Wazuh für Anfänger

International Forums > German - Deutsch

Wazuh für Anfänger

(1/3) > >>

ollibraun:
Hallo,

hat hier jemand Erfahrung mit Wazuh und OPNsense bzw. Suricata?

Ich möchte zunächst einmal die Logs von OPNsense bzw. Suricata via Syslog an einen Wazuh-Server übertragen. Später kommt dann möglicherweise der Wazuh-Agent auf die OPNsense, aber klein anfangen...

Ich glaube, ich verstehe das Konzept von Wazuh noch nicht.

Die OPNsense-Logs übertrage ich im Augenblick parallel an einen einfachen-Syslog-Server und an die Wazuh-Installation.

Wazuh habe ich per All-in-one-OVA-Paket installiert. Weiter habe ich noch nicht viel konfiguriert, nur mal einen Windows-PC mit dem Agenten versehen. Da kommt jede Menge an Daten bei Wazuh an. prima.

Dann habe ich auf dem Wazuh-Server den Syslog-Empfang aktiviert:

https://wazuh.com/blog/how-to-configure-rsyslog-client-to-send-events-to-wazuh/

Datei /var/ossec/etc/ossec.conf:
<remote>
<connection>syslog</connection>
<port>514</port>
<protocol>udp</protocol>
<allowed-ips>8.18.2.93/32</allowed-ips>
<local_ip>14.7.1.11</local_ip>
</remote>

Tja, und jetzt finde ich unter Kibana -> Discover teilweise (gefühlt unvollständige) Log-Einträge von der OPNsense. Ich habe dort aber noch keinen einzigen Eintrag von Suricata entdecken können.

Der einfache externe Syslog-Server zeigt dagegen jede Menge Einträge, sowohl OPNsense-Systemmeldungen und Firewall-Blocks als auch Suricata-Einträge.

Die OPNsense-Logging/Targets-Einträge sind identisch, nämlich auf "alles" konfiguriert.

Filtert Wazuh da etwas? Muss man den "Eingang" dort noch konfigurieren? Aus den Docs bin ich noch nicht schlau geworden...

Gibt es irgendwo die "Rohdaten" bei Wazuh?

PS: Ich würde auch kostenpflichtigen Support in Anspruch nehmen - gerne per PM.

Viele Grüße
Oliver

mimugmail:
Du musst log_all auf yes setzen und dann in archive log. Da steht dann ALLES. In Kibana kommen nur Sachen die per Decoder erkannt und eine Rule haben.
Suricata sollte mit Eve Log erkannt werden

ollibraun:
Ich verstehe ein wenig, vielen Dank für den Tipp. Im Log finde ich dann alle Ereignisse, und es wächst ganz schön schnell. :)

Mir ist noch nicht so ganz klar wie es mit dem Decodieren geht.

https://documentation.wazuh.com/current/learning-wazuh/suricata.html

Demnach müsste ich sowohl auf der Quelle (OPNsense) als auch auf dem Wazuh-Server Suricata installieren... vermutlich in meinem Fall nicht auf der Quelle, weil ich keinen Wazuh-Agent benutze, sondern nur auf dem Ziel. Aber ist das wirklich richtig verstanden - ich muss auf dem Wazuh-Server Suricata installieren? Kommt mir merkwürdig vor, bin ich auf dem Holzweg?

Bin ich irgendwie richtig, wenn ich annehme, dass danach zwei Schritte erforderlich sind:

Decoder wie hier beschrieben:

https://documentation.wazuh.com/current/user-manual/ruleset/json-decoder.html

Ruleset in diesen Dateien:

https://documentation.wazuh.com/current/user-manual/ruleset/custom.html

Trotz der umfangreichen Docs auf Wazuh habe ich das Gefühl, gerade nicht weiter zu kommen. Nur so eine Ahnung: Die vorgefertigten Funktionen für Suricata kann ich nicht nutzen, so lange ich Syslog verwende und keinen Wazuh-Agent. Zumindest bezüglich Decoder; wenn ich da weiter bin, könnten die Suricata-Rulesets greifen.

mimugmail:
Poste Mal das Suricata Log vom archive.log bitte

ollibraun:
Du meinst einen Auszug, denke ich? So etwa:

--- Code: ---2021 Sep 21 05:56:48 wazuh-manager->/var/log/messages Sep 21 05:56:47 wazuh-manager filebeat: 2021-09-21T05:56:47.326Z#011INFO#011[monitoring]#011log/log.go:145#011Non-zero metrics in the last 30s#011{"monitoring": {"metrics": {"beat":{"cpu":{"system":{"ticks":39260,"time":{"ms":6}},"total":{"ticks":87530,"time":{"ms":8},"value":87530},"user":{"ticks":48270,"time":{"ms":2}}},"handles":{"limit":{"hard":4096,"soft":1024},"open":11},"info":{"ephemeral_id":"50df92a3-a3a5-4e0a-be4a-caaf05121e87","uptime":{"ms":215970339}},"memstats":{"gc_next":8060000,"memory_alloc":4805752,"memory_total":2688033712},"runtime":{"goroutines":25}},"filebeat":{"harvester":{"open_files":1,"running":1}},"libbeat":{"config":{"module":{"running":0}},"pipeline":{"clients":1,"events":{"active":0}}},"registrar":{"states":{"current":1}},"system":{"load":{"1":0.01,"15":0.05,"5":0.02,"norm":{"1":0.0006,"15":0.0031,"5":0.0013}}}}}}
2021 Sep 21 05:56:48 OPNsense.localserver-berlin.de->8.12.83.83 Sep 21 07:56:32 OPNsense.localserver-berlin.de filterlog[62075]: 113,,,b076000b7efad0d8ce25adbcb1bc0004,igb3,match,block,in,4,0x68,,64,4517,0,DF,17,udp,744,192.168.100.230,10.0.0.4,5065,5060,724
2021 Sep 21 05:56:49 OPNsense.localserver-berlin.de->8.12.83.83 Sep 21 07:56:33 OPNsense.localserver-berlin.de filterlog[62075]: 113,,,b076000b7efad0d8ce25adbcb1bc0004,igb3,match,block,in,4,0xe0,,1,26002,0,none,17,udp,351,192.168.100.242,224.0.0.251,5353,5353,331
2021 Sep 21 05:56:50 OPNsense.localserver-berlin.de->8.12.83.83 Sep 21 07:56:34 OPNsense.localserver-berlin.de filterlog[62075]: 113,,,b076000b7efad0d8ce25adbcb1bc0004,igb3,match,block,in,4,0x68,,64,4662,0,DF,17,udp,744,192.168.100.230,10.0.0.4,5065,5060,724
2021 Sep 21 05:56:51 OPNsense.localserver-berlin.de->8.12.83.83 Sep 21 07:56:35 OPNsense.localserver-berlin.de filterlog[62075]: 113,,,b076000b7efad0d8ce25adbcb1bc0004,igb3,match,block,in,4,0x68,,64,4691,0,DF,17,udp,746,192.168.100.230,10.0.0.4,5065,5060,726
2021 Sep 21 05:56:52 OPNsense.localserver-berlin.de->8.12.83.83 Sep 21 07:56:36 OPNsense.localserver-berlin.de suricata[53565]: {"timestamp": "2021-09-21T07:56:36.203646+0200", "flow_id": 196204642704802, "in_iface": "igb3", "event_type": "alert", "src_ip": "192.168.100.10", "src_port": 60057, "dest_ip": "192.168.100.1", "dest_port": 53, "proto": "UDP", "tx_id": 56, "alert": {"action": "allowed", "gid": 1, "signature_id": 2023883, "rev": 2, "signature": "ET DNS Query to a *.top domain - Likely Hostile", "category": "Potentially Bad Traffic", "severity": 2, "metadata": {"updated_at": ["2020_09_15"], "signature_severity": ["Major"], "deployment": ["Perimeter"], "created_at": ["2017_02_07"], "attack_target": ["Client_Endpoint"], "affected_product": ["Windows_XP_Vista_7_8_10_Server_32_64_Bit"]}}, "dns": {"query": [{"type": "query", "id": 54558, "rrname": "regulationprivilegescan.top", "rrtype": "A", "tx_id": 56}]}, "app_proto": "dns", "flow": {"pkts_toserver": 29, "pkts_toclient": 28, "bytes_toserver": 2279, "bytes_toclient": 3863, "start": "2021-09-21T07:56:24.138658+0200"}, "payload_printable": ".............regulationprivilegescan.top.....", "stream": 0}
2021 Sep 21 05:56:52 OPNsense.localserver-berlin.de->8.12.83.83 Sep 21 07:56:36 OPNsense.localserver-berlin.de suricata[53565]: [1:2023883:2] ET DNS Query to a *.top domain - Likely Hostile [Classification: Potentially Bad Traffic] [Priority: 2] {UDP} 192.168.100.10:60057 -> 192.168.100.1:53
2021 Sep 21 05:56:54 OPNsense.localserver-berlin.de->8.12.83.83 Sep 21 07:56:38 OPNsense.localserver-berlin.de filterlog[62075]: 113,,,b076000b7efad0d8ce25adbcb1bc0004,igb3,match,block,in,4,0xe0,,1,47329,0,none,17,udp,351,192.168.100.242,224.0.0.251,5353,5353,331
2021 Sep 21 05:56:54 OPNsense.localserver-berlin.de->8.12.83.83 Sep 21 07:56:38 OPNsense.localserver-berlin.de filterlog[62075]: 113,,,b076000b7efad0d8ce25adbcb1bc0004,igb3,match,block,in,4,0x0,,1,18811,0,DF,17,udp,32,192.168.100.246,233.89.188.1,10001,10001,12
--- End code ---

Navigation

[0] Message Index

[#] Next page

Go to full version