LINUX:Wazuh-WUI

(5 versions intermédiaires par le même utilisateur non affichées)

Ligne 51 :

Anciennement on devait le télécharger sur le site de Wazuh via les commandes suivantes:

curl -sO <nowiki>https://packages.wazuh.com/4.3/wazuh-certs-tool.sh</nowiki>

curl -sO <nowiki>https://packages.wazuh.com/4.8/wazuh-certs-tool.sh</nowiki>

curl -sO <nowiki>https://packages.wazuh.com/4.3/config.yml</nowiki>

curl -sO <nowiki>https://packages.wazuh.com/4.8/config.yml</nowiki>

Actuellement on est à la version 4.3 de Wazuh.

Actuellement on est à la version 4.8 de Wazuh.

On le rend exécutable:

Ligne 156 :

Ce module ne vient pas préconfiguré pour Wazuh. Il faut télécharger plusieurs fichiers et vérifier leurs droits d'accès.

Les commandes suivantes téléchargent deux fichiers de configuration dans le répertoire: "/etc/filebeat". Ces téléchargements sont pour la version 4.3 actuelle de Wazuh:

Les commandes suivantes téléchargent deux fichiers de configuration dans le répertoire: "/etc/filebeat". Ces téléchargements sont pour la version 4.8 actuelle de Wazuh:

curl -so /etc/filebeat/wazuh-template.json <nowiki>https://raw.githubusercontent.com/wazuh/wazuh/4.3/extensions/elasticsearch/7.x/wazuh-template.json</nowiki>

curl -so /etc/filebeat/wazuh-template.json <nowiki>https://raw.githubusercontent.com/wazuh/wazuh/v4.8.0/extensions/elasticsearch/7.x/wazuh-template.json</nowiki>

curl -so /etc/filebeat/filebeat.yml <nowiki>https://packages.wazuh.com/4.3/tpl/wazuh/filebeat/filebeat.yml</nowiki>

curl -so /etc/filebeat/filebeat.yml <nowiki>https://packages.wazuh.com/4.8/tpl/wazuh/filebeat/filebeat.yml</nowiki>

chmod 644 /etc/filebeat/wazuh-template.json

chmod 644 /etc/filebeat/filebeat.yml

Ligne 169 :

La commande qui suit, télécharge toute une arborescence qui ajoute les informations nécessaires pour l'envoi des alertes au service "wazuh-indexer.service":

----

curl -s <nowiki>https://packages.wazuh.com/4.x/filebeat/wazuh-filebeat-0.2.tar.gz</nowiki> | tar -xvz -C /usr/share/filebeat/module

curl -s <nowiki>https://packages.wazuh.com/4.x/filebeat/wazuh-filebeat-0.4.tar.gz</nowiki> | tar -xvz -C /usr/share/filebeat/module

----

Dans cette partie ajoutée, j'ai ajouté une ligne au fichier '''"/usr/share/filebeat/module/wazuh/alerts/manifest.yml"'''. Il défini quel fichier, ce service doit traiter. Par défaut, c'est le fichier des alertes "/var/ossec/logs/alerts/alerts.json". J'ai ajouté le fichier '''"/var/ossec/logs/alerts/alertsold.json"'''.

Ligne 200 :

'''Attention''', ne chargez pas trop de mois, 6 par exemple. Par défaut, Wazuh-Indexer ne peut prendre en compte que 1000 segments d'indexations ("shards"). Nous verrons ce problème lors de la maintenance.

Autre précaution importante: Si vous ~~charger~~ des anciennes données par ce moyen, ce fichier alternatif ne doit pas contenir de données déjà chargées; elles seront en double.

Autre précaution importante: Si vous chargez des anciennes données par ce moyen, ce fichier alternatif ne doit pas contenir de données déjà chargées; elles seront en double.

Ligne 244 :

----

On y remarque les informations de la machine à contacter et le port de connexion pour accéder à l'API de Wazuh ainsi que le nom de l'utilisateur utilisé.

==Wazuh-Manager==

Une section a été récemment modifiée. Dans le fichier "/var/ossec/etc/ossec.conf", la balise "<vulnerability-detector>" a été modifiée et fortement réduite.

Elle se limite aux lignes suivante:

----

<vulnerability-detection>

<index-status>yes</index-status>

<feed-update-interval>60m</feed-update-interval>

</vulnerability-detection>

----

Une autre section est venue récemment s'ajouter en relation avec Wazuh-Indexer et FileBeat:

----

<hosts>

<nowiki><host>https://</nowiki>'''127.0.0.1:9200'''<nowiki></host></nowiki>

</hosts>

<ssl>

<certificate_authorities>

<ca>/etc/filebeat/certs/root-ca.pem</ca>

</certificate_authorities>

<certificate>/etc/filebeat/certs/filebeat.pem</certificate>

<key>/etc/filebeat/certs/filebeat-key.pem</key>

</ssl>

</indexer>

----

On y a modifié la référence d'accès au service Wazuh-Indexer vers l'adresse IP "127.0.0.1".

On doit ensuite enregistrer le nom d'utilisateur et le mot de passe d'accès à Wazuh-Indexer dans des fichiers sécurisé de Wazuh-Manager. Par défaut ils sont respectivement "admin" et "admin". Il est préférable que le mot de passe "admin" soit changé. On le verra par la suite.

/var/ossec/bin/wazuh-keystore -f indexer -k username -v admin

/var/ossec/bin/wazuh-keystore -f indexer -k password -v admin

Ligne 494 :

Ligne 530 :

=Utilisateurs=

Lors de l'installation, de nombreux utilisateurs sont créés pour Wazuh-Indexer. Nous en avons rencontré un, le plus connu et utilisé par le logiciel Filebeat: "admin.

Lors de l'installation, de nombreux utilisateurs sont créés pour Wazuh-Indexer. Nous en avons rencontré un, le plus connu et utilisé par le logiciel Filebeat: "admin".

@@ Ligne 51 : / Ligne 51 : @@
 Anciennement on devait le télécharger sur le site de Wazuh via les commandes suivantes:
-  curl -sO <nowiki>https://packages.wazuh.com/4.3/wazuh-certs-tool.sh</nowiki>
+  curl -sO <nowiki>https://packages.wazuh.com/4.8/wazuh-certs-tool.sh</nowiki>
-  curl -sO <nowiki>https://packages.wazuh.com/4.3/config.yml</nowiki>
+  curl -sO <nowiki>https://packages.wazuh.com/4.8/config.yml</nowiki>
-Actuellement on est à la version 4.3 de Wazuh.
+Actuellement on est à la version 4.8 de Wazuh.
 On le rend exécutable:
@@ Ligne 156 : / Ligne 156 : @@
 Ce module ne vient pas préconfiguré pour Wazuh. Il faut télécharger plusieurs fichiers et vérifier leurs droits d'accès.
-Les commandes suivantes téléchargent deux fichiers de configuration dans le répertoire: "/etc/filebeat". Ces téléchargements sont pour la version 4.3 actuelle de Wazuh:
+Les commandes suivantes téléchargent deux fichiers de configuration dans le répertoire: "/etc/filebeat". Ces téléchargements sont pour la version 4.8 actuelle de Wazuh:
-  curl -so /etc/filebeat/wazuh-template.json <nowiki>https://raw.githubusercontent.com/wazuh/wazuh/4.3/extensions/elasticsearch/7.x/wazuh-template.json</nowiki>
+  curl -so /etc/filebeat/wazuh-template.json <nowiki>https://raw.githubusercontent.com/wazuh/wazuh/v4.8.0/extensions/elasticsearch/7.x/wazuh-template.json</nowiki>
-  curl -so /etc/filebeat/filebeat.yml <nowiki>https://packages.wazuh.com/4.3/tpl/wazuh/filebeat/filebeat.yml</nowiki>
+  curl -so /etc/filebeat/filebeat.yml <nowiki>https://packages.wazuh.com/4.8/tpl/wazuh/filebeat/filebeat.yml</nowiki>
   chmod 644 /etc/filebeat/wazuh-template.json
   chmod 644 /etc/filebeat/filebeat.yml
@@ Ligne 169 : / Ligne 169 : @@
 La commande qui suit, télécharge toute une arborescence qui ajoute les informations nécessaires pour l'envoi des alertes au service "wazuh-indexer.service":
 ----
-  curl -s <nowiki>https://packages.wazuh.com/4.x/filebeat/wazuh-filebeat-0.2.tar.gz</nowiki> | tar -xvz -C /usr/share/filebeat/module
+  curl -s <nowiki>https://packages.wazuh.com/4.x/filebeat/wazuh-filebeat-0.4.tar.gz</nowiki> | tar -xvz -C /usr/share/filebeat/module
 ----
 Dans cette partie ajoutée, j'ai ajouté une ligne au fichier '''"/usr/share/filebeat/module/wazuh/alerts/manifest.yml"'''. Il défini quel fichier, ce service doit traiter. Par défaut, c'est le fichier des alertes "/var/ossec/logs/alerts/alerts.json". J'ai ajouté le fichier '''"/var/ossec/logs/alerts/alertsold.json"'''.
@@ Ligne 200 : / Ligne 200 : @@
 '''Attention''', ne chargez pas trop de mois, 6 par exemple. Par défaut, Wazuh-Indexer ne peut prendre en compte que 1000 segments d'indexations ("shards"). Nous verrons ce problème lors de la maintenance.
-Autre précaution importante: Si vous charger des anciennes données par ce moyen, ce fichier alternatif ne doit pas contenir de données déjà chargées; elles seront en double.
+Autre précaution importante: Si vous chargez des anciennes données par ce moyen, ce fichier alternatif ne doit pas contenir de données déjà chargées; elles seront en double.
@@ Ligne 244 : / Ligne 244 : @@
 ----
 On y remarque les informations de la machine à contacter et le port de connexion pour accéder à l'API de Wazuh ainsi que le nom de l'utilisateur utilisé.
+==Wazuh-Manager==
+Une section a été récemment modifiée. Dans le fichier "/var/ossec/etc/ossec.conf", la balise "<vulnerability-detector>" a été modifiée et fortement réduite.
+Elle se limite aux lignes suivante:
+----
+  <vulnerability-detection>
+    <enabled>yes</enabled>
+    <index-status>yes</index-status>
+    <feed-update-interval>60m</feed-update-interval>
+  </vulnerability-detection>
+----
+Une autre section est venue récemment s'ajouter en relation avec Wazuh-Indexer et FileBeat:
+----
+  <indexer>
+    <enabled>yes</enabled>
+    <hosts>
+      <nowiki><host>https://</nowiki>'''127.0.0.1:9200'''<nowiki></host></nowiki>
+    </hosts>
+    <ssl>
+      <certificate_authorities>
+        <ca>/etc/filebeat/certs/root-ca.pem</ca>
+      </certificate_authorities>
+      <certificate>/etc/filebeat/certs/filebeat.pem</certificate>
+      <key>/etc/filebeat/certs/filebeat-key.pem</key>
+    </ssl>
+  </indexer>
+----
+On y a modifié la référence d'accès au service Wazuh-Indexer vers l'adresse IP "127.0.0.1".
+On doit ensuite enregistrer le nom d'utilisateur et le mot de passe d'accès à Wazuh-Indexer dans des fichiers sécurisé de Wazuh-Manager. Par défaut ils sont respectivement "admin" et "admin". Il est préférable que le mot de passe "admin" soit changé. On le verra par la suite.
+ /var/ossec/bin/wazuh-keystore -f indexer -k username -v admin
+ /var/ossec/bin/wazuh-keystore -f indexer -k password -v admin
@@ Ligne 494 : / Ligne 530 : @@
 =Utilisateurs=
-Lors de l'installation, de nombreux utilisateurs sont créés pour Wazuh-Indexer. Nous en avons rencontré un, le plus connu et utilisé par le logiciel Filebeat: "admin.
+Lors de l'installation, de nombreux utilisateurs sont créés pour Wazuh-Indexer. Nous en avons rencontré un, le plus connu et utilisé par le logiciel Filebeat: "admin".

« LINUX:Wazuh-WUI » : différence entre les versions

« LINUX:Wazuh-WUI » : différence entre les versions