Wazuh Mailserver: Unterschied zwischen den Versionen
Zur Navigation springen
Zur Suche springen
| (6 dazwischenliegende Versionen desselben Benutzers werden nicht angezeigt) | |||
| Zeile 4: | Zeile 4: | ||
==== Agent installieren ==== | ==== Agent installieren ==== | ||
<syntaxhighlight lang="bash"> | <syntaxhighlight lang="bash"> | ||
| − | apt install -y gpg | + | apt update && apt install -y gpg |
curl -s https://packages.wazuh.com/key/GPG-KEY-WAZUH | gpg --no-default-keyring --keyring gnupg-ring:/usr/share/keyrings/wazuh.gpg --import | curl -s https://packages.wazuh.com/key/GPG-KEY-WAZUH | gpg --no-default-keyring --keyring gnupg-ring:/usr/share/keyrings/wazuh.gpg --import | ||
chmod 644 /usr/share/keyrings/wazuh.gpg | chmod 644 /usr/share/keyrings/wazuh.gpg | ||
| Zeile 15: | Zeile 15: | ||
apt update | apt update | ||
</syntaxhighlight> | </syntaxhighlight> | ||
| − | |||
| − | |||
==== Mail-User anlegen (Mailserver) ==== | ==== Mail-User anlegen (Mailserver) ==== | ||
| Zeile 39: | Zeile 37: | ||
==== Manager konfigurieren ==== | ==== Manager konfigurieren ==== | ||
| − | ;In ''/var/ossec/etc/ossec.conf'' den global-Block | + | ;In ''/var/ossec/etc/ossec.conf'' den global-Block die Beispiel Daten ändern. |
<pre> | <pre> | ||
<global> | <global> | ||
| − | |||
<smtp_server>mail.it213.xinmen.de</smtp_server> | <smtp_server>mail.it213.xinmen.de</smtp_server> | ||
<email_from>wazuh@it213.xinmen.de</email_from> | <email_from>wazuh@it213.xinmen.de</email_from> | ||
| Zeile 51: | Zeile 48: | ||
;Schwellwert setzen — nur Alerts ab Level 7 mailen | ;Schwellwert setzen — nur Alerts ab Level 7 mailen | ||
<pre> | <pre> | ||
| − | <alerts> | + | <alerts> |
| − | + | <log_alert_level>3</log_alert_level> | |
| − | </alerts> | + | <email_alert_level>7</email_alert_level> |
| + | </alerts> | ||
</pre> | </pre> | ||
;Manager neu starten | ;Manager neu starten | ||
| Zeile 60: | Zeile 58: | ||
==== Funktionstest ==== | ==== Funktionstest ==== | ||
;SMTP-Pfad direkt prüfen (vom Wazuh-Manager aus) | ;SMTP-Pfad direkt prüfen (vom Wazuh-Manager aus) | ||
| − | * echo "test" | | + | * dnf install -y s-nail |
| + | *echo "172.26.52.3 mail.dkbi.com" >> /etc/hosts | ||
| + | *echo "test" | s-nail -s "test" -S mta=smtp://mail.dkbi.com:25 -S from=wazuh@it213.xinmen.de soc@it213.xinmen.de | ||
* Die Mail muss in Roundcube im Postfach ''soc'' erscheinen | * Die Mail muss in Roundcube im Postfach ''soc'' erscheinen | ||
;Echten Alert auslösen (Brute-Force von der Kali, Level 10) | ;Echten Alert auslösen (Brute-Force von der Kali, Level 10) | ||
| Zeile 67: | Zeile 67: | ||
</syntaxhighlight> | </syntaxhighlight> | ||
* Wazuh schickt die Brute-Force-Alarmmail an ''soc@it213.xinmen.de'' | * Wazuh schickt die Brute-Force-Alarmmail an ''soc@it213.xinmen.de'' | ||
| − | + | ==== ADD ON=== | |
| + | *[[RSPAMD an WAZUH]] | ||
[[Kategorie:WAZUH]] | [[Kategorie:WAZUH]] | ||
Aktuelle Version vom 28. Juni 2026, 05:44 Uhr
Wazuh Alert-Mails
Wazuh verschickt bei Alerts ab einem Schwellwert eine E-Mail über den bestehenden Mailserver mail.it213.xinmen.de. Der Manager hängt sich als reiner SMTP-Client ein. Die Alerts landen im Postfach und sind in Roundcube sichtbar — damit wird der Bogen Detection → Response greifbar.
Agent installieren
apt update && apt install -y gpg
curl -s https://packages.wazuh.com/key/GPG-KEY-WAZUH | gpg --no-default-keyring --keyring gnupg-ring:/usr/share/keyrings/wazuh.gpg --import
chmod 644 /usr/share/keyrings/wazuh.gpg
echo "deb [signed-by=/usr/share/keyrings/wazuh.gpg] https://packages.wazuh.com/4.x/apt/ stable main" > /etc/apt/sources.list.d/wazuh.list
apt update
WAZUH_MANAGER="wazuh.dkbi.com" WAZUH_AGENT_NAME="mail" apt install -y wazuh-agent
systemctl daemon-reload
systemctl enable --now wazuh-agent
sed -i "s/^deb /#deb /" /etc/apt/sources.list.d/wazuh.list
apt update
Mail-User anlegen (Mailserver)
Auf mail.it213.xinmen.de zwei lokale User anlegen: Absender und Empfänger.
- Absender und SOC-Postfach anlegen
useradd -m -s /usr/sbin/nologin wazuh
useradd -m -s /bin/bash soc
passwd soc
- wazuh braucht kein Login (nur Absenderadresse), soc ist das Postfach, das du in Roundcube öffnest
Relay erlauben (Mailserver)
Wazuh sendet unauthentifiziert auf Port 25. Der Mailserver muss das Server-Netz als vertrauenswürdig akzeptieren.
- Aktuelle mynetworks prüfen
- postconf mynetworks
- Falls das Server-Netz fehlt, ergänzen
postconf -e "mynetworks = 127.0.0.0/8 172.26.54.0/24"
systemctl reload postfix
Manager konfigurieren
- In /var/ossec/etc/ossec.conf den global-Block die Beispiel Daten ändern.
<global> <smtp_server>mail.it213.xinmen.de</smtp_server> <email_from>wazuh@it213.xinmen.de</email_from> <email_to>soc@it213.xinmen.de</email_to> <email_maxperhour>12</email_maxperhour> </global>
- Schwellwert setzen — nur Alerts ab Level 7 mailen
<alerts>
<log_alert_level>3</log_alert_level>
<email_alert_level>7</email_alert_level>
</alerts>
- Manager neu starten
- systemctl restart wazuh-manager
Funktionstest
- SMTP-Pfad direkt prüfen (vom Wazuh-Manager aus)
- dnf install -y s-nail
- echo "172.26.52.3 mail.dkbi.com" >> /etc/hosts
- echo "test" | s-nail -s "test" -S mta=smtp://mail.dkbi.com:25 -S from=wazuh@it213.xinmen.de soc@it213.xinmen.de
- Die Mail muss in Roundcube im Postfach soc erscheinen
- Echten Alert auslösen (Brute-Force von der Kali, Level 10)
hydra -l kit -P bad-passwords.txt ssh://<ubuntu-ip>
- Wazuh schickt die Brute-Force-Alarmmail an soc@it213.xinmen.de