Wazuh-ты Proxmox қауіпсіздігін бақылау үшін пайдалану - Терең талдау Кіріспе

Proxmox VE (Virtual Environment) виртуализация үшін танымал платформа болып табылады, ол виртуалды машиналар мен контейнерлерді басқаруға сенімді мүмкіндіктер ұсынады. Бұл кеңінен қолданылатын виртуализация инфрақұрылымын құру үшін қолданылады, бірақ кез келген серверлік шешім сияқты, оны пайдалану кезінде жүйенің қауіпсіздігін бақылау, шабуылдар мен осалдықтарды болдырмау, сондай-ақ күмәнді әрекеттерді қадағалау қажет. Осы тұрғыдан қауіпсіздік мониторингі жүйені басқарудың ажырамас бөлігі болып табылады.

Wazuh ашық бастапқы кодты қауіпсіздік мониторингі жүйесі болып табылады, ол оқиғаларды талдау, қауіптерді анықтау және жауап беру үшін арналған.

Бұл мақалада біз Wazuh-ты Proxmox қауіпсіздігін бақылауға қалай орнатуға болатынын, көптеген код мысалдары мен егжей-тегжейлі қадамдармен түсіндіреміз.

1. Wazuh-ты Proxmox қауіпсіздігін бақылауға пайдалану қажеттілігі

Proxmox VE виртуалдық машиналарды, контейнерлерді, сондай-ақ хосттар мен олардың конфигурацияларын басқаруға кең мүмкіндіктер ұсынады. Алайда, мұндай қуатты шешімдерді пайдалану кезінде маңызды аспектілердің бірі — жүйенің қауіпсіздігін бақылау:

• Қауіпсіздік аудиті: Пайдаланушылардың әрекеттерін және қызметтерін жүйелі түрде талдау осалдықтарды немесе қате конфигурацияларды уақтылы анықтауға көмектеседі.

• Оқиғаларды бақылау: Proxmox көптеген журналдар жасайды, олар жүйенің жұмысында шабуылдар, аномалиялар және конфигурация өзгерістері туралы маңызды ақпаратты қамтуы мүмкін.

• Қатынас бақылауы: Жүйе барлық кіру әрекеттерін, сондай-ақ сәтті және сәтсіз аутентификацияларды бақылауы тиіс.

Wazuh бұл аспектілерді бақылау үшін қолайлы мүмкіндіктер ұсынады, ол Proxmox-қа біріктіріліп, оқиғаларды орталықтандырылған жинауды, талдауды және автоматты түрде жауап беруді қамтамасыз етеді.

2. Wazuh орнату және баптау

1-қадам: Proxmox серверінде Wazuh агентін орнату

Proxmox-ты Wazuh-пен біріктіру үшін, алдымен Wazuh агентін Proxmox жұмыс істейтін хостқа орнату қажет. Агенттер жүйедегі оқиғаларды, журналдарды және өзгерістерді жинап, оларды Wazuh серверіне талдау үшін жібереді.

1. Пакеттерді жаңарту және тәуелділіктерді орнату:

   bash

   Копировать

   apt update apt install curl apt-transport-https lsb-release

2. Wazuh репозиториясын қосу: Орнату үшін репозиторийді қосыңыз:

   bash

   Копировать

   curl -s https://packages.wazuh.com/key/GPG-KEY-WAZUH | apt-key add - echo "deb https://packages.wazuh.com/4.x/apt/ stable main" > /etc/apt/sources.list.d/wazuh.list

3. Пакеттерді жаңарту және Wazuh агентін орнату:

   bash

   Копировать

   apt update apt install wazuh-agent

4. Wazuh агентін баптау: Агент орнатылғаннан кейін /var/ossec/etc/ossec.conf конфигурация файлын өңдеп, Wazuh серверінің IP мекенжайын көрсетіңіз:

   xml

   Копировать

   <server> <address>IP_СЕРВЕРА_WAZUH</address> </server>

5. Агентті қайта іске қосу және автоматты түрде іске қосу: Агентті қайта іске қосыңыз және оның автоматты түрде іске қосылуын орнатыңыз:

   bash

   Копировать

   systemctl restart wazuh-agent systemctl enable wazuh-agent

Енді Proxmox серверінде Wazuh агенті орнатылып, мәліметтерді Wazuh серверіне жіберуге дайын.

2-қадам: Wazuh серверін орнату және баптау

Оқиғаларды және мәліметтерді орталықтандырылған талдау үшін Wazuh серверін орнату қажет.

1. Wazuh серверін орнату: Wazuh менеджері рөлін атқаратын серверге орнатыңыз:

   bash

   Копировать

   apt update apt install wazuh-manager

2. Қажетті порттарды ашу: Wazuh сервері агенттерден 1514 портын тыңдайтын болады, сондықтан бұл портты ашу қажет:

   bash

   Копировать

   ufw allow 1514/tcp ufw reload

3. Wazuh пен Kibana интеграциясын баптау: Kibana көмегімен мәліметтерді визуализациялау үшін интеграцияны орнатыңыз:

   bash

   Копировать

   apt install kibana /usr/share/kibana/bin/kibana-plugin install https://github.com/wazuh/wazuh-kibana-app/releases/download/v4.0.0/wazuh-4.0.0_7.10.0.zip

4. Қызметтерді қайта іске қосу: Барлық қызметтерді қайта іске қосыңыз:

   bash

   Копировать

   systemctl restart wazuh-manager systemctl restart kibana

Енді Wazuh сервері оқиғаларды орталықтандырып жинауға және талдауға дайын.

3. Proxmox жүйесінде қауіпсіздік мониторингін баптау

Wazuh-ты Proxmox жүйесінің қауіпсіздігін тиімді бақылауға пайдалану үшін оның келесі маңызды аспектілерін бақылауды баптау қажет.

Жүйе журналдарын бақылау

Proxmox VE жүйесінде көптеген журналдар жасалады, олар жүйенің жұмысында маңызды ақпаратты, мысалы, шабуылдар, аномалиялар және конфигурация өзгерістері туралы мәліметтерді қамтуы мүмкін. Жүйе журналдарын бақылау үшін Wazuh агентін баптауға болады.

1. Журналдарды бақылауды баптау: Wazuh конфигурациясын өңдеп, келесі жолдарды қосыңыз, осылайша агент жүйе журналдарын бақылай алады:

   xml

   Копировать

   <localfile> <log_format>syslog</log_format> <location>/var/log/auth.log</location> </localfile> <localfile> <log_format>syslog</log_format> <location>/var/log/syslog</location> </localfile>

2. Виртуалды машиналардың журналдарын бақылау: Виртуалды машиналар мен контейнерлердің журналдарын бақылау үшін келесі жолдарды қосыңыз:

   xml

   Копировать

   <localfile> <log_format>syslog</log_format> <location>/var/log/pve/tasks/*.log</location> </localfile>

Жүйедегі өзгерістерді бақылау (File Integrity Monitoring)

Жүйелік конфигурациялардың өзгерістерін бақылау үшін Wazuh жүйенің негізгі файлдарының бүтіндігін бақылай алады.

1. Бүтіндік мониторингін баптау: Виртуалдық машиналардың және хосттардың конфигурациялары сияқты маңызды директорийлерде өзгерістерді бақылау үшін Wazuh конфигурациясын мынадай етіп өзгертіңіз:

   xml

   Копировать

   <syscheck> <enabled>yes</enabled> <frequency>3600</frequency> <!-- әр 60 минут сайын тексеру --> <directories>/etc/pve</directories> <directories>/etc/ssh</directories> <directories>/etc/passwd</directories> </syscheck>

Бұл Wazuh-қа конфигурациядағы өзгерістерді қадағалауға мүмкіндік береді.

Аутентификация және қатынасты бақылау

Түпкілікті емес кіру әрекеттерін немесе қатынау құқықтарының өзгерістерін бақылау үшін Wazuh жүйесін аутентификация журналдарын қадағалауға баптауға болады.

1. Кіру әрекеттерін бақылауды баптау: Кіру әрекеттерін бақылау үшін /var/log/auth.log журналын пайдалану:

   xml

   Копировать

   <localfile> <log_format>syslog</log_format> <location>/var/log/auth.log</location> </localfile>

Оқиғалар мен инциденттерге жауап беру және ескерту

Wazuh жүйесінде оқиғалар бойынша ескертулерді баптау арқылы инциденттерге уақытында жауап бере аласыз. Оқиғаларды талдағанда жүйе әкімшілеріне хабарламалар жіберіледі.

1. Ескертулерді баптау: Мысал ретінде электрондық пошта арқылы ескертулерді жіберу конфигурациясы:

   xml

   Копировать

   <email> <enabled>yes</enabled> <email_from>Бұл электронды пошта мекен-жайы спам-боттардан қорғалған, оны қарау үшін Сізде Javascript қосылған.</email_from> <email_to>Бұл электронды пошта мекен-жайы спам-боттардан қорғалған, оны қарау үшін Сізде Javascript қосылған.</email_to> <smtp_server>smtp.example.com</smtp_server> </email>

2. Қауіпті инциденттер үшін ескертулер: Қауіпті инциденттер үшін Wazuh келесі скриптті іске қосу арқылы автоматты әрекет жасай алады:

   xml

   Копировать

   <rules> <group>syslog,</group> <level>10</level> <description>Critical security event</description> <command>./alert_script.sh</command> </rules>

4. Wazuh арқылы талдау және жауап беру

Wazuh жүйесі оқиғаларды тек жинап қана қоймай, олардың аномалияларын талдап, ескертулер мен жауаптар жасауға да қабілетті. Kibana визуализация құралын пайдаланып, оқиғаларды оңай талдауға және бақылауға болады.

1. Kibana-да визуализация мысалы: Kibana дашбордтарын жасаған кезде, сіз келесі мәліметтерді қадағалай аласыз:

   • Сәтсіз кіру әрекеттерінің саны.

   • Конфигурацияларды өзгерту әрекеттері.

   • Қауіпті желі сұраулары.

Бұл мониторинг жүйесін құру арқылы қауіпсіздік инциденттеріне жылдам әрекет етуге болады.

5. Қорытынды

Wazuh жүйесін Proxmox-қа интеграциялау инфрақұрылым қауіпсіздігін күшейту үшін қуатты құрал болып табылады. Wazuh-ты пайдалану арқылы журналдарды бақылауға, оқиғаларды талдауға, жүйенің бүтіндігін тексеруге және инциденттерге жауап беру жүйесін баптауға болады.

Бұл тәсіл виртуализацияланған ортаны қорғаудың тиімді әдісі болып табылады және инфрақұрылымның қауіпсіздігін арттыруға көмектеседі.

Реклама Google

 

 

Назар аударыңыз! Бұл мақала ресми құжат емес. Ақпаратты сақтықпен және сынақ ортасында пайдалану керек. Әлемдегі жетекші жеткізушілерден сақтық көшірме жасау және киберқауіпсіздік бағдарламалық құралының тегін сынақ нұсқасына тапсырыс беріңіз: Тегін сақтық көшірме жасау және киберқауіпсіздік бағдарламалық құралының спецификациясын есептеу қызметіміздің артықшылығын пайдаланыңыз: Acronis Arcserve Veeam Vembu Vinchin Acronis Arcserve Veeam Vembu Vinchin   Заманауи сақтық көшірме жасау, репликациялау, деректерді синхрондау және төлемдік бағдарламадан қорғау жүйелерін құру туралы сұрақтарыңыз болса, қазіргі заманғы деректердің сақтық көшірмесін жасау және қалпына келтіру технологиялары бойынша кеңес алу үшін біздің компанияға хабарласыңыз . Біздің компанияның осы салада 20 жылдан астам тәжірибесі бар.