Wazuh Mailserver: Unterschied zwischen den Versionen
Zur Navigation springen
Zur Suche springen
(Die Seite wurde neu angelegt: „=Wazuh Alert-Mails= Wazuh verschickt bei Alerts ab einem Schwellwert eine E-Mail über den bestehenden Mailserver '''mail.it213.xinmen.de'''. Der Manager häng…“) |
|||
| Zeile 1: | Zeile 1: | ||
| + | |||
=Wazuh Alert-Mails= | =Wazuh Alert-Mails= | ||
Wazuh verschickt bei Alerts ab einem Schwellwert eine E-Mail über den bestehenden Mailserver '''mail.it213.xinmen.de'''. Der Manager hängt sich als reiner SMTP-Client ein. Die Alerts landen im Postfach und sind in Roundcube sichtbar — damit wird der Bogen ''Detection → Response'' greifbar. | Wazuh verschickt bei Alerts ab einem Schwellwert eine E-Mail über den bestehenden Mailserver '''mail.it213.xinmen.de'''. Der Manager hängt sich als reiner SMTP-Client ein. Die Alerts landen im Postfach und sind in Roundcube sichtbar — damit wird der Bogen ''Detection → Response'' greifbar. | ||
| + | ==== Agent installieren ==== | ||
| + | <syntaxhighlight lang="bash"> | ||
| + | curl -s https://packages.wazuh.com/key/GPG-KEY-WAZUH | gpg --no-default-keyring --keyring gnupg-ring:/usr/share/keyrings/wazuh.gpg --import | ||
| + | chmod 644 /usr/share/keyrings/wazuh.gpg | ||
| + | echo "deb [signed-by=/usr/share/keyrings/wazuh.gpg] https://packages.wazuh.com/4.x/apt/ stable main" > /etc/apt/sources.list.d/wazuh.list | ||
| + | apt update | ||
| + | WAZUH_MANAGER="wazuh.dkbi.com" WAZUH_AGENT_NAME="mail" apt install -y wazuh-agent | ||
| + | systemctl daemon-reload | ||
| + | systemctl enable --now wazuh-agent | ||
| + | sed -i "s/^deb /#deb /" /etc/apt/sources.list.d/wazuh.list | ||
| + | apt update | ||
| + | </syntaxhighlight> | ||
| + | |||
| + | |||
==== Mail-User anlegen (Mailserver) ==== | ==== Mail-User anlegen (Mailserver) ==== | ||
Version vom 26. Juni 2026, 17:02 Uhr
Wazuh Alert-Mails
Wazuh verschickt bei Alerts ab einem Schwellwert eine E-Mail über den bestehenden Mailserver mail.it213.xinmen.de. Der Manager hängt sich als reiner SMTP-Client ein. Die Alerts landen im Postfach und sind in Roundcube sichtbar — damit wird der Bogen Detection → Response greifbar.
Agent installieren
curl -s https://packages.wazuh.com/key/GPG-KEY-WAZUH | gpg --no-default-keyring --keyring gnupg-ring:/usr/share/keyrings/wazuh.gpg --import
chmod 644 /usr/share/keyrings/wazuh.gpg
echo "deb [signed-by=/usr/share/keyrings/wazuh.gpg] https://packages.wazuh.com/4.x/apt/ stable main" > /etc/apt/sources.list.d/wazuh.list
apt update
WAZUH_MANAGER="wazuh.dkbi.com" WAZUH_AGENT_NAME="mail" apt install -y wazuh-agent
systemctl daemon-reload
systemctl enable --now wazuh-agent
sed -i "s/^deb /#deb /" /etc/apt/sources.list.d/wazuh.list
apt update
Mail-User anlegen (Mailserver)
Auf mail.it213.xinmen.de zwei lokale User anlegen: Absender und Empfänger.
- Absender und SOC-Postfach anlegen
useradd -m -s /usr/sbin/nologin wazuh
useradd -m -s /bin/bash soc
passwd soc
- wazuh braucht kein Login (nur Absenderadresse), soc ist das Postfach, das du in Roundcube öffnest
Relay erlauben (Mailserver)
Wazuh sendet unauthentifiziert auf Port 25. Der Mailserver muss das Server-Netz als vertrauenswürdig akzeptieren.
- Aktuelle mynetworks prüfen
- postconf mynetworks
- Falls das Server-Netz fehlt, ergänzen
postconf -e "mynetworks = 127.0.0.0/8 172.26.54.0/24"
systemctl reload postfix
Manager konfigurieren
- In /var/ossec/etc/ossec.conf den global-Block ergänzen
<global> <email_notification>yes</email_notification> <smtp_server>mail.it213.xinmen.de</smtp_server> <email_from>wazuh@it213.xinmen.de</email_from> <email_to>soc@it213.xinmen.de</email_to> <email_maxperhour>12</email_maxperhour> </global>
- Schwellwert setzen — nur Alerts ab Level 7 mailen
<alerts> <email_alert_level>7</email_alert_level> </alerts>
- Manager neu starten
- systemctl restart wazuh-manager
Funktionstest
- SMTP-Pfad direkt prüfen (vom Wazuh-Manager aus)
- echo "test" | mail -s "wazuh smtp test" -r wazuh@it213.xinmen.de soc@it213.xinmen.de
- Die Mail muss in Roundcube im Postfach soc erscheinen
- Echten Alert auslösen (Brute-Force von der Kali, Level 10)
hydra -l kit -P bad-passwords.txt ssh://<ubuntu-ip>
- Wazuh schickt die Brute-Force-Alarmmail an soc@it213.xinmen.de