Instalar y configurar OSquery en WAZUH bajo FreeBSD y GNU/Linux

rokitoh Elastic, Kibana, SIEM, UNIX - *BSD - GNU/Linux, wazuh

Seguimos configurando nuestra infraestructura SIRP Open source (https://red-orbita.com/?p=8726) En esta ocasión veremos como integrar Windows Defender para la detección de amenazas con Wazuh y Thehive

 

Antes de nada, debemos instalar OSquery en nuestro sistema

 

Debian

sudo gpg -a --export 97A80C63C9D8B80B | sudo apt-key add -
sudo add-apt-repository 'deb [arch=amd64] https://pkg.osquery.io/deb deb main'
sudo apt-get update
sudo apt-get install osquery

Redhat

curl -L https://pkg.osquery.io/rpm/GPG | sudo tee /etc/pki/rpm-gpg/RPM-GPG-KEY-osquery
sudo yum-config-manager --add-repo https://pkg.osquery.io/rpm/osquery-s3-rpm.repo
sudo yum-config-manager --enable osquery-s3-rpm
sudo yum install osquery

Suse

curl -L https://pkg.osquery.io/rpm/GPG | sudo tee /etc/pki/rpm-gpg/RPM-GPG-KEY-osquery
zypper addrepo -f https://pkg.osquery.io/rpm/osquery-s3-rpm.repo
zypper install osquery

Copiamos el ejemplo

cp /usr/share/osquery/osquery.example.conf /etc/osquery/osquery.conf

Editamos /etc/osquery/osquery.conf y descomentamos las siguientes lineas:

  "packs": {
      "osquery-monitoring": "/usr/share/osquery/packs/osquery-monitoring.conf",
      "incident-response": "/usr/share/osquery/packs/incident-response.conf",
      "it-compliance": "/usr/share/osquery/packs/it-compliance.conf",
      "vuln-management": "/usr/share/osquery/packs/vuln-management.conf"
  },

Comprobamos la configuración

osqueryctl config-check

Configuramos al inicio

systemctl enable osqueryd
systemctl start osqueryd

Activamos en /var/ossec/etc/ossec.conf osquery

 <wodle name="osquery">
   <disabled>no</disabled>
   <run_daemon>yes</run_daemon>
   <log_path>/var/log/osquery/osqueryd.results.log</log_path>
   <config_path>/etc/osquery/osquery.conf</config_path>
   <add_labels>yes</add_labels>
 </wodle>

FreeBSD

pkg install osquery
mkdir -p /usr/share/osquery/packs/
cp /usr/ports/sysutils/osquery/work/osquery-3.2.6/packs/* /usr/share/osquery/packs/

Revisamos la configuración

osqueryi --config_path /usr/local/etc/osquery.conf --config_check

Configuramos para que en el inicio arranque en /etc/rc.conf e iniciamos servicio

osqueryd_enable="YES"
service osqueryd start

Configuramos osquery en /var/ossec/etc/ossec.conf

 <wodle name="osquery">
   <disabled>no</disabled>
   <run_daemon>yes</run_daemon>
   <log_path>/var/log/osquery/osqueryd.results.log</log_path>
   <config_path>/usr/local/etc/osquery.conf</config_path>
   <add_labels>yes</add_labels>
 </wodle>

Reiniciamos el servicio

/var/ossec/bin/ossec-control restart

Accedemos a Kibana  y activamos Osquery, para ello nos vamos a: Wazuh > Settings  > Extensions y activamos Osquery

 

Una vez activado, si nos vamos a cualquier agente nos mostrara en el dashborad la opción de Osquery

 

:wq!

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *