Wazuh Nedir?
Wazuh, açık kaynaklı bir SIEM (Security Information and Event Management) sistemidir. Log yönetimi, tehdit algılama, dosya bütünlüğü izleme ve güvenlik olaylarını analiz etme gibi kritik görevleri yerine getiren bu yazılım, ağınızdaki tüm cihazların güvenliğini takip etmenizi sağlar. Ayrıca, Wazuh'un en büyük avantajlarından biri, yüksek esneklik ve özelleştirilebilirliğe sahip olmasıdır.
Adım 1: Wazuh ve Elastic Stack'i Kurma
Wazuh, Elastic Stack (Elasticsearch, Logstash ve Kibana) ile mükemmel bir uyum içinde çalışır. İlk adım olarak bu araçları sisteminize kurmanız gerekecek.
Elastic Stack'i Yükleme:
Öncelikle, Elastic Stack’in tüm bileşenlerini yüklemelisiniz. Elastic Stack'in temel bileşenleri Elasticsearch, Logstash ve Kibana'dır. Elasticsearch, verilerinizi depolamak ve aramak için kullanılırken, Logstash verileri toplar ve işler. Kibana ise, bu verileri görselleştirmek için mükemmel bir araçtır.
1. Elasticsearch Yükleme:
```bash
sudo apt-get update
sudo apt-get install elasticsearch
sudo systemctl enable elasticsearch
sudo systemctl start elasticsearch
```
2. Logstash Yükleme:
```bash
sudo apt-get install logstash
sudo systemctl enable logstash
sudo systemctl start logstash
```
3. Kibana Yükleme:
```bash
sudo apt-get install kibana
sudo systemctl enable kibana
sudo systemctl start kibana
```
Wazuh Yükleme:
Wazuh’u Elastic Stack ile entegre etmek için aşağıdaki komutları kullanarak Wazuh’u kurabilirsiniz.
```bash
curl -s https://packages.wazuh.com/key/GPG-KEY-WAZUH | sudo apt-key add -
sudo apt-get install apt-transport-https
echo "deb https://packages.wazuh.com/4.x/apt stable main" | sudo tee /etc/apt/sources.list.d/wazuh.list
sudo apt-get update
sudo apt-get install wazuh-manager
```
Kurulumun ardından Wazuh’u başlatmak için:
```bash
sudo systemctl enable wazuh-manager
sudo systemctl start wazuh-manager
```
Adım 2: Wazuh ve Kibana Arasında Entegrasyon
Wazuh, Kibana ile birleşerek görselleştirilmiş güvenlik raporları oluşturmanıza olanak tanır. Kibana üzerinden Wazuh ile bağlantıyı kurmak için aşağıdaki komutları izleyin:
1. Wazuh Plugin'ini Yükleyin:
Wazuh’un Kibana ile entegrasyonu için Wazuh plugin’ini yüklemelisiniz. Bunu şu komutla gerçekleştirebilirsiniz:
```bash
sudo /usr/share/kibana/bin/kibana-plugin install https://github.com/wazuh/wazuh-kibana-app/releases/download/4.x/wazuh-kibana-app-4.3.0.zip
```
2. Kibana'yı Yeniden Başlatın:
Plugin yüklemesi tamamlandığında Kibana’yı yeniden başlatın:
```bash
sudo systemctl restart kibana
```
3. Kibana Arayüzüne Erişim:
Kibana arayüzüne erişmek için, tarayıcınızdan aşağıdaki URL'yi kullanarak Kibana'ya gidin:
```bash
http://
```
Burada, Wazuh Dashboard'unu görmelisiniz. Artık log verilerini görselleştirip analiz edebilirsiniz!
Adım 3: Wazuh ve Ajantları Yapılandırma
Wazuh’un etkili çalışabilmesi için ajanları (agents) yapılandırmak önemlidir. Wazuh ajanları, hedef sistemlere kurulur ve bu sistemlerden gelen log verilerini Wazuh manager'a iletir. Bu adımda, bir ajanın kurulumu ve yapılandırılması gerekmektedir.
1. Ajanı Kurma:
Aşağıdaki komutla Wazuh ajanını kurabilirsiniz:
```bash
sudo apt-get install wazuh-agent
```
2. Ajanı Yapılandırma:
Wazuh ajanının yapılandırma dosyasını açarak, server IP adresini girmeniz gerekecek:
```bash
sudo nano /var/ossec/etc/ossec.conf
```
`
3. Ajanı Başlatma:
Aşağıdaki komutla Wazuh ajanını başlatın:
```bash
sudo systemctl enable wazuh-agent
sudo systemctl start wazuh-agent
```
Ajanlar başarıyla kurulduktan sonra, Wazuh Manager’ı aracılığıyla verileri toplama ve analiz etme işlemlerini başlatabilirsiniz.
Adım 4: Wazuh’u İzleme ve Yönetme
Wazuh’u izlemek ve yönetmek, güvenlik olaylarını zamanında tespit etmek açısından önemlidir. Kibana’daki Wazuh Dashboard üzerinden tüm verileri anlık olarak izleyebilirsiniz.
- Dashboard’da, logları, tehditleri ve güvenlik ihlallerini görebilirsiniz.
- Alert sekmesinde, gelen uyarıları takip edebilir ve gerekli aksiyonları alabilirsiniz.
- Rules bölümünde, güvenlik kurallarını düzenleyerek, sisteme özel ihtiyaçlarınıza göre yapılandırmalar yapabilirsiniz.
Not: Güvenlik tehditlerine karşı hızlı tepki verebilmek için bu dashboard'u düzenli olarak kontrol etmek önemlidir.
Sonuç
Wazuh, ağınızı güvence altına almak için güçlü bir araçtır ve doğru yapılandırıldığında, tüm güvenlik olaylarını etkin bir şekilde izleyip yönetmenizi sağlar. Elastic Stack ile entegrasyonu sayesinde verileri görselleştirerek analiz etmek oldukça kolay hale gelir. Unutmayın, düzenli olarak Wazuh’u kontrol etmek, ağınızdaki güvenlik açıklarını erkenden tespit etmenize yardımcı olacaktır.
