Ubuntu server es 22.04.1

primeramente recomiendo una vez se instala Ubuntu server actualizarlo y comprobar que la zona horaria este bien configurada.

1.    Instalación de los componentes centrales de wazuh

Primeramente, comprobar los requerimientos básicos para la implementación del indexador de Wazuh.

1.1.      Instalación del indexador de wazuh mediante el asistente.

el proceso de instalación se divide en 3 etapas:

1.-configuracion inicial

2.-instalacion de nodos de indexador Wazuh

3.-Inicializacion del clúster

Configuración Inicial.

 descargamos el asistente de instalación y el archivo de configuración

curl -sO https://packages.wazuh.com/4.3/wazuh-install.sh

Editar el archivo de configuración, yo lo realizare con VIM

vi ./config.yml

se debe agregar el nombre en este caso lo deje el que viene por defecto y se agrega la ip en los 3 servicios.
esto quedó así:

nodes:

  # Wazuh indexer nodes

  indexer:

    - name: node-1

      ip: 192.169.147.137

    # - name: node-2

    #   ip: <indexer-node-ip>

    # - name: node-3

    #   ip: <indexer-node-ip>

  # Wazuh server nodes

  # Use node_type only with more than one Wazuh manager

  server:

    - name: wazuh-1

      ip: 192.169.147.137

    # node_type: master

    # - name: wazuh-2

    #   ip: <wazuh-manager-ip>

    # node_type: worker

  # Wazuh dashboard node

  dashboard:

    - name: dashboard

      ip: 192.169.147.137

ejecutamos el asistente:

bash wazuh-install.sh --generate-config-files

Instalación de nodos de indexador Wazuh

Instalación y configuración:

Descargar el asistente.

ejecutar el asistente con el nombre del nodo, en mi caso lo deje el que viene por defecto.

bash wazuh-install.sh --wazuh-indexer node-1

Inicialización del clúster

La etapa final del proceso de instalación del clúster consiste en ejecutar el script de administración de seguridad.

bash wazuh-install.sh --start-cluster

con esto ya terminamos la instalacion del indexador de Wazuh.

ahora continuaremos con la instalación del servidor de Wazuh.

2.-Instalacion del servidor de Wazuh mediante el asistente.

Instale el servidor Wazuh como un clúster de uno o varios nodos con la ayuda del asistente de instalación de Wazuh. El servidor Wazuh se encarga de analizar los datos recibidos de los agentes y activar alertas cuando se detectan amenazas o anomalías. Este componente central incluye el administrador Wazuh y Filebeat.

2.1. Instalación del clúster de servidores Wazuh

Descargar el asistente de instalación de Wazuh.

curl -sO https://packages.wazuh.com/4.3/wazuh-install.sh

ejecutar el asistente seguido del nombre del nodo en mi caso lo deje con wazuh-1

Como se está realizando una instalación de un clúster en un solo nodo ahora toca configurar el dashboard.

3. Instalación del panel de control de Wazuh mediante el asistente.

Instale y configure el panel de control de Wazuh con la ayuda del asistente de instalación de Wazuh. El panel de control de Wazuh es una interfaz web flexible e intuitiva para extraer y visualizar los eventos y archivos de seguridad.

3.1. Instalación del panel de control de Wazuh.

En este paso se debe descargar el asistente de instalación el cual es el mismo que el indexador por este motivo no se realizara este paso.

procedemos directamente con la ejecución del bash pasando el nombre en mi caso lo deje con dashborad

bash wazuh-install.sh --wazuh-dashboard dashboard

Ahora ha instalado y configurado Wazuh. Todas las contraseñas generadas por el asistente de instalación de Wazuh se pueden encontrar en el archivo dentro del archivo.

tar -O -xvf wazuh-install-files.tar wazuh-install-files/wazuh-passwords.txt

en algunos casos si tiene problemas debe habilitar los siguientes puertos.

9200 para el server web dashboard.

firewall-cmd --zone=public --add-port=9200/tcp –permanent

aplicar los cambio realizados.

sudo firewall-cmd –reload

ahora se deben habilitar estos puertos para la comunicación con el agente.

*1514/TCP para la comunicación del agente.

*1515/TCP para la inscripción a través de la solicitud automática del agente.

*55000/TCP para la inscripción a través de la API del administrador.

se utiliza el mismo comando solo se debe cambiar el puertos y de ser necesario el protocolo.






Comentarios

Publicar un comentario

Entradas populares de este blog

Imagen
  Explorando Wazuh un poco del dashboard y la habilitación del módulo de vulnerabilidades Veremos 3 puntos importantes para la administración de Wazuh desde el dashboard. Daremos un vistazo por el módulo de eventos de seguridad, exploraremos el inventario de un agente en este caso Windows 10, y por último la habilitación del módulo de vulnerabilidades ya que este no viene habilitado por defecto si no que se tiene que realizar unos cambios para que pueda comenzar a funcionar. Bueno comenzamos. Primeramente, les presento el panel principal de Wazuh. Actualmente como se ve ya se tiene 3 agentes adicionados 1 es Ubuntu, Windows 10 y Windows 11. 1.-inventario. Que tenemos en la parte de inventario.  En la parte superior tenemos lo que es un resumen de las características del agente como ser: Sistema Operativo, memoria, arquitectura del sistema, cpu, y última fecha y hora de escaneo. Abajo tenemos la interfaz de red en donde se va registrando todas las conexiones. Al lado tene...
Leer más