Wazuh OPNsense

Aus Xinux Wiki
Version vom 11. März 2025, 18:51 Uhr von Thomas.will (Diskussion | Beiträge) (→‎Testregel-Erkennung)
(Unterschied) ← Nächstältere Version | Aktuelle Version (Unterschied) | Nächstjüngere Version → (Unterschied)
Zur Navigation springen Zur Suche springen

Installation des Wazuh-Plugins

  • Gehe zu System → Firmware → Plugins
  • Suche nach os-wazuh-agent und klicke auf das **[+]**-Symbol, um das Plugin zu installieren

Agent konfigurieren

  • Gehe zu Services → Wazuh Agent → Settings
  • Unter General Settings trage den Hostnamen des Wazuh-Managers ein
  • Aktiviere den Agenten und setze bei Bedarf ein Kennwort unter Authentication → Password
  • Gehe zum Wazuh-Manager und prüfe, ob der Agent sich registriert hat

Auswahl der zu übertragenden Logs

  • Der Wazuh-Agent-Plugin unterstützt syslog-Ziele
  • Wenn eine Anwendung Logdaten an syslog sendet und den Applikationsnamen registriert, kann sie zur Übertragung an Wazuh ausgewählt werden
  • Für Intrusion-Detection-Ereignisse kann der eve-Datenfeed verwendet werden, indem die Option in den allgemeinen Einstellungen aktiviert wird

RFC3164-Format für Syslog

  • Wazuh unterstützt nur Syslog-Nachrichten im RFC3164-Format
  • Ereignisse werden im Dateiformat unter /var/ossec/logs/opnsense_syslog.log protokolliert

Anpassung der ossec.conf

  • Einige Wazuh-Module sind direkt im GUI auswählbar
  • Für zusätzliche Features können statische Sektionen manuell in /usr/local/opnsense/service/templates/OPNsense/WazuhAgent/ossec_config.d/ hinzugefügt werden
  • Beispiel für eine Konfiguration, die einen benutzerdefinierten JSON-Feed hinzufügt:
  <localfile>
    <log_format>json</log_format>
    <location>/path/to/my/file.json</location>
  </localfile>

Aktive Reaktionen einrichten

  • Wazuh unterstützt aktive Reaktionen, sodass der Manager Verteidigungsmaßnahmen ausführen kann
  • Die Aktion opnsense-fw kann verwendet werden, um Traffic von einer bestimmten Quelladresse zu blockieren
  • Füge folgende Konfiguration in der Datei /var/ossec/etc/ossec.conf hinzu:
  <ossec_config>
    <command>
      <name>opnsense-fw</name>
      <executable>opnsense-fw</executable>
      <timeout_allowed>yes</timeout_allowed>
    </command>
  </ossec_config>
  • Verwende die folgende Konfiguration für aktive Reaktionen (agent_id anpassen):
  <ossec_config>
    <active-response>
      <disabled>no</disabled>
      <command>opnsense-fw</command>
      <location>defined-agent</location>
      <agent_id>001</agent_id>
      <rules_id>87702</rules_id>
      <timeout>180</timeout>
    </active-response>
  </ossec_config>

Testen der aktiven Reaktionen

  • Aktive Reaktionen werden im Log unter Services → Wazuh Agent → Logfile / active-responses aufgezeichnet
  • Um eine aktive Reaktion schnell zu testen, nutze die API-Konsole unter Wazuh → Tools → API console
  • Beispielbefehl, um die IP 172.16.1.30 für Agent 001 zu blockieren:
  PUT /active-response?agents_list=001
  {
    "command": "!opnsense-fw",
    "custom": false,
    "alert": {
      "data": {
        "srcip": "172.16.1.30"
      }
    }
  }

Testregel-Erkennung

  • Wenn Logeinträge in /var/ossec/logs/opnsense_syslog.log gesammelt werden, aber keine Ereignisse im Manager erscheinen, überprüfe, wie Wazuh diese Einträge verarbeitet
  • Das Menü Wazuh → Tools → Ruleset test im Manager bietet ein Tool, um Logereignisse zu inspizieren
Abgerufen von „http://wiki.ixheim.de/index.php?title=Wazuh_OPNsense&oldid=59596