[9월 8일] 보안로그분석 SIEM

SIEM (Security Information & Event Management)

 

Wazuh Indexer / Wazuh Server / Wazuh Dashboard / Filebeat

 

리눅스에서 Wazuh의 최신버전 4.12.0 다운

 

 

Linux Ubuntu 24.04.2 version (Minimized) 설치

메모리 8GB / 프로세서(CPU) 4개 / 저장공간 50GB

 

wazuh install 명령어

 

-a : 설치  /  -u : uninstall  /  -o : overwrite  /  -i : ignore (경고 무시하고 설치진행)

 

ljm@ljm:~$ sudo curl -sO https://packages.wazuh.com/4.12/wazuh-install.sh && sudo bash ./wazuh-install.sh -a

 

 

Wazuh의 Indexer, Server, Filebeat 다운로딩

 

User와 Password 정보 확인

 

ljm@ljm:~$ sudo systemctl status wazuh-manager

ljm@ljm:~$ sudo systemctl daemon-reload

 

Wazuh manager가 정상 작동중

https 접속 후 로그인 admin / 2*mjSUL04tNqMwOstpMlKdvQvra*8Cnh

 

https:192.168.16.52에서 Wazuh 접속 후 대시보드 확인

 

[wazuh-install-files → wazuh-passwords.txt] 에서 User + Password 정보 확인 가능

 

DEBIAN amd 64 선택

 

Ubuntu-Agent 이름 부여 및 그룹 지정

 

설치하는 명령어 에이전트 머신에 붙여넣기

 

복사해서 client에 입력

 

ljm@ljm:~$ sudo systemctl daemon-reload
ljm@ljm:~$ sudo systemctl start wazuh-agent
ljm@ljm:~$ sudo systemctl enable wazuh-agent

 

Ubuntu-Agent 의 대쉬보드

 

 

Ubuntu-Agent 의 취약점 한눈에 확인 가능

 

 

Wazuh가 하는 일

 

 

---

Rocky-Agent 도 생성

Rocky 에서 명령어 입력 및 데몬 리로딩

두 개의 Agent 와 제대로 연결된 것을 확인

 

 

---

Windows-Agent 도 생성

 

 

PowerShell 관리자 권한으로 실행

 

XDR (eXtended Detection and Response)

 : 확장형 탐지 및 대응