Wazuh
Intro
Wazuh ist eine Open Source SIEM-Lösung die wir ebenfalls im Portfolio haben. Unser Wazuh-Agent Plugin erlaubt es die OPNsense Firewall als Agent direkt am System anzumelden. Anstatt nur Syslog Nachrichten zu verarbeiten, taucht das Gerät als vollwertiger Agent auf und auch Active Response Szenarien sind dadurch denkbar.
Installation
Vorab muss das Repository der m.a.x. it aktiviert sein. Hierzu per SSH auf die Console und folgendes eingeben:
# pkg add https://support.max-it.de/os-maxit-13-1.1.pkg
Anschließend die Weboberfläche neu laden und unter System : Firmware ist ein neues Untermenü „Maxit“. Dort die Checkbox auf „Enabled“, die bekannten Zugangsdaten hinterlegen und nach Updates prüfen.
Die Installation des Plugins ist denkbar einfach, wie üblich über System : Firmware : Plugins und dort nach „wazuh“ suchen. Installieren und einmal die Seite neu laden, es erscheint in Services das Menü „Wazuh-Agent“.
Bedienung
Nach der Installation das Plugin auf Enabled setzen und die IP des Wazuh-Managers angeben. Zusätzlich besteht noch die Möglichkeit, Rootchecks und RemoteCommands zu aktivieren, oder auch das manuelle hinzufügen von Logdateien. Falls der Wazuh-Manager ein Passwort verlangt ist ebenfalls ein Textfeld verfügbar. In der Standardinstallation werden bereits die Logdateien von Wazuh selbst, Filterlogs, http und SSH an das zentrale SIEM System übertragen.
Weitere Informationen zu Wazuh erhalten sind hier erhältlich: https://www.max-it.de/it-services/siem-open-source/