Università degli studi di Siena
 
Installazione agent di Wazuh sui server

Installazione agent di Wazuh sui server

La necessità di potenziale la postura cyber dei servizi informatici offerti dall’Ateneo e dalle Sue strutture ha reso necessario implementare una soluzione SIEM/SOAR che permetta di avere maggiore visibilità sui sistemi esposti sulla Rete Internet.

Si rende quindi necessario installare l’agent di Wazuh, la soluzione SIEM adottata dall’Ateneo, su tutti i server che espongono servizi verso la Rete Internet.

L’installazione è semplice e non comporta particolari difficoltà tecniche. I passi da seguire sono descritti di seguito, a seconda del sistema operativo usato. Per qualunque problema potete scrivere al servizio di supporto tecnico-informatico helpdesk@unisi.it.

Prerequisiti

Verificare che dal server oggetto dell’installazione dell’Agent sia raggiungibile il server SIEM all’indirizzo siem.unisi.it (IP 172.16.5.24). In caso contrario, verificare la connettività e contattare il servizio di supporto tecnico-informatico.

Installazione dell’agente

Per Debian/Ubuntu x64, come utente root, scaricare ed installare l’agent:

wget https://packages.wazuh.com/4.x/apt/pool/main/w/wazuh-agent/wazuh-agent_4.7.4-1_amd64.deb && sudo WAZUH_MANAGER='siem.unisi.it' dpkg -i ./wazuh-agent_4.7.4-1_amd64.deb

e poi abilitare e avviare l’agente:

sudo systemctl daemon-reload && sudo systemctl enable wazuh-agent && sudo systemctl start wazuh-agent

verificate che sia attivo con:

sudo systemctl status wazuh-agent

Per sistemi RedHat, come utente root, scaricare ed installare l’agent:

curl -o wazuh-agent-4.7.4-1.x86_64.rpm https://packages.wazuh.com/4.x/yum/wazuh-agent-4.7.4-1.x86_64.rpm && sudo WAZUH_MANAGER='siem.unisi.it' rpm -ihv wazuh-agent-4.7.4-1.x86_64.rpm

e poi come sopra:

sudo systemctl daemon-reload sudo systemctl enable wazuh-agent sudo systemctl start wazuh-agent

verificate che sia attivo con:

sudo systemctl status wazuh-agent

Per  servers Windows, come amministratore:

Invoke-WebRequest -Uri https://packages.wazuh.com/4.x/windows/wazuh-agent-4.7.4-1.msi -OutFile ${env.tmp}\wazuh-agent; msiexec.exe /i ${env.tmp}\wazuh-agent /q WAZUH_MANAGER='siem.unisi.it' WAZUH_REGISTRATION_SERVER='siem.unisi.it'

e poi avviare l’agent:

NET START WazuhSvc

Se il comando precedente da errore, ad esempio su Windows Server 2012, la procedura è sensibilmente diversa. Procedere scaricando il file msi https://packages.wazuh.com/4.x/windows/wazuh-agent-4.7.4-1.msi ed eseguirlo usando i parametri indicati:

wazuh-agent-4.7.4-1.msi  /q WAZUH_MANAGER='siem.unisi.it' WAZUH_REGISTRATION_SERVER='siem.unisi.it'