Wazuh HostIDS Addon - ESGuardian/LittleBeat GitHub Wiki

21.07.2017 Выпущен Wazuh HostIDS addon для LittleBeat. Что это такое? Это один из форков широко известного в узких кругах OSSEC. От обычного OSSEC он отличается наличием RESTful API для управления менеджером агентов и более продвинутым набором правил IDS. Если вы работали с OSSEC, AlienVault OSSIM (или USM), вы знакомы с этой штукой и понимаете зачем она нужна. Если нет, придется немного почитать. Пока я пишу здесь статьи на русском языке, можно почитать:
Документацию на OSSEC
Документацию на Wazuh

Начиная с версии LittleBeat 6.1, это дополнение называется Wazuh (OSSEC) Addon.

Интеграция LittleBeat и Wazuh состоит в том, что на LittleBeat устанавливается Wazuh Manager (OSSEC Server). Кроме того конфигурируется Logstash и добавляются дашборды для Kibana. Начиная с LittleBeat 6.1, Wazuh RestFULL API и Wazuh Kibana Plugin не устанавливаются.

Установку можно запустить из главной консоли LittleBeat (пункт меню: Дополнения). Технически установка состоит в запуске контейнера docker. Это мой собственный контейнер, он сделан на основе контейнера atomicorp/ossec-server с некоторыми незначительными правками. Самая главная правка, конечно, в том, что устанавливается не ossec-server, а wazuh-manager 3.2.

Wazuh manager запускается с настроенным демоном authd, это значит, что вы можете очень простым способом регистрировать новых агентов на сервере. Технически вся установка выглядит так:

docker volume create ossec-data
docker run -d --restart=always -p 1514:1514/udp -p 1515:1515/tcp -v ossec-data:/var/ossec/data --name ossec-server esguardian/ossec-docker
chmod 711 /var/lib/docker/volumes
echo '0  3   * * 2 root docker exec -it ossec-server  bash -c "cd /var/ossec/bin; ./update_ruleset -r"' >> /etc/crontab

Последняя строчка добавляет в crontab еженедельный апдейт набора правил для OSSEC. Используется Wazuh OSSEC Ruleset.

Поскольку используется docker volumes, все конфигурационные файлы OSSEC, его alert log, а также декодеры, правила и т.п. можно найти здесь: /var/lib/docker/volumes/ossec-data/_data/. Здесь же их можно редактировать.

Контейнер esguardian/ossec-docker можно использовать совершенно независимо от LittleBeat. Нормальный такой, продвинутый OSSEC Server.

Home
Зачем нужен Wazuh
Установка агентов Wazuh
Использование OpenSCAP
Сбор логов сетевых устройств