Aung Khant Zaw
3 min readAug 9, 2023

--

Rocking with Wazuh

wazuh ဆိုတာဘာလဲဆိုတာက အရင်စပြောရတော့မှာပေါ့ Security information and event management platformတစ်ခုပါပဲ သူက free ရတယ်သုံးလို့လွယ်တယ်အဆင်ပြေတယ်ပေါ့။ ကိုယ်တွေ ကိုယ့်ရုံးက windows စက်တွေ linux serverတွေcontainerတွေ အများနဲ့အလုပ်လုပ်လာရင် တစ်ခုထဲကို security လိုက်စစ်ဖို့အဆင်မပြေတော့ဘူးလေ အဲ့တော့ ဒီကောင်လေးကိုသုံးလို့ရတယ် ကိုယ်ရဲ့ server တွေ CIS compliance ဖြစ်မဖြစ်ကအစ dashboardကနေ အေးဆေးကြည့်လို့ရနိုင် တယ်ပေါ့.။ wazuh မှာဆိုရင်တော့ဖြင့် အဓိက အစိတ်အပိုင်း ၄ ပိုင်းရှိတယ်

  • wazuh indexer
  • wazuh dashboard
  • wazuh server
  • wazuh agent တွေပဲဖြစ်တယ်
Wazuh Archi

wazuh indexer ဆိုတာက တော့ dataတွေကိုသိမ်းပေးတဲ့ text index enginဖြစ်ပြီး သူ့ကို elastic searchကို ပြင်ပြီးတည်ဆောက်ထားတာဖြစ်လို့ ကိုယ်က elastic search နဲ့ပိုရင်းနှီးရင် အစားထိုးသုံးလို့ရတယ်။ ကဲ စလိုက်ကြတာပေါ့ indexerကို အရင်သွင်းဖို့အတွက် သူတို့က နည်းလမ်းအများကြီတော့ပေးထားတယ် မြန်မြန်ဆန်ဆန်သုံးလို့ရမဲ့ ဟာလေးနဲ့သွင်းကြတာပေါ့ ကျွန်တော်ကတော့ စစမ်းမယ်ဆို wazuh installation assistant နဲ့သုံးတာပိုအားပေးတယ် စစခြင်းဘယ်လို့အလုပ်လုပ်လဲဆိုတာနားလည်သွားအောင်ပေါ့။

Wazuh indexer — Installation guide · Wazuh documentation

ကဲစသွင်းဖို့ဆို linux serverတစ်လုံးလိုမယ်ပေါ့ ubuntu သုံးလိုလဲရမယ် rpmကြိုက်ရင်တော့ fedoraနဲ့ rockyသုံးလို့ရမယ်ပေါ့

ကဲအရင် ဦးဆုံး shell scriptဖိုင်ကိုဆွဲချမယ်ပေါ့ပြီးရင်ဖိုင်ကျလာမကျလာစစ်လိုက်ပေါ့ ဒါကတော့အကျင့်လိုဖြစ်နေကြလောက်ပါပြီ

curl -sO https://packages.wazuh.com/4.4/wazuh-install.sh
:3 Don’t use root guys Lmao (fig 1)

ပြီးရင်သူတို့ ပေးထားတဲ့ predefined configလေး ymlလေးဆွဲချလိုက်တာပေါ့လေပြီးရင်ပြန်ကြည့်တာပေါ့ ဖိုင်ထဲဘာတွေပါလဲဆိုတာရှင်းရှင်းလေးပါပဲ node ipပါမယ် node nameပါမယ်ပေါ့ နောက် ကိုယ်က High Availability အနေနဲ့လုပ်ရင် နှစ်ခုသုံးခုပါမယ်ပေါ့

curl -sO https://packages.wazuh.com/4.4/config.yml
Fig 2
Fig 3

ဒီလိုထည့်ပြီးရင်တော့( serverကော indexerကော dashboardကောဒီမှာပဲစမ်းထိုင်မယ်ဆို )ip နေရာလေးတွေမှာလိုက်ထည့်ပေးနော်ကိုယ့် server &Jh စပြီး indexerကို လိုအပ်တဲ့ configတွေကို generateထုတ်တာပေါ့

bash wazuh-install.sh --generate-config-files

ဒီလို runလိုက်ရင် installationအတွက်လိုအပ်တဲ့ ဖိုင်လေးတွေကျလိမ့်မယ်။ အဲ့ကနေမှလိုအပ်တဲ့ passwordတွေကျလာမှာဖြစ်တယ် tar formatနဲ့

အဲ့ထဲက passwordကိုလိုတဲ့ချိန်ပြန်ကြည့်လို့ရတယ် ဒီ commandလေးနဲ့

tar -axf wazuh-install-files.tar wazuh-install-files/wazuh-passwords.txt -O | grep -P "\'admin\'" -A 1
Fig 4

ကဲအဲ့တာပြီးရင်တော့ indexer node-1 ကို စပြီးဆွဲတင်ကြတာပေါ့ node-1နေရာမှာကြိုက်သလိုပေးလို့ရတယ်နော် အပေါ်က configထဲ node-1 ပဲပေးခဲ့လို့ ဒီတိုင်းဖြစ်နေတာနော်

bash wazuh-install.sh --wazuh-indexer node-1

အဲ့ကျရင်သူ့ဘာသာ installation auto လုပ်သွားမှာဖြစ်တယ်

fig 5

ပြီးရင် cluster စအောင်ဒီ command နဲ့ဆွဲတင်

bash wazuh-install.sh --start-cluster

ပြီးသွားရင်တော့ indexerတက်လာမတက်လာကို ဒီလိုစမ်းကြည့်လို့ရတယ် username and passwordက fig 4မှာရတဲ့ဟာနဲ့ဖြစ်ရမယ်နော်

#curl -k -u admin:<ADMIN_PASSWORD> https://<WAZUH_INDEXER_IP>:9200

အဲ့ကျ node name နဲ့ ကျန်တဲ့ info တွေထွက်လာမှာဖြစ်တယ်

Fig -6

ကဲဒါကတော့ wazuh indexer up and running ဖြစ်နေပြီလို့ ပြောလို့ရပြီပေါ့

ထပ်ပြီးသွင်းမှာကတော့ wazuh server ဖြစ်တယ်

wazuh server ဆိုက ဟိုအပါ်က wazuh archမှာပြထားသလိုပဲ wazuh agentဆိုတဲ့ edge client တွေဆီကနေရောက်လာတဲ့ dataတွေကို handleလုပ်ပြီး wazuh indexerဆီကိုပို့ပေးတဲ့ service ပေါ့ အဲ့ကောင်ကိုကျလွယ်လွယ်ကူကူပဲ ဒီ bash commandနဲ့သွင်းလိုက်ရုံပါပဲ

bash wazuh-install.sh --wazuh-server wazuh-1
Fig 7

Wazuh dashboardဆိုတာက တော့သိတဲ့ အတိုင်း infographic dashboardတစ်ခုပဲ kibana ကို modify လုပ်ထားတာ wazuh indexerက ရလာတဲ့ dataတွေကို ကိုယ်အေးဆေး သေချာinsightမြင်နိုင်တဲ့ webui အနေနဲ့သုံးတာဖြစ်တယ်

အဲ့တော့ dashboard installation လုပ်ပါမယ်

အဲ့တော့ dashboard ကို ဒီ command လေးနဲ့ install လိုက်မယ်ပေါ့

bash wazuh-install.sh --wazuh-dashboard dashboard

အဲ့ကျမှတ်ထားရတာက dashboard username and pass cliမှာပြန်ပြပါလိမ့်မယ်မှတ်ထားပါ။

Fig 8

ပြီးရင်တော့ ip ကနေပြီ ကိုယ့်ရဲ့ panel ကို accessလို့ရပြီပေါ့ အဲ့ user nameနဲ့ password သုံးပြီး ပေါ့

Fig — 9

ဝင်ပြီးရင်တော့ dashboard ကိုမြင်ရမှာဖြင်ပြီး တော့ agentစaddလို့ရပြီပေါ့

agentဆိုတောက တော့ ကိုယ်စောင့်ကြည့်မယ် client ထဲကိုထည့်ရမှာဖြစ်ပြီး linux အပြင် windows/ mac တွေကိုလဲ supportလုပ်တယ်။

Fig 10

example အနေနဲ့ ကျွန်တော့ linux server တစ်ခုပေါ် edge agentတင်ပြမယ်နော်

မြင်ရတဲ့အတိုင်းပဲ Os ရွေး FQDN ထည့်ရမယ့်နေရာမှာ wazuh server ip ထည့် ပြီးရင်တော့

Fig- 11

အဲ့ကျ clientမှာထည့်ရမည့် command လေးတွေသူထုတ်ပေးမှာဖြစ်ပြီး client machineမှာ runလိုက်ရုံပါပဲ။

Fig- 12

ပြီးရင်တော့ရပါပြီခင်ဗျာ

alive hostတွေအနေနဲ့ တက်လာမှာ ဖြစ်ပြီး အသုံးပြုလို့ရပါပြီ။

အားလုံးပဲအဆင်ပြေကြပါစေ :3

All the best,

Nak Nak

--

--

Aung Khant Zaw
Aung Khant Zaw

No responses yet