Kategorien-Archiv Uncategorized

  • Home   /  
  • Archiv nach Kategorie "Uncategorized"

Wazuh: Index Management

Wazuh pflegt seine Daten auf dem Server unter unter /var/ossec/logs

Die wichtigsten sind:

  • /var/ossec/logs/alerts
  • /var/ossec/logs/archives

Letzteren finden Sie, erst wenn die Sysog aktiviert haben und auch Gerät welche keine Agents nutzen können unterstützen wollen (z.B. VMWare, Switche, Firewalls, Gateway, VPNs usw.).

Die Indizies (Logs) finden Sie wie folgt:

  • Loggen Sie sich im Wazuh Dashboard ein
  • Gehen Sie oben Links auf die drei Balken
  • Wählen Sie unten Index Management
image.png
  • Dann unter Indicies finden sie die Indizies – besonders die unter wazuh-archives-* (für Syslogs) können sehr groß werden.
image.png

Damit nun die Festplatte nicht voll läuft, sollten das Index Management eingerichtet werden. Hierzu bietet Wazuh einen Blogartikel an: https://wazuh.com/blog/wazuh-index-management/

Dieser Artikel beruht auf einer älteren Version und sieht ein wenig anders aus – das ist jedoch nicht schlimm, wir benötigen nur den unteren Textteil.

Richten wir nun eine Index Management Policy ein:

  • Gehen Sie links auf dem Punkt Index Policies
  • Wählen Sie oben rechts Create Policy
  • Wählen sie bei Configuration Method den JSON Editor aus
  • Vergeben sie nun eine Policy ID wie z.B. cleanup-policy
  • Ersetzen Sie den Inhalt durch den unten und wählen Sie Create
{
    "policy": {
        "description": "Wazuh index state management for OpenDistro to move indices into a cold state after 30 days and delete them after a year.",
        "default_state": "hot",
        "states": [
            {
                "name": "hot",
                "actions": [
                    {
                        "replica_count": {
                            "number_of_replicas": 1
                        }
                    }
                ],
                "transitions": [
                    {
                        "state_name": "cold",
                        "conditions": {
                            "min_index_age": "30d"
                        }
                    }
                ]
            },
            {
                "name": "cold",
                "actions": [
                    {
                        "read_only": {}
                    }
                ],
                "transitions": [
                    {
                        "state_name": "delete",
                        "conditions": {
                            "min_index_age": "365d"
                        }
                    }
                ]
            },
            {
                "name": "delete",
                "actions": [
                    {
                        "delete": {}
                    }
                ],
                "transitions": []
            }
        ],
       "ism_template": {
           "index_patterns": ["wazuh-alerts*"],
           "priority": 100
       }
    }
}

Sollten Sie mehrere Wazuhserver bzw. Knoten haben – dann können Sie auch mehrere Replicas wählen – maximal die Anzahl der Knoten, die sie haben.

Die Indizies, die aktuell genutzt werden sind Hot. Cold hingegen sind nur noch zum lesen vorhanden und belegen so weniger Systemressourcen (Ram und CPU, nicht Festplattenplatz). Delete gibt hingegen an, ab wann die Indizies (also die Dateien!) gelöscht werden. Diese sind danach nicht mehr zu nutzen, sofern sie diese nicht ausgelagert oder gesichert haben.

Ab nun an, werden die Indicies auf die Zukunft gepflegt. Sollten Sie diese Regel zu Anfang einrichten – sind sie nun fertig.

Sollten Sie jedoch schon Indizies haben und möchten diese bereinigen (sehen Sie bitte davon ab, diese einfach von der Festplatte zu löschen – da sonst Wazuh nicht mitbekommt, das diese entfernt wurden), gehen sie einfach links auf Indicies und geben bei Search wazuh-alerts ein – wählen sie alle aus und klicken sie oben auf Apply Policy und wählen die eben erstellte Policy aus.

Ubuntu Server 20.04 härten

Um einen Server zu härten, damit er den strengeren CIS Standard erfüllt, benötigt ihr eine Ubuntu Advanteage Subscription – diese ist für die persönliche Verwendung für 5 Maschinen kostenlos. Erstellt dazu ein Konto bei Ubunut One unter https://ubuntu.com/pro

Wenn ihr dies gemacht habt seht ihre einen Token, denn ihr auf euren Server verwenden könnt. Nun gehen wir wie folgt vor:

Kopiert euch den Tocken.

Meldet euch auf den Server z.B. per SSH an.

Startet einen Terminal falls noch nicht geschehen.

sudo apt update
sudo apg upgrade
sudo pro status
sudo pro attach <Tocken>

Danach wird das System als angemeldet angezeigt:

Enabling default service esm-infra
Updating package lists
Ubuntu Pro: ESM Infra enabled
Enabling default service livepatch
Installing canonical-livepatch snap
Canonical livepatch enabled.
This machine is now attached to 'Ubuntu Pro - free personal subscription'

SERVICE          ENTITLED  STATUS    DESCRIPTION
esm-infra        yes       enabled   Expanded Security Maintenance for Infrastructure
fips             yes       disabled  NIST-certified core packages
fips-updates     yes       disabled  NIST-certified core packages with priority security updates
livepatch        yes       enabled   Canonical Livepatch service
usg              yes       disabled  Security compliance and audit tools

NOTICES
Operation in progress: pro attach

Die weiteren gewünschten Dienste können nun wie folgt aktiviert werden:

sudo pro enable usg
sudo pro enable fips-updates
sudo apt install usg
sudo usg fix cis_level1_server (oder den Level denn ihr anstrebt)

Mit WAZUH könnt ihr dann den CIS Level des entsprechenden Servers prüfen.

Weitere Sicherheitsmaßnahmen :

sudo pro enable fips-update
sudo pro enable livepath
sudo pro enable usg

Der Status kann wie folgt abgefragt werden:

sudo pro status

Security Operation Center in Aktion

Erleben Sie in diesem Video, wie verschiedene Open Source Produkte zusammenarbeiten und ein hohes Maß an Sicherheit bieten, in dem Vorgänge automatisch erfasst werden und mit bekannten Datenbanken abgeglichen werden und bei Gefahr automatisch Meldungen erstellt werden.

Automatisierung im SOC mit Shuffle

Wir nutzen verschiedene Produkte, bei einem Vorfall ist es wichtig, das wir schnell alle Informationen zusammengesammelt haben. In diesem Beispiel zeige ich ihnen wie man mit dem kostenlosen Shuffle Workflows schnell automatisiert – z.B. Daten aus Wazuh mit Daten aus dem MISP anreichert und in The Hive einen Case erstellt, welcher weitere Informationen über Cortex sucht – alles in Sekundenschnelle.

Alles sind freie Produkte, welche man verwenden kann um ein eigenes SOC aufzubauen.

Was ist … ein SIEM

In der „Was ist …“ Reihe erkläre ich Begriffe und Produkte, welche im IT Sicherheitsumfeld verwendet werden.
Was ein „SIEM“ ist, erkläre ich in dem folgenden Video:

Was ist … Wazuh

In der „Was ist“ Reihe stelle ich ihnen Wazuh vor – „Was ist Wazuh“ befasst sich mit dem kostenlosen Open Source SIEM, das sich nicht hinter kommerziellen Produkten zu verstecken brauch. Es bietet Montoring, Detection, Reporting, Auditing, Compliancecheck, Cloudüberwachung und mehr. Machen sie sich selber ein Bild …

Impressum

Inhaber:

Peter Leibling

Heckenweg 1a

51379 Leverkusen

Tel. 01590 4071646