T\u00e4m\u00e4 artikkeli on jatkoa\u00a0BTB-Projektille: Kotilabran palvelut<\/a>, jossa pystytimme Proxmox- virtualisoinnin Asus PN50 raudan p\u00e4\u00e4lle. Nyt jatkamme syventym\u00e4ll\u00e4 Wazuhin k\u00e4ytt\u00f6\u00f6n!<\/p>\n\nTavoite: Ottaa Wazuh k\u00e4ytt\u00f6\u00f6n kotiverkon valvontaan<\/strong><\/li>\nVaikeus: Helppo<\/strong><\/li>\nAika: Tunteja<\/strong><\/li>\nHinta: 0 \u20ac<\/strong><\/li>\n<\/ul>\nOlethan t\u00e4t\u00e4 ennen jo asettanut varmuuskopioinnin p\u00e4\u00e4lle ja osaat ottaa yhteyden virtuaalikoneillesi joko SSH:lla tai konsolin yli.<\/p>\nMik\u00e4 on Wazuh?<\/h2>\nWazuh kuvailee itse\u00e4\u00e4n seuraavasti:<\/p>\n“Wazuh is a free, open source and enterprise-ready security monitoring solution for threat detection, integrity monitoring, incident response and compliance.”<\/p>\nHome<\/a><\/p><\/blockquote>\n<\/iframe><\/p>\n<p>Wazuh k\u00e4ytt\u00e4\u00e4 ELK-stacki\u00e4 lokien vastaanottamiseen, k\u00e4sittelyyn ja h\u00e4lytysten tekemiseen, agenttien tai ulkoisten lokil\u00e4hteiden sy\u00f6tteist\u00e4. Sit\u00e4 voidaan pit\u00e4\u00e4 sek\u00e4 SIEM \/ HIDS ett\u00e4 EDR j\u00e4rjestelm\u00e4n\u00e4, joten kotilabraan l\u00f6ytyy paljon kiinnostavaa kokeiltavaa.<\/p>\n<p>Miksi siihen kannattaa siis tutustua?<\/p>\n<p>Alla on erilaisia k\u00e4ytt\u00f6tapauksia, joista n\u00e4kee mit\u00e4 kannattaisi omassa k\u00e4yt\u00f6ss\u00e4 kokeilla:<\/p>\n<table class=\"colwidths-given docutils align-default\">\n<tbody>\n<tr class=\"row-odd\">\n<td><a class=\"reference internal\" href=\"https:\/\/documentation.wazuh.com\/current\/getting-started\/use_cases\/log_analysis.html#log-analysis\"><span class=\"std std-ref\">Log data analysis<\/span><\/a><\/td>\n<td><a class=\"reference internal\" href=\"https:\/\/documentation.wazuh.com\/current\/getting-started\/use_cases\/file_integrity.html#file-integrity\"><span class=\"std std-ref\">File integrity monitoring<\/span><\/a><\/td>\n<\/tr>\n<tr class=\"row-even\">\n<td><a class=\"reference internal\" href=\"https:\/\/documentation.wazuh.com\/current\/getting-started\/use_cases\/rootkits_detection.html#rootkits-detection\"><span class=\"std std-ref\">Rootkits detection<\/span><\/a><\/td>\n<td><a class=\"reference internal\" href=\"https:\/\/documentation.wazuh.com\/current\/getting-started\/use_cases\/active_response.html#active-response\"><span class=\"std std-ref\">Active response<\/span><\/a><\/td>\n<\/tr>\n<tr class=\"row-odd\">\n<td><a class=\"reference internal\" href=\"https:\/\/documentation.wazuh.com\/current\/getting-started\/use_cases\/configuration_assessment.html#configuration-assessment\"><span class=\"std std-ref\">Configuration assessment<\/span><\/a><\/td>\n<td><a class=\"reference internal\" href=\"https:\/\/documentation.wazuh.com\/current\/getting-started\/use_cases\/system_inventory.html#system-inventory\"><span class=\"std std-ref\">System inventory<\/span><\/a><\/td>\n<\/tr>\n<tr class=\"row-even\">\n<td><a class=\"reference internal\" href=\"https:\/\/documentation.wazuh.com\/current\/getting-started\/use_cases\/vulnerability_detection.html#vulnerability-detection\"><span class=\"std std-ref\">Vulnerability detection<\/span><\/a><\/td>\n<td><a class=\"reference internal\" href=\"https:\/\/documentation.wazuh.com\/current\/getting-started\/use_cases\/cloud_security.html#cloud-security\"><span class=\"std std-ref\">Cloud security monitoring<\/span><\/a><\/td>\n<\/tr>\n<tr class=\"row-odd\">\n<td><a class=\"reference internal\" href=\"https:\/\/documentation.wazuh.com\/current\/getting-started\/use_cases\/containers_security.html#containers-security\"><span class=\"std std-ref\">Containers security monitoring<\/span><\/a><\/td>\n<td><a class=\"reference internal\" href=\"https:\/\/documentation.wazuh.com\/current\/getting-started\/use_cases\/regulatory_compliance.html#regulatory-compliance\"><span class=\"std std-ref\">Regulatory compliance<\/span><\/a><\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n<p>Itse\u00e4ni kiinnosti eniten haavoittuvuuksien hallinta ja lis\u00e4ksi tietoturvapoikkeamien havaitseminen eri lokil\u00e4hteist\u00e4.<\/p>\n<h2>Asennus<\/h2>\n<p>K\u00e4yt\u00e4mme asennuksen nopeuttamiseksi suoraan OVA-virtuaalikonetta, joka sis\u00e4lt\u00e4\u00e4 sek\u00e4 Wazuhin ett\u00e4 ELK-st\u00e4ckin valmiiksi konfiguroituna:<\/p>\n<p><a href=\"https:\/\/documentation.wazuh.com\/current\/virtual-machine\/virtual-machine.html\">https:\/\/documentation.wazuh.com\/current\/virtual-machine\/virtual-machine.html<\/a><\/p>\n<p>Kuten muistatte ehk\u00e4 Proxmox-artikkelista, voi ova-muotoisen virtuaalikoneen saada Proxmoxiin pienell\u00e4 kikkailulla:<\/p>\n<blockquote class=\"wp-embedded-content\" data-secret=\"5E672odFGf\"><p><a href=\"https:\/\/www.itsfullofstars.de\/2019\/07\/import-ova-as-proxmox-vm\/\">Import OVA as Proxmox VM<\/a><\/p><\/blockquote>\n<p><iframe loading=\"lazy\" class=\"wp-embedded-content\" sandbox=\"allow-scripts\" security=\"restricted\" style=\"position: absolute; clip: rect(1px, 1px, 1px, 1px);\" title=\"“Import OVA as Proxmox VM” — It's full of stars!\" src=\"https:\/\/www.itsfullofstars.de\/2019\/07\/import-ova-as-proxmox-vm\/embed\/#?secret=5E672odFGf\" data-secret=\"5E672odFGf\" width=\"600\" height=\"338\" frameborder=\"0\" marginwidth=\"0\" marginheight=\"0\" scrolling=\"no\"><\/iframe><\/p>\n<p>Omakohtaisesta kokemuksesta voin sanoa ett\u00e4 kovalevy tulee ennen ensimm\u00e4ist\u00e4 k\u00e4ynnistyst\u00e4 olla ide-muotoisena. Muutoin asennuksessa ei ollut mit\u00e4\u00e4n ihmeellist\u00e4. Alla n\u00e4kyv\u00e4t suhtellisen hyv\u00e4n suorituskyvyn takaavat asetukset.<\/p>\n<p><img loading=\"lazy\" decoding=\"async\" class=\"alignnone size-full wp-image-219\" src=\"https:\/\/jkr77.kapsi.fi\/wp\/wp-content\/uploads\/2021\/05\/w1.png\" alt=\"\" width=\"936\" height=\"491\" srcset=\"https:\/\/jkr77.kapsi.fi\/wp\/wp-content\/uploads\/2021\/05\/w1.png 936w, https:\/\/jkr77.kapsi.fi\/wp\/wp-content\/uploads\/2021\/05\/w1-300x157.png 300w, https:\/\/jkr77.kapsi.fi\/wp\/wp-content\/uploads\/2021\/05\/w1-768x403.png 768w\" sizes=\"auto, (max-width: 936px) 100vw, 936px\" \/><\/p>\n<p>Kun kone on valmiina, k\u00e4ynnistyksen j\u00e4lkeen se vastaa suoraan saamastaan ip-osoitteesta portista 443. Oletussalasana on admin \/ admin. Mik\u00e4li serverille on asiaa, on tunnus root \/ wazuh.<\/p>\n<p>Pysyv\u00e4mm\u00e4ss\u00e4 k\u00e4yt\u00f6ss\u00e4 n\u00e4m\u00e4 tulee vaihtaa, mutta nyt jouduttaisiin my\u00f6s koskemaan Wazuhin \/ Elkin asetuksiin, joten jatkamme oletuksilla.<\/p>\n<p> <\/p>\n<h2>Agenttien k\u00e4ytt\u00f6<\/h2>\n<p>Agenttien avulla saadaan koneista dataa monipuolisesti ja puskuroidusti. Windows-puolella my\u00f6s XP:t ovat tuettuja, joka avaa jatkoa varten kiinnostavia mahdollisuuksia \ud83d\ude42<\/p>\n<p>Wazuh -> Agents sivulta saa suoraan komentokehoitteen agenttien asentamiseksi.<\/p>\n<p><img loading=\"lazy\" decoding=\"async\" class=\"alignnone size-large wp-image-220\" src=\"https:\/\/jkr77.kapsi.fi\/wp\/wp-content\/uploads\/2021\/05\/w22-1024x887.png\" alt=\"\" width=\"1024\" height=\"887\" srcset=\"https:\/\/jkr77.kapsi.fi\/wp\/wp-content\/uploads\/2021\/05\/w22-1024x887.png 1024w, https:\/\/jkr77.kapsi.fi\/wp\/wp-content\/uploads\/2021\/05\/w22-300x260.png 300w, https:\/\/jkr77.kapsi.fi\/wp\/wp-content\/uploads\/2021\/05\/w22-768x665.png 768w, https:\/\/jkr77.kapsi.fi\/wp\/wp-content\/uploads\/2021\/05\/w22.png 1207w\" sizes=\"auto, (max-width: 1024px) 100vw, 1024px\" \/><\/p>\n<p>Vaihtoehtoinen tapa on luoda ISO-tiedosto, jonka voi Proxmoxin kautta asettaa kohdekoneille saataville CD-aseman kautta. AnyToISo-ohjelmalla voi Wazuh-agentit sis\u00e4lt\u00e4v\u00e4st\u00e4 hakemistosta tehd\u00e4 ISO-tiedoston.<\/p>\n<p><a href=\"https:\/\/crystalidea.com\/anytoiso\">https:\/\/crystalidea.com\/anytoiso<\/a><\/p>\n<p>K\u00e4sin asentamalla ainoa tarvittava tieto on Wazuhin IP-osoite ja t\u00e4m\u00e4n j\u00e4lkeen palvelun k\u00e4ynnistys. Asennetut agentit ottavat yhteytt\u00e4 Wazuhiin ja muutaman minuutin ty\u00f6n j\u00e4lkeen tiedonker\u00e4ys on jo k\u00e4ynniss\u00e4.<\/p>\n<p><img loading=\"lazy\" decoding=\"async\" class=\"alignnone size-large wp-image-221\" src=\"https:\/\/jkr77.kapsi.fi\/wp\/wp-content\/uploads\/2021\/05\/w2-1024x545.png\" alt=\"\" width=\"1024\" height=\"545\" srcset=\"https:\/\/jkr77.kapsi.fi\/wp\/wp-content\/uploads\/2021\/05\/w2-1024x545.png 1024w, https:\/\/jkr77.kapsi.fi\/wp\/wp-content\/uploads\/2021\/05\/w2-300x160.png 300w, https:\/\/jkr77.kapsi.fi\/wp\/wp-content\/uploads\/2021\/05\/w2-768x409.png 768w, https:\/\/jkr77.kapsi.fi\/wp\/wp-content\/uploads\/2021\/05\/w2-1536x817.png 1536w, https:\/\/jkr77.kapsi.fi\/wp\/wp-content\/uploads\/2021\/05\/w2.png 1859w\" sizes=\"auto, (max-width: 1024px) 100vw, 1024px\" \/><\/p>\n<h2>Syslog-lokien vastaanotto<\/h2>\n<p>Yleisesti k\u00e4yt\u00f6ss\u00e4 oleva syslog-formaatti mahdollistaa reitittimien, NAS-purkkien ja muiden laitteiden lokien vastaanoton.<\/p>\n<p>Sen vastaanotto tapahtuu Wazuhin ossec-konffista:<\/p>\n<blockquote class=\"wp-embedded-content\" data-secret=\"imAyjvbEi6\"><p><a href=\"https:\/\/wazuh.com\/blog\/how-to-configure-rsyslog-client-to-send-events-to-wazuh\/\">How to configure Rsyslog client to send events to Wazuh<\/a><\/p><\/blockquote>\n<p><iframe loading=\"lazy\" class=\"wp-embedded-content\" sandbox=\"allow-scripts\" security=\"restricted\" style=\"position: absolute; clip: rect(1px, 1px, 1px, 1px);\" title=\"“How to configure Rsyslog client to send events to Wazuh” — Wazuh\" src=\"https:\/\/wazuh.com\/blog\/how-to-configure-rsyslog-client-to-send-events-to-wazuh\/embed\/#?secret=imAyjvbEi6\" data-secret=\"imAyjvbEi6\" width=\"600\" height=\"338\" frameborder=\"0\" marginwidth=\"0\" marginheight=\"0\" scrolling=\"no\"><\/iframe><\/p>\n<p>Aseta Wazuh-Management-Configuration (Edit configuration). Sitten Save ja Restart Wazuh.<\/p>\n<div class=\"line number1 index0 alt2\"><code class=\"xml plain\"><<\/code><code class=\"xml keyword\">remote<\/code><code class=\"xml plain\">><\/code><\/div>\n<div class=\"line number2 index1 alt1\"><code class=\"xml spaces\">\u00a0\u00a0<\/code><code class=\"xml plain\"><<\/code><code class=\"xml keyword\">connection<\/code><code class=\"xml plain\">>syslog<\/<\/code><code class=\"xml keyword\">connection<\/code><code class=\"xml plain\">><\/code><\/div>\n<div class=\"line number3 index2 alt2\"><code class=\"xml spaces\">\u00a0\u00a0<\/code><code class=\"xml plain\"><<\/code><code class=\"xml keyword\">port<\/code><code class=\"xml plain\">>514<\/<\/code><code class=\"xml keyword\">port<\/code><code class=\"xml plain\">><\/code><\/div>\n<div class=\"line number4 index3 alt1\"><code class=\"xml spaces\">\u00a0\u00a0<\/code><code class=\"xml plain\"><<\/code><code class=\"xml keyword\">protocol<\/code><code class=\"xml plain\">>udp<\/<\/code><code class=\"xml keyword\">protocol<\/code><code class=\"xml plain\">><\/code><\/div>\n<div class=\"line number5 index4 alt2\"><code class=\"xml spaces\">\u00a0\u00a0<\/code><code class=\"xml plain\"><<\/code><code class=\"xml keyword\">allowed-ips<\/code><code class=\"xml plain\">>192.168.x.x\/24<\/<\/code><code class=\"xml keyword\">allowed-ips<\/code><code class=\"xml plain\">><\/code><\/div>\n<div class=\"line number6 index5 alt1\"><code class=\"xml spaces\">\u00a0\u00a0<\/code><code class=\"xml plain\"><\/code><code class=\"xml plain\"><\/<\/code><code class=\"xml keyword\">remote<\/code><code class=\"xml plain\">><\/code><\/div>\n<p>T\u00e4m\u00e4n j\u00e4lkeen aseta halutussa laitteessa syslog-palveluun Wazuhin IP, portti 514 ja muodoksi UDP.<\/p>\n<h2>PfSensen Suricata-lokit<\/h2>\n<p>Mik\u00e4li k\u00e4yt\u00f6ss\u00e4si on PfSense-palomuuri, saa sen Suricatan lokit Wazuhiin seuraavasti:<\/p>\n<p><a href=\"https:\/\/github.com\/pfelk\/pfelk\/wiki\/How-To:-Suricata-on-pfSense\">https:\/\/github.com\/pfelk\/pfelk\/wiki\/How-To:-Suricata-on-pfSense<\/a><\/p>\n<p>Aseta palveluun Wazuhin IP, portti 514 ja muodoksi UDP.<\/p>\n<p> <\/p>\n<h2>Lokitietojen tarkastelu<\/h2>\n<p>Wazuhin valikoiden alapuolelta l\u00f6yd\u00e4t my\u00f6s Kibanan omat valikot. Valitse sielt\u00e4 Discovery, jossa n\u00e4et lokifeedin ja voit tarkastaa ett\u00e4 halutut lokit todellakin tulevat perille.<\/p>\n<p><img loading=\"lazy\" decoding=\"async\" class=\"alignnone size-large wp-image-223\" src=\"https:\/\/jkr77.kapsi.fi\/wp\/wp-content\/uploads\/2021\/05\/w6-1024x412.png\" alt=\"\" width=\"1024\" height=\"412\" srcset=\"https:\/\/jkr77.kapsi.fi\/wp\/wp-content\/uploads\/2021\/05\/w6-1024x412.png 1024w, https:\/\/jkr77.kapsi.fi\/wp\/wp-content\/uploads\/2021\/05\/w6-300x121.png 300w, https:\/\/jkr77.kapsi.fi\/wp\/wp-content\/uploads\/2021\/05\/w6-768x309.png 768w, https:\/\/jkr77.kapsi.fi\/wp\/wp-content\/uploads\/2021\/05\/w6-1536x618.png 1536w, https:\/\/jkr77.kapsi.fi\/wp\/wp-content\/uploads\/2021\/05\/w6.png 1882w\" sizes=\"auto, (max-width: 1024px) 100vw, 1024px\" \/><\/p>\n<p>Voit varmistaa ett\u00e4 lokit tulevat perille pudottamalla lokien h\u00e4lytystasoa esim arvolle 1 tai generoimalla h\u00e4lytyksi\u00e4:<\/p>\n<p><a href=\"https:\/\/documentation.wazuh.com\/current\/user-manual\/manager\/alert-threshold.html\">https:\/\/documentation.wazuh.com\/current\/user-manual\/manager\/alert-threshold.html<\/a><\/p>\n<p> <\/p>\n<h2>Wazuhin haavoittuvuuksien monitorointi<\/h2>\n<p>Eritt\u00e4in n\u00e4pp\u00e4r\u00e4 piirre on Wazuhin kyky tarkkailla asennuksia ja niiden todettuja haavoittuvuuksia. Aseta ensin p\u00e4\u00e4lle halutut k\u00e4yttikset (Windows\/Ubuntu\/redHat jne):<\/p>\n<blockquote class=\"wp-embedded-content\" data-secret=\"8ZaD7c93gg\"><p><a href=\"https:\/\/wazuh.com\/blog\/using-wazuh-for-windows-vulnerability-detection\/\">Using Wazuh for Windows vulnerability detection<\/a><\/p><\/blockquote>\n<p><iframe loading=\"lazy\" class=\"wp-embedded-content\" sandbox=\"allow-scripts\" security=\"restricted\" style=\"position: absolute; clip: rect(1px, 1px, 1px, 1px);\" title=\"“Using Wazuh for Windows vulnerability detection” — Wazuh\" src=\"https:\/\/wazuh.com\/blog\/using-wazuh-for-windows-vulnerability-detection\/embed\/#?secret=8ZaD7c93gg\" data-secret=\"8ZaD7c93gg\" width=\"600\" height=\"338\" frameborder=\"0\" marginwidth=\"0\" marginheight=\"0\" scrolling=\"no\"><\/iframe><\/p>\n<p>Kun agentit ovat tehneet ty\u00f6ns\u00e4, muutaman tunnin kuluttua p\u00e4\u00e4set katsomaan millaisia haavoittuvuuksia on l\u00f6ytynyt:<\/p>\n<p><img loading=\"lazy\" decoding=\"async\" class=\"alignnone size-large wp-image-224\" src=\"https:\/\/jkr77.kapsi.fi\/wp\/wp-content\/uploads\/2021\/05\/w7-1024x642.png\" alt=\"\" width=\"1024\" height=\"642\" srcset=\"https:\/\/jkr77.kapsi.fi\/wp\/wp-content\/uploads\/2021\/05\/w7-1024x642.png 1024w, https:\/\/jkr77.kapsi.fi\/wp\/wp-content\/uploads\/2021\/05\/w7-300x188.png 300w, https:\/\/jkr77.kapsi.fi\/wp\/wp-content\/uploads\/2021\/05\/w7-768x482.png 768w, https:\/\/jkr77.kapsi.fi\/wp\/wp-content\/uploads\/2021\/05\/w7-1536x963.png 1536w, https:\/\/jkr77.kapsi.fi\/wp\/wp-content\/uploads\/2021\/05\/w7.png 1855w\" sizes=\"auto, (max-width: 1024px) 100vw, 1024px\" \/><\/p>\n<p>Valitsemalla Explore agent- voit katsoa konekohtaisesti korjauslistaa:<\/p>\n<p><img loading=\"lazy\" decoding=\"async\" class=\"alignnone size-large wp-image-225\" src=\"https:\/\/jkr77.kapsi.fi\/wp\/wp-content\/uploads\/2021\/05\/w8-1024x500.png\" alt=\"\" width=\"1024\" height=\"500\" srcset=\"https:\/\/jkr77.kapsi.fi\/wp\/wp-content\/uploads\/2021\/05\/w8-1024x500.png 1024w, https:\/\/jkr77.kapsi.fi\/wp\/wp-content\/uploads\/2021\/05\/w8-300x147.png 300w, https:\/\/jkr77.kapsi.fi\/wp\/wp-content\/uploads\/2021\/05\/w8-768x375.png 768w, https:\/\/jkr77.kapsi.fi\/wp\/wp-content\/uploads\/2021\/05\/w8-1536x750.png 1536w, https:\/\/jkr77.kapsi.fi\/wp\/wp-content\/uploads\/2021\/05\/w8.png 1834w\" sizes=\"auto, (max-width: 1024px) 100vw, 1024px\" \/><\/p>\n<h2>Wazuhin h\u00e4lytykset<\/h2>\n<p>Kohdasta Wazuh – Modules -Security Events n\u00e4et filtter\u00f6idyt ja huomionarvoiset tapahtumat, niin haavoittuvuuksia kuin kirjautumisia koskien. Valitsemalla Events, p\u00e4\u00e4set katsomaan raakadataa.<\/p>\n<p><img loading=\"lazy\" decoding=\"async\" class=\"alignnone size-large wp-image-226\" src=\"https:\/\/jkr77.kapsi.fi\/wp\/wp-content\/uploads\/2021\/05\/w3-1024x341.png\" alt=\"\" width=\"1024\" height=\"341\" srcset=\"https:\/\/jkr77.kapsi.fi\/wp\/wp-content\/uploads\/2021\/05\/w3-1024x341.png 1024w, https:\/\/jkr77.kapsi.fi\/wp\/wp-content\/uploads\/2021\/05\/w3-300x100.png 300w, https:\/\/jkr77.kapsi.fi\/wp\/wp-content\/uploads\/2021\/05\/w3-768x256.png 768w, https:\/\/jkr77.kapsi.fi\/wp\/wp-content\/uploads\/2021\/05\/w3-1536x512.png 1536w, https:\/\/jkr77.kapsi.fi\/wp\/wp-content\/uploads\/2021\/05\/w3-2048x683.png 2048w\" sizes=\"auto, (max-width: 1024px) 100vw, 1024px\" \/><\/p>\n<p>Filtter\u00f6inti ja hakutoimintojen avulla voit rajata ja etsi\u00e4 vastaavia tapahtumia valitsemaltasi ajanjaksolta.<\/p>\n<p>H\u00e4lytyksist\u00e4 saat my\u00f6s emailin, asettamalla ossec-konffiin sopivat asetukset:<\/p>\n<p><a href=\"https:\/\/documentation.wazuh.com\/current\/user-manual\/manager\/manual-email-report\/\">https:\/\/documentation.wazuh.com\/current\/user-manual\/manager\/manual-email-report\/<\/a><\/p>\n<p>(Kannattaa tosin ensin rauhassa tutustua j\u00e4rjestelm\u00e4\u00e4n ja rakentaa se tuotantok\u00e4ytt\u00f6\u00f6n ajatuksen kanssa. Ota varmuuskopiot ja snapshotit merkitt\u00e4vien muutosten j\u00e4lkeen).<\/p>\n<h2>Omat h\u00e4lytykset ja s\u00e4\u00e4nn\u00f6t<\/h2>\n<p>On luultavaa ett\u00e4 aivan haluttua h\u00e4lytyst\u00e4 ei l\u00f6ydy, joten voit rakentaa s\u00e4\u00e4nt\u00f6jen avulla oman h\u00e4lytyksen:<\/p>\n<p><a href=\"https:\/\/documentation.wazuh.com\/current\/user-manual\/ruleset\/custom.html\">https:\/\/documentation.wazuh.com\/current\/user-manual\/ruleset\/custom.html<\/a><\/p>\n<p> <\/p>\n<h2>Loppusanat<\/h2>\n<p>Wazuh tarjoaa nopeasti hyvin monipuolisen ratkaisun verkon laitteiden tapahtumien valvontaan. Tutustumalla ohjeisiin voit laajentaa sit\u00e4 haluttuun suuntaan ja opettelemalla ELK-stackin toimintaa, voit my\u00f6s rakentaa raportoinnin haluamaasi suuntaan.<\/p>\n<p>Pikaisen k\u00e4yt\u00f6n j\u00e4lkeen huomasin ett\u00e4 useasta komponentista koostuvassa j\u00e4rjestelm\u00e4ss\u00e4 kannattaa olla tarkkana p\u00e4ivtt\u00e4misen kanssa, tuki uusimmille komponenteille ei ilmesty hetkess\u00e4 kaikkialle. Suosittelen rakentamaan pysyv\u00e4\u00e4n k\u00e4ytt\u00f6\u00f6n erilliset ELK ja Wazuh ymp\u00e4rist\u00f6t.<\/p>\n<p>Muutaman haastavamman ELK-konffauksen j\u00e4lkeen piti turvautua Proxmoxin varmuuskopioiden palautukseen ja palata alkuruutuun, mutta t\u00e4st\u00e4 lis\u00e4\u00e4 seuraavassa artikkelissa jossa tutustutaan T-Potin ja Wazuhin yhteisel\u00e4m\u00e4\u00e4n!<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Johdanto T\u00e4m\u00e4 artikkeli on jatkoa\u00a0BTB-Projektille: Kotilabran palvelut, jossa pystytimme Proxmox- virtualisoinnin Asus PN50 raudan p\u00e4\u00e4lle. Nyt jatkamme syventym\u00e4ll\u00e4 Wazuhin k\u00e4ytt\u00f6\u00f6n! Tavoite: Ottaa Wazuh k\u00e4ytt\u00f6\u00f6n kotiverkon valvontaan Vaikeus: Helppo Aika: Tunteja Hinta: 0 \u20ac Olethan t\u00e4t\u00e4 ennen jo asettanut varmuuskopioinnin p\u00e4\u00e4lle ja osaat ottaa yhteyden virtuaalikoneillesi joko SSH:lla tai konsolin yli. Mik\u00e4 on Wazuh? Wazuh kuvailee … <a title=\"BTB projekti: Wazuh kotilabraan\" class=\"read-more\" href=\"https:\/\/jkr77.kapsi.fi\/wp\/btb-projekti-wazuh-kotilabraan\/\" aria-label=\"Read more about BTB projekti: Wazuh kotilabraan\">Read more<\/a><\/p>\n","protected":false},"author":3,"featured_media":53,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[38,6,8,44,45],"tags":[23,33,41,24,46],"class_list":["post-212","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-btb","category-gadgets","category-pfsense","category-proxmox","category-wazuh","tag-blueteambuilders","tag-btb","tag-proxmox","tag-suomeksi","tag-wazuh"],"_links":{"self":[{"href":"https:\/\/jkr77.kapsi.fi\/wp\/wp-json\/wp\/v2\/posts\/212","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/jkr77.kapsi.fi\/wp\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/jkr77.kapsi.fi\/wp\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/jkr77.kapsi.fi\/wp\/wp-json\/wp\/v2\/users\/3"}],"replies":[{"embeddable":true,"href":"https:\/\/jkr77.kapsi.fi\/wp\/wp-json\/wp\/v2\/comments?post=212"}],"version-history":[{"count":8,"href":"https:\/\/jkr77.kapsi.fi\/wp\/wp-json\/wp\/v2\/posts\/212\/revisions"}],"predecessor-version":[{"id":231,"href":"https:\/\/jkr77.kapsi.fi\/wp\/wp-json\/wp\/v2\/posts\/212\/revisions\/231"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/jkr77.kapsi.fi\/wp\/wp-json\/wp\/v2\/media\/53"}],"wp:attachment":[{"href":"https:\/\/jkr77.kapsi.fi\/wp\/wp-json\/wp\/v2\/media?parent=212"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/jkr77.kapsi.fi\/wp\/wp-json\/wp\/v2\/categories?post=212"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/jkr77.kapsi.fi\/wp\/wp-json\/wp\/v2\/tags?post=212"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}
Olethan t\u00e4t\u00e4 ennen jo asettanut varmuuskopioinnin p\u00e4\u00e4lle ja osaat ottaa yhteyden virtuaalikoneillesi joko SSH:lla tai konsolin yli.<\/p>\n
Wazuh kuvailee itse\u00e4\u00e4n seuraavasti:<\/p>\n
“Wazuh is a free, open source and enterprise-ready security monitoring solution for threat detection, integrity monitoring, incident response and compliance.”<\/p>\n
Home<\/a><\/p><\/blockquote>\n<\/iframe><\/p>\n<p>Wazuh k\u00e4ytt\u00e4\u00e4 ELK-stacki\u00e4 lokien vastaanottamiseen, k\u00e4sittelyyn ja h\u00e4lytysten tekemiseen, agenttien tai ulkoisten lokil\u00e4hteiden sy\u00f6tteist\u00e4. Sit\u00e4 voidaan pit\u00e4\u00e4 sek\u00e4 SIEM \/ HIDS ett\u00e4 EDR j\u00e4rjestelm\u00e4n\u00e4, joten kotilabraan l\u00f6ytyy paljon kiinnostavaa kokeiltavaa.<\/p>\n<p>Miksi siihen kannattaa siis tutustua?<\/p>\n<p>Alla on erilaisia k\u00e4ytt\u00f6tapauksia, joista n\u00e4kee mit\u00e4 kannattaisi omassa k\u00e4yt\u00f6ss\u00e4 kokeilla:<\/p>\n<table class=\"colwidths-given docutils align-default\">\n<tbody>\n<tr class=\"row-odd\">\n<td><a class=\"reference internal\" href=\"https:\/\/documentation.wazuh.com\/current\/getting-started\/use_cases\/log_analysis.html#log-analysis\"><span class=\"std std-ref\">Log data analysis<\/span><\/a><\/td>\n<td><a class=\"reference internal\" href=\"https:\/\/documentation.wazuh.com\/current\/getting-started\/use_cases\/file_integrity.html#file-integrity\"><span class=\"std std-ref\">File integrity monitoring<\/span><\/a><\/td>\n<\/tr>\n<tr class=\"row-even\">\n<td><a class=\"reference internal\" href=\"https:\/\/documentation.wazuh.com\/current\/getting-started\/use_cases\/rootkits_detection.html#rootkits-detection\"><span class=\"std std-ref\">Rootkits detection<\/span><\/a><\/td>\n<td><a class=\"reference internal\" href=\"https:\/\/documentation.wazuh.com\/current\/getting-started\/use_cases\/active_response.html#active-response\"><span class=\"std std-ref\">Active response<\/span><\/a><\/td>\n<\/tr>\n<tr class=\"row-odd\">\n<td><a class=\"reference internal\" href=\"https:\/\/documentation.wazuh.com\/current\/getting-started\/use_cases\/configuration_assessment.html#configuration-assessment\"><span class=\"std std-ref\">Configuration assessment<\/span><\/a><\/td>\n<td><a class=\"reference internal\" href=\"https:\/\/documentation.wazuh.com\/current\/getting-started\/use_cases\/system_inventory.html#system-inventory\"><span class=\"std std-ref\">System inventory<\/span><\/a><\/td>\n<\/tr>\n<tr class=\"row-even\">\n<td><a class=\"reference internal\" href=\"https:\/\/documentation.wazuh.com\/current\/getting-started\/use_cases\/vulnerability_detection.html#vulnerability-detection\"><span class=\"std std-ref\">Vulnerability detection<\/span><\/a><\/td>\n<td><a class=\"reference internal\" href=\"https:\/\/documentation.wazuh.com\/current\/getting-started\/use_cases\/cloud_security.html#cloud-security\"><span class=\"std std-ref\">Cloud security monitoring<\/span><\/a><\/td>\n<\/tr>\n<tr class=\"row-odd\">\n<td><a class=\"reference internal\" href=\"https:\/\/documentation.wazuh.com\/current\/getting-started\/use_cases\/containers_security.html#containers-security\"><span class=\"std std-ref\">Containers security monitoring<\/span><\/a><\/td>\n<td><a class=\"reference internal\" href=\"https:\/\/documentation.wazuh.com\/current\/getting-started\/use_cases\/regulatory_compliance.html#regulatory-compliance\"><span class=\"std std-ref\">Regulatory compliance<\/span><\/a><\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n<p>Itse\u00e4ni kiinnosti eniten haavoittuvuuksien hallinta ja lis\u00e4ksi tietoturvapoikkeamien havaitseminen eri lokil\u00e4hteist\u00e4.<\/p>\n<h2>Asennus<\/h2>\n<p>K\u00e4yt\u00e4mme asennuksen nopeuttamiseksi suoraan OVA-virtuaalikonetta, joka sis\u00e4lt\u00e4\u00e4 sek\u00e4 Wazuhin ett\u00e4 ELK-st\u00e4ckin valmiiksi konfiguroituna:<\/p>\n<p><a href=\"https:\/\/documentation.wazuh.com\/current\/virtual-machine\/virtual-machine.html\">https:\/\/documentation.wazuh.com\/current\/virtual-machine\/virtual-machine.html<\/a><\/p>\n<p>Kuten muistatte ehk\u00e4 Proxmox-artikkelista, voi ova-muotoisen virtuaalikoneen saada Proxmoxiin pienell\u00e4 kikkailulla:<\/p>\n<blockquote class=\"wp-embedded-content\" data-secret=\"5E672odFGf\"><p><a href=\"https:\/\/www.itsfullofstars.de\/2019\/07\/import-ova-as-proxmox-vm\/\">Import OVA as Proxmox VM<\/a><\/p><\/blockquote>\n<p><iframe loading=\"lazy\" class=\"wp-embedded-content\" sandbox=\"allow-scripts\" security=\"restricted\" style=\"position: absolute; clip: rect(1px, 1px, 1px, 1px);\" title=\"“Import OVA as Proxmox VM” — It's full of stars!\" src=\"https:\/\/www.itsfullofstars.de\/2019\/07\/import-ova-as-proxmox-vm\/embed\/#?secret=5E672odFGf\" data-secret=\"5E672odFGf\" width=\"600\" height=\"338\" frameborder=\"0\" marginwidth=\"0\" marginheight=\"0\" scrolling=\"no\"><\/iframe><\/p>\n<p>Omakohtaisesta kokemuksesta voin sanoa ett\u00e4 kovalevy tulee ennen ensimm\u00e4ist\u00e4 k\u00e4ynnistyst\u00e4 olla ide-muotoisena. Muutoin asennuksessa ei ollut mit\u00e4\u00e4n ihmeellist\u00e4. Alla n\u00e4kyv\u00e4t suhtellisen hyv\u00e4n suorituskyvyn takaavat asetukset.<\/p>\n<p><img loading=\"lazy\" decoding=\"async\" class=\"alignnone size-full wp-image-219\" src=\"https:\/\/jkr77.kapsi.fi\/wp\/wp-content\/uploads\/2021\/05\/w1.png\" alt=\"\" width=\"936\" height=\"491\" srcset=\"https:\/\/jkr77.kapsi.fi\/wp\/wp-content\/uploads\/2021\/05\/w1.png 936w, https:\/\/jkr77.kapsi.fi\/wp\/wp-content\/uploads\/2021\/05\/w1-300x157.png 300w, https:\/\/jkr77.kapsi.fi\/wp\/wp-content\/uploads\/2021\/05\/w1-768x403.png 768w\" sizes=\"auto, (max-width: 936px) 100vw, 936px\" \/><\/p>\n<p>Kun kone on valmiina, k\u00e4ynnistyksen j\u00e4lkeen se vastaa suoraan saamastaan ip-osoitteesta portista 443. Oletussalasana on admin \/ admin. Mik\u00e4li serverille on asiaa, on tunnus root \/ wazuh.<\/p>\n<p>Pysyv\u00e4mm\u00e4ss\u00e4 k\u00e4yt\u00f6ss\u00e4 n\u00e4m\u00e4 tulee vaihtaa, mutta nyt jouduttaisiin my\u00f6s koskemaan Wazuhin \/ Elkin asetuksiin, joten jatkamme oletuksilla.<\/p>\n<p> <\/p>\n<h2>Agenttien k\u00e4ytt\u00f6<\/h2>\n<p>Agenttien avulla saadaan koneista dataa monipuolisesti ja puskuroidusti. Windows-puolella my\u00f6s XP:t ovat tuettuja, joka avaa jatkoa varten kiinnostavia mahdollisuuksia \ud83d\ude42<\/p>\n<p>Wazuh -> Agents sivulta saa suoraan komentokehoitteen agenttien asentamiseksi.<\/p>\n<p><img loading=\"lazy\" decoding=\"async\" class=\"alignnone size-large wp-image-220\" src=\"https:\/\/jkr77.kapsi.fi\/wp\/wp-content\/uploads\/2021\/05\/w22-1024x887.png\" alt=\"\" width=\"1024\" height=\"887\" srcset=\"https:\/\/jkr77.kapsi.fi\/wp\/wp-content\/uploads\/2021\/05\/w22-1024x887.png 1024w, https:\/\/jkr77.kapsi.fi\/wp\/wp-content\/uploads\/2021\/05\/w22-300x260.png 300w, https:\/\/jkr77.kapsi.fi\/wp\/wp-content\/uploads\/2021\/05\/w22-768x665.png 768w, https:\/\/jkr77.kapsi.fi\/wp\/wp-content\/uploads\/2021\/05\/w22.png 1207w\" sizes=\"auto, (max-width: 1024px) 100vw, 1024px\" \/><\/p>\n<p>Vaihtoehtoinen tapa on luoda ISO-tiedosto, jonka voi Proxmoxin kautta asettaa kohdekoneille saataville CD-aseman kautta. AnyToISo-ohjelmalla voi Wazuh-agentit sis\u00e4lt\u00e4v\u00e4st\u00e4 hakemistosta tehd\u00e4 ISO-tiedoston.<\/p>\n<p><a href=\"https:\/\/crystalidea.com\/anytoiso\">https:\/\/crystalidea.com\/anytoiso<\/a><\/p>\n<p>K\u00e4sin asentamalla ainoa tarvittava tieto on Wazuhin IP-osoite ja t\u00e4m\u00e4n j\u00e4lkeen palvelun k\u00e4ynnistys. Asennetut agentit ottavat yhteytt\u00e4 Wazuhiin ja muutaman minuutin ty\u00f6n j\u00e4lkeen tiedonker\u00e4ys on jo k\u00e4ynniss\u00e4.<\/p>\n<p><img loading=\"lazy\" decoding=\"async\" class=\"alignnone size-large wp-image-221\" src=\"https:\/\/jkr77.kapsi.fi\/wp\/wp-content\/uploads\/2021\/05\/w2-1024x545.png\" alt=\"\" width=\"1024\" height=\"545\" srcset=\"https:\/\/jkr77.kapsi.fi\/wp\/wp-content\/uploads\/2021\/05\/w2-1024x545.png 1024w, https:\/\/jkr77.kapsi.fi\/wp\/wp-content\/uploads\/2021\/05\/w2-300x160.png 300w, https:\/\/jkr77.kapsi.fi\/wp\/wp-content\/uploads\/2021\/05\/w2-768x409.png 768w, https:\/\/jkr77.kapsi.fi\/wp\/wp-content\/uploads\/2021\/05\/w2-1536x817.png 1536w, https:\/\/jkr77.kapsi.fi\/wp\/wp-content\/uploads\/2021\/05\/w2.png 1859w\" sizes=\"auto, (max-width: 1024px) 100vw, 1024px\" \/><\/p>\n<h2>Syslog-lokien vastaanotto<\/h2>\n<p>Yleisesti k\u00e4yt\u00f6ss\u00e4 oleva syslog-formaatti mahdollistaa reitittimien, NAS-purkkien ja muiden laitteiden lokien vastaanoton.<\/p>\n<p>Sen vastaanotto tapahtuu Wazuhin ossec-konffista:<\/p>\n<blockquote class=\"wp-embedded-content\" data-secret=\"imAyjvbEi6\"><p><a href=\"https:\/\/wazuh.com\/blog\/how-to-configure-rsyslog-client-to-send-events-to-wazuh\/\">How to configure Rsyslog client to send events to Wazuh<\/a><\/p><\/blockquote>\n<p><iframe loading=\"lazy\" class=\"wp-embedded-content\" sandbox=\"allow-scripts\" security=\"restricted\" style=\"position: absolute; clip: rect(1px, 1px, 1px, 1px);\" title=\"“How to configure Rsyslog client to send events to Wazuh” — Wazuh\" src=\"https:\/\/wazuh.com\/blog\/how-to-configure-rsyslog-client-to-send-events-to-wazuh\/embed\/#?secret=imAyjvbEi6\" data-secret=\"imAyjvbEi6\" width=\"600\" height=\"338\" frameborder=\"0\" marginwidth=\"0\" marginheight=\"0\" scrolling=\"no\"><\/iframe><\/p>\n<p>Aseta Wazuh-Management-Configuration (Edit configuration). Sitten Save ja Restart Wazuh.<\/p>\n<div class=\"line number1 index0 alt2\"><code class=\"xml plain\"><<\/code><code class=\"xml keyword\">remote<\/code><code class=\"xml plain\">><\/code><\/div>\n<div class=\"line number2 index1 alt1\"><code class=\"xml spaces\">\u00a0\u00a0<\/code><code class=\"xml plain\"><<\/code><code class=\"xml keyword\">connection<\/code><code class=\"xml plain\">>syslog<\/<\/code><code class=\"xml keyword\">connection<\/code><code class=\"xml plain\">><\/code><\/div>\n<div class=\"line number3 index2 alt2\"><code class=\"xml spaces\">\u00a0\u00a0<\/code><code class=\"xml plain\"><<\/code><code class=\"xml keyword\">port<\/code><code class=\"xml plain\">>514<\/<\/code><code class=\"xml keyword\">port<\/code><code class=\"xml plain\">><\/code><\/div>\n<div class=\"line number4 index3 alt1\"><code class=\"xml spaces\">\u00a0\u00a0<\/code><code class=\"xml plain\"><<\/code><code class=\"xml keyword\">protocol<\/code><code class=\"xml plain\">>udp<\/<\/code><code class=\"xml keyword\">protocol<\/code><code class=\"xml plain\">><\/code><\/div>\n<div class=\"line number5 index4 alt2\"><code class=\"xml spaces\">\u00a0\u00a0<\/code><code class=\"xml plain\"><<\/code><code class=\"xml keyword\">allowed-ips<\/code><code class=\"xml plain\">>192.168.x.x\/24<\/<\/code><code class=\"xml keyword\">allowed-ips<\/code><code class=\"xml plain\">><\/code><\/div>\n<div class=\"line number6 index5 alt1\"><code class=\"xml spaces\">\u00a0\u00a0<\/code><code class=\"xml plain\"><\/code><code class=\"xml plain\"><\/<\/code><code class=\"xml keyword\">remote<\/code><code class=\"xml plain\">><\/code><\/div>\n<p>T\u00e4m\u00e4n j\u00e4lkeen aseta halutussa laitteessa syslog-palveluun Wazuhin IP, portti 514 ja muodoksi UDP.<\/p>\n<h2>PfSensen Suricata-lokit<\/h2>\n<p>Mik\u00e4li k\u00e4yt\u00f6ss\u00e4si on PfSense-palomuuri, saa sen Suricatan lokit Wazuhiin seuraavasti:<\/p>\n<p><a href=\"https:\/\/github.com\/pfelk\/pfelk\/wiki\/How-To:-Suricata-on-pfSense\">https:\/\/github.com\/pfelk\/pfelk\/wiki\/How-To:-Suricata-on-pfSense<\/a><\/p>\n<p>Aseta palveluun Wazuhin IP, portti 514 ja muodoksi UDP.<\/p>\n<p> <\/p>\n<h2>Lokitietojen tarkastelu<\/h2>\n<p>Wazuhin valikoiden alapuolelta l\u00f6yd\u00e4t my\u00f6s Kibanan omat valikot. Valitse sielt\u00e4 Discovery, jossa n\u00e4et lokifeedin ja voit tarkastaa ett\u00e4 halutut lokit todellakin tulevat perille.<\/p>\n<p><img loading=\"lazy\" decoding=\"async\" class=\"alignnone size-large wp-image-223\" src=\"https:\/\/jkr77.kapsi.fi\/wp\/wp-content\/uploads\/2021\/05\/w6-1024x412.png\" alt=\"\" width=\"1024\" height=\"412\" srcset=\"https:\/\/jkr77.kapsi.fi\/wp\/wp-content\/uploads\/2021\/05\/w6-1024x412.png 1024w, https:\/\/jkr77.kapsi.fi\/wp\/wp-content\/uploads\/2021\/05\/w6-300x121.png 300w, https:\/\/jkr77.kapsi.fi\/wp\/wp-content\/uploads\/2021\/05\/w6-768x309.png 768w, https:\/\/jkr77.kapsi.fi\/wp\/wp-content\/uploads\/2021\/05\/w6-1536x618.png 1536w, https:\/\/jkr77.kapsi.fi\/wp\/wp-content\/uploads\/2021\/05\/w6.png 1882w\" sizes=\"auto, (max-width: 1024px) 100vw, 1024px\" \/><\/p>\n<p>Voit varmistaa ett\u00e4 lokit tulevat perille pudottamalla lokien h\u00e4lytystasoa esim arvolle 1 tai generoimalla h\u00e4lytyksi\u00e4:<\/p>\n<p><a href=\"https:\/\/documentation.wazuh.com\/current\/user-manual\/manager\/alert-threshold.html\">https:\/\/documentation.wazuh.com\/current\/user-manual\/manager\/alert-threshold.html<\/a><\/p>\n<p> <\/p>\n<h2>Wazuhin haavoittuvuuksien monitorointi<\/h2>\n<p>Eritt\u00e4in n\u00e4pp\u00e4r\u00e4 piirre on Wazuhin kyky tarkkailla asennuksia ja niiden todettuja haavoittuvuuksia. Aseta ensin p\u00e4\u00e4lle halutut k\u00e4yttikset (Windows\/Ubuntu\/redHat jne):<\/p>\n<blockquote class=\"wp-embedded-content\" data-secret=\"8ZaD7c93gg\"><p><a href=\"https:\/\/wazuh.com\/blog\/using-wazuh-for-windows-vulnerability-detection\/\">Using Wazuh for Windows vulnerability detection<\/a><\/p><\/blockquote>\n<p><iframe loading=\"lazy\" class=\"wp-embedded-content\" sandbox=\"allow-scripts\" security=\"restricted\" style=\"position: absolute; clip: rect(1px, 1px, 1px, 1px);\" title=\"“Using Wazuh for Windows vulnerability detection” — Wazuh\" src=\"https:\/\/wazuh.com\/blog\/using-wazuh-for-windows-vulnerability-detection\/embed\/#?secret=8ZaD7c93gg\" data-secret=\"8ZaD7c93gg\" width=\"600\" height=\"338\" frameborder=\"0\" marginwidth=\"0\" marginheight=\"0\" scrolling=\"no\"><\/iframe><\/p>\n<p>Kun agentit ovat tehneet ty\u00f6ns\u00e4, muutaman tunnin kuluttua p\u00e4\u00e4set katsomaan millaisia haavoittuvuuksia on l\u00f6ytynyt:<\/p>\n<p><img loading=\"lazy\" decoding=\"async\" class=\"alignnone size-large wp-image-224\" src=\"https:\/\/jkr77.kapsi.fi\/wp\/wp-content\/uploads\/2021\/05\/w7-1024x642.png\" alt=\"\" width=\"1024\" height=\"642\" srcset=\"https:\/\/jkr77.kapsi.fi\/wp\/wp-content\/uploads\/2021\/05\/w7-1024x642.png 1024w, https:\/\/jkr77.kapsi.fi\/wp\/wp-content\/uploads\/2021\/05\/w7-300x188.png 300w, https:\/\/jkr77.kapsi.fi\/wp\/wp-content\/uploads\/2021\/05\/w7-768x482.png 768w, https:\/\/jkr77.kapsi.fi\/wp\/wp-content\/uploads\/2021\/05\/w7-1536x963.png 1536w, https:\/\/jkr77.kapsi.fi\/wp\/wp-content\/uploads\/2021\/05\/w7.png 1855w\" sizes=\"auto, (max-width: 1024px) 100vw, 1024px\" \/><\/p>\n<p>Valitsemalla Explore agent- voit katsoa konekohtaisesti korjauslistaa:<\/p>\n<p><img loading=\"lazy\" decoding=\"async\" class=\"alignnone size-large wp-image-225\" src=\"https:\/\/jkr77.kapsi.fi\/wp\/wp-content\/uploads\/2021\/05\/w8-1024x500.png\" alt=\"\" width=\"1024\" height=\"500\" srcset=\"https:\/\/jkr77.kapsi.fi\/wp\/wp-content\/uploads\/2021\/05\/w8-1024x500.png 1024w, https:\/\/jkr77.kapsi.fi\/wp\/wp-content\/uploads\/2021\/05\/w8-300x147.png 300w, https:\/\/jkr77.kapsi.fi\/wp\/wp-content\/uploads\/2021\/05\/w8-768x375.png 768w, https:\/\/jkr77.kapsi.fi\/wp\/wp-content\/uploads\/2021\/05\/w8-1536x750.png 1536w, https:\/\/jkr77.kapsi.fi\/wp\/wp-content\/uploads\/2021\/05\/w8.png 1834w\" sizes=\"auto, (max-width: 1024px) 100vw, 1024px\" \/><\/p>\n<h2>Wazuhin h\u00e4lytykset<\/h2>\n<p>Kohdasta Wazuh – Modules -Security Events n\u00e4et filtter\u00f6idyt ja huomionarvoiset tapahtumat, niin haavoittuvuuksia kuin kirjautumisia koskien. Valitsemalla Events, p\u00e4\u00e4set katsomaan raakadataa.<\/p>\n<p><img loading=\"lazy\" decoding=\"async\" class=\"alignnone size-large wp-image-226\" src=\"https:\/\/jkr77.kapsi.fi\/wp\/wp-content\/uploads\/2021\/05\/w3-1024x341.png\" alt=\"\" width=\"1024\" height=\"341\" srcset=\"https:\/\/jkr77.kapsi.fi\/wp\/wp-content\/uploads\/2021\/05\/w3-1024x341.png 1024w, https:\/\/jkr77.kapsi.fi\/wp\/wp-content\/uploads\/2021\/05\/w3-300x100.png 300w, https:\/\/jkr77.kapsi.fi\/wp\/wp-content\/uploads\/2021\/05\/w3-768x256.png 768w, https:\/\/jkr77.kapsi.fi\/wp\/wp-content\/uploads\/2021\/05\/w3-1536x512.png 1536w, https:\/\/jkr77.kapsi.fi\/wp\/wp-content\/uploads\/2021\/05\/w3-2048x683.png 2048w\" sizes=\"auto, (max-width: 1024px) 100vw, 1024px\" \/><\/p>\n<p>Filtter\u00f6inti ja hakutoimintojen avulla voit rajata ja etsi\u00e4 vastaavia tapahtumia valitsemaltasi ajanjaksolta.<\/p>\n<p>H\u00e4lytyksist\u00e4 saat my\u00f6s emailin, asettamalla ossec-konffiin sopivat asetukset:<\/p>\n<p><a href=\"https:\/\/documentation.wazuh.com\/current\/user-manual\/manager\/manual-email-report\/\">https:\/\/documentation.wazuh.com\/current\/user-manual\/manager\/manual-email-report\/<\/a><\/p>\n<p>(Kannattaa tosin ensin rauhassa tutustua j\u00e4rjestelm\u00e4\u00e4n ja rakentaa se tuotantok\u00e4ytt\u00f6\u00f6n ajatuksen kanssa. Ota varmuuskopiot ja snapshotit merkitt\u00e4vien muutosten j\u00e4lkeen).<\/p>\n<h2>Omat h\u00e4lytykset ja s\u00e4\u00e4nn\u00f6t<\/h2>\n<p>On luultavaa ett\u00e4 aivan haluttua h\u00e4lytyst\u00e4 ei l\u00f6ydy, joten voit rakentaa s\u00e4\u00e4nt\u00f6jen avulla oman h\u00e4lytyksen:<\/p>\n<p><a href=\"https:\/\/documentation.wazuh.com\/current\/user-manual\/ruleset\/custom.html\">https:\/\/documentation.wazuh.com\/current\/user-manual\/ruleset\/custom.html<\/a><\/p>\n<p> <\/p>\n<h2>Loppusanat<\/h2>\n<p>Wazuh tarjoaa nopeasti hyvin monipuolisen ratkaisun verkon laitteiden tapahtumien valvontaan. Tutustumalla ohjeisiin voit laajentaa sit\u00e4 haluttuun suuntaan ja opettelemalla ELK-stackin toimintaa, voit my\u00f6s rakentaa raportoinnin haluamaasi suuntaan.<\/p>\n<p>Pikaisen k\u00e4yt\u00f6n j\u00e4lkeen huomasin ett\u00e4 useasta komponentista koostuvassa j\u00e4rjestelm\u00e4ss\u00e4 kannattaa olla tarkkana p\u00e4ivtt\u00e4misen kanssa, tuki uusimmille komponenteille ei ilmesty hetkess\u00e4 kaikkialle. Suosittelen rakentamaan pysyv\u00e4\u00e4n k\u00e4ytt\u00f6\u00f6n erilliset ELK ja Wazuh ymp\u00e4rist\u00f6t.<\/p>\n<p>Muutaman haastavamman ELK-konffauksen j\u00e4lkeen piti turvautua Proxmoxin varmuuskopioiden palautukseen ja palata alkuruutuun, mutta t\u00e4st\u00e4 lis\u00e4\u00e4 seuraavassa artikkelissa jossa tutustutaan T-Potin ja Wazuhin yhteisel\u00e4m\u00e4\u00e4n!<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Johdanto T\u00e4m\u00e4 artikkeli on jatkoa\u00a0BTB-Projektille: Kotilabran palvelut, jossa pystytimme Proxmox- virtualisoinnin Asus PN50 raudan p\u00e4\u00e4lle. Nyt jatkamme syventym\u00e4ll\u00e4 Wazuhin k\u00e4ytt\u00f6\u00f6n! Tavoite: Ottaa Wazuh k\u00e4ytt\u00f6\u00f6n kotiverkon valvontaan Vaikeus: Helppo Aika: Tunteja Hinta: 0 \u20ac Olethan t\u00e4t\u00e4 ennen jo asettanut varmuuskopioinnin p\u00e4\u00e4lle ja osaat ottaa yhteyden virtuaalikoneillesi joko SSH:lla tai konsolin yli. Mik\u00e4 on Wazuh? Wazuh kuvailee … <a title=\"BTB projekti: Wazuh kotilabraan\" class=\"read-more\" href=\"https:\/\/jkr77.kapsi.fi\/wp\/btb-projekti-wazuh-kotilabraan\/\" aria-label=\"Read more about BTB projekti: Wazuh kotilabraan\">Read more<\/a><\/p>\n","protected":false},"author":3,"featured_media":53,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[38,6,8,44,45],"tags":[23,33,41,24,46],"class_list":["post-212","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-btb","category-gadgets","category-pfsense","category-proxmox","category-wazuh","tag-blueteambuilders","tag-btb","tag-proxmox","tag-suomeksi","tag-wazuh"],"_links":{"self":[{"href":"https:\/\/jkr77.kapsi.fi\/wp\/wp-json\/wp\/v2\/posts\/212","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/jkr77.kapsi.fi\/wp\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/jkr77.kapsi.fi\/wp\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/jkr77.kapsi.fi\/wp\/wp-json\/wp\/v2\/users\/3"}],"replies":[{"embeddable":true,"href":"https:\/\/jkr77.kapsi.fi\/wp\/wp-json\/wp\/v2\/comments?post=212"}],"version-history":[{"count":8,"href":"https:\/\/jkr77.kapsi.fi\/wp\/wp-json\/wp\/v2\/posts\/212\/revisions"}],"predecessor-version":[{"id":231,"href":"https:\/\/jkr77.kapsi.fi\/wp\/wp-json\/wp\/v2\/posts\/212\/revisions\/231"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/jkr77.kapsi.fi\/wp\/wp-json\/wp\/v2\/media\/53"}],"wp:attachment":[{"href":"https:\/\/jkr77.kapsi.fi\/wp\/wp-json\/wp\/v2\/media?parent=212"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/jkr77.kapsi.fi\/wp\/wp-json\/wp\/v2\/categories?post=212"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/jkr77.kapsi.fi\/wp\/wp-json\/wp\/v2\/tags?post=212"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}
<\/iframe><\/p>\n<p>Wazuh k\u00e4ytt\u00e4\u00e4 ELK-stacki\u00e4 lokien vastaanottamiseen, k\u00e4sittelyyn ja h\u00e4lytysten tekemiseen, agenttien tai ulkoisten lokil\u00e4hteiden sy\u00f6tteist\u00e4. Sit\u00e4 voidaan pit\u00e4\u00e4 sek\u00e4 SIEM \/ HIDS ett\u00e4 EDR j\u00e4rjestelm\u00e4n\u00e4, joten kotilabraan l\u00f6ytyy paljon kiinnostavaa kokeiltavaa.<\/p>\n<p>Miksi siihen kannattaa siis tutustua?<\/p>\n<p>Alla on erilaisia k\u00e4ytt\u00f6tapauksia, joista n\u00e4kee mit\u00e4 kannattaisi omassa k\u00e4yt\u00f6ss\u00e4 kokeilla:<\/p>\n<table class=\"colwidths-given docutils align-default\">\n<tbody>\n<tr class=\"row-odd\">\n<td><a class=\"reference internal\" href=\"https:\/\/documentation.wazuh.com\/current\/getting-started\/use_cases\/log_analysis.html#log-analysis\"><span class=\"std std-ref\">Log data analysis<\/span><\/a><\/td>\n<td><a class=\"reference internal\" href=\"https:\/\/documentation.wazuh.com\/current\/getting-started\/use_cases\/file_integrity.html#file-integrity\"><span class=\"std std-ref\">File integrity monitoring<\/span><\/a><\/td>\n<\/tr>\n<tr class=\"row-even\">\n<td><a class=\"reference internal\" href=\"https:\/\/documentation.wazuh.com\/current\/getting-started\/use_cases\/rootkits_detection.html#rootkits-detection\"><span class=\"std std-ref\">Rootkits detection<\/span><\/a><\/td>\n<td><a class=\"reference internal\" href=\"https:\/\/documentation.wazuh.com\/current\/getting-started\/use_cases\/active_response.html#active-response\"><span class=\"std std-ref\">Active response<\/span><\/a><\/td>\n<\/tr>\n<tr class=\"row-odd\">\n<td><a class=\"reference internal\" href=\"https:\/\/documentation.wazuh.com\/current\/getting-started\/use_cases\/configuration_assessment.html#configuration-assessment\"><span class=\"std std-ref\">Configuration assessment<\/span><\/a><\/td>\n<td><a class=\"reference internal\" href=\"https:\/\/documentation.wazuh.com\/current\/getting-started\/use_cases\/system_inventory.html#system-inventory\"><span class=\"std std-ref\">System inventory<\/span><\/a><\/td>\n<\/tr>\n<tr class=\"row-even\">\n<td><a class=\"reference internal\" href=\"https:\/\/documentation.wazuh.com\/current\/getting-started\/use_cases\/vulnerability_detection.html#vulnerability-detection\"><span class=\"std std-ref\">Vulnerability detection<\/span><\/a><\/td>\n<td><a class=\"reference internal\" href=\"https:\/\/documentation.wazuh.com\/current\/getting-started\/use_cases\/cloud_security.html#cloud-security\"><span class=\"std std-ref\">Cloud security monitoring<\/span><\/a><\/td>\n<\/tr>\n<tr class=\"row-odd\">\n<td><a class=\"reference internal\" href=\"https:\/\/documentation.wazuh.com\/current\/getting-started\/use_cases\/containers_security.html#containers-security\"><span class=\"std std-ref\">Containers security monitoring<\/span><\/a><\/td>\n<td><a class=\"reference internal\" href=\"https:\/\/documentation.wazuh.com\/current\/getting-started\/use_cases\/regulatory_compliance.html#regulatory-compliance\"><span class=\"std std-ref\">Regulatory compliance<\/span><\/a><\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n<p>Itse\u00e4ni kiinnosti eniten haavoittuvuuksien hallinta ja lis\u00e4ksi tietoturvapoikkeamien havaitseminen eri lokil\u00e4hteist\u00e4.<\/p>\n<h2>Asennus<\/h2>\n<p>K\u00e4yt\u00e4mme asennuksen nopeuttamiseksi suoraan OVA-virtuaalikonetta, joka sis\u00e4lt\u00e4\u00e4 sek\u00e4 Wazuhin ett\u00e4 ELK-st\u00e4ckin valmiiksi konfiguroituna:<\/p>\n<p><a href=\"https:\/\/documentation.wazuh.com\/current\/virtual-machine\/virtual-machine.html\">https:\/\/documentation.wazuh.com\/current\/virtual-machine\/virtual-machine.html<\/a><\/p>\n<p>Kuten muistatte ehk\u00e4 Proxmox-artikkelista, voi ova-muotoisen virtuaalikoneen saada Proxmoxiin pienell\u00e4 kikkailulla:<\/p>\n<blockquote class=\"wp-embedded-content\" data-secret=\"5E672odFGf\"><p><a href=\"https:\/\/www.itsfullofstars.de\/2019\/07\/import-ova-as-proxmox-vm\/\">Import OVA as Proxmox VM<\/a><\/p><\/blockquote>\n<p><iframe loading=\"lazy\" class=\"wp-embedded-content\" sandbox=\"allow-scripts\" security=\"restricted\" style=\"position: absolute; clip: rect(1px, 1px, 1px, 1px);\" title=\"“Import OVA as Proxmox VM” — It's full of stars!\" src=\"https:\/\/www.itsfullofstars.de\/2019\/07\/import-ova-as-proxmox-vm\/embed\/#?secret=5E672odFGf\" data-secret=\"5E672odFGf\" width=\"600\" height=\"338\" frameborder=\"0\" marginwidth=\"0\" marginheight=\"0\" scrolling=\"no\"><\/iframe><\/p>\n<p>Omakohtaisesta kokemuksesta voin sanoa ett\u00e4 kovalevy tulee ennen ensimm\u00e4ist\u00e4 k\u00e4ynnistyst\u00e4 olla ide-muotoisena. Muutoin asennuksessa ei ollut mit\u00e4\u00e4n ihmeellist\u00e4. Alla n\u00e4kyv\u00e4t suhtellisen hyv\u00e4n suorituskyvyn takaavat asetukset.<\/p>\n<p><img loading=\"lazy\" decoding=\"async\" class=\"alignnone size-full wp-image-219\" src=\"https:\/\/jkr77.kapsi.fi\/wp\/wp-content\/uploads\/2021\/05\/w1.png\" alt=\"\" width=\"936\" height=\"491\" srcset=\"https:\/\/jkr77.kapsi.fi\/wp\/wp-content\/uploads\/2021\/05\/w1.png 936w, https:\/\/jkr77.kapsi.fi\/wp\/wp-content\/uploads\/2021\/05\/w1-300x157.png 300w, https:\/\/jkr77.kapsi.fi\/wp\/wp-content\/uploads\/2021\/05\/w1-768x403.png 768w\" sizes=\"auto, (max-width: 936px) 100vw, 936px\" \/><\/p>\n<p>Kun kone on valmiina, k\u00e4ynnistyksen j\u00e4lkeen se vastaa suoraan saamastaan ip-osoitteesta portista 443. Oletussalasana on admin \/ admin. Mik\u00e4li serverille on asiaa, on tunnus root \/ wazuh.<\/p>\n<p>Pysyv\u00e4mm\u00e4ss\u00e4 k\u00e4yt\u00f6ss\u00e4 n\u00e4m\u00e4 tulee vaihtaa, mutta nyt jouduttaisiin my\u00f6s koskemaan Wazuhin \/ Elkin asetuksiin, joten jatkamme oletuksilla.<\/p>\n<p> <\/p>\n<h2>Agenttien k\u00e4ytt\u00f6<\/h2>\n<p>Agenttien avulla saadaan koneista dataa monipuolisesti ja puskuroidusti. Windows-puolella my\u00f6s XP:t ovat tuettuja, joka avaa jatkoa varten kiinnostavia mahdollisuuksia \ud83d\ude42<\/p>\n<p>Wazuh -> Agents sivulta saa suoraan komentokehoitteen agenttien asentamiseksi.<\/p>\n<p><img loading=\"lazy\" decoding=\"async\" class=\"alignnone size-large wp-image-220\" src=\"https:\/\/jkr77.kapsi.fi\/wp\/wp-content\/uploads\/2021\/05\/w22-1024x887.png\" alt=\"\" width=\"1024\" height=\"887\" srcset=\"https:\/\/jkr77.kapsi.fi\/wp\/wp-content\/uploads\/2021\/05\/w22-1024x887.png 1024w, https:\/\/jkr77.kapsi.fi\/wp\/wp-content\/uploads\/2021\/05\/w22-300x260.png 300w, https:\/\/jkr77.kapsi.fi\/wp\/wp-content\/uploads\/2021\/05\/w22-768x665.png 768w, https:\/\/jkr77.kapsi.fi\/wp\/wp-content\/uploads\/2021\/05\/w22.png 1207w\" sizes=\"auto, (max-width: 1024px) 100vw, 1024px\" \/><\/p>\n<p>Vaihtoehtoinen tapa on luoda ISO-tiedosto, jonka voi Proxmoxin kautta asettaa kohdekoneille saataville CD-aseman kautta. AnyToISo-ohjelmalla voi Wazuh-agentit sis\u00e4lt\u00e4v\u00e4st\u00e4 hakemistosta tehd\u00e4 ISO-tiedoston.<\/p>\n<p><a href=\"https:\/\/crystalidea.com\/anytoiso\">https:\/\/crystalidea.com\/anytoiso<\/a><\/p>\n<p>K\u00e4sin asentamalla ainoa tarvittava tieto on Wazuhin IP-osoite ja t\u00e4m\u00e4n j\u00e4lkeen palvelun k\u00e4ynnistys. Asennetut agentit ottavat yhteytt\u00e4 Wazuhiin ja muutaman minuutin ty\u00f6n j\u00e4lkeen tiedonker\u00e4ys on jo k\u00e4ynniss\u00e4.<\/p>\n<p><img loading=\"lazy\" decoding=\"async\" class=\"alignnone size-large wp-image-221\" src=\"https:\/\/jkr77.kapsi.fi\/wp\/wp-content\/uploads\/2021\/05\/w2-1024x545.png\" alt=\"\" width=\"1024\" height=\"545\" srcset=\"https:\/\/jkr77.kapsi.fi\/wp\/wp-content\/uploads\/2021\/05\/w2-1024x545.png 1024w, https:\/\/jkr77.kapsi.fi\/wp\/wp-content\/uploads\/2021\/05\/w2-300x160.png 300w, https:\/\/jkr77.kapsi.fi\/wp\/wp-content\/uploads\/2021\/05\/w2-768x409.png 768w, https:\/\/jkr77.kapsi.fi\/wp\/wp-content\/uploads\/2021\/05\/w2-1536x817.png 1536w, https:\/\/jkr77.kapsi.fi\/wp\/wp-content\/uploads\/2021\/05\/w2.png 1859w\" sizes=\"auto, (max-width: 1024px) 100vw, 1024px\" \/><\/p>\n<h2>Syslog-lokien vastaanotto<\/h2>\n<p>Yleisesti k\u00e4yt\u00f6ss\u00e4 oleva syslog-formaatti mahdollistaa reitittimien, NAS-purkkien ja muiden laitteiden lokien vastaanoton.<\/p>\n<p>Sen vastaanotto tapahtuu Wazuhin ossec-konffista:<\/p>\n<blockquote class=\"wp-embedded-content\" data-secret=\"imAyjvbEi6\"><p><a href=\"https:\/\/wazuh.com\/blog\/how-to-configure-rsyslog-client-to-send-events-to-wazuh\/\">How to configure Rsyslog client to send events to Wazuh<\/a><\/p><\/blockquote>\n<p><iframe loading=\"lazy\" class=\"wp-embedded-content\" sandbox=\"allow-scripts\" security=\"restricted\" style=\"position: absolute; clip: rect(1px, 1px, 1px, 1px);\" title=\"“How to configure Rsyslog client to send events to Wazuh” — Wazuh\" src=\"https:\/\/wazuh.com\/blog\/how-to-configure-rsyslog-client-to-send-events-to-wazuh\/embed\/#?secret=imAyjvbEi6\" data-secret=\"imAyjvbEi6\" width=\"600\" height=\"338\" frameborder=\"0\" marginwidth=\"0\" marginheight=\"0\" scrolling=\"no\"><\/iframe><\/p>\n<p>Aseta Wazuh-Management-Configuration (Edit configuration). Sitten Save ja Restart Wazuh.<\/p>\n<div class=\"line number1 index0 alt2\"><code class=\"xml plain\"><<\/code><code class=\"xml keyword\">remote<\/code><code class=\"xml plain\">><\/code><\/div>\n<div class=\"line number2 index1 alt1\"><code class=\"xml spaces\">\u00a0\u00a0<\/code><code class=\"xml plain\"><<\/code><code class=\"xml keyword\">connection<\/code><code class=\"xml plain\">>syslog<\/<\/code><code class=\"xml keyword\">connection<\/code><code class=\"xml plain\">><\/code><\/div>\n<div class=\"line number3 index2 alt2\"><code class=\"xml spaces\">\u00a0\u00a0<\/code><code class=\"xml plain\"><<\/code><code class=\"xml keyword\">port<\/code><code class=\"xml plain\">>514<\/<\/code><code class=\"xml keyword\">port<\/code><code class=\"xml plain\">><\/code><\/div>\n<div class=\"line number4 index3 alt1\"><code class=\"xml spaces\">\u00a0\u00a0<\/code><code class=\"xml plain\"><<\/code><code class=\"xml keyword\">protocol<\/code><code class=\"xml plain\">>udp<\/<\/code><code class=\"xml keyword\">protocol<\/code><code class=\"xml plain\">><\/code><\/div>\n<div class=\"line number5 index4 alt2\"><code class=\"xml spaces\">\u00a0\u00a0<\/code><code class=\"xml plain\"><<\/code><code class=\"xml keyword\">allowed-ips<\/code><code class=\"xml plain\">>192.168.x.x\/24<\/<\/code><code class=\"xml keyword\">allowed-ips<\/code><code class=\"xml plain\">><\/code><\/div>\n<div class=\"line number6 index5 alt1\"><code class=\"xml spaces\">\u00a0\u00a0<\/code><code class=\"xml plain\"><\/code><code class=\"xml plain\"><\/<\/code><code class=\"xml keyword\">remote<\/code><code class=\"xml plain\">><\/code><\/div>\n<p>T\u00e4m\u00e4n j\u00e4lkeen aseta halutussa laitteessa syslog-palveluun Wazuhin IP, portti 514 ja muodoksi UDP.<\/p>\n<h2>PfSensen Suricata-lokit<\/h2>\n<p>Mik\u00e4li k\u00e4yt\u00f6ss\u00e4si on PfSense-palomuuri, saa sen Suricatan lokit Wazuhiin seuraavasti:<\/p>\n<p><a href=\"https:\/\/github.com\/pfelk\/pfelk\/wiki\/How-To:-Suricata-on-pfSense\">https:\/\/github.com\/pfelk\/pfelk\/wiki\/How-To:-Suricata-on-pfSense<\/a><\/p>\n<p>Aseta palveluun Wazuhin IP, portti 514 ja muodoksi UDP.<\/p>\n<p> <\/p>\n<h2>Lokitietojen tarkastelu<\/h2>\n<p>Wazuhin valikoiden alapuolelta l\u00f6yd\u00e4t my\u00f6s Kibanan omat valikot. Valitse sielt\u00e4 Discovery, jossa n\u00e4et lokifeedin ja voit tarkastaa ett\u00e4 halutut lokit todellakin tulevat perille.<\/p>\n<p><img loading=\"lazy\" decoding=\"async\" class=\"alignnone size-large wp-image-223\" src=\"https:\/\/jkr77.kapsi.fi\/wp\/wp-content\/uploads\/2021\/05\/w6-1024x412.png\" alt=\"\" width=\"1024\" height=\"412\" srcset=\"https:\/\/jkr77.kapsi.fi\/wp\/wp-content\/uploads\/2021\/05\/w6-1024x412.png 1024w, https:\/\/jkr77.kapsi.fi\/wp\/wp-content\/uploads\/2021\/05\/w6-300x121.png 300w, https:\/\/jkr77.kapsi.fi\/wp\/wp-content\/uploads\/2021\/05\/w6-768x309.png 768w, https:\/\/jkr77.kapsi.fi\/wp\/wp-content\/uploads\/2021\/05\/w6-1536x618.png 1536w, https:\/\/jkr77.kapsi.fi\/wp\/wp-content\/uploads\/2021\/05\/w6.png 1882w\" sizes=\"auto, (max-width: 1024px) 100vw, 1024px\" \/><\/p>\n<p>Voit varmistaa ett\u00e4 lokit tulevat perille pudottamalla lokien h\u00e4lytystasoa esim arvolle 1 tai generoimalla h\u00e4lytyksi\u00e4:<\/p>\n<p><a href=\"https:\/\/documentation.wazuh.com\/current\/user-manual\/manager\/alert-threshold.html\">https:\/\/documentation.wazuh.com\/current\/user-manual\/manager\/alert-threshold.html<\/a><\/p>\n<p> <\/p>\n<h2>Wazuhin haavoittuvuuksien monitorointi<\/h2>\n<p>Eritt\u00e4in n\u00e4pp\u00e4r\u00e4 piirre on Wazuhin kyky tarkkailla asennuksia ja niiden todettuja haavoittuvuuksia. Aseta ensin p\u00e4\u00e4lle halutut k\u00e4yttikset (Windows\/Ubuntu\/redHat jne):<\/p>\n<blockquote class=\"wp-embedded-content\" data-secret=\"8ZaD7c93gg\"><p><a href=\"https:\/\/wazuh.com\/blog\/using-wazuh-for-windows-vulnerability-detection\/\">Using Wazuh for Windows vulnerability detection<\/a><\/p><\/blockquote>\n<p><iframe loading=\"lazy\" class=\"wp-embedded-content\" sandbox=\"allow-scripts\" security=\"restricted\" style=\"position: absolute; clip: rect(1px, 1px, 1px, 1px);\" title=\"“Using Wazuh for Windows vulnerability detection” — Wazuh\" src=\"https:\/\/wazuh.com\/blog\/using-wazuh-for-windows-vulnerability-detection\/embed\/#?secret=8ZaD7c93gg\" data-secret=\"8ZaD7c93gg\" width=\"600\" height=\"338\" frameborder=\"0\" marginwidth=\"0\" marginheight=\"0\" scrolling=\"no\"><\/iframe><\/p>\n<p>Kun agentit ovat tehneet ty\u00f6ns\u00e4, muutaman tunnin kuluttua p\u00e4\u00e4set katsomaan millaisia haavoittuvuuksia on l\u00f6ytynyt:<\/p>\n<p><img loading=\"lazy\" decoding=\"async\" class=\"alignnone size-large wp-image-224\" src=\"https:\/\/jkr77.kapsi.fi\/wp\/wp-content\/uploads\/2021\/05\/w7-1024x642.png\" alt=\"\" width=\"1024\" height=\"642\" srcset=\"https:\/\/jkr77.kapsi.fi\/wp\/wp-content\/uploads\/2021\/05\/w7-1024x642.png 1024w, https:\/\/jkr77.kapsi.fi\/wp\/wp-content\/uploads\/2021\/05\/w7-300x188.png 300w, https:\/\/jkr77.kapsi.fi\/wp\/wp-content\/uploads\/2021\/05\/w7-768x482.png 768w, https:\/\/jkr77.kapsi.fi\/wp\/wp-content\/uploads\/2021\/05\/w7-1536x963.png 1536w, https:\/\/jkr77.kapsi.fi\/wp\/wp-content\/uploads\/2021\/05\/w7.png 1855w\" sizes=\"auto, (max-width: 1024px) 100vw, 1024px\" \/><\/p>\n<p>Valitsemalla Explore agent- voit katsoa konekohtaisesti korjauslistaa:<\/p>\n<p><img loading=\"lazy\" decoding=\"async\" class=\"alignnone size-large wp-image-225\" src=\"https:\/\/jkr77.kapsi.fi\/wp\/wp-content\/uploads\/2021\/05\/w8-1024x500.png\" alt=\"\" width=\"1024\" height=\"500\" srcset=\"https:\/\/jkr77.kapsi.fi\/wp\/wp-content\/uploads\/2021\/05\/w8-1024x500.png 1024w, https:\/\/jkr77.kapsi.fi\/wp\/wp-content\/uploads\/2021\/05\/w8-300x147.png 300w, https:\/\/jkr77.kapsi.fi\/wp\/wp-content\/uploads\/2021\/05\/w8-768x375.png 768w, https:\/\/jkr77.kapsi.fi\/wp\/wp-content\/uploads\/2021\/05\/w8-1536x750.png 1536w, https:\/\/jkr77.kapsi.fi\/wp\/wp-content\/uploads\/2021\/05\/w8.png 1834w\" sizes=\"auto, (max-width: 1024px) 100vw, 1024px\" \/><\/p>\n<h2>Wazuhin h\u00e4lytykset<\/h2>\n<p>Kohdasta Wazuh – Modules -Security Events n\u00e4et filtter\u00f6idyt ja huomionarvoiset tapahtumat, niin haavoittuvuuksia kuin kirjautumisia koskien. Valitsemalla Events, p\u00e4\u00e4set katsomaan raakadataa.<\/p>\n<p><img loading=\"lazy\" decoding=\"async\" class=\"alignnone size-large wp-image-226\" src=\"https:\/\/jkr77.kapsi.fi\/wp\/wp-content\/uploads\/2021\/05\/w3-1024x341.png\" alt=\"\" width=\"1024\" height=\"341\" srcset=\"https:\/\/jkr77.kapsi.fi\/wp\/wp-content\/uploads\/2021\/05\/w3-1024x341.png 1024w, https:\/\/jkr77.kapsi.fi\/wp\/wp-content\/uploads\/2021\/05\/w3-300x100.png 300w, https:\/\/jkr77.kapsi.fi\/wp\/wp-content\/uploads\/2021\/05\/w3-768x256.png 768w, https:\/\/jkr77.kapsi.fi\/wp\/wp-content\/uploads\/2021\/05\/w3-1536x512.png 1536w, https:\/\/jkr77.kapsi.fi\/wp\/wp-content\/uploads\/2021\/05\/w3-2048x683.png 2048w\" sizes=\"auto, (max-width: 1024px) 100vw, 1024px\" \/><\/p>\n<p>Filtter\u00f6inti ja hakutoimintojen avulla voit rajata ja etsi\u00e4 vastaavia tapahtumia valitsemaltasi ajanjaksolta.<\/p>\n<p>H\u00e4lytyksist\u00e4 saat my\u00f6s emailin, asettamalla ossec-konffiin sopivat asetukset:<\/p>\n<p><a href=\"https:\/\/documentation.wazuh.com\/current\/user-manual\/manager\/manual-email-report\/\">https:\/\/documentation.wazuh.com\/current\/user-manual\/manager\/manual-email-report\/<\/a><\/p>\n<p>(Kannattaa tosin ensin rauhassa tutustua j\u00e4rjestelm\u00e4\u00e4n ja rakentaa se tuotantok\u00e4ytt\u00f6\u00f6n ajatuksen kanssa. Ota varmuuskopiot ja snapshotit merkitt\u00e4vien muutosten j\u00e4lkeen).<\/p>\n<h2>Omat h\u00e4lytykset ja s\u00e4\u00e4nn\u00f6t<\/h2>\n<p>On luultavaa ett\u00e4 aivan haluttua h\u00e4lytyst\u00e4 ei l\u00f6ydy, joten voit rakentaa s\u00e4\u00e4nt\u00f6jen avulla oman h\u00e4lytyksen:<\/p>\n<p><a href=\"https:\/\/documentation.wazuh.com\/current\/user-manual\/ruleset\/custom.html\">https:\/\/documentation.wazuh.com\/current\/user-manual\/ruleset\/custom.html<\/a><\/p>\n<p> <\/p>\n<h2>Loppusanat<\/h2>\n<p>Wazuh tarjoaa nopeasti hyvin monipuolisen ratkaisun verkon laitteiden tapahtumien valvontaan. Tutustumalla ohjeisiin voit laajentaa sit\u00e4 haluttuun suuntaan ja opettelemalla ELK-stackin toimintaa, voit my\u00f6s rakentaa raportoinnin haluamaasi suuntaan.<\/p>\n<p>Pikaisen k\u00e4yt\u00f6n j\u00e4lkeen huomasin ett\u00e4 useasta komponentista koostuvassa j\u00e4rjestelm\u00e4ss\u00e4 kannattaa olla tarkkana p\u00e4ivtt\u00e4misen kanssa, tuki uusimmille komponenteille ei ilmesty hetkess\u00e4 kaikkialle. Suosittelen rakentamaan pysyv\u00e4\u00e4n k\u00e4ytt\u00f6\u00f6n erilliset ELK ja Wazuh ymp\u00e4rist\u00f6t.<\/p>\n<p>Muutaman haastavamman ELK-konffauksen j\u00e4lkeen piti turvautua Proxmoxin varmuuskopioiden palautukseen ja palata alkuruutuun, mutta t\u00e4st\u00e4 lis\u00e4\u00e4 seuraavassa artikkelissa jossa tutustutaan T-Potin ja Wazuhin yhteisel\u00e4m\u00e4\u00e4n!<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Johdanto T\u00e4m\u00e4 artikkeli on jatkoa\u00a0BTB-Projektille: Kotilabran palvelut, jossa pystytimme Proxmox- virtualisoinnin Asus PN50 raudan p\u00e4\u00e4lle. Nyt jatkamme syventym\u00e4ll\u00e4 Wazuhin k\u00e4ytt\u00f6\u00f6n! Tavoite: Ottaa Wazuh k\u00e4ytt\u00f6\u00f6n kotiverkon valvontaan Vaikeus: Helppo Aika: Tunteja Hinta: 0 \u20ac Olethan t\u00e4t\u00e4 ennen jo asettanut varmuuskopioinnin p\u00e4\u00e4lle ja osaat ottaa yhteyden virtuaalikoneillesi joko SSH:lla tai konsolin yli. Mik\u00e4 on Wazuh? Wazuh kuvailee … <a title=\"BTB projekti: Wazuh kotilabraan\" class=\"read-more\" href=\"https:\/\/jkr77.kapsi.fi\/wp\/btb-projekti-wazuh-kotilabraan\/\" aria-label=\"Read more about BTB projekti: Wazuh kotilabraan\">Read more<\/a><\/p>\n","protected":false},"author":3,"featured_media":53,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[38,6,8,44,45],"tags":[23,33,41,24,46],"class_list":["post-212","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-btb","category-gadgets","category-pfsense","category-proxmox","category-wazuh","tag-blueteambuilders","tag-btb","tag-proxmox","tag-suomeksi","tag-wazuh"],"_links":{"self":[{"href":"https:\/\/jkr77.kapsi.fi\/wp\/wp-json\/wp\/v2\/posts\/212","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/jkr77.kapsi.fi\/wp\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/jkr77.kapsi.fi\/wp\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/jkr77.kapsi.fi\/wp\/wp-json\/wp\/v2\/users\/3"}],"replies":[{"embeddable":true,"href":"https:\/\/jkr77.kapsi.fi\/wp\/wp-json\/wp\/v2\/comments?post=212"}],"version-history":[{"count":8,"href":"https:\/\/jkr77.kapsi.fi\/wp\/wp-json\/wp\/v2\/posts\/212\/revisions"}],"predecessor-version":[{"id":231,"href":"https:\/\/jkr77.kapsi.fi\/wp\/wp-json\/wp\/v2\/posts\/212\/revisions\/231"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/jkr77.kapsi.fi\/wp\/wp-json\/wp\/v2\/media\/53"}],"wp:attachment":[{"href":"https:\/\/jkr77.kapsi.fi\/wp\/wp-json\/wp\/v2\/media?parent=212"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/jkr77.kapsi.fi\/wp\/wp-json\/wp\/v2\/categories?post=212"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/jkr77.kapsi.fi\/wp\/wp-json\/wp\/v2\/tags?post=212"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}