aleemladha.wazuh_server_install

Przegląd Wersje Wgląd

Rola Ansible do instalacji Wazuh SIEM Unified XDR i ochrony SIEM z regułami SOC Fortress

Dlaczego używać Wazuh z regułami SocFortress: Blog SocFortress

Celem tego repozytorium jest dostarczenie społeczności Wazuh zestawów reguł, które są dokładniejsze, bardziej opisowe i wzbogacone z różnych źródeł i integracji.

Oto dlaczego:

  • Reguły wykrywania mogą być skomplikowane, a my wierzymy, że każdy powinien mieć dostęp do silnego i rozwijającego się zestawu reguł.
  • Wazuh jest znakomitym agentem EDR, jednak domyślne zestawy reguł są według nas zbyt łagodne. Chcieliśmy zacząć budować silne repozytorium reguł Wazuh, które społeczność mogłaby wdrożyć i rozwijać w miarę pojawiania się nowych zagrożeń.
  • Cyberbezpieczeństwo jest wystarczająco trudne, pracujmy razem :smile:

Rola Ansible: Wdrożenie Wazuh SIEM

To rola Ansible, która uruchamia Wazuh SIEM na systemie Linux. Domyślnie hasło jest generowane automatycznie i drukowane w logach. Opcjonalnie, zmienna roli wazuh_admin_password może być użyta do ustawienia hasła ręcznie.

Wymagania

Brak.

Zmienne roli

Dostępne zmienne są wymienione poniżej, wraz z wartościami domyślnymi (zobacz defaults/main.yml):

# URL skryptu instalacji Wazuh
wazuh_install_script_url: "https://packages.wazuh.com/4.7/wazuh-install.sh"
# URL skryptu reguł SOCFORTRESS dla Wazuh
socfortress_rules_script_url: "https://raw.githubusercontent.com/aaladha/Wazuh-Rules/main/wazuh_socfortress_rules.sh"
# (Opcjonalne) Wymuszenie hasła admina
wazuh_admin_password: Wazuh-123

Przykład Playbooka

- hosts: wazuh-siem
  roles:
    - aleemladha.wazuh_server_install

Przykład konfiguracji Ludus Range

ludus:
  - vm_name: "{{ range_id }}-wazuh-siem"
    hostname: "{{ range_id }}-wazuh-siem"
    template: kali-x64-desktop-template
    vlan: 20
    ip_last_octet: 2
    ram_gb: 8
    cpus: 4
    linux: true
    testing:
      snapshot: false
      block_internet: false
    roles:
      - aleemladha.wazuh_server_install
    role_vars:
      wazuh_admin_password: Wazuh-123

Ustawienia Ludus

# Dodaj rolę do swojego hosta ludus
ludus ansible roles add aleemladha.wazuh_server_install

# Zapisz swoją konfigurację do pliku, aby mogła zostać przypisana do VM
ludus range config get > config.yml

# Edytuj konfigurację, aby dodać rolę do VM, które chcesz uczynić serwerem wazuh siem
ludus range config set -f config.yml

# Rozmieść zakres i uzyskaj dostęp do wazuh SIEM
ludus range deploy

# Domyślnie, chyba że określone ręcznie, użytkownik i hasło są generowane i zabezpieczone, uzyskasz do niego dostęp używając

ludus range logs -f

Wynik będzie wyglądał następująco:

ok: [SCCM-wazuh] => {
    "msg": [
        "Użytkownik: admin",
        "Hasło: 8DWmsgBD9*ICMqv?8xnyInr?IMqerI*7"
    ]
}

Po wdrożeniu, uzyskaj dostęp do interfejsu Wazuh pod adresem https://<IP>:

Ustawienia Wazuh w Ludus Game of Active Directory (GOAD)

ludus:
  - vm_name: "{{ range_id }}-GOAD-DC01"
    hostname: "{{ range_id }}-DC01"
    template: win2019-server-x64-template
    vlan: 10
    ip_last_octet: 10
    ram_gb: 4
    cpus: 2
    windows:
      sysprep: true
  - vm_name: "{{ range_id }}-GOAD-DC02"
    hostname: "{{ range_id }}-DC02"
    template: win2019-server-x64-template
    vlan: 10
    ip_last_octet: 11
    ram_gb: 4
    cpus: 2
    windows:
      sysprep: true
  - vm_name: "{{ range_id }}-GOAD-DC03"
    hostname: "{{ range_id }}-DC03"
    template: win2016-server-x64-template
    vlan: 10
    ip_last_octet: 12
    ram_gb: 4
    cpus: 2
    windows:
      sysprep: true
  - vm_name: "{{ range_id }}-GOAD-SRV02"
    hostname: "{{ range_id }}-SRV02"
    template: win2019-server-x64-template
    vlan: 10
    ip_last_octet: 22
    ram_gb: 4
    cpus: 2
    windows:
      sysprep: true
  - vm_name: "{{ range_id }}-GOAD-SRV03"
    hostname: "{{ range_id }}-SRV03"
    template: win2019-server-x64-template
    vlan: 10
    ip_last_octet: 23
    ram_gb: 4
    cpus: 2
    windows:
      sysprep: true
  - vm_name: "{{ range_id }}-kali"
    hostname: "{{ range_id }}-kali"
    template: kali-x64-desktop-template
    vlan: 10
    ip_last_octet: 99
    ram_gb: 4
    cpus: 2
    linux: true
    testing:
      snapshot: false
      block_internet: false
    roles:
      - aleemladha.wazuh_server_install
    role_vars:
      wazuh_admin_password: Wazuh-123

Licencja

Apache-2.0

Informacje o autorze

Ta rola została stworzona przez Aleem ladha

Źródła/Kredyty

O projekcie

Install WAZUH SIEM and enhanced with SOC FORTRESS Rules

role wazuh siem ansible soc fortress
Zainstaluj
ansible-galaxy install aleemladha.wazuh_server_install
GitHub repozytorium
24 gwiazdki
6 forki
0 otwarte zgłoszenia
Licencja
Unknown
Pobrania
247
Właściciel