Documentos de Académico
Documentos de Profesional
Documentos de Cultura
LaboratorioSIEM 2
LaboratorioSIEM 2
Instalar Wazuh
Instalar ELK.
Introducción
Configuración de Wazuh
Actualizar el sistema operative
Instalación de Java
#apt install default-jre
Actualizar el repositorio
#apt update
#curl -so
/usr/share/elasticsearch/plugins/opendistro_security/securityconfig/ro
les_mapping.yml https://raw.githubusercontent.com/wazuh/wazuh-
documentation/4.1/resources/open-
distro/elasticsearch/roles/roles_mapping.yml
#curl -so
/usr/share/elasticsearch/plugins/opendistro_security/securityconfig/in
ternal_users.yml https://raw.githubusercontent.com/wazuh/wazuh-
documentation/4.1/resources/open-
distro/elasticsearch/roles/internal_users.yml
1. Wazuh_user – Usado por usuarios con privilegios de lectura dentro del plugin
Wazuh Kibana.
2. Wazuh_admin – Para usuarios con privilegios administrativos
INSTALACIÓN DE FILEBEAT
Filebeat se utiliza para enviar alertas y eventos desde el servidor de Wazuh a
Elasticsearch
#apt install filebeat
INSTALACIÓN DE KIBANA
Kibana es la interfaz web que ayuda a visualizar y analizar los eventos almacenados en
Elasticsearch.
#apt-get install opendistroforelasticsearch-kibana
Instalar el complemento de Kibana para Wazuh. Esto debe hacerse desde el directorio
de inicio de Kibana.
#cd /usr/share/kibana
#sudo -u kibana bin/kibana-plugin install
https://packages.wazuh.com/4.x/ui/kibana/wazuh_kibana-4.1.5_7.10.2-
1.zip
blacklist {
device {
vendor "VMware"
product "Virtual disk"
}
}
Reiniciar el servicio
#/etc/init.d/multipath-tools restart
Error de API
#/var/ossec/bin/wazuh-control info | grep WAZUH_VERSION
#cd /usr/share/kibana/
#sudo -u kibana bin/kibana-plugin remove wazuh
#sudo -u kibana /usr/share/kibana/bin/kibana-plugin install
https://packages.wazuh.com/4.x/ui/kibana/wazuh_kibana-4.2.0_7.10.2-
1.zip
#systemctl restart kibana
Reiniciar el servicio
#systemctl restart wazuh-manager
Respuesta Activa
En el servidor de wazuh agregar la directiva para restricción
#nano /var/ossec/etc/ossec.conf
<active-response>
<command>firewall-drop</command>
<location>local</location>
<rules_id>5710</rules_id>
<timeout>180</timeout>
</active-response>
Reiniciar el servicio del servidor wazuh
#systemctl restart wazuh-manager
Instalar Suricata
#apt-get install suricata
#nano /etc/default/suricata
Actualizar suricata-update
#pip install --pre --upgrade suricata-update
Reiniciar el servicio
#systemctl restart wazuh-agent