Schlagwort-Archiv SOC

Wazuh: Index Management

Wazuh pflegt seine Daten auf dem Server unter unter /var/ossec/logs

Die wichtigsten sind:

  • /var/ossec/logs/alerts
  • /var/ossec/logs/archives

Letzteren finden Sie, erst wenn die Sysog aktiviert haben und auch Gerät welche keine Agents nutzen können unterstützen wollen (z.B. VMWare, Switche, Firewalls, Gateway, VPNs usw.).

Die Indizies (Logs) finden Sie wie folgt:

  • Loggen Sie sich im Wazuh Dashboard ein
  • Gehen Sie oben Links auf die drei Balken
  • Wählen Sie unten Index Management
image.png
  • Dann unter Indicies finden sie die Indizies – besonders die unter wazuh-archives-* (für Syslogs) können sehr groß werden.
image.png

Damit nun die Festplatte nicht voll läuft, sollten das Index Management eingerichtet werden. Hierzu bietet Wazuh einen Blogartikel an: https://wazuh.com/blog/wazuh-index-management/

Dieser Artikel beruht auf einer älteren Version und sieht ein wenig anders aus – das ist jedoch nicht schlimm, wir benötigen nur den unteren Textteil.

Richten wir nun eine Index Management Policy ein:

{
    "policy": {
        "description": "Wazuh index state management for OpenDistro to move indices into a cold state after 30 days and delete them after a year.",
        "default_state": "hot",
        "states": [
            {
                "name": "hot",
                "actions": [
                    {
                        "replica_count": {
                            "number_of_replicas": 1
                        }
                    }
                ],
                "transitions": [
                    {
                        "state_name": "cold",
                        "conditions": {
                            "min_index_age": "30d"
                        }
                    }
                ]
            },
            {
                "name": "cold",
                "actions": [
                    {
                        "read_only": {}
                    }
                ],
                "transitions": [
                    {
                        "state_name": "delete",
                        "conditions": {
                            "min_index_age": "365d"
                        }
                    }
                ]
            },
            {
                "name": "delete",
                "actions": [
                    {
                        "delete": {}
                    }
                ],
                "transitions": []
            }
        ],
       "ism_template": {
           "index_patterns": ["wazuh-alerts*"],
           "priority": 100
       }
    }
}

Sollten Sie mehrere Wazuhserver bzw. Knoten haben – dann können Sie auch mehrere Replicas wählen – maximal die Anzahl der Knoten, die sie haben.

Die Indizies, die aktuell genutzt werden sind Hot. Cold hingegen sind nur noch zum lesen vorhanden und belegen so weniger Systemressourcen (Ram und CPU, nicht Festplattenplatz). Delete gibt hingegen an, ab wann die Indizies (also die Dateien!) gelöscht werden. Diese sind danach nicht mehr zu nutzen, sofern sie diese nicht ausgelagert oder gesichert haben.

Ab nun an, werden die Indicies auf die Zukunft gepflegt. Sollten Sie diese Regel zu Anfang einrichten – sind sie nun fertig.

Sollten Sie jedoch schon Indizies haben und möchten diese bereinigen (sehen Sie bitte davon ab, diese einfach von der Festplatte zu löschen – da sonst Wazuh nicht mitbekommt, das diese entfernt wurden), gehen sie einfach links auf Indicies und geben bei Search wazuh-alerts ein – wählen sie alle aus und klicken sie oben auf Apply Policy und wählen die eben erstellte Policy aus.

Security Operation Center in Aktion

Erleben Sie in diesem Video, wie verschiedene Open Source Produkte zusammenarbeiten und ein hohes Maß an Sicherheit bieten, in dem Vorgänge automatisch erfasst werden und mit bekannten Datenbanken abgeglichen werden und bei Gefahr automatisch Meldungen erstellt werden.

Automatisierung im SOC mit Shuffle

Wir nutzen verschiedene Produkte, bei einem Vorfall ist es wichtig, das wir schnell alle Informationen zusammengesammelt haben. In diesem Beispiel zeige ich ihnen wie man mit dem kostenlosen Shuffle Workflows schnell automatisiert – z.B. Daten aus Wazuh mit Daten aus dem MISP anreichert und in The Hive einen Case erstellt, welcher weitere Informationen über Cortex sucht – alles in Sekundenschnelle.

Alles sind freie Produkte, welche man verwenden kann um ein eigenes SOC aufzubauen.