Как установить SIEM с открытым кодом: практическое руководство по развертыванию Wazuh

Система управления информационной безопасностью и событиями (SIEM) является краеугольным камнем современной Security Operations Center (SOC). Она обеспечивает сбор, агрегацию, корреляцию и анализ логов с различных источников в организации для выявления угроз и инцидентов безопасности. В то время как коммерческие решения вроде Splunk или IBM QRadar могут быть дорогими, мир open-source предлагает мощные альтернативы. Wazuh — одна из самых популярных из них, объединяющая в себе функции SIEM и XDR (расширенного обнаружения и реагирования). В этом руководстве мы шаг за шагом развернем Wazuh на виртуальной машине с Ubuntu Server.

Перед началом установки необходимо понять архитектуру Wazuh. Она состоит из трех ключевых компонентов: Wazuh Manager (ядро системы, отвечает за анализ событий, правила, реагирование), Wazuh Indexer (хранилище и механизм поиска логов, основанный на OpenSearch) и Wazuh Dashboard (веб-интерфейс на базе Kibana для визуализации). Для тестовой или небольшой рабочей среды все компоненты можно установить на один сервер. Для production рекомендуется распределенная установка.

Шаг 1: Подготовка сервера. Создайте виртуальную машину или выделенный сервер с Ubuntu Server 22.04 LTS. Рекомендуемые минимальные характеристики: 4-8 ГБ ОЗУ, 2-4 ядра CPU, 50-100 ГБ дискового пространства. Обновите систему: sudo apt update && sudo apt upgrade -y. Установите необходимые базовые пакеты: sudo apt install curl apt-transport-https unzip wget software-properties-common gnupg lsb-release.

Шаг 2: Установка Wazuh Indexer. Wazuh Indexer — это форк OpenSearch, который будет хранить все индексированные данные. Сначала нужно добавить GPG-ключ и репозиторий. Импортируйте ключ: curl -s https://packages.wazuh.com/key/GPG-KEY-WAZUH | sudo gpg --no-default-keyring --keyring /usr/share/keyrings/wazuh.gpg --import && sudo chmod 644 /usr/share/keyrings/wazuh.gpg. Добавьте репозиторий: echo "deb [signed-by=/usr/share/keyrings/wazuh.gpg] https://packages.wazuh.com/4.x/apt/ stable main" | sudo tee -a /etc/apt/sources.list.d/wazuh.list. Обновите список пакетов: sudo apt update. Установите Wazuh Indexer: sudo apt install wazuh-indexer. После установки запустите сервис: sudo systemctl daemon-reload && sudo systemctl enable wazuh-indexer && sudo systemctl start wazuh-indexer. Проверьте статус: sudo systemctl status wazuh-indexer. На этом этапе вам также нужно сгенерировать сертификаты для безопасной связи между компонентами, используя утилиту из пакета.

Шаг 3: Установка Wazuh Manager. Это мозг системы. Установите пакет: sudo apt install wazuh-manager. Запустите и включите сервис: sudo systemctl daemon-reload && sudo systemctl enable wazuh-manager && sudo systemctl start wazuh-manager. Проверьте статус: sudo systemctl status wazuh-manager. Вы можете проверить, что менеджер работает, просмотрев его логи: sudo tail -f /var/ossec/logs/ossec.log. Менеджер по умолчанию начинает слушать события от агентов.

Шаг 4: Установка Wazuh Dashboard. Dashboard предоставляет веб-интерфейс. Установите пакет: sudo apt install wazuh-dashboard. После установки скопируйте предварительно сгенерированные сертификаты в нужную директорию (это шаг, который часто упускают). Отредактируйте конфигурационный файл /etc/wazuh-dashboard/opensearch_dashboards.yml, указав правильные пути к сертификатам и адрес Wazuh Indexer (обычно https://localhost:9200). Запустите сервис: sudo systemctl daemon-reload && sudo systemctl enable wazuh-dashboard && sudo systemctl start wazuh-dashboard. Проверьте статус: sudo systemctl status wazuh-dashboard. По умолчанию Dashboard будет доступен по адресу https://ваш_IP_сервера:5601. При первом входе потребуется создать учетные данные (логин и пароль).

Шаг 5: Настройка брандмауэра. Откройте необходимые порты: для Dashboard (5601/tcp), для менеджера для получения данных от агентов (1514/tcp, 1515/tcp, 55000/tcp), для Indexer (9200/tcp). Используйте ufw: sudo ufw allow 5601/tcp, sudo ufw allow 1514/tcp, sudo ufw allow 1515/tcp, sudo ufw allow 55000/tcp, sudo ufw allow 9200/tcp. Не забудьте включить брандмауэр: sudo ufw enable.

Шаг 6: Установка и регистрация Wazuh Agent на подопытной системе. Чтобы начать получать данные, нужно установить агент на мониторируемый хост (это может быть та же машина для тестов). На целевом хосте (например, другой Ubuntu) добавьте репозиторий Wazuh, как описано выше, и установите агент: sudo apt install wazuh-agent. Перед запуском агента его нужно зарегистрировать на менеджере. На сервере Wazuh Manager сгенерируйте ключ для агента: sudo /var/ossec/bin/manage_agents -l (просмотр существующих), затем sudo /var/ossec/bin/manage_agents -a (добавить нового агента). Вам будет предложено ввести имя и IP-адрес агента. После генерации ключа скопируйте его. На агенте откройте конфигурационный файл /var/ossec/etc/ossec.conf и укажите адрес MANAGER_IP. Затем зарегистрируйте агент с помощью ключа: sudo /var/ossec/bin/manage_agents -i [вставьте_ключ]. Запустите агент: sudo systemctl enable wazuh-agent && sudo systemctl start wazuh-agent.

Шаг 7: Первоначальная настройка и проверка. Вернитесь в веб-интерфейс Wazuh Dashboard (https://SERVER_IP:5601). Войдите с созданными учетными данными. Перейдите в раздел "Security events". Вы должны начать видеть события с зарегистрированного агента. Изучите предустановленные дашборды: "Security events", "Integrity monitoring", "Vulnerabilities". Для более глубокого анализа можно создавать свои правила корреляции и оповещения.

Установка Wazuh — это первый шаг. Дальнейшая настройка включает в себя добавление интеграций (для облачных провайдеров, почтовых серверов, сетевого оборудования), тонкую настройку правил, настройку оповещений (email, Slack, Telegram) и регулярное обновление правил угроз. Однако даже базовая установка, выполненная по этому руководству, уже даст вам мощный инструмент для мониторинга безопасности вашей инфраструктуры с открытым исходным кодом.