Wazuh

Последнее изменение: 21 ноября 2024

Wazuh

Wazuh — это SIEM-система для защиты информации и управления событиями безопасности. Предотвращает и находит уязвимости с помощью агента безопасности, обнаруживает угрозы и реагирует на инциденты.

Можно создать облачный сервер с готовым приложением Wazuh.

Создать облачный сервер с Wazuh⁠

Для работы Wazuh облачный сервер должен быть доступен из интернета. Для этого нужно создать приватную подсеть и подключить публичный IP-адрес — это можно сделать при создании сервера. Для настройки Wazuh при создании сервера нужно указать user data — пользовательские параметры конфигурации операционной системы.

После создания сервера можно автоматически выпустить бесплатный TLS-сертификат от Let’s Encrypt® для домена, который вы укажете. Для выпуска сертификата нужно добавить A-запись для домена и указать в значении записи публичный IP-адрес сервера. Домен можно добавить в DNS-хостинг Selectel (actual).

1. В панели управления перейдите в раздел Облачная платформа → Серверы.

2. Нажмите Создать сервер.

3. В блоке Имя и расположение:

   3.1. В поле Имя введите имя сервера. Оно будет установлено как имя хоста в операционной системе.

   3.2. В полях Регион и Пул выберите регион и сегмент пула, в котором будет создан сервер. От сегмента пула зависит список доступных конфигураций сервера и стоимость ресурсов. После создания сервера изменить сегмент пула нельзя.

4. В блоке Источник выберите источник, из которого будет создан сервер.

   Нажмите на имя источника по умолчанию, откройте вкладку Приложения, выберите Cloud Wazuh <version> 64-bit и нажмите Выбрать.

5. В блоке Конфигурация выберите конфигурацию сервера в зависимости от количества агентов Wazuh. Если агентов менее 100, выберите конфигурацию от 4 vCPU, RAM от 8 ГБ и размером загрузочного диска от 16 ГБ. Можно выбрать:

   • фиксированную конфигурацию — линейки, в которых зафиксировано соотношение ресурсов;
   • или произвольную конфигурацию, в которой можно указать любое соотношение ресурсов.

   В конфигурациях используются разные процессоры в зависимости от линейки и сегмента пула.

   5.1. Чтобы выбрать фиксированную конфигурацию, нажмите Фиксированная, откройте вкладку с нужной линейкой и выберите конфигурацию.

   5.2. Чтобы выбрать произвольную конфигурацию, нажмите Произвольная, укажите количество vCPU и размер RAM.

   5.3. Чтобы в качестве загрузочного диска сервера выбрать локальный диск, отметьте чекбокс Локальный SSD NVMe диск. Чтобы в качестве загрузочного диска выбрать сетевой диск, не отмечайте чекбокс.

   Объем оперативной памяти, который выделяется серверу, может быть меньше указанного в конфигурации — ядро операционной системы резервирует часть оперативной памяти в зависимости от версии ядра и дистрибутива. Выделенный объем на сервере можно проверить с помощью команды sudo dmesg | grep Memory.

   После создания сервера можно изменить конфигурацию.

6. Если вы не отметили чекбокс Локальный SSD NVMe диск на шаге 5.3., в качестве загрузочного диска сервера будет использоваться первый указанный сетевой диск. В блоке Диски:

   6.1. В поле Тип диска выберите тип сетевого загрузочного диска.

   6.2. Укажите размер сетевого загрузочного диска в ГБ или ТБ. Учитывайте лимиты сетевых дисков на максимальный размер.

7. Опционально: добавьте дополнительные сетевые диски сервера. В блоке Диски:

   7.1. В поле Тип диска выберите тип сетевого диска.

   7.2. Укажите размер сетевого диска в ГБ или ТБ. Учитывайте лимиты сетевых дисков на максимальный размер.

   7.3. Чтобы добавить другой дополнительный диск, нажмите Добавить, выберите тип диска и укажите его размер.

   После создания сервера можно отключить от него дополнительные диски или подключить новые.

8. В блоке Сеть создайте приватную подсеть и статический публичный IP-адрес. В поле Подсеть выберите Приватная + 1 публичный IP. Автоматически будут созданы приватная сеть nat, приватная подсеть, роутер router-nat и публичный IP-адрес.

   Если приватная подсеть и облачный роутер, подключенный к внешней сети, созданы, в поле Подсеть выберите Приватная + 1 публичный IP, в поле Приватная подсеть выберите созданную подсеть, в поле Приватный IP укажите приватный IP-адрес сервера. Если публичный IP-адрес создан, нажмите Подключить существующий и выберите публичный IP-адрес.

9. В блоке Доступ:

   9.1. Разместите на сервере SSH-ключ для безопасного подключения.

   Чтобы добавить в облачную платформу новый SSH-ключ, нажмите Добавить SSH-ключ, введите имя ключа, вставьте публичный SSH-ключ в формате OpenSSH и нажмите Добавить.

   Если SSH-ключ добавлен в облачную платформу, в поле SSH-ключ выберите существующий ключ.

   9.2. Опционально: в поле Пароль для «root» скопируйте пароль пользователя root (пользователь с неограниченными правами на все действия над системой). Сохраните пароль в безопасном месте и не передавайте в открытом виде.

10. В блоке Дополнительные настройки:

    10.1. Опционально: если вы планируете создать несколько серверов и хотите повысить отказоустойчивость инфраструктуры, добавьте сервер в группу размещения. Чтобы создать новую группу, нажмите Создать группу, введите имя группы и выберите политику размещения на разных хостах:

    • желательно — soft-anti-affinity. Система постарается разместить серверы на разных хостах. Если при создании сервера не будет подходящего хоста, он будет создан на том же хосте;
    • обязательно — anti-affinity. Серверы в группе обязательно располагаются на разных хостах. Если при создании сервера не будет подходящего хоста, сервер не будет создан.

    Если группа создана, в поле Группа размещения выберите группу размещения.

    10.2. Опционально: добавьте теги сервера, чтобы добавить дополнительную информацию или фильтровать серверы в списке. Автоматически добавляются теги операционной системы и конфигурации. Чтобы добавить новый тег, в поле Теги введите тег.

11. В блоке Автоматизация в поле User data вставьте скрипт, который выполнится при загрузке системы. В скрипт можно добавить дополнительные параметры:

    Создание сервера с выпуском TLS-сертификата

    #cloud-config
    
    write_files:
    - path: "/opt/gomplate/values/user-values.yaml"
      permissions: "0644"
      content: |
        admin_password: "<administrator_password>"
        wazuhDomain: <example.com>
        leEmail: <root@example.com>
        useLE: true

    Укажите:

    • <administrator_password> — пароль администратора Wazuh. Пароль должен содержать:
      • более восьми символов;
      • не менее одной прописной буквы;
      • не менее одной строчной буквы;
      • не менее одной цифры;
    • <example.com> — домен для доступа к Wazuh. Для домена нужно добавить A-запись и указать в значении записи публичный IP-адрес, который вы указали на шаге 8. Если домен добавлен в DNS-хостинг Selectel (actual), используйте инструкцию Добавить ресурсную запись. После создания сервера для домена автоматически выпустится TLS-сертификат от Let’s Encrypt®;
    • <root@example.com> — электронная почта администратора Wazuh для создания аккаунта и получения уведомлений Let’s Encrypt®;
    • useLE: true — параметр для автоматического выпуска TLS-сертификата от Let’s Encrypt®.

    Создание сервера без выпуска TLS-сертификата

    #cloud-config
    
    write_files:
    - path: "/opt/gomplate/values/user-values.yaml"
      permissions: "0644"
      content: |
        admin_password: "<administrator_password>"

    Укажите:

    • <administrator_password> — пароль администратора Wazuh. Пароль должен содержать:
      • более восьми символов;
      • не менее одной прописной буквы;
      • не менее одной строчной буквы;
      • не менее одной цифры.

12. Проверьте цену облачного сервера.

13. Нажмите Создать.

Параметры⁠

Для настройки облачного сервера с Wazuh в поле User data можно указывать параметры из таблицы.

Имя	Тип	Значение по умолчанию	Описание
admin_username	string	admin	Имя администратора Wazuh
admin_password	string	✗	Обязательный параметр. Пароль администратора Wazuh. Должен быть более восьми символов, содержать не менее одной прописной и одной строчной буквы и не менее одной цифры
api_username	string	wazuh-wui	Имя пользователя для доступа к API и внутреннего взаимодействия компонентов
api_password	string	✗	Пароль пользователя для доступа к API и внутреннего взаимодействия компонентов. Должен быть не менее 8 символов и не более 64, содержать не менее одной прописной и одной строчной буквы, цифры и символа (!, ?, @, #, $, %, ^, &, *). Если оставить поле пустым, будет использоваться сгенерированный пароль
dashboard_username	string	kibanaserver	Имя пользователя для взаимодействия дашборда и сервера хранения данных
dashboard_password	string	✗	Пароль пользователя для взаимодействия дашборда и сервера хранения данных. Должен быть более восьми символов, содержать не менее одной прописной и одной строчной буквы и не менее одной цифры. Если оставить поле пустым, будет использоваться сгенерированный пароль
agent_password	string	✗	Пароль для аутентификации агентов на сервере управления. Должен быть более восьми символов, содержать не менее одной прописной и одной строчной буквы и не менее одной цифры
useLE	bool	false	Параметр для автоматического выпуска TLS-сертификата от Let’s Encrypt®: true — сертификат будет выпущен; false — сертификат не будет выпущен
wazuhDomain	string	✗	Домен для доступа к Wazuh, для которого автоматически выпустится TLS-сертификат от Let’s Encrypt®
leEmail	string	✗	Электронная почта администратора Wazuh для создания аккаунта и получения уведомлений Let’s Encrypt®