1. Wazuh란 무엇인가
오픈소스 XDR과 SIEM 솔루션입니다.
기능으론 엔드포인트 보안, 위협 인텔리전스, 보안 운영, 클라우드 보안이 있다고 합니다.
물론 홈서버 운영시엔 로그 수집 기능과 Modules > Security events 에 Security Alert만 받는 용도로 쓰게 될 것입니다.
(본인은 그렇게 쓰고있지만 이 외에도 더 많은 것들을 할 수 있는 상당히 강력한 솔루션입니다.)
세팅시 이런 형태가 됩니다. 에이전트 단위로 로그를 받아 볼 수도 있고,
시스로그 수집을 통해 Alert를 생성할 수 도 있습니다.
위는 실제로 웹방화벽에 Wazuh 에이전트를 올려 탐지로그를 받은 것입니다.
| 시스로그 | 에이전트 | |
|---|---|---|
| 편리성 | 로그 서버로 로그 전송설정 필요 | 에이전트 설치 후 보낼 로그만 설정 |
| 관리성 | 로그서버의 에이전트 ID/네임으로 통합되어 어떤 장비인지 직관적으로 확인 어려움 | 에이전트 별 ID/네임으로 구분 간편함 |
| 요약 | 에이전트 설치가 불가능한 환경에서 사용하기 좋음(미 지원 OS등에 소스코드로 빌드할 수 없는 경우) | 에이전트를 설치 할 수 있는 환경이라면 간편하게 모니터링 가능 |
2. 설치부터 연동까지
| 에이전트 | CPU | RAM(GB) | 스토리지(GB)(90일 기준) |
|---|---|---|---|
| 1~25 | 4 | 8 | 50 |
| 25~50 | 8 | 8 | 100 |
| 50~100 | 8 | 8 | 200 |
본인의 테스트 설치 환경
| CPU | RAM(GB) | 스토리지(GB) |
|---|---|---|
| 2 | 2 | 32 |
OS : 우분투 24.04.1 LTS
홈서버 운영환경에선 인덱서/서버와 대시보드를 나눠 설치한 상태입니다.
운영환경에서 환경
| 구성 | CPU | RAM(GB) | 스토리지(GB) |
|---|---|---|---|
| 인덱서/서버 | 2 | 16 | 500 |
| 대시보드 | 2 | 8 | 32 |
본인은 홈서버 운영상 전체 서버로그보단 보안장비들 로그를 나눠받는 편이라 각자 운영 환경에 따라 사양은 유동적으로 조절하셔야 합니다.
그럼 테스트 설치 환경에서 설치를 진행해보겠습니다.
일반적인 설치시
curl -sO https://packages.wazuh.com/4.14/wazuh-install.sh && sudo bash ./wazuh-install.sh -a
권장 사양이 아닌 경우
curl -sO https://packages.wazuh.com/4.14/wazuh-install.sh
sudo bash ./wazuh-install.sh -a -i
**코드 사용시 공식 문서를 참고해주세요**
설치 방법은 Wazuh 공식 페이지의 퀵스타트 문서를 따랐습니다.
문서대로 설치시 설치는 이루어지지 않습니다.
최소 성능이 안되기 때문에 설치를 하기 위해선 -i 옵션을 주어야 합니다.
당연하게도 제 테스트 설치 환경보다 사양이 높다면(2코어 4기가 램) 가이드대로 해도 바로 설치가 됩니다.
설치가 성공하면 저 하얀 부분을 메모장에 잘 복사해 둡시다.
접속은 설치서버:443으로(https) 접근하시면
로그인 창으로 접근하게 됩니다.
로그인 해봅시다.
제가 운영환경에서 쓰는 Wazuh와 버전 차이가 있는것인지 조금 UI가 다르네요.
사양을 워낙 낮게 잡아줬더니 램 사용율이 상당합니다.
다음은 에이전트/Syslog를 사용해 통합하여 SIEM의 역할을 수행할 수 있도록 써봅시다.