Lab01 Wazuh desplegando agentes modo manual

Objetivo

En esta ocasión vamos a ver varios ejemplos de como desplegar agentes manualmente en varios tipos de hosts para los que Wazuh si tiene agente propio. Ya se que esto esta totalmente fuera de lugar pues deberíamos automatizar el proceso, cosa que vernos mas adelante utilizando herramientas diseñadas para este fin, pero es la mejor manera de entender el proceso.

Nos dirigimos desde el menú principal a la sección de agentes:

Dentro de la pantalla de gestión de agentes vamos a Deploy new agent

Windows

Comenzamos con un agente en Windows, con lo cual seleccionamos los valores que se ven en la siguiente captura, teniendo en cuenta la dirección ip donde estará escuchando nuestro servidor de Wazuh ( Wazuh Manager ) y le asignaremos el grupo por defecto ( default ).

Como se puede observar nos indica los requerimientos del sistema remoto, y los comandos que tendremos que ejecutar desde una powershell con privilegios de administrador.

Instalamos:

Invoke-WebRequest -Uri https://packages.wazuh.com/4.x/windows/wazuh-agent-4.3.5-1.msi -OutFile ${env:tmp}\wazuh-agent-4.3.5.msi; msiexec.exe /i ${env:tmp}\wazuh-agent-4.3.5.msi /q WAZUH_MANAGER='10.0.0.23' WAZUH_REGISTRATION_SERVER='10.0.0.23' WAZUH_AGENT_GROUP='default'

Arrancamos el servicio:

NET START WazuhSvc

Como se pude observar en el siguiente vídeo descarga el agente y lo instala ya configurado. Es importante revisar que el agente arranca correctamente como se puede observar al ejecutar el comando correspondiente después de la instalación.

Linux

Ahora vamos con un agente en Linux, concretamente para Debian / Ubuntu en arquitectura x86_64 , con lo cual seleccionamos los valores que se ven en la siguiente captura, teniendo en cuenta la dirección ip donde estará escuchando nuestro servidor de Wazuh ( Wazuh Manager ) y le asignaremos el grupo por defecto ( default ).

Como root desde un terminal:

Instalamos:

curl -so wazuh-agent-4.3.5.deb https://packages.wazuh.com/4.x/apt/pool/main/w/wazuh-agent/wazuh-agent_4.3.5-1_amd64.deb && sudo WAZUH_MANAGER='10.0.0.23' WAZUH_AGENT_GROUP='default' dpkg -i ./wazuh-agent-4.3.5.deb

Arrancamos el servicio según nuestro gestor de servicios:

Systemd

sudo systemctl daemon-reload
sudo systemctl enable wazuh-agent
sudo systemctl start wazuh-agent

SysV Init

sudo update-rc.d wazuh-agent defaults 95 10
sudo service wazuh-agent start

Como se pude observar en el siguiente vídeo descarga el agente, lo instala ya configurado y lo arrancamos.

Bueno pues como podemos observar en la siguiente pantalla:

Nuestro laboratorio ya parece que va arrancando poco a poco, se pueden ver ya varios agentes instalados.

BSD, diferente.

De manera nativa no tenemos agente para BSD pero si existe uno en los repositorios con lo cual vamos a realizar la instalación y configuración basica para que únicamente conecte. Esto nos puede ser útil en futuras implementaciones como por ejemplo con OPNsense.

Desde nuestro terminal como root:

pkg update
pkg search wazuh-agent
pkg install wazuh-agent-x.xx.x

Lo configuramos:

Habilitamos el servicio editando el fichero /usr/local/etc/rc.d/wazuh-agent

: ${wazuh_agent_enable:="YES"}

Indicamos el servidor al cliente editando /var/ossec/etc/ossec.conf:

<server>
	<address>WAZUH-MANAGER-IP-ADDRESS</address>
</server>

Habilitamos el arranque con el sistema

service wazuh-agent enabled

Arrancamos el clientes

service wazuh-agent start

Problemas comunes

No tenemos conexión a Internet. Podemos descargar el agente desde otro hosts y pasarlo a este para su ejecución desde aquí. Es importante a parte de seleccionar el paquete de instalación correcto verificar la versión como se puede observar en la siguiente imagen.
Permisos de ejecución como administrador del host donde se realiza la instalación.
No tenemos comunicación por los puertos necesarios para conectar con el Wazuh Manager. Tendremos que revisar los puertos habilitados para la comunicación entre el agente y el manager que son: