https://docs.opnsense.org/manual/wazuh-agent.html 자료에 참고할만한 스크린샷 두개 추가했습니다.
소개
Wazuh는 엔드포인트와 클라우드 워크로드에 대한 보호 기능을 제공할 수 있는 오픈 소스 통합 XDR(Extended Detection and Response) 및 SIEM(Security Information en Event Management) 시스템입니다.
Wazuh 아키텍처는 모니터링되는 엔드포인트에서 실행되는 에이전트를 기반으로 하며, 에이전트는 정보를 수집하고 관리자가 지시한 활성 응답을 실행할 수 있습니다.
이 플러그인의 목적은 Wazuh 관리자에 연결할 수 있는 쉽게 설치 가능한 플러그인을 제공하는 것입니다.
메모: OPNsense에서 Wazuh의 범위는 구성 가능한 에이전트 지원 제공에 국한됩니다. OPNsense에서 Wazuh 중앙 구성 요소를 실행할 계획도 없고 권장하지도 않습니다. 지원되는 플랫폼에 이러한 구성 요소를 설치하는 방법에 대한 자세한 내용은 Wazuh 웹사이트 에서 직접 확인하거나 여기에서 제공되는 클라우드 기반 서비스를 사용할 수 있습니다.
경고: 이 플러그인은 “있는 그대로(as-is)” 제공되며 OPNsense 팀의 [티어 3] 커뮤니티 지원은 매우 제한적입니다. SIEM/XDR 시스템을 사용하려면 일반적으로 (무료) 커뮤니티 지원 범위를 벗어나는 전문 지식이 필요합니다.
설치
이 플러그인을 설치하는 것은 매우 쉽습니다. System ‣ Firmware ‣ Plugins 으로 가서 os-wazuh-agent 를 검색하고 [+] 버튼을 사용하여 설치하세요.
다음으로 Services ‣ Wazuh Agent ‣ Settings 으로 가서 서비스를 구성합니다.
팁: 문제 디버깅 시 ossec 로그에서 제공하는 정보가 제한적일 경우, 디버그 수준을 높여 보세요. “advanced mode”가 활성화된 경우 일반 설정에서 이 설정을 찾을 수 있습니다.
에이전트 연결
에이전트를 관리자에 연결하려면 General Settings/Manager hostname 일반 설정/관리에 호스트 이름을 입력하고 , 에이전트가 활성화로 표시되어 있는지 확인하고, 선택적으로 Authentication/Password 에 연결 암호를 지정합니다 .
다음으로 관리자에게 가서 해당 에이전트가 등록했는지 확인하세요.
수집할 로그 선택
Wazuh 에이전트 플러그인은 제품의 다른 부분에서 사용하는 것과 같은 syslog 대상을 지원하므로, 애플리케이션이 syslog에 피드를 보내고 개발 문서 에 설명된 대로 애플리케이션 이름을 등록하면 Wazuh에도 전송하도록 선택할 수 있습니다.
침입 감지의 경우 OPNsense에서 사용하는 것과 동일한(eve) 데이터 피드를 사용하여 이벤트를 전송할 수 있습니다. General 설정에서 Intrusion detection events를 선택하면 됩니다.
메모: Wazuh는 rfc3164 형식의 syslog 메시지 만 지원하므로 요청된 이벤트의 사본을 해당 형식을 사용하여 /var/ossec/logs/opnsense_syslog.log로 명명된 파일에 기록합니다 .
사용자 정의 ossec.conf 항목 설치
일부 Wazuh 모듈은 GUI에서 직접 선택할 수 있지만, 플러그인에서 제공되지 않는 기능이 필요한 경우 정적 섹션을 수동으로 추가할 수 있습니다.
예를 들어, 사용자 정의 JSON 피드를 추가하려면 다음 내용이 포함된 파일을 /usr/local/opnsense/service/templates/OPNsense/WazuhAgent/ossec_config.d/에 추가 할 수 있습니다 .
/usr/local/opnsense/service/templates/OPNsense/WazuhAgent/ossec_config.d/099-my-feed.conf
<localfile> <log_format>json</log_format> <location>/path/to/my/file.json</location> </localfile>
Active responses 사용
Wazuh는 관리자가 필요 시 방어 조치를 취할 수 있도록 능동적인 대응(active response)을 지원합니다. 이 플러그인은 지정된 소스 주소에서 트래픽을 차단하는 opnsense-fw란 이름의 하나의 액션을 제공합니다.
메모
opnsense-fw 작업은 상태가 유지되며 방화벽에서 주소를 추가하거나 삭제할 수 있습니다. 이러한 유형의 작업에 대한 자세한 내용은 Wazuh 문서에서 확인할 수 있습니다.
이 작업을 사용하려면 먼저 관리자에 일부 구성을 추가해야 하며, 먼저 이 작업의 정의부터 시작해야 합니다.
/var/ossec/etc/ossec.conf
<ossec_config>
<command>
<name>opnsense-fw</name>
<executable>opnsense-fw</executable>
<timeout_allowed>yes</timeout_allowed>
</command>
</ossec_config>그런 다음 이와 같이 활성 응답 규칙에서 사용할 수 있습니다(에이전트 ID 조정):
/var/ossec/etc/ossec.conf
<ossec_config>
<active-response>
<disabled>no</disabled>
<command>opnsense-fw</command>
<location>defined-agent</location>
<agent_id>001</agent_id>
<rules_id>87702</rules_id>
<timeout>180</timeout>
</active-response>
</ossec_config>공식 문서 에는 사용 가능한 옵션에 대한 자세한 정보가 포함되어 있습니다.
팁: Active response는 관리자로부터 받은 메시지를 포함하여 Services ‣ Wazuh Agent ‣ Logfile / active-responses에 기록됩니다 .
에이전트에서 Active response을 실행할 수 있는지 빠르게 테스트하려면 Wazuh ▸ 도구 ▸ API 콘솔 의 API 콘솔을 사용하는 것이 좋습니다 . 에이전트에서 opnsense-fw주소에 대한 명령을 실행하려면 다음을 수행합니다.172.16.1.30``001
PUT /active-response?agents_list=001
{
"command": "!opnsense-fw",
"custom": false,
"alert": {
"data": {
"srcip": "172.16.1.30"
}
}
}팁: Wazuh는 Suricata와 Wazuh를 결합하여 탐지된 위협에 대응하는 방법을 설명하는 이 문서 를 포함하여 다양한 개념 증명 문서와 블로그 게시물을 제공합니다.
규칙 감지 테스트
/var/ossec/logs/opnsense_syslog.log에 로그 항목이 수집되고 있지만 Manager에서 이벤트가 수집되지 않는 경우 Wazuh가 이러한 줄을 어떻게 처리하는지 확인하는 것이 좋습니다.
관리자의 Wazuh ‣ Tools ‣ Ruleset test 메뉴 항목은 로그 이벤트를 검사하는 데 사용하기 쉬운 도구를 제공 합니다 .
