Centos 8 Üzerinde Wazuh Kurulumu #3

Wazuh

Merhabalar, Wazuh yazı serimizde istediğimiz kriterlere göre oluşan logların mail ile bildirilmesi işlemini yapıcaz.

Bu işlemi yapmak için 2 farklı yol izlememiz gerekebilmektedir.

Eğer centos makinenizin bulunduğu ortamda mail server var ise işlemlerimiz daha kolay olacaktır. Wazuh, mail server’ı direkt kullanabilmektedir.

Ortamınızda mail server yok ise dışardaki bir mail server’ı kullanmamız için Postfix uygulamasını yükleyip gerekli ayarlamaları yapmamız gerekmektedir.

Yazımızda iki durum içinde gerekli işlemleri yapıyor olacağız.

Wazuh Ortamında Bulunan Mail Server Kullanılması

Wazuh’un ortamda bulunan mail server’ı kullanması için gerekli ayarlamaları ossec.conf dosyasında yapmamız gerekmektedir.

/var/ossec/etc/ossec.conf dosyası açılır. Ossec.conf dosyası aşağıdaki şekilde ayarları düzeltilir. Mail adresinizin şifresi istenmemektedir. Ortamınızda bulunan mail server kullanılacaktır.

Alerts alanında <email_alert_level> etiketindeki değer, oluşan loglarda hangi seviye üstünü mail göndermesini istediğimizi belirtiyoruz. Varsayılan olarak 12 gelmektedir. Önemli logların mail gelmesi için yeterli olacaktır.

  <global>
    <jsonout_output>yes</jsonout_output>
    <alerts_log>yes</alerts_log>
    <logall>yes</logall>
    <logall_json>yes</logall_json>
    <email_notification>yes</email_notification>
    <smtp_server>smtp.example.com</smtp_server>
    <email_from>ossecm@example.com</email_from>
    <email_to>recipient@example.com</email_to>
    <email_maxperhour>12</email_maxperhour>
    <email_log_source>alerts.log</email_log_source>
  </global>

  <alerts>
    <log_alert_level>3</log_alert_level>
    <email_alert_level>12</email_alert_level>
  </alerts>

Ossec.conf dosyamızda gerekli düzenlemeleri yaptıktan sonra wazuh servisini restartlamak gerekmektedir. Konsol ekranında aşağıdaki kod ile servisi restartlayabilirsiniz.

systemctl restart wazuh-manager

Artık 12 seviye üstü oluşan log için mail gelecektir.

Postfix Uygulaması İle Mail Kullanılması

Centos ortamınızın dışında mail server’ınız bulunuyorsa, yada Google gibi mail servislerini kullanmak istiyorsanız, Postfix uygulamasını ayarlamanız gerekmektedir.

Postfix, Centos üzerinde mail server gibi çalışır, oluşan mail işlemlerini belirtiğiniz mail server’ına yönlendirir.

Postfix, yükleme işlemine başlayabiliriz. Komut satırından aşağıdaki kod ile postfix’i yükleyebilirsiniz.

# yum install postfix cyrus-sasl-plain
# systemctl enable postfix

Gerekli Firewall izinlerini vermek içinde aşağıdaki kodu kulanabilirsiniz.

# iptables -A INPUT -s IPADDRESS/24 -p tcp -m state --state NEW --dport 25 -j ACCEPT

Postfix kurulumunu tamamladıktan sonra kullanıcağımız mail server bilgilerini girmemiz gerekmektedir. Bunun için /etc/postfix/main.cf dosyası açılır. Aşağıdaki şekilde gerekli bilgiler düzenlenir. Kullandığınız mail server’a görede güvenlik seçeneklerini değiştirmeniz gerekebilir.

smtpd_banner = $myhostname ESMTP
inet_interfaces = all
inet_protocols = ipv4

mynetworks = 127.0.0.0/8, IPADDRESS/24
relayhost = [mail.example.com]:587
smtp_sasl_auth_enable = yes
smtp_sasl_password_maps = hash:/etc/postfix/sasl_passwd
smtp_sasl_security_options = noanonymous
smtp_tls_CApath = /etc/ssl/certs
smtp_use_tls = yes

Mail server bilgilerinizi ekledikten sonra, mail ve şifre bilgilerimizide kaydetmemiz gerekmektedir. /etc/postfix dizininde sasl_passwd dosyası oluşturulur ve mail giriş bilgilerimiz içine yazılır.

[mail.example.com]:587 user@example.com:passwd

Postfix servisimizi çalıştırabiliriz. Aşağıdaki komutlar ile çalıştırabilirsiniz.

# chmod 0600 /etc/postfix/sasl_passwd
# postmap /etc/postfix/sasl_passwd

# postfix check
# systemctl restart postfix

Postfix üzerinde gerekli işlemlerimizi tamamladık. Wazuh tarafında mail gönderimi için ayarlamaları yapmamız gerekmektedir.

/var/ossec/etc/ossec.conf dosyası açılır. Ossec.conf dosyası aşağıdaki şekilde ayarları düzeltilir.

 <global>
    <jsonout_output>yes</jsonout_output>
    <alerts_log>yes</alerts_log>
    <logall>yes</logall>
    <logall_json>yes</logall_json>
    <email_notification>yes</email_notification>
    <smtp_server>localhost</smtp_server>
    <email_from>ossecm@example.com</email_from>
    <email_to>recipient@example.com</email_to>
    <email_maxperhour>12</email_maxperhour>
    <email_log_source>alerts.log</email_log_source>
  </global>

  <alerts>
    <log_alert_level>3</log_alert_level>
    <email_alert_level>12</email_alert_level>
  </alerts>

Centos üzerinde Postfix kurduğumuz için artık <smtp_server> etiketinde localhost olarak kullanmamız gerekmektedir. Gerekli düzenlemeyi yaptıktan sonra wazuh servisini yeniden başlatmamız gerekmektedir.

systemctl restart wazuh-manager

Artık 12 seviye üstü oluşan log için mail gelecektir.

Bu yazımızın sonuna geldik. Serimiz devam edecektir. Diğer yazılarda görüşmek üzere.

E-bültene Abone Ol Merak etmeyin. Spam yapmayacağız.

Yazar

Kocaeli Üniversitesi Bilişim Sistemleri Mühendisliğini bitirip sektörde veri tabanı mühendisi olarak göreve başladım.

İlgili Yazılar

Bir cevap yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

Hızlı yorum için giriş yapın.

Başka Yazı Yok

Kayıt Ol

Zaten üye misiniz? Giriş Yap

Giriş Yap

Henüz üyeliğiniz yok mu? Kayıt Ol