استفاده از پلتفرم Wazuh در اسپلانک

پلتفرم Wazuh جهت مانیتور کردن هشدارهای خود در Splunk، اپلیکیشنی مخصوص عرضه کرده است. این اپلیکیشن به کاربر کمک می‌کند تا با نظارت بر بخش های مختلف اعم از سیستم عامل، برنامه ها و …، اشراف بیشتری را نسبت به وضعیت امنیتی زیرساخت خود، حاصل کنند.

تصویر ۱) رابط کاریری برنامه Wazuh‌ در Splunk

استفاده از پلتفرم Wazuh در اسپلانک

در ادامه به نصب اپلیکیشن Wazuh و تنظیمات اولیه آن در اسپلانک تشریح شده است.

نصب Wazuh App

برای نصب اپ Wazuh ابتدا اخرین نسخه آن را از سایت Wazuh با ابزار curl در سرور Splunk مطابق دستور زیر دانلود می‌کنیم.

curl -o SplunkAppForWazuh.tar.gz https://packages.wazuh.com/4.x/ui/splunk/wazuh_splunk-4.2.5_8.2.2-1.tar.gz

پس از اتمام دانلود، به دو روش می‌توان این اپ را نصب کرد.

در روش اول با استفاده از Command Line مطابق فرمان زیر آنرا نصب و سپس می بایست اسپلانک را مجددا راه اندازی کرد.

/opt/splunk/bin/splunk install app SplunkAppForWazuh.tar.gz

opt/splunk/bin/splunk restart/

 

در روش دوم که با استفاده از رابط کاربری Splunk می‌باشد وارد بخش Appهای اسپلانک شده و در بخش Manage apps گزینه‌ی

Install app from file را مطابق تصاویر زیر انتخاب می‌کنیم.

تصویر ۲) انتخاب گزینه‌ی Manage Apps

استفاده از پلتفرم Wazuh در اسپلانک

تصویر ۳) انتخاب Install app from file

استفاده از پلتفرم Wazuh در اسپلانک

پس از انتخاب فایل Wazuh  و نصب آن می‌توان اپ Wazuh در Splunk را انتخاب کرد.

پس از انتخاب اپ Wazuh، به صفحه‌ی تنظیمات رفته و در آنجا فرم های مربوط به Credential های API برنامه

Wazuh قرار دارد و باید Port و URL یا IP سرور Wazuh مورد نظر را به آن بدهیم.

به طور معمول پورتی که Wazuh روی آن به درخواست های API پاسخ می دهد، پورت 55000 است و نام کاربری و رمزعبور پیش فرض آن نیز Wazuh است.

تصویر ۴) فیلدهای Wazuh API در Splunk

استفاده از پلتفرم Wazuh در اسپلانک

با تکمیل این مراحل، نصب و همگام سازی این دو ابزار انجام شده و می‌توان تنظیمات مربوط به بخش های مختلف این اپ را در صفحه مربوط به Wazuh‌ در Splunk انجام داد.

تصویر ۵) تنظیمات مربوط به Wazuh در Splunk

استفاده از پلتفرم Wazuh در اسپلانک