Centos 8 Üzerinde Wazuh Kurulumu #4

Wazuh

Merhabalar, yazı serimizde Firewall üzerinde oluşan logları “syslog” ile wazuh tarafına gönderme işlemini yapıcaz.

Syslog kelimesini açıklamak gerekirse, Wikipedia tarafından şu şekilde açıklanmaktadır;

Syslog, mesaj günlüğü için bir standarttır. Mesaj üreten yazılım, bunları depolayan sistem ve bunları raporlayan ve analiz eden yazılımın ayrılmasına olanak sağlar. Her mesaj, mesajı oluşturan yazılım tipini belirten bir tesis kodu ile etiketlenir ve bir önem derecesi atanır.

Firewall sistemleri ürettikleri logları, log analiz sistemleri gönderebilmektedir. Çalışma işlemi şu şekildedir.

Firewall Sistemine Wazuh Server’ın IP adresi ilgili ayara eklenir. Log oluştuğu zaman logu IP adresine göndermektedir. Gelen log dosyasını analiz edip hangi firewall sistemine göreyse ilgili firewall sistemindeki kurallara göre uyarı üretmektedir.

Wazuh aşağıdaki listedeki sistemleri desteklemektedir. Devamlı olarak gelişen bir yapı olduğu için listede değişiklikler olabilmektedir.

  • Cisco PIX, ASA and FWSM (all versions)
  • Cisco IOS routers (all versions)
  • Juniper Netscreen (all versions)
  • SonicWall firewall (all versions)
  • Checkpoint firewall (all versions)
  • Cisco IOS IDS/IPS module (all versions)
  • Sourcefire (Snort) IDS/IPS (all versions)
  • Dragon NIDS (all versions)
  • Checkpoint Smart Defense (all versions)
  • McAfee VirusScan Enterprise (v8 and v8.5)
  • Bluecoat proxy (all versions)
  • Cisco VPN concentrators (all versions)
  • VMWare ESXi 4.x
  • Fortigate

Wazuh Firewall(Syslog) Ayarlanması

Sistemimizde yapacağımız işlem çok kolaydır. Ossec.conf dosyamızda işlemek istediğimiz sistemin IP adresini belirtmemiz yeterli olacaktır.

<remote>
  <connection>syslog</connection>
  <port>514</port>
  <protocol>udp</protocol>
  <allowed-ips>10.0.0.0/24</allowed-ips>
</remote>

Yukarıdaki kodumuzu Ossec.conf dosyasında <ossec_config> tag’inin içerisine ekleyiniz.

Kodda sadece <allowed-ips> değerini değiştiriniz. Bu değer sizin Firewall cihazınızın IP adresidir.

İşlemlerimiz tamamlanmıştır. Wazuh Server’ı restart yaparak syslog kullanımına başlayabilirsiniz.

systemctl restart wazuh-manager

Bu yazımızın sonuna geldik. Serimiz devam edecektir. Diğer yazılarda görüşmek üzere.

E-bültene Abone Ol Merak etmeyin. Spam yapmayacağız.

Yazar

Kocaeli Üniversitesi Bilişim Sistemleri Mühendisliğini bitirip sektörde veri tabanı mühendisi olarak göreve başladım.

İlgili Yazılar

Bir cevap yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

Hızlı yorum için giriş yapın.

Başka Yazı Yok

Kayıt Ol

Zaten üye misiniz? Giriş Yap

Giriş Yap

Henüz üyeliğiniz yok mu? Kayıt Ol