Ubuntu 24에 오픈소스 SIEM Wazuh 설치하기.

안녕하세요. 달소입니다.

최근에 서버보안쪽에 관심이 생기고 있는데 일년전에 올린 Wazuh라는 오픈소스 솔루션이 생각나더군요 ㅎ

오픈소스 SIEM 보안솔루션 Wazuh 안녕하세요. 달소입니다. 오늘은 새로운 보안 솔루션을 가져왔습니다! 2023년 SC Award 수상을 한 Wazuh 입니다. 역시 신기한 오픈소스가 많네요 ㅎㅎ 홈서버에서 운영하기보다 기업에서 사용할만하긴한데 ㅎㅎ,, 뭐 ... by 달소 from 서버포럼

Wazuh는 간단하게 서버에 에이전트로 설치되어서 로그들을 중앙에서 수집하고 모니터링할 수 있게 도와주는 툴이라고 보시면 됩니다.

추가로 서버의 패키지 상태, CVE, 네트워크 상태등 여러가지 기능들도 많이 지원합니다.

도커로도 올리는방법이 있지만 올인원 설치 스크립트를 가지고 한번 설치해보겠습니다.

설치환경

Ubuntu 24

Wazuh 4.92 (현재 기준 최신버전)

설치하기

올인원설치이기때문에 아래 내용만 진행해주시면됩니다.

Wazuh Indexer, Manager, Dashboard, filebeat 까지 한방에 설치해줍니다.

curl -sO https://packages.wazuh.com/4.9/wazuh-install.sh && sudo bash ./wazuh-install.sh -a

설치가 완료되면 admin계정의 pw를 알려주는데 잊어버리면 곤란하니 잘 기록해주세요.

설치가 완료되면 https:IP로 접근해주세요.

admin 계정으로 로그인하면 되고 정말 많은기능을 지원합니다.

설치만은 너무 간단하니 agent까지 한번 설치해보겠습니다.

좌측 메뉴에서 Endpoint Summary로 갑니다.

그리고 Deploy new agent를 눌러주세요.

설치대상의 OS에 따라서 설치파일을 골라주시고 

Wazuh 서버 IP도 적어주세요.

agent name을 비워놓으면 호스트네임을 따라갑니다.

기본 Agent group 도 지정해줄 수 있습니다.

 그리고 wget 에 있는 부분을 복사해서 에이전트 설치가 필요한 서버에서 붙여넣어주면됩니다.

그리고 아래있는 systemctl 부분도 복붙해주면됩니다.

잠깐의 시간이 지나면 활성화됩니다!

기본적인 에이전트의 정보뿐만아니라 설치된 패키지 프로세스, 네트워크상태 등 모두 체크가능합니다.

이번에는 간단하게 설치만했으니 다음편에서는 agent의 로그를 수집해서 확인하는 방법을 진행해보겠습니다.