Rocking with Wazuh
wazuh ဆိုတာဘာလဲဆိုတာက အရင်စပြောရတော့မှာပေါ့ Security information and event management platformတစ်ခုပါပဲ သူက free ရတယ်သုံးလို့လွယ်တယ်အဆင်ပြေတယ်ပေါ့။ ကိုယ်တွေ ကိုယ့်ရုံးက windows စက်တွေ linux serverတွေcontainerတွေ အများနဲ့အလုပ်လုပ်လာရင် တစ်ခုထဲကို security လိုက်စစ်ဖို့အဆင်မပြေတော့ဘူးလေ အဲ့တော့ ဒီကောင်လေးကိုသုံးလို့ရတယ် ကိုယ်ရဲ့ server တွေ CIS compliance ဖြစ်မဖြစ်ကအစ dashboardကနေ အေးဆေးကြည့်လို့ရနိုင် တယ်ပေါ့.။ wazuh မှာဆိုရင်တော့ဖြင့် အဓိက အစိတ်အပိုင်း ၄ ပိုင်းရှိတယ်
- wazuh indexer
- wazuh dashboard
- wazuh server
- wazuh agent တွေပဲဖြစ်တယ်
wazuh indexer ဆိုတာက တော့ dataတွေကိုသိမ်းပေးတဲ့ text index enginဖြစ်ပြီး သူ့ကို elastic searchကို ပြင်ပြီးတည်ဆောက်ထားတာဖြစ်လို့ ကိုယ်က elastic search နဲ့ပိုရင်းနှီးရင် အစားထိုးသုံးလို့ရတယ်။ ကဲ စလိုက်ကြတာပေါ့ indexerကို အရင်သွင်းဖို့အတွက် သူတို့က နည်းလမ်းအများကြီတော့ပေးထားတယ် မြန်မြန်ဆန်ဆန်သုံးလို့ရမဲ့ ဟာလေးနဲ့သွင်းကြတာပေါ့ ကျွန်တော်ကတော့ စစမ်းမယ်ဆို wazuh installation assistant နဲ့သုံးတာပိုအားပေးတယ် စစခြင်းဘယ်လို့အလုပ်လုပ်လဲဆိုတာနားလည်သွားအောင်ပေါ့။
Wazuh indexer — Installation guide · Wazuh documentation
ကဲစသွင်းဖို့ဆို linux serverတစ်လုံးလိုမယ်ပေါ့ ubuntu သုံးလိုလဲရမယ် rpmကြိုက်ရင်တော့ fedoraနဲ့ rockyသုံးလို့ရမယ်ပေါ့
ကဲအရင် ဦးဆုံး shell scriptဖိုင်ကိုဆွဲချမယ်ပေါ့ပြီးရင်ဖိုင်ကျလာမကျလာစစ်လိုက်ပေါ့ ဒါကတော့အကျင့်လိုဖြစ်နေကြလောက်ပါပြီ
curl -sO https://packages.wazuh.com/4.4/wazuh-install.sh
ပြီးရင်သူတို့ ပေးထားတဲ့ predefined configလေး ymlလေးဆွဲချလိုက်တာပေါ့လေပြီးရင်ပြန်ကြည့်တာပေါ့ ဖိုင်ထဲဘာတွေပါလဲဆိုတာရှင်းရှင်းလေးပါပဲ node ipပါမယ် node nameပါမယ်ပေါ့ နောက် ကိုယ်က High Availability အနေနဲ့လုပ်ရင် နှစ်ခုသုံးခုပါမယ်ပေါ့
curl -sO https://packages.wazuh.com/4.4/config.yml
ဒီလိုထည့်ပြီးရင်တော့( serverကော indexerကော dashboardကောဒီမှာပဲစမ်းထိုင်မယ်ဆို )ip နေရာလေးတွေမှာလိုက်ထည့်ပေးနော်ကိုယ့် server &Jh စပြီး indexerကို လိုအပ်တဲ့ configတွေကို generateထုတ်တာပေါ့
bash wazuh-install.sh --generate-config-filesဒီလို runလိုက်ရင် installationအတွက်လိုအပ်တဲ့ ဖိုင်လေးတွေကျလိမ့်မယ်။ အဲ့ကနေမှလိုအပ်တဲ့ passwordတွေကျလာမှာဖြစ်တယ် tar formatနဲ့
အဲ့ထဲက passwordကိုလိုတဲ့ချိန်ပြန်ကြည့်လို့ရတယ် ဒီ commandလေးနဲ့
tar -axf wazuh-install-files.tar wazuh-install-files/wazuh-passwords.txt -O | grep -P "\'admin\'" -A 1
ကဲအဲ့တာပြီးရင်တော့ indexer node-1 ကို စပြီးဆွဲတင်ကြတာပေါ့ node-1နေရာမှာကြိုက်သလိုပေးလို့ရတယ်နော် အပေါ်က configထဲ node-1 ပဲပေးခဲ့လို့ ဒီတိုင်းဖြစ်နေတာနော်
bash wazuh-install.sh --wazuh-indexer node-1အဲ့ကျရင်သူ့ဘာသာ installation auto လုပ်သွားမှာဖြစ်တယ်
ပြီးရင် cluster စအောင်ဒီ command နဲ့ဆွဲတင်
bash wazuh-install.sh --start-clusterပြီးသွားရင်တော့ indexerတက်လာမတက်လာကို ဒီလိုစမ်းကြည့်လို့ရတယ် username and passwordက fig 4မှာရတဲ့ဟာနဲ့ဖြစ်ရမယ်နော်
#curl -k -u admin:<ADMIN_PASSWORD> https://<WAZUH_INDEXER_IP>:9200အဲ့ကျ node name နဲ့ ကျန်တဲ့ info တွေထွက်လာမှာဖြစ်တယ်
ကဲဒါကတော့ wazuh indexer up and running ဖြစ်နေပြီလို့ ပြောလို့ရပြီပေါ့
ထပ်ပြီးသွင်းမှာကတော့ wazuh server ဖြစ်တယ်
wazuh server ဆိုက ဟိုအပါ်က wazuh archမှာပြထားသလိုပဲ wazuh agentဆိုတဲ့ edge client တွေဆီကနေရောက်လာတဲ့ dataတွေကို handleလုပ်ပြီး wazuh indexerဆီကိုပို့ပေးတဲ့ service ပေါ့ အဲ့ကောင်ကိုကျလွယ်လွယ်ကူကူပဲ ဒီ bash commandနဲ့သွင်းလိုက်ရုံပါပဲ
bash wazuh-install.sh --wazuh-server wazuh-1
Wazuh dashboardဆိုတာက တော့သိတဲ့ အတိုင်း infographic dashboardတစ်ခုပဲ kibana ကို modify လုပ်ထားတာ wazuh indexerက ရလာတဲ့ dataတွေကို ကိုယ်အေးဆေး သေချာinsightမြင်နိုင်တဲ့ webui အနေနဲ့သုံးတာဖြစ်တယ်
အဲ့တော့ dashboard installation လုပ်ပါမယ်
အဲ့တော့ dashboard ကို ဒီ command လေးနဲ့ install လိုက်မယ်ပေါ့
bash wazuh-install.sh --wazuh-dashboard dashboardအဲ့ကျမှတ်ထားရတာက dashboard username and pass cliမှာပြန်ပြပါလိမ့်မယ်မှတ်ထားပါ။
ပြီးရင်တော့ ip ကနေပြီ ကိုယ့်ရဲ့ panel ကို accessလို့ရပြီပေါ့ အဲ့ user nameနဲ့ password သုံးပြီး ပေါ့
ဝင်ပြီးရင်တော့ dashboard ကိုမြင်ရမှာဖြင်ပြီး တော့ agentစaddလို့ရပြီပေါ့
agentဆိုတောက တော့ ကိုယ်စောင့်ကြည့်မယ် client ထဲကိုထည့်ရမှာဖြစ်ပြီး linux အပြင် windows/ mac တွေကိုလဲ supportလုပ်တယ်။
example အနေနဲ့ ကျွန်တော့ linux server တစ်ခုပေါ် edge agentတင်ပြမယ်နော်
မြင်ရတဲ့အတိုင်းပဲ Os ရွေး FQDN ထည့်ရမယ့်နေရာမှာ wazuh server ip ထည့် ပြီးရင်တော့
အဲ့ကျ clientမှာထည့်ရမည့် command လေးတွေသူထုတ်ပေးမှာဖြစ်ပြီး client machineမှာ runလိုက်ရုံပါပဲ။
ပြီးရင်တော့ရပါပြီခင်ဗျာ
alive hostတွေအနေနဲ့ တက်လာမှာ ဖြစ်ပြီး အသုံးပြုလို့ရပါပြီ။
အားလုံးပဲအဆင်ပြေကြပါစေ :3
All the best,
Nak Nak
