aleemladha.wazuh_server_install

概要 バージョン 洞察

Wazuh SIEM統合XDRとSOC FortressルールによるSIEM保護をインストールするためのAnsibleロール

SocFortressルールと共にWazuhを使用する理由: SocFortressブログ

このリポジトリの目的は、Wazuhコミュニティにより正確で説明的かつ様々な情報源や統合から強化されたルールセットを提供することです。

その理由は以下の通りです:

  • 検出ルールは難しい事業であり、誰もが強力で成長するルールセットにアクセスできるべきだと考えています。
  • Wazuhは優れたEDRエージェントですが、デフォルトのルールセットはやや緩い(私たちの意見では)です。私たちは、コミュニティが実装し、新しい脅威が出現するたびに拡張できる強力なWazuhルールのリポジトリを構築し始めたいと考えました。
  • サイバーセキュリティは十分に難しいので、協力して取り組みましょう :smile:

Ansibleロール: Wazuh SIEMのデプロイ

Linuxシステム上でWazuh SIEMを実行するAnsibleロールです。デフォルトでは、パスワードが自動生成され、ログに印刷されます。オプションとして、ロール変数wazuh_admin_passwordを使用して手動で設定することもできます。

要件

特になし。

ロール変数

利用可能な変数は以下に示されており、デフォルト値も含まれています(defaults/main.ymlを参照):

# WazuhインストールスクリプトのURL
wazuh_install_script_url: "https://packages.wazuh.com/4.7/wazuh-install.sh"
# SOCFORTRESS WazuhルールスクリプトのURL
socfortress_rules_script_url: "https://raw.githubusercontent.com/aaladha/Wazuh-Rules/main/wazuh_socfortress_rules.sh"
# (オプション)管理者パスワードの強制
wazuh_admin_password: Wazuh-123

例プレイブック

- hosts: wazuh-siem
  roles:
    - aleemladha.wazuh_server_install

例Ludus範囲構成

ludus:
  - vm_name: "{{ range_id }}-wazuh-siem"
    hostname: "{{ range_id }}-wazuh-siem"
    template: kali-x64-desktop-template
    vlan: 20
    ip_last_octet: 2
    ram_gb: 8
    cpus: 4
    linux: true
    testing:
      snapshot: false
      block_internet: false
    roles:
      - aleemladha.wazuh_server_install
    role_vars:
      wazuh_admin_password: Wazuh-123

Ludus設定

# ロールをludusホストに追加
ludus ansible roles add aleemladha.wazuh_server_install

# 設定をファイルに保存してVMに割り当てられるようにする
ludus range config get > config.yml

# Wazuh SIEMサーバーを作成するVMにロールを追加するために設定を編集
ludus range config set -f config.yml

# 範囲をデプロイしてWazuh SIEMにアクセス
ludus range deploy

# デフォルトでは、手動で指定しない限り、ユーザー名とパスワードが生成されて保護されます。次のコマンドでアクセスできます。

ludus range logs -f

出力は以下のようになります。

ok: [SCCM-wazuh] => {
    "msg": [
        "Username: admin",
        "Password: 8DWmsgBD9*ICMqv?8xnyInr?IMqerI*7"
    ]
}

デプロイが完了したら、https://<IP>: でWazuh UIにアクセスします。

Ludusアクティブディレクトリ(GOAD)Wazuh設定

ludus:
  - vm_name: "{{ range_id }}-GOAD-DC01"
    hostname: "{{ range_id }}-DC01"
    template: win2019-server-x64-template
    vlan: 10
    ip_last_octet: 10
    ram_gb: 4
    cpus: 2
    windows:
      sysprep: true
  - vm_name: "{{ range_id }}-GOAD-DC02"
    hostname: "{{ range_id }}-DC02"
    template: win2019-server-x64-template
    vlan: 10
    ip_last_octet: 11
    ram_gb: 4
    cpus: 2
    windows:
      sysprep: true
  - vm_name: "{{ range_id }}-GOAD-DC03"
    hostname: "{{ range_id }}-DC03"
    template: win2016-server-x64-template
    vlan: 10
    ip_last_octet: 12
    ram_gb: 4
    cpus: 2
    windows:
      sysprep: true
  - vm_name: "{{ range_id }}-GOAD-SRV02"
    hostname: "{{ range_id }}-SRV02"
    template: win2019-server-x64-template
    vlan: 10
    ip_last_octet: 22
    ram_gb: 4
    cpus: 2
    windows:
      sysprep: true
  - vm_name: "{{ range_id }}-GOAD-SRV03"
    hostname: "{{ range_id }}-SRV03"
    template: win2019-server-x64-template
    vlan: 10
    ip_last_octet: 23
    ram_gb: 4
    cpus: 2
    windows:
      sysprep: true
  - vm_name: "{{ range_id }}-kali"
    hostname: "{{ range_id }}-kali"
    template: kali-x64-desktop-template
    vlan: 10
    ip_last_octet: 99
    ram_gb: 4
    cpus: 2
    linux: true
    testing:
      snapshot: false
      block_internet: false
    roles:
      - aleemladha.wazuh_server_install
    role_vars:
      wazuh_admin_password: Wazuh-123

ライセンス

Apache-2.0

作成者情報

このロールは Aleem ladha によって作成されました。

資源/クレジット

プロジェクトについて

Install WAZUH SIEM and enhanced with SOC FORTRESS Rules

role wazuh siem ansible soc fortress
インストール
ansible-galaxy install aleemladha.wazuh_server_install
GitHub リポジトリ
24 スター
6 フォーク
0 オープンな問題
ライセンス
Unknown
ダウンロード
247
所有者