[WARNING] 또야주의

개요 사용자 계정을 Wazuh Internal User 기능으로 생성할 수 있지만, 패스워드를 잊었다는 문의가 많아서 AD 연동을 하게 되었다. 수행한 내용을 순차적으로 기록해둔다. 가이드는 https://documentation.wazuh.com/current/user-manual/user-administration/ldap.html 를 참고했다. 관련 내용은 외쿡 말로는 AD(LDAP) integration이라고 검색하면 된다. 수행내용 1. AD 서버 서비스 계정 생성 일반 AD 사용자가 아닌 서비스 계정을 만들어서 AD 서버에 인증하는 것이 적절한 방식일 것이다. CN이 wazuh인 계정을 생성받았다. 2. 방화벽 오픈 AD 로그인은 Wazuh indexer에서 수행하므로 인덱서의 IP AD 서버..

개요 Wazuh를 통해 다른 에이전트처럼 GCP 골든 이미지의 OS 취약점 진단을 진행해야 했는데 의문스러운 문제가 발생했다. syslog를 불러오고자 하는 에이전트가 아닌 여러 다른 에이전트의 syslog가 섞여서 보이고 있었다. full log를 확인하니 hostname에 골든 이미지뿐만 아니라 엄청 많은 서버가 보였다. 이 문제를 해결하기 위해서 여러가지 추론을 했고 잘 해결되어 기록해본다. 확인 내용 (1) 한 host의 syslog에 여러 개 agent.ip agent.name을 vm-golden-image-ubuntu-22-04로 필터링했으면 에이전트는 하나여야 한다. 하지만 agent.ip 밸류가 4개 이상인 것을 확인할 수 있다. 처음엔 '와! 이 골든 이미지는 IP가 엄청 많은가?!'라고..

배경 및 사전조사 필요 내용 먼저 배경과 배포 전 사전조사가 이루어져야 할 내용은, 아래 Linux 에이전트 설치 스크립트 배포 포스팅에서 설치 지원 OS 확인 외에는 동일하다. [Wazuh] Linux 에이전트 설치 스크립트를 배포해보자 배경 GCP에 대형(?) Wazuh를 구축 및 기존에 사용하던 구 Wazuh 클러스터에서 이전해야 함에 따라서, 모든 사내 인스턴스들에 새로이 Wazuh agent가 설치되어야 했다. 그러려면 일일이 몇 천대의 서버에 likethefirst.tistory.com 📛 이 글에는 Windows 에이전트만 대상으로 고려되어 있다. Wazuh 패키지 파일이 현재 최신 버전으로 작성되어 있으므로, 매니저 서버와의 호환성으로 버전 변경 필요 시 "4.7"을 해당 페이지 코드 내에..

배경 GCP에 대형(?) Wazuh를 구축 및 기존에 사용하던 구 Wazuh 클러스터에서 이전해야 함에 따라서, 모든 사내 인스턴스들에 새로이 Wazuh agent가 설치되어야 했다. 그러려면 일일이 몇 천대의 서버에 접속해서 에이전트를 설치할 수도 없는 노릇이었고, 하나의 배포 파일에서 OS와 기존 설치여부에 따른 경우의 수를 조건문에서 분기하여 설치가 가능해야 했다. 다시! 여기서는 단순히 지원하는 에이전트 설치 파일을 배포하는 것이 아닌, 전 사의 서버 환경에 맞게 하나의 파일로 에이전트를 설치할 수 있는 스크립트를 제작하는 것이 주제이며, 📛 이 글에는 CentOS, Ubuntu 에이전트만 대상으로 고려되어 있다. 사전 조사 설치 지원 OS 사내 서버들이 Wazuh 에이전트 설치를 지원하는 OS에..

에러 배경 이미 구축된 Wazuh 서버에 worker 서버 한 대를 더 추가하기 위해, filebeat / SSL 인증서 배포 / wazuh-manager 패키지 설치를 수행했다. 이후 대시보드에서 추가한 worker의 API를 보려고 하면 이 오류가 발생했다. 저는 한을 풀터이니 결론부터 보고 싶으시다면 조금 더 아래로 가주십시오... 확인 과정 🧚‍♀️ 다른 API들은? 정상적으로 대시보드에서 접근할 수 있었다. 🧚‍♀️ 인증서 배포나 패키지 설치 5번 정도 다시 수행하고, 서비스를 재기동했다. 아무 문제 없다. 🧚‍♀️ filebeat test output 수행 결과 모든 분산 indexer와 정상 TLS 통신한다. 🧚‍♀️ /var/ossec/etc/ossec.conf worker 서버의 설정 재..