یکپارچه سازی Wazuh و Splunk

پلتفرم Wazuh جهت مانیتور کردن هشدارهای خود در Splunk، اپلیکیشنی مخصوص عرضه کرده است. این اپلیکیشن به کاربر کمک می‌کند تا با نظارت بر بخش های مختلف اعم از سیستم عامل، برنامه ها و ...، اشراف بیشتری را نسبت به وضعیت امنیتی زیرساخت خود، حاصل کنند.

نصب Wazuh در Splunk

نصب Wazuh در Splunk عنوانی برای این مقاله بوده که در ادامه به توضیح آن می‌پردازیم.

پلتفرم Wazuh جهت مانیتور کردن هشدارهای خود در Splunk، اپلیکیشنی مخصوص عرضه کرده است. این اپلیکیشن به کاربر کمک می‌کند تا با نظارت بر بخش های مختلف اعم از سیستم عامل، برنامه ها و …، اشراف بیشتری را نسبت به وضعیت امنیتی زیرساخت خود، حاصل کنند.

رابط کاریری برنامه Wazuh‌ در Splunk

تصویر۱- رابط کاریری برنامه Wazuh‌ در Splunk

در ادامه، نصب اپلیکیشن Wazuh و تنظیمات اولیه آن در اسپلانک تشریح شده است.

نصب Wazuh App

برای نصب اپ Wazuh ابتدا اخرین نسخه آن را از سایت Wazuh با ابزار curl در سرور Splunk مطابق دستور زیر دانلود می‌کنیم.
curl -o SplunkAppForWazuh.tar.gz https://packages.wazuh.com/4.x/ui/splunk/wazuh_splunk-4.2.5_8.2.2-1.tar.gz
پس از اتمام دانلود، به دو روش می‌توان این اپ را نصب کرد.
در روش اول با استفاده از Command Line مطابق فرمان زیر آنرا نصب و سپس می بایست اسپلانک را مجددا راه اندازی کرد.

/opt/splunk/bin/splunk install app SplunkAppForWazuh.tar.gz
/opt/splunk/bin/splunk restart

روش دوم

که با استفاده از رابط کاربری Splunk می‌باشد وارد بخش Appهای اسپلانک شده و در بخش Manage apps گزینه‌ی
Install app from file را مطابق تصاویر زیر انتخاب می‌کنیم.

انتخاب گزینه‌ی Manage Apps

تصویر۲- انتخاب گزینه‌ی Manage Apps

انتخاب Install app from file

تصویر۳- انتخاب Install app from file

پس از مشخص کردن فایل Wazuh و نصب آن می‌توان اپ Wazuh در Splunk را انتخاب کرد.
بعد از انتخاب این اپ ، به صفحه‌ی تنظیمات رفته که در آنجا فرم های مربوط به Credential های API برنامه
Wazuh قرار دارد و باید Port و URL یا IP سرور Wazuh مورد نظر را به آن بدهیم.
به طور معمول Port که Wazuh روی آن به درخواست های API پاسخ می دهد، پورت 55000 بوده و نام کاربری و رمزعبور پیش فرض آن نیز Wazuh است.

 فیلدهای Wazuh API در Splunk

تصویر۴- فیلدهای Wazuh API در Splunk

با تکمیل این مراحل، نصب و همگام سازی این دو ابزار انجام شده و می‌توان تنظیمات مربوط به بخش های مختلف این اپ را در صفحه مربوط به Wazuh‌ در Splunk انجام داد.

تنظیمات مربوط به Wazuh در Splunk

تصویر۵- تنظیمات مربوط به Wazuh در Splunk

جهت دریافت اطلاعات بیشتر در رابط با Wazuh کلیک کنید.

نویسنده: احمدرضا نوروزی

منبع: شرکت فناوری راه نو سورین