استفاده از پلتفرم Wazuh در اسپلانک
پلتفرم Wazuh جهت مانیتور کردن هشدارهای خود در Splunk ، اپلیکیشنی مخصوص عرضه کرده است. این اپلیکیشن به کاربر کمک میکند تا با نظارت بر بخش های مختلف اعم از سیستم عامل، برنامه ها و … ، اشراف بیشتری را نسبت به وضعیت امنیتی زیرساخت خود، حاصل کنند.
تصویر ۱) رابط کاریری برنامه Wazuh در Splunk
در ادامه به نصب اپلیکیشن Wazuh و تنظیمات اولیه آن در اسپلانک تشریح شده است.
نصب Wazuh App
برای نصب اپ Wazuh ابتدا اخرین نسخه آن را از سایت Wazuh با ابزار curl در سرور Splunk مطابق دستور زیر دانلود میکنیم.
curl -o SplunkAppForWazuh.tar.gz https://packages.wazuh.com/4.x/ui/splunk/wazuh_splunk-4.2.5_8.2.2-1.tar.gz
پس از اتمام دانلود، به دو روش میتوان این اپ را نصب کرد.
در روش اول با استفاده از Command Line مطابق فرمان زیر آنرا نصب و سپس می بایست اسپلانک را مجددا راه اندازی کرد.
/opt/splunk/bin/splunk install app SplunkAppForWazuh.tar.gz opt/splunk/bin/splunk restart/
در روش دوم که با استفاده از رابط کاربری Splunk میباشد وارد بخش Appهای اسپلانک شده و در بخش Manage apps گزینهی Install app from file را مطابق تصاویر زیر انتخاب میکنیم.
تصویر ۲) انتخاب گزینهی Manage Apps
تصویر ۳) انتخاب Install app from file
پس از انتخاب فایل Wazuh و نصب آن میتوان اپ Wazuh در Splunk را انتخاب کرد.
پس از انتخاب اپ Wazuh، به صفحهی تنظیمات رفته و در آنجا فرم های مربوط به Credential های API برنامه Wazuh قرار دارد و باید Port و URL یا IP سرور Wazuh مورد نظر را به آن بدهیم.
به طور معمول پورتی که Wazuh روی آن به درخواست های API پاسخ می دهد، پورت 55000 است و نام کاربری و رمزعبور پیش فرض آن نیز Wazuh است.
تصویر ۴) فیلدهای Wazuh API در Splunk
با تکمیل این مراحل، نصب و همگام سازی این دو ابزار انجام شده و میتوان تنظیمات مربوط به بخش های مختلف این اپ را در صفحه مربوط به Wazuh در Splunk انجام داد.
تصویر ۵) تنظیمات مربوط به Wazuh در Splunk