와저(Wazuh) 구축 테스트 - GCP

와저 오픈소스..

 

솔리드스텝처럼 Agent - Server 형태로 이해하면 되고

외국에서는 좀 쓰는거 같은데 국내는 없나봐.. 한글 자료가 없음

그래서 이 글도 거의 추측성이라 보면됨

 

공식 홈페이지에 보면 인덱서 / 서버 / 대시보드 / 에이전트 로 나눠져 있는데

https://documentation.wazuh.com/current/installation-guide/index.html

내가 이해하기론 아래처럼 해서 서로 통신하나 보면 될것 같다

인덱서 / 서버 / 대시보드 > 걍 이거 하나가 Wazuh Server 라고 생각, 한 서버에 같이 설치

에이전트 > 얘는 그냥 Wazuh Agent, 다른 서버에 설치

 

근데 공식 홈 보다 요기 블로그가 좀 더 따라하기 쉬움

https://computingforgeeks.com/how-to-install-wazuh-server-on-ubuntu/

 

[Wazuh Server]

1. 일단 한방에 다 깔아주는 방법이 있고

2. step by step 으로 까는 방법이 있는데

 

한방에 까는건 이 구조인것 같아

- 서버 (인덱서, 매니저, 파일비트, 인증서..)

- 대시보드

- OpenSearch

step by step 으로 깔면 엘라스틱을 추가할 수 있나봄

아 오픈서치가 아마존꺼고 엘라스틱은 엘라스틱꺼

둘 중 뭐가 나은진 모르겠는데 무튼 쓰고싶은거로 깔면 되겠다

- 서버 (인덱서, 매니저, 파일비트, 인증서..)

- 대시보드

- ElasticSearch

 

[Wazuh Agent]

와저 에이전트 파일 다운받아서 걍 깔면됨

그러면 와저 서버 대시보드에서 아래와 같이 볼 수 있음

 

# Wazuh Server - Agent 설치 (한방에)

VM 에서 먼저 해봐야겠다

1) 보통 Ubuntu 20.04 / 18.04 에 깔길래 iso 부터 다시 다운로드 (Ubuntu 20.04.5 : https://releases.ubuntu.com/focal/)

2) 와저 서버 script 방식으로 설치 (script 방식이 한방에 까는거임)

3) 에이전트 설치 (Windows)

 

# Wazuh Server - Agent 설치 (step by step)

GCP 에서 해본다

1) 서버는 Ubuntu 20.04

2) Install packages

sudo apt update

sudo apt install vim curl apt-transport-https unzip wget libcap2-bin software-properties-common lsb-release gnupg2

sudo apt install default-jre

 

3) GPG key / Wazuh repository

4) Wazuh manager

5) Elastic search

6) Certificates

7) Filebeat

8) Kibana

9) 방화벽 오픈

sudo ufw allow 443/tcp

 

10) GCP 외부 IP 로 접근 (admin / admin)

11) 에이전트 설치

GCP - VCP 네트워크에서 1514/tcp, 1515/tcp, 1516/tcp 인바운드 열어줘야됨

 

Ubuntu 에이전트 설치

Windows 에이전트 설치

 

+ SCA 스크립트 돌리는거