Wazuh OPNsense: Unterschied zwischen den Versionen
Zur Navigation springen
Zur Suche springen
(Die Seite wurde neu angelegt: „==== Installation des Wazuh-Plugins ==== * Gehe zu ''System → Firmware → Plugins'' * Suche nach ''os-wazuh-agent'' und klicke auf das **[+]**-Symbol, um da…“) |
|||
| Zeile 81: | Zeile 81: | ||
* Wenn Logeinträge in ''/var/ossec/logs/opnsense_syslog.log'' gesammelt werden, aber keine Ereignisse im Manager erscheinen, überprüfe, wie Wazuh diese Einträge verarbeitet | * Wenn Logeinträge in ''/var/ossec/logs/opnsense_syslog.log'' gesammelt werden, aber keine Ereignisse im Manager erscheinen, überprüfe, wie Wazuh diese Einträge verarbeitet | ||
* Das Menü ''Wazuh → Tools → Ruleset test'' im Manager bietet ein Tool, um Logereignisse zu inspizieren | * Das Menü ''Wazuh → Tools → Ruleset test'' im Manager bietet ein Tool, um Logereignisse zu inspizieren | ||
| + | [[Kategorie:WAZUH]] | ||
Aktuelle Version vom 11. März 2025, 18:51 Uhr
Installation des Wazuh-Plugins
- Gehe zu System → Firmware → Plugins
- Suche nach os-wazuh-agent und klicke auf das **[+]**-Symbol, um das Plugin zu installieren
Agent konfigurieren
- Gehe zu Services → Wazuh Agent → Settings
- Unter General Settings trage den Hostnamen des Wazuh-Managers ein
- Aktiviere den Agenten und setze bei Bedarf ein Kennwort unter Authentication → Password
- Gehe zum Wazuh-Manager und prüfe, ob der Agent sich registriert hat
Auswahl der zu übertragenden Logs
- Der Wazuh-Agent-Plugin unterstützt syslog-Ziele
- Wenn eine Anwendung Logdaten an syslog sendet und den Applikationsnamen registriert, kann sie zur Übertragung an Wazuh ausgewählt werden
- Für Intrusion-Detection-Ereignisse kann der eve-Datenfeed verwendet werden, indem die Option in den allgemeinen Einstellungen aktiviert wird
RFC3164-Format für Syslog
- Wazuh unterstützt nur Syslog-Nachrichten im RFC3164-Format
- Ereignisse werden im Dateiformat unter /var/ossec/logs/opnsense_syslog.log protokolliert
Anpassung der ossec.conf
- Einige Wazuh-Module sind direkt im GUI auswählbar
- Für zusätzliche Features können statische Sektionen manuell in /usr/local/opnsense/service/templates/OPNsense/WazuhAgent/ossec_config.d/ hinzugefügt werden
- Beispiel für eine Konfiguration, die einen benutzerdefinierten JSON-Feed hinzufügt:
<localfile>
<log_format>json</log_format>
<location>/path/to/my/file.json</location>
</localfile>
Aktive Reaktionen einrichten
- Wazuh unterstützt aktive Reaktionen, sodass der Manager Verteidigungsmaßnahmen ausführen kann
- Die Aktion opnsense-fw kann verwendet werden, um Traffic von einer bestimmten Quelladresse zu blockieren
- Füge folgende Konfiguration in der Datei /var/ossec/etc/ossec.conf hinzu:
<ossec_config>
<command>
<name>opnsense-fw</name>
<executable>opnsense-fw</executable>
<timeout_allowed>yes</timeout_allowed>
</command>
</ossec_config>
- Verwende die folgende Konfiguration für aktive Reaktionen (agent_id anpassen):
<ossec_config>
<active-response>
<disabled>no</disabled>
<command>opnsense-fw</command>
<location>defined-agent</location>
<agent_id>001</agent_id>
<rules_id>87702</rules_id>
<timeout>180</timeout>
</active-response>
</ossec_config>
Testen der aktiven Reaktionen
- Aktive Reaktionen werden im Log unter Services → Wazuh Agent → Logfile / active-responses aufgezeichnet
- Um eine aktive Reaktion schnell zu testen, nutze die API-Konsole unter Wazuh → Tools → API console
- Beispielbefehl, um die IP 172.16.1.30 für Agent 001 zu blockieren:
PUT /active-response?agents_list=001
{
"command": "!opnsense-fw",
"custom": false,
"alert": {
"data": {
"srcip": "172.16.1.30"
}
}
}
Testregel-Erkennung
- Wenn Logeinträge in /var/ossec/logs/opnsense_syslog.log gesammelt werden, aber keine Ereignisse im Manager erscheinen, überprüfe, wie Wazuh diese Einträge verarbeitet
- Das Menü Wazuh → Tools → Ruleset test im Manager bietet ein Tool, um Logereignisse zu inspizieren