İçindekiler Tablosu
Genel Bakış
Merhaba, bugün sanal ortamımıza Wazuh Server kurulumu ve bağlı cihazlara ajan eklemeyi anlatacağım. Wazuh Server ve ajan kurulumları hakkında detaylar paylaşacağım. Bugün, Wazuh’un ne olduğunu, kullanım amacını, sistem gereksinimlerini ve kurulum adımlarını anlatacağım. Wazuh Server ve ajan kurulumunu detaylandıracağım. Keyifli okumalar!
Bu yazımla birlikte yeni bir seriye başlayacağım. Bu seride, kurduğumuz Wazuh Server ve ajanlarla zafiyetli makinelere saldırılar gerçekleştireceğiz. Daha sonra bu saldırıları Wazuh Server’da alarmlar üretip inceleyeceğim.
Wazuh Nedir ve Neden Kullanılır?
Siber güvenlik, dijital dünyanın gölgesinde büyüyen bir zorunluluk haline gelmektedir. Organizasyonların eli kolu haline gelen araçlardan biri de hiç şüphesiz Wazuh’dur. Peki, Wazuh tam olarak nedir?
Kısaca söylemek gerekirse, Wazuh açık kaynaklı bir güvenlik bilgi ve olay yönetimi (SIEM) çözümüdür. Ancak bu tanımın ötesine geçmek gerekir. Bu nedenle Wazuh yalnızca log toplayan ya da uyarı üreten bir araç değildir. O, sisteminize göz gibi bakar ve her hareketi izler. Her anomaliyi değerlendirir ve tehditleri anlamaya çalışır. Bunu yaparken yalnızca basit kurallarla değil, geniş bir yelpazede çalışır. Kullanıcı davranışlarından dosya bütünlüğüne, rootkit tespitinden güvenlik yapılandırmalarına kadar birçok alanda faaliyet gösterir.
Kimi sistem yöneticileri için Wazuh, karmaşık güvenlik altyapılarının şeffaf bir yüzü gibidir. Kimileri içinse, log analizini merkezi bir noktaya taşımanın en etkili yoludur. Her iki görüş de haklıdır çünkü Wazuh’un gücü, esnekliğinden ve modüler mimarisinden gelir. Hangi ölçekte olursa olsun; ister küçük bir startup olun, ister devasa bir veri merkezi yönetin, Wazuh ortamınıza uyum sağlayabilir.
Üstelik onu diğer çözümlerden ayıran en dikkat çekici özelliklerinden biri de topluluk desteğidir. Açık kaynak dünyasında, bir aracın ne kadar etkin olduğuna yalnızca fonksiyonları değil, aynı zamanda arkasındaki topluluk da karar verir. Wazuh, bu anlamda yalnızca teknik olarak değil, kültürel olarak da büyüyen bir projedir.
Gerekli Sistem Gereksininmleri ve Hazırlık
Wazuh Server kurarken Wazuh’un kendi web sitesindeki sistem gereksinimleri göz önüne alınmalıdır. Wazuh documentation şekilde bir arama ile Wazuh’un kendi orijinal web sitesine erişebiliriz. Bu web sitesine göre Wazuh Server kurulumu için sistemde kullanacağımız ajan sayısına göre sistem gereksinimleri şu şekildedir:
Sanal Ortama Wazuh Server Kurulumu
Wazuh Server kurulumu için Wazuh’un resmi web sitesinden kurum dökümanındaki adımları takip ederek hızlıca Wazuh Server’ı Ubuntu makinemizin üzerine kurabiliriz. Bu aşamada dikkat etmemiz gereken birkaç husus bulunmaktadır. Bunlar Wazuh’u üzerine kuracağımız Ubuntu makinesinin CPU, RAM ve Depolama alanlarıdır. Wazuh’un doğru bir şekilde çalışabilmesi için minimum 4 çekirdek işlemci, 8 GB RAM ve 50 GB depolama alanı gerekmektedir. Ubuntu makinemize bu atamaları yaptıktan sonra Wazuh Server’i kurmak için;
curl -sO https://packages.wazuh.com/4.11/wazuh-install.sh && sudo bash ./wazuh-install.sh –a komutuyla Wazuh Server’i Ubuntu makinemize kurabiliriz.
Wazuh Server’ın indirilmesi tamamlandıktan sonra ikinci şeklin en alt kısmında yer alan Username ve Password bilgileriyle Ubuntu makinemizin ip adresini tarayıcımda aratarak gelen giriş ekranıyla Wazuh Server’ın giriş ekranına ulaşırız.
Wazuh Server’i kurarken oluşturulan Username ve Password değerlerini ekrandaki kısımlara yapıştırarak Wazuh Server’a giriş yapabiliriz.
Windows Server 2008 Makinesinin Wazuh’a Ajan ile Bağlanması
Windows Server 2008 makinesini ajan olarak Wazuh Server’a bağlamak için Wazuh Server’ın ana ekranında bulunan Deploy new agent kısmına tıklıyoruz. Açılan ekrandan ekleyeceğimiz ajanın işletim sistemi bilgisi bizi karşılıyor. Ben Windows bir işletim sistemi kullandığım için Windows MSI 32/64 bits yazan kısmı seçiyorum.
İşletim sistemini seçtikten sonraki kısımda ajanını wazuh server’a bağlamak için Wazuh Server’ın ip adresini girmemiz gerekmektedir. Wazuh Server’ın ip adresini öğrenmek adına Linux işletim sistemlerinde ifconfig komutuyla ip adresini öğrendikten sonra bu alana ajanın ip adresini yazıyoruz.
IP adresini yazdıktan sonra bir alt kısımda ajana vereceğimiz ad kısmı yer alıyor. Bu kısma akılda kalıcı ve ajan hakkında bize bilgi verecek herhangi bir ad verebiliriz. Ben WindowsServer2008-Vagrant adını veriyorum.
Son olarak ajanımızın grubunu seçtikten sonra Wazuh bizim ajanımızı cihazımıza kurmak adına bize bir çıktı veriyor. Wazuh’un vermiş olduğu çıktının üzerine bir kere tıkladıktan sonra bu çıktıyı kopyalayıp ajanı kuracağımız makineye gidebiliriz.
Wazuh’un bize vermiş olduğu çıktıyı kopyalayıp ajan makinemizin Powershell ekranına sağ tıklayıp Powershell’i yönetici olarak açtıktan sonra bu çıktıyı Powershell ekranına yapıştırdıktan sonra Wazuh ajanımızın kurulumunu tamamlamış olacağız.
Son olarak Wazuh servislerini başlatmak adına NET START WazuhSVC komutunu Powershell ekranımızda çalıştıracağız.
Şimdi tekrar tarayıcımıza dönüp ajanımızın kurulup kurulmadığını görüntüleyebiliriz. Bunun için tarayıcımızı açıp Wazuh’u kurmuş olduğumuz ip adresini tarayıcımıza girdikten sonra giriş bilgilerimizle Wazuh’a giriş yaptıktan sonra ana ekranda bir adet aktif ajanımızın olduğunu görebiliyoruz. Bu ajana tıklayarak vermiş olduğumuz bilgileri doğru olarak alıp almadığına bakabiliriz.
Tüm adımları doğru bir şekilde tamamladıktan sonra Wazuh Server’ımıza başarılı bir şekilde Windows Server 2008 makinesinin ajan yardımıyla bağlanamamış olduğunu görüntüleyebiliriz.
Bugünkü yazımda Wazuh’un ne olduğundan, Wazuh Server kurulumundan ve Wazuh Server’a ajan yardımıyla Windows Server 2008 makinesinin kurulumundan bahsettim.
Sonraki yazımda kurmuş olduğumuz bu makinelere saldırılar gerçekleştirip Wazuh Server üzerinden bu saldırıların alarmlarını tetikleteceğim.
Bir sonraki yazılarımda görüşmek üzere.
Linkedin hesabıma buradan ulaşıp sormak istediğiniz herhangi bir sorunuz varsa bana ulaşabilirsiniz.
Leave a Comment