Cara Install Wazuh di Ubuntu Server
Cara Install Wazuh di Ubuntu Server. Tutorial ini adalah quickstart bagaimana cara memasang dan mengkonfigurasi Wazuh di Ubuntu Server.
Apa itu Wazuh?
Singkatnya, Wazuh adalah aplikasi open-source untuk keamanan siber yang berfungsi untuk mendeteksi dan mencegah serangan cyber dengan menggunakan berbagai metode, seperti analisis log, pemantauan integritas file, dan penilaian konfigurasi sistem.
Untuk menggunakan Wazuh, dibutuhkan satu instance yang bertindak sebagai server, dan nantinya server ini akan digunakan untuk memantau aktifitas dari agent yang dipasang di komputer ataupun server client.
Di tutorial ini saya kita akan menggunakan satu VM Ubuntu Server untuk memasang Wazuh Manager dan Wazuh Dashboard, serta satu VM Windows untuk memasang Agent.
Install Wazuh Server
Cara installnya cukup gampang. Wazuh menyediakan script installer yang berfungsi untuk menginstall dependensi, memasang repository Wazuh kedalam sistem, serta melakukan deploy Wazuh.
curl -sO https://packages.wazuh.com/4.7/wazuh-install.sh && sudo bash ./wazuh-install.sh -a
Prosesnya sendiri lumayan lama. Terutama jika dependensi yang dibutuhkan belum tersedia.
Wazuh Installer |
Nah ketika kalian selesai menginstall Wazuh, akan muncul informasi kredensial untuk login ke Dashboard. Wazuh sendiri berjalan di port 443. Untuk mendapatkan IP dashboardnya cukup cek menggunakan perintah ip addr.
Namun sebelum kesana, perlu diketahui proses instalasi diatas akan membuat service systemd dengan nama wazuh-dashboard, wazuh-indexer, dan wazuh-manager akan berjalan. Kalian bisa cek dengan perintah:
sudo service wazuh-dashboard status
sudo service wazuh-indexer status
sudo service wazuh-manager status
Wazuh Systemd Service |
Catatan tambahan, setelah proses instalasi selesai, akan terdapat file wazuh-install-files.tar di direktori kalian mengeksekusi script bash installer diatas. Ketika diekstrak, didalamnya berisi beberapa log dan juga kredensial untuk Wazuh Indexer dan Wazuh API yang tersimpan pada file wazuh-passwords.txt. Sehingga pastikan file ini disimpan di tempat yang aman, karena jika sampai bocor ke attacker maka kredensial akses Wazuh kalian juga akan ikut bocor.
Oke lanjut...
Akses Dashboard
Pada proses instalasi diatas kalian mendapatkan kredensial admin untuk masuk ke dashboard.
Wazuh Dashboard Login Page |
Login menggunakan kredensial yang didapat.
Wazuh Dashboard |
Kalian sudah masuk ke dashboard, namun ada note bahwa belum ada agent yang terpasang. Nah, langkah selanjutnya adalah memasang Wazuh Agent. Di tutorial ini kita akan memasang Agent di OS Windows 10.
Install Wazuh Agent
Klik Add agent. Disini kita akan menginstall agent di sistem operasi Windows.
Deploy Wazuh Agent |
Pada kolom Server Address, masukkan IP dari wazuh server. Dan untuk Agent Name, silahkan isi bebas, ini hanya untuk keperluan identifikasi saja.
Add Agent Name |
Nah, setelah muncul command yang harus dijalankan, cukup jalankan saja command tersebut via PowerShell di Windows. Pastikan run dengan hak akses Administrator ya.
Contoh command:
Invoke-WebRequest -Uri https://packages.wazuh.com/4.x/windows/wazuh-agent-4.7.2-1.msi -OutFile ${env.tmp}\wazuh-agent; msiexec.exe /i ${env.tmp}\wazuh-agent /q WAZUH_MANAGER='172.16.8.137' WAZUH_AGENT_NAME='Windows10-Agent' WAZUH_REGISTRATION_SERVER='172.16.8.137'
Jika tidak ada error, jalankan Agent dengan perintah
Start-Service Wazuh
Wazuh Agent Installed |
Setelah Agent terpasang, balik ke Wazuh Dashboard. Sekarang seharusnya sudah terdeteksi satu agent yang aktif.
Windows Agent on Wazuh Dashboard |
Oke sampai disini seharusnya semua event yang ada di Windows bisa terdeteksi di Wazuh Dashboard. Namun agar lebih powerfull, kita akan integrasikan juga Sysmon dengan Wazuh.
Integrasi Sysmon dan Wazuh
Pertama, download Sysmon dari Sysinternal di Windows. Lalu unduh juga konfigurasi Sysmon dari sysmon-modular. Disini saya gunakan sysmonconfig.xml.
Jalankan perintah:
.\Sysmon64.exe -accepteula -i sysmonconfig.xml
Jika sudah oke, lanjut modifikasi file ossec.conf di Windows, yang berlokasi di:
C:\Program Files (x86)\ossec-agent\ossec.conf
Tambahkan baris berikut kedalamnya:
<localfile> <location>Microsoft-Windows-Sysmon/Operational</location> <log_format>eventchannel</log_format> </localfile>
Edit ossec.conf on Windows |
Nah selanjutnya, pada Wazuh Server, yang pada tutorial ini berada di server Ubuntu, tambahkan rule baru dengan nama rules.local di /var/ossec/etc.
sudo nano /var/ossec/etc/local_rules.xml
Berikut isinya:
<group name="sysmon,"> <rule id="255000" level="12"> <if_group>sysmon_event1</if_group> <field name="sysmon.image">\powershell.exe||\.ps1||\.ps2</field> <description>Sysmon - Event 1: Bad exe: $(sysmon.image)</description> <group>sysmon_event1,powershell_execution,</group> </rule> </group>
Wazuh Custom Rules |
Jangan lupa restart Service Wazuh Manager di Linux dengan perintah:
sudo service wazuh-manager restart
Sementara di Windows, tempat agent berada, juga restart dengan perintah:
Restart-Service Wazuh
Intinya, setiap ada perubahan jangan lupa lakukan restart pada Wazuh.
Dan berikut adalah logging ketika saya menjalankan perintah "powershell -ep bypass" di Windows.
Command Detected |
Oke mungkin sekian catatan singkat kali ini, semoga bermanfaat. Jika ada yang ingin ditanyakan silahkan tinggalkan komentar.
4 komentar untuk "Cara Install Wazuh di Ubuntu Server"
Silahkan tinggalkan komentar jika ada masukan, pertanyaan, kritik ataupun dukungan. Namun pastikan untuk berkomentar secara sopan.