Neste segundo artigo da série "Explorando o Poder do Wazuh", apresentamos um guia prático e completo para a configuração do Wazuh.
Abordamos desde os requisitos iniciais até a instalação e otimização de seus principais componentes: Wazuh Indexer, Wazuh Server, Wazuh Dashboard e Wazuh Agent.
Com este passo a passo, você estará pronto para implementar um sistema robusto de monitoramento e análise de eventos de segurança em sua organização.
1. Requisitos iniciais
Antes de iniciar a instalação, é essencial garantir que seu ambiente atenda aos seguintes requisitos.
Requisitos de hardware
As recomendações de hardware variam dependendo do componente e do tamanho do ambiente.
É importante dimensionar corretamente a infraestrutura para garantir o desempenho ideal do Wazuh.
A imagem a seguir apresenta um resumo dos requisitos recomendados para o Wazuh Indexer (por nó), Wazuh Server e Wazuh Dashboard:
Espaço em disco
O espaço em disco necessário depende dos alertas gerados por segundo (APS).
O exemplo abaixo estima o espaço necessário no Wazuh Indexer por agente para armazenar 90 dias de alertas:
Exemplo (Indexer): um ambiente com 80 estações de trabalho, 10 servidores e 10 dispositivos de rede exigiria aproximadamente 230 GB no Indexer para 90 dias de alertas.
Observação sobre o espaço em disco do server
O espaço em disco necessário para o Server é consideravelmente menor comparado ao Indexer, pois o Server processa os dados e os encaminha para o Indexer para armazenamento de longo prazo.
Requisitos de software
Os componentes do Wazuh exigem um processador Intel ou AMD de 64 bits (x86_64/AMD64) e suportam os seguintes sistemas operacionais:
- Amazon Linux 2, Amazon Linux 2023
- CentOS 7, 8
- Red Hat Enterprise Linux 7, 8, 9
- Ubuntu 16.04, 18.04, 20.04, 22.04, 24.04
Certifique-se de ter privilégios de usuário root para realizar a instalação.
2. Configuração do Wazuh Indexer
O Wazuh Indexer é o componente central para indexação e armazenamento de alertas.
Ele oferece recursos de busca e análise em tempo quase real.
A instalação pode ser feita em um único nó ou em um cluster para escalabilidade e alta disponibilidade.
Passos de instalação
1. Escolha o método de instalação
- Assistida: utilize o assistente para automatizar o processo;
- Passo a passo: siga as instruções detalhadas para maior controle.
2. Execute o instalador
- Instale o Wazuh Indexer e configure as portas e conexões necessárias para comunicação com o Wazuh Server e Dashboard.
3. Configuração do Wazuh Server
O Wazuh Server analisa os dados dos agentes, dispara alertas e gerencia a configuração dos agentes.
Passos de instalação
1. Escolha o método de instalação
- Assistida: Recomendado para instalação rápida;
- Passo a passo: Ideal para ambientes personalizados.
2. Verifique os requisitos
- Certifique-se de que o hardware e sistema operacional atendam às especificações.
3. Configuração
- Edite o arquivo de configuração principal do servidor para ajustar parâmetros.
4. Testes de escalabilidade
- Monitore os arquivos /var/ossec/var/run/wazuh-analysisd.state (variável events_dropped) e /var/ossec/var/run/wazuh-remoted.state (variável discarded_count). Se essas variáveis forem diferentes de zero, adicione mais nós ao cluster.
4. Configuração do Wazuh Dashboard
O Wazuh Dashboard oferece uma interface web para visualização e análise dos dados de segurança.
Passos de instalação
1. Escolha o método de instalação
- Utilize a instalação assistida para configuração rápida.
2. Verifique os requisitos
- Certifique-se de que o hardware e o sistema operacional atendem aos padrões recomendados.
3. Personalização
- Configure dashboards personalizados.
4. Integração
- Conecte o Dashboard ao Indexer e ao Server.
5. Configuração do Wazuh Agent
O Wazuh Agent é instalado nos endpoints monitorados.
Passos de instalação
1. Escolha o sistema operacional
- O agente suporta Linux, Windows, macOS, Solaris, AIX e HP-UX.
2. Instale o agente
- Siga as instruções específicas para o sistema operacional.
3. Configuração
- Conecte o agente ao Wazuh Server usando certificados digitais.
4. Automatização
- Use ferramentas como Ansible, Puppet ou Chef para implantação automatizada em grandes ambientes.
Compatibilidade
A compatibilidade entre o agente e o manager é garantida quando a versão do manager é igual ou posterior à do agente.
A implantação de novos agentes também pode ser feita através do Dashboard, em Agents management > Summary > Deploy new agent.
Dicas de otimização
- Centralização de dados: utilize o Wazuh Indexer para centralizar as informações;
- Playbooks de resposta: configure playbooks automatizados para incidentes recorrentes;
- Monitoramento contínuo: monitore os arquivos de estado para garantir a integridade do sistema;
- Escalabilidade: adicione nós ao cluster conforme necessário.
Para maiores orientações confira a playlist “Treinamento Completo Wazuh”
Treinamento Completo: Wazuh - YouTube
Conclusão
A configuração eficaz do Wazuh é essencial para garantir monitoramento eficiente e análise precisa de eventos de segurança.
Seguindo este guia, você aproveitará funcionalidades como detecção de ameaças em tempo real, resposta automatizada e análise centralizada.
A Diazero Security, como parceira oficial do Wazuh, oferece serviços especializados para implementar e gerenciar a solução de maneira otimizada.
Com o apoio do Inopli, nossa plataforma proprietária, potencializamos o desempenho do Wazuh, automatizando processos e melhorando a precisão na resposta a incidentes.
Ao escolher a Diazero, você garante soluções de Hyper Performance focadas em redução de custos, melhoria da produtividade, resposta assertiva a incidentes e maior visibilidade de riscos.
Entre em contato conosco e descubra como podemos transformar a segurança da sua organização com as soluções Wazuh e Inopli.
Software