diegocheca
Instalando Agentes de Wazuh

Instalando Agentes de Wazuh

Diego Checarelli's photo
Diego Checarelli
·

6 min read

Objetivo

En esta entrada se detalla como se instalan dos agentes de Wazuh en dos, uno de ellos en un sistema operativo Windows y el otro en Debian 10 Buster Version.

Pasos para la Instalación

  1. Primero se debe descargar el instalador del agente, para ello se debe acceder a la pagina oficial de descargas,Windows y Linux.
  2. Proceder con la instalación del agente
  3. Registrar el agente en el servidor
  4. Setear credenciales en el agente
  5. Comprobar el estado del cliente

    Comprobar versión de Wazuh instalada

    Antes de instalar los agentes, se debe verificar la versión de Wazuh que se encuentra instalada en el servidor de la aplicación. Una de las maneras de comprobar esto es accediendo vía browser al panel de administración de Wazuh, por defecto se puede acceder desde Kibana en el puerto 5601, aunque puede variar. En la siguiente figura se muestran los pasos para verificar la versión de la aplicación desde la interfaz web. agregarclientewazuh3.png Ilustración 1. Determinación de la versión de Wazuh

    Agentes de Wazuh en Windows

    Paso 1 - Descargar el instalador del agente

    Si se desea instalar el agente en un equipo con el sistema operativo Windows , en primer lugar se debe descargar el instalador en el dispositivo que se desee monitorear desde la página oficial. Antes de descargar el agente, en función a la versión de la aplicación que tengamos instalado, debemos verificar que en la página nos encontramos en la sección de esa versión. Esto se puede verificar desde el costado superior derecho de la ventana. agregarclientewazuh4.png Ilustación 2. Verificación de la versión de la documentación en la página. Si bien existen varias maneras de instalar el agente (todas explicadas en la documentación oficial), en este caso se verá la manera sencilla de hacerlo: Para ello se, se descarga el archivo de instalación así: agregarclientewazuh5.png Ilustración 3. Sección de descarga del agente para Windows. agregarclientewazuh6.png Ilustración 4. Link de descarga de archivo ejecutable. Esto procederá a realizar la descarga del archivo "wazuh-agent-3.13.1.msi", justamente con extensión ".msi", para ser ejecutado en el entorno de Windows .

    Paso 2 - Proceder con la instalación del agente

    Al ejecutar el instalador nos mostrará términos que deben aceptar para proceder, tildando la casilla. agregarclientewazuh7.png Ilustación 5. Instalación de agente Wazuh en Windows, aceptar licencia. Se procede con la instalación avanzando en la ventana wizard. Luego aparecerá una nueva ventana donde se desplegará la interfaz gráfica del agente. agregarclientewazuh8.png Ilustración 6. Ejecución de la interfaz del agente luego de la instalación.

    Paso 3 - Registrar el agente en el servidor

    Este paso se puede hacer antes o después de instalar el agente. Desde el servidor de Wazuh , ejecutar en la terminal el siguiente comando:
    /var/ossec/bin/manage_agents
    Esto nos permitirá acceder al siguiente menú: agregarclientewazuh.png Ilustración 7. Menú de administración de Agentes de Wazuh Manager. Para agregar un agente se debe indicar la letra A, de esta forma nos solicitará el nombre del agente y posteriormente la IP. A continuación, se generará una key (cadena de caracteres) que será solicitada por el agente para poder ser reconocido como tal ante el servidor. En el mismo menú (Ilustración 7), se debe seleccionar la opción E, y luego ingresar el identificador del agente previamente creado. agregarclientewazuh2.png Ilustración 8. Verificar Key del Agente.

    Paso 4 - Setear credenciales en el agente

    Una vez allí nos solicitara la IP del servidor y la clave de autenticación generada para este agente. Estos datos se pueden extraer desde el servidor Wazuh , como ya se mostró anteriormente. agregarclientewazuh9.png Ilustración 9. Asociación de un Agente en Windows Por defecto, el agente se instala en C:\ProgramFiles(x86)\ossec-agent. Se ejecuta desde win32ui.exe.

    Paso 5 - Comprobar el estado del cliente

    Una vez guardado se podrá visualizar el agente desde la interfaz web de administración.

    Agentes de Wazuh en Debian

    El agente se puede instalar de dos maneras, desde las fuentes y desde los paquetes. En la siguiente sección se detalla como instalar los agentes desde los paquetes.

    Paso previo a la instalación del agente

    Para instalar en agente en Debian 10 Buster Version en primer lugar se deben tener instalados los siguientes paquetes en el sistema que se quiera monitorear:
  6. curl
  7. apt-transport-https
  8. lsb-release En caso de no disponer de los mismos se pueden descargar por separados o todos juntos, así:
    apt-get install curl apt-transport-https lsb-release gnupg2
    Si se obtiene algún error en este procedimiento se debe editar el archivo /etc/apt/source.list con el siguiente contenido:
    deb http://deb.debian.org/debian buster main
deb-src http://deb.debian.org/debian buster main
deb http://deb.debian.org/debian-security/ buster/updates main
deb-src http://deb.debian.org/debian-security/ buster/updates main
deb http://deb.debian.org/debian buster-updates main
deb-src http://deb.debian.org/debian buster-updates main
    Estos sources se extrajeron de la página de debian .

    Paso 1 - Descargar el instalador del agente

    Una vez descargados estos paquetes se instala y se agrega el repositorio de Wazuh. Luego se debe correr los siguientes comandos:
    curl -s https://packages.wazuh.com/key/GPG-KEY-WAZUH | apt-key add -

    echo "deb https://packages.wazuh.com/3.x/apt/ stable main" | tee /etc/apt/sources.list.d/wazuh.list
    Luego se debe proceder a hacer un update
    apt-get update

    Paso 2 - Proceder con la instalación del agente

    Una vez que se realice todo lo anterior se procede a instalar el agente en sí.
    apt-get install wazuh-agent

    Paso 3 - Registrar el agente en el servidor

    Este es el mismo paso que se describió en la sección del agente de Windows , este paso es independiente al sistema operativo, porque se ejecuta en el servidor.

    Paso 4 - Setear credenciales en el agente

    El siguiente paso es modificar el servidor de Wazuh en el archivo /var/ossec/etc/ossec.conf Esto se puede hacer simplemente ejecutando:
    WAZUH_MANAGER="IP_DEL_SERVIDOR" apt-get install wazuh-agent
    O bien editando la sección:
    <server>
 <address>192.168.146.140</address>
 <port>1514</port>
 <protocol>udp</protocol>
</server>
    Aunque ambos tendrán el mismo efecto. Para finalizar, se debe añadir desde el servidor otro agente y obtener la clave, tal y como se explicó anteriormente. Una vez que tengamos la key se debe copiar en el equipo que se quiera administrar con el siguiente comando:
    /var/ossec/bin/manage_agents -i key
    Hecho esto se debe iniciar el servicio del agente.
    systemctl start wazuh-agent
    Luego se debe verificar la situación del agente.
    systemctl status wazuh-agent

    Paso 5 - Comprobar el estado del cliente

    Una vez guardado se podrá visualizar el agente desde la interfaz web de administración. Una vez configurados los agentes se debe acceder a la interfaz web de Kibana en la sección de Wazuh e ir al panel de Agentes. agregarclientewazuh10.png Ilustración 10. Panel de administración de Agentes en la Interfaz Web. De esta forma es posible añadir agentes debian o Linux al servidor de Wazuh
#cybersecurityWindows