Wazuh

Wazuh — это DevSecOps-платформа для обнаружения угроз безопасности, мониторинга облачных ресурсов и реагирования на инциденты. Wazuh собирает, агрегирует и анализирует данные, помогая выявлять вторжения, аномалии и уязвимости, а также соблюдать нормативные требования безопасности.

1. Получите пару SSH-ключей для подключения к виртуальной машине (ВМ).

2. Создайте группу безопасности в сети, в которой будет развернута ВМ с Wazuh, и добавьте правило для входящего трафика:

   Направление<br/>трафика	Диапазон портов	Протокол	Назначение /<br/>Источник	CIDR блоки
   Входящий	443	Любой	CIDR	0.0.0.0/0

3. Создайте сервисный аккаунт с ролями compute.viewer, logging.viewer и logging.reader.

4. Создайте лог-группу. Сохраните идентификатор лог-группы, он понадобится в дальнейшем.

5. Настройте загрузку аудитных логов в Cloud Logging.

6. Создайте ВМ из публичного образа:

   1. В блоке Образ загрузочного диска на вкладке Marketplace в поле Поиск продукта введите Wazuh и выберите публичный образ Wazuh.

   2. В блоке Сетевые настройки:

      • В поле Подсеть укажите идентификатор подсети в зоне доступности создаваемой ВМ или выберите облачную сеть из списка.
      • В поле Группы безопасности выберите группу безопасности, созданную ранее.

   3. В блоке Доступ:

   • В поле Логин введите имя пользователя;
   • В поле SSH-ключ выберите из списка SSH-ключ, созданный ранее.
   1. В блоке Дополнительно в поле Сервисный аккаун выберите сервисный аккаунт, созданный ранее.

   Автоматическая настройка ВМ занимает от 5 до 10 минут.

7. Подключитесь к ВМ по SSH. Для этого используйте логин, который вы задали при создании ВМ, и закрытый SSH-ключ, созданный ранее.

8. Откройте файл wazuh.sh:

   sudo nano /etc/profile.d/wazuh.sh
   

9. Добавьте в файл следующую строку:

   export YANDEX_LOG_GROUP_ID="<идентификатор_лог-группы>"
   

   Где YANDEX_LOG_GROUP_ID — идентификатор лог-группы, созданной ранее.

10. Распакуйте архив wazuh-install-files.tar с паролями и сертификатами для доступа к веб-интерфейсу и API Wazuh:

    sudo tar -xvf /var/ossec/wazuh-install-files.tar
    

    Пароли и сертификаты хранятся только на ВМ.

11. Откройте файл wazuh-new-passwords.txt:

    sudo nano wazuh-install-files/wazuh-new-passwords.txt
    

12. В разделе Admin user for the web user interface and Wazuh indexer. Use this user to log in to Wazuh dashboard скопируйте значения параметров для доступа к веб-интерфейсу Wazuh:

    • indexer_username — имя пользователя.
    • indexer_password — пароль.

13. Перейдите в браузере на страницу https://<публичный_IP-адрес_ВМ>/ и авторизуйтесь с параметрами, полученными ранее.

14. Чтобы активировать Wazuh, получите идентификатор каталога, в котором размещена ВМ, и отправьте его на электронную почту support@opennix.ru.

• Анализ безопасности облачных ресурсов, в том числе контейнеров.
• Обнаружение вторжений.
• Поиск уязвимостей.
• Анализ журналов.
• Мониторинг файлов.
• Оценка конфигурации системы.
• Реагирование на инциденты безопасности.
• Проверка соответствия стандартам безопасности.
• Анализ событий безопасности в Yandex Cloud.

OpenNix
OpenNix осуществляет техническую поддержку пользователей Wazuh в Yandex Cloud. Вы можете связаться с технической поддержкой по электронной почте support@opennix.ru. Время работы технической поддержки с 9:00 до 18:00 (МСК) по рабочим дням.

Yandex Cloud
Yandex Cloud не предоставляет техническую поддержку продукта. При возникновении проблем обращайтесь к информационным ресурсам разработчика.