wazuh_server_install

Ansible Роль для Установки Wazuh SIEM Unified XDR и Защиты SIEM с Правилами SOC Fortress

Почему стоит использовать Wazuh с Правилами SocFortress: Блог SocFortress

Цель данного репозитория — предоставить сообществу Wazuh более точные, описательные и обогащённые правила из различных источников и интеграций.

Вот почему:

  • Правила обнаружения могут быть сложными в использовании, и мы считаем, что у всех должен быть доступ к мощному и растущему набору правил.
  • Wazuh отлично работает как EDR агент, однако стандартные наборы правил довольно мягкие (по нашему мнению). Мы хотели начать создавать сильный репозиторий правил Wazuh для сообщества, чтобы они могли реализовать и расширять его по мере появления новых угроз.
  • Кибербезопасность и так достаточно сложна, давайте работать вместе :smile:

Ansible Роль: Развертывание Wazuh SIEM

Это роль Ansible, которая запускает Wazuh SIEM на системе Linux. По умолчанию пароль генерируется автоматически и выводится в логи. В качестве опции переменную роли wazuh_admin_password можно использовать для установки пароля вручную.

Требования

Нет.

Переменные Роли

Доступные переменные перечислены ниже, вместе со значениями по умолчанию (см. defaults/main.yml):

# URL скрипта установки Wazuh
wazuh_install_script_url: "https://packages.wazuh.com/4.7/wazuh-install.sh"
# URL скрипта правил SOCFORTRESS для Wazuh
socfortress_rules_script_url: "https://raw.githubusercontent.com/aaladha/Wazuh-Rules/main/wazuh_socfortress_rules.sh"
# (Необязательно) Установить пароль для администратора
wazuh_admin_password: Wazuh-123

Пример Плейбука

- hosts: wazuh-siem
  roles:
    - aleemladha.wazuh_server_install

Пример Конфигурации Ludus Range

ludus:
  - vm_name: "{{ range_id }}-wazuh-siem"
    hostname: "{{ range_id }}-wazuh-siem"
    template: kali-x64-desktop-template
    vlan: 20
    ip_last_octet: 2
    ram_gb: 8
    cpus: 4
    linux: true
    testing:
      snapshot: false
      block_internet: false
    roles:
      - aleemladha.wazuh_server_install
    role_vars:
      wazuh_admin_password: Wazuh-123

Настройка Ludus

# Добавьте роль на ваш хост ludus
ludus ansible roles add aleemladha.wazuh_server_install

# Получите вашу конфигурацию в файл, чтобы присвоить его ВМ
ludus range config get > config.yml

# Отредактируйте конфигурацию, чтобы добавить роль к ВМ, которую вы хотите сделать сервером wazuh siem
ludus range config set -f config.yml

# Разверните диапазон и получите доступ к Wazuh SIEM
ludus range deploy

# По умолчанию, если это не указано вручную, имя пользователя и пароль генерируются и защищаются, вы можете получить доступ, используя

ludus range logs -f

Вывод будет следующим:

ok: [SCCM-wazuh] => {
    "msg": [
        "Имя пользователя: admin",
        "Пароль: 8DWmsgBD9*ICMqv?8xnyInr?IMqerI*7"
    ]
}

После развертывания, получите доступ к интерфейсу Wazuh по адресу https://<IP>:

Настройка Wazuh для Игры Ludus Active Directory (GOAD)

ludus:
  - vm_name: "{{ range_id }}-GOAD-DC01"
    hostname: "{{ range_id }}-DC01"
    template: win2019-server-x64-template
    vlan: 10
    ip_last_octet: 10
    ram_gb: 4
    cpus: 2
    windows:
      sysprep: true
  - vm_name: "{{ range_id }}-GOAD-DC02"
    hostname: "{{ range_id }}-DC02"
    template: win2019-server-x64-template
    vlan: 10
    ip_last_octet: 11
    ram_gb: 4
    cpus: 2
    windows:
      sysprep: true
  - vm_name: "{{ range_id }}-GOAD-DC03"
    hostname: "{{ range_id }}-DC03"
    template: win2016-server-x64-template
    vlan: 10
    ip_last_octet: 12
    ram_gb: 4
    cpus: 2
    windows:
      sysprep: true
  - vm_name: "{{ range_id }}-GOAD-SRV02"
    hostname: "{{ range_id }}-SRV02"
    template: win2019-server-x64-template
    vlan: 10
    ip_last_octet: 22
    ram_gb: 4
    cpus: 2
    windows:
      sysprep: true
  - vm_name: "{{ range_id }}-GOAD-SRV03"
    hostname: "{{ range_id }}-SRV03"
    template: win2019-server-x64-template
    vlan: 10
    ip_last_octet: 23
    ram_gb: 4
    cpus: 2
    windows:
      sysprep: true
  - vm_name: "{{ range_id }}-kali"
    hostname: "{{ range_id }}-kali"
    template: kali-x64-desktop-template
    vlan: 10
    ip_last_octet: 99
    ram_gb: 4
    cpus: 2
    linux: true
    testing:
      snapshot: false
      block_internet: false
    roles:
      - aleemladha.wazuh_server_install
    role_vars:
      wazuh_admin_password: Wazuh-123

Лицензия

Apache-2.0

Информация об Авторах

Эта роль была создана Aleem ladha.

Ресурсы/Благодарности

О проекте

Install WAZUH SIEM and enhanced with SOC FORTRESS Rules

Установить
ansible-galaxy install aleemladha/wazuh_server_install
Лицензия
Unknown
Загрузки
66
Владелец