O Wazuh, um sistema de gerenciamento de informações de segurança de eventos (SIEM) de código aberto, é uma solução amplamente adotada por empresas brasileiras e internacionais devido à sua qualidade e facilidade de uso. O SIEM Wazuh é reconhecido pela sua capacidade de coletar, analisar e correlacionar eventos de segurança em tempo real, fornecendo insights valiosos para proteção contra ameaças cibernéticas. Ele permite que as organizações monitorem e respondam a incidentes de segurança de maneira eficaz, garantindo a integridade e a confidencialidade dos dados. Além disso, o Wazuh é altamente personalizável e oferece suporte a uma ampla gama de dispositivos e sistemas, tornando-o uma escolha versátil para empresas de todos os tamanhos e setores.
Passo a passo
Instalação wazuh em docker
01 – Atualize os pacotes do sistema operacional
apt-get update
apt-get upgrade
02 – Execute os seguintes comandos para instalar o wazuh em docker
sysctl -w vm.max_map_count=262144
sysctl vm.max_map_count
apt install -y curl
curl -sSL https://get.docker.com/ | sh
systemctl start docker
systemctl enable docker
systemctl status docker
cd /var/lib/docker
mkdir soc
cd soc
mkdir wazuh
cd wazuh
curl -L “https://github.com/docker/compose/releases/download/v2.12.2/docker-compose-$(uname -s)-$(uname -m)” -o /usr/local/bin/docker-compose
chmod +x /usr/local/bin/docker-compose
docker-compose –version
git clone https://github.com/wazuh/wazuh-docker.git -b v4.8.1
ls -l
cd /var/lib/docker/soc/wazuh/wazuh-docker/single-node
docker-compose -f generate-indexer-certs.yml run –rm generator
docker-compose up -d
03 – Execute o seguinte comando para verificar se o container foi criado e está em execuação.
04 – Para acessar o portal do wazuh digite o endereço IP do servidor no navegador.
https://192.168.0.100
Na tela conexão privada clique em Avançado, em seguida clique em Continue até 192.168.0.100 (não seguro).
05 – Você pode encontrar as credenciais padrão do indexador Wazuh no arquivo docker-compose.yml
vim docker-compose.yml
06 – Na tela de login do wazuh digite o usuário e senha padrão.
usuário: admin
Senha: SecretPassword
07 – Precisamos aguardar a checagem dos componentes do wazuh.
08 – Como podemos observar o wazuh foi instalado com sucesso, temos acesso ao portal.
Configurar o firewall do Ubuntu e abrir as portas do wazuh-server
09 – Instalar o firewall no ubuntu
apt-get install ufw -y
10 – Ativar o serviço de firewall
ufw enable
11 – Liberar as portas necessárias
ufw allow 514/tcp
ufw allow 1514/tcp
ufw allow 1515/tcp
ufw allow 55000/tcp
12 – Execute os seguintes comandos para carregar as configurações do firewall e verificar o status.
ufw reload
ufw status
Instalação do Portainer
O Portainer é uma ferramenta de gerenciamento de contêineres que simplifica o processo de implementação, gerenciamento e manutenção de contêineres Docker. Ele fornece uma interface gráfica de usuário (GUI) intuitiva que facilita a administração de contêineres, imagens, redes e volumes Docker, permitindo que os usuários gerenciem seus ambientes Docker sem a necessidade de comandos complicados. O Portainer pode ser usado para gerenciar contêineres em ambientes locais, bem como em clusters Docker Swarm ou Kubernetes.
O docker foi instalado na etapa de instalação do wazuh, caso não esteja instalado execute o comando
apt install docker.io
13 – Execute os seguintes comandos para instalar o portainer.
docker volume create portainer_data
docker run -d -p 8000:8000 -p 9443:9443 –name portainer –restart=always -v /var/run/docker.sock:/var/run/docker.sock -v portainer_data:/data portainer/portainer-ce:latest
14 – Execute o seguinte comando para verificar se o container foi criado e está em execuação.
docker ps
15 – Execute o seguinte comando para reiniciar o Docker
systemctl restart docker docker.socket
16 – Para acessar o portal do portainer digite o endereço IP do servidor e a porta 9443 no navegador.
https://192.168.0.100:9443
Na tela conexão privada clique em Avançado, em seguida clique em Continue até 192.168.0.100 (não seguro).
17 – Na tela de login do portainer precisamos criar uma senha, em seguida clique em Create user.
18 – Como podemos observar o portainer foi instalado.
19 – Na tela inicial do portainer clique em Home, em Environments clique em local.
20 – Em seguida clique em Containers.
21 – Em container podemos observar que todos os container estão sendo gerenciados pelo portainer.
22 – No portainer podemos verificar os logs dos containers, verificar as estatísticas, executar comandos, etc.
22.1 – Container logs
22.2 – Container statistics
22.3 – Container console
Referências:
Comente suas sugestões e observações!
Forte abraço, obrigado e até o próximo post.
Me siga nas redes sociais:
https://lnkd.in/enx4eSV
Carreira desenvolvida na área de tecnologia da informação, com ampla experiência em Cloud
Computing e Cloud Security.
Forte atuação em projetos de Cloud Security no Microsoft Azure e com tecnologias de
segurança do Microsoft 365.
Tenho Experiência em Microsoft Azure, Microsoft 365, AWS e Windows Server.
Sou Microsoft MVP na categoria Microsoft Azure, AWS Communit Builder Security & Identity e
MCT.