Thomas.will: /* Testregel-Erkennung */

2025-03-11T18:51:37Z

Testregel-Erkennung

Thomas.will: Die Seite wurde neu angelegt: „==== Installation des Wazuh-Plugins ==== * Gehe zu ''System → Firmware → Plugins'' * Suche nach ''os-wazuh-agent'' und klicke auf das [+]-Symbol, um da…“

2024-11-04T15:09:29Z

Die Seite wurde neu angelegt: „==== Installation des Wazuh-Plugins ==== * Gehe zu ''System → Firmware → Plugins'' * Suche nach ''os-wazuh-agent'' und klicke auf das **[+]**-Symbol, um da…“

Neue Seite

==== Installation des Wazuh-Plugins ====
* Gehe zu ''System → Firmware → Plugins''
* Suche nach ''os-wazuh-agent'' und klicke auf das **[+]**-Symbol, um das Plugin zu installieren

==== Agent konfigurieren ====
* Gehe zu ''Services → Wazuh Agent → Settings''
* Unter ''General Settings'' trage den Hostnamen des Wazuh-Managers ein
* Aktiviere den Agenten und setze bei Bedarf ein Kennwort unter ''Authentication → Password''
* Gehe zum Wazuh-Manager und prüfe, ob der Agent sich registriert hat

==== Auswahl der zu übertragenden Logs ====
* Der Wazuh-Agent-Plugin unterstützt syslog-Ziele
* Wenn eine Anwendung Logdaten an syslog sendet und den Applikationsnamen registriert, kann sie zur Übertragung an Wazuh ausgewählt werden
* Für Intrusion-Detection-Ereignisse kann der ''eve''-Datenfeed verwendet werden, indem die Option in den allgemeinen Einstellungen aktiviert wird

==== RFC3164-Format für Syslog ====
* Wazuh unterstützt nur Syslog-Nachrichten im RFC3164-Format
* Ereignisse werden im Dateiformat unter ''/var/ossec/logs/opnsense_syslog.log'' protokolliert

==== Anpassung der ossec.conf ====
* Einige Wazuh-Module sind direkt im GUI auswählbar
* Für zusätzliche Features können statische Sektionen manuell in ''/usr/local/opnsense/service/templates/OPNsense/WazuhAgent/ossec_config.d/'' hinzugefügt werden
* Beispiel für eine Konfiguration, die einen benutzerdefinierten JSON-Feed hinzufügt:

<pre>
<localfile>
<log_format>json</log_format>
<location>/path/to/my/file.json</location>
</localfile>
</pre>

==== Aktive Reaktionen einrichten ====
* Wazuh unterstützt aktive Reaktionen, sodass der Manager Verteidigungsmaßnahmen ausführen kann
* Die Aktion ''opnsense-fw'' kann verwendet werden, um Traffic von einer bestimmten Quelladresse zu blockieren
* Füge folgende Konfiguration in der Datei ''/var/ossec/etc/ossec.conf'' hinzu:

<pre>
<ossec_config>
<command>
<name>opnsense-fw</name>
<executable>opnsense-fw</executable>
<timeout_allowed>yes</timeout_allowed>
</command>
</ossec_config>
</pre>

* Verwende die folgende Konfiguration für aktive Reaktionen (''agent_id'' anpassen):

<pre>
<ossec_config>
<active-response>
<disabled>no</disabled>
<command>opnsense-fw</command>
<location>defined-agent</location>
<agent_id>001</agent_id>
<rules_id>87702</rules_id>
<timeout>180</timeout>
</active-response>
</ossec_config>
</pre>

==== Testen der aktiven Reaktionen ====
* Aktive Reaktionen werden im Log unter ''Services → Wazuh Agent → Logfile / active-responses'' aufgezeichnet
* Um eine aktive Reaktion schnell zu testen, nutze die API-Konsole unter ''Wazuh → Tools → API console''
* Beispielbefehl, um die IP ''172.16.1.30'' für Agent ''001'' zu blockieren:

<pre>
PUT /active-response?agents_list=001
{
"command": "!opnsense-fw",
"custom": false,
"alert": {
"data": {
"srcip": "172.16.1.30"
}
}
}
</pre>

==== Testregel-Erkennung ====
* Wenn Logeinträge in ''/var/ossec/logs/opnsense_syslog.log'' gesammelt werden, aber keine Ereignisse im Manager erscheinen, überprüfe, wie Wazuh diese Einträge verarbeitet
* Das Menü ''Wazuh → Tools → Ruleset test'' im Manager bietet ein Tool, um Logereignisse zu inspizieren

← Nächstältere Version		Version vom 11. März 2025, 18:51 Uhr
Zeile 81:		Zeile 81:
	* Wenn Logeinträge in ''/var/ossec/logs/opnsense_syslog.log'' gesammelt werden, aber keine Ereignisse im Manager erscheinen, überprüfe, wie Wazuh diese Einträge verarbeitet		* Wenn Logeinträge in ''/var/ossec/logs/opnsense_syslog.log'' gesammelt werden, aber keine Ereignisse im Manager erscheinen, überprüfe, wie Wazuh diese Einträge verarbeitet
	* Das Menü ''Wazuh → Tools → Ruleset test'' im Manager bietet ein Tool, um Logereignisse zu inspizieren		* Das Menü ''Wazuh → Tools → Ruleset test'' im Manager bietet ein Tool, um Logereignisse zu inspizieren
		+	[[Kategorie:WAZUH]]

Wazuh OPNsense - Versionsgeschichte

Thomas.will: /* Testregel-Erkennung */

Thomas.will: Die Seite wurde neu angelegt: „==== Installation des Wazuh-Plugins ==== * Gehe zu ''System → Firmware → Plugins'' * Suche nach ''os-wazuh-agent'' und klicke auf das **[+]**-Symbol, um da…“

Thomas.will: Die Seite wurde neu angelegt: „==== Installation des Wazuh-Plugins ==== * Gehe zu ''System → Firmware → Plugins'' * Suche nach ''os-wazuh-agent'' und klicke auf das [+]-Symbol, um da…“