Wazuhを4.2から4.3にアップデートするに当たり、結構破壊的な変更があった。

1. 実行ユーザーがwazuhユーザーへ
2. ODFE版を使っている場合は、4.2までしか今の所Dockerイメージの提供がないので、4.3にするならばイメージの変更及び、ElasitcsearchからOpensearchへ変更が必要
3. Opensearch Dashboardは認証が標準でDockerイメージに入っている

Wazuhが何かという方はこちら。

＠IT

 

216 Users

3 Pockets

不正アクセスを教訓に　GMOペパボが500台超のサーバに導入したオープンソースのセ...

https://atmarkit.itmedia.co.jp/ait/articles/1902/18/news012.html

ホスティングサービスなどを提供するGMOペパボは、セキュリティインシデントを教訓に、OSSのセキュリティ監査基盤「Wazuh」を導入。Wazuhを選択した理由やWazuhの導入後に起きた3つの運用課題を解決した方法について語った。

実行ユーザーがwazuhユーザーへ

4.2系まではossecユーザーが実行ユーザーであるプロセスがほとんどだったが、4.3からはwazuhユーザーへ変更されているので、chownなりchmodが必要だった。僕はentrypointで各種パーミッションを設定するように作り込んでいるので、そこでよしなにやった。

ElasticsearchからOpensearchへ

これはDockerイメージ差し替えるだけではうまくいかず、下記のような大人の小手先のテクニックを利用してインデックスの移行が必要だった。

curl -XGET "localhost:9200/_cat/shards?h=index"|sort|uniq|grep wazuh | while read line
do
  elasticdump --input=http://elasticsearch.local:9200/$line  --output=http://opensearch.local:9200/$line --type=mapping
  elasticdump --input=http://elasticsearch.local:9200/$line  --output=http://opensearch.local :9200/$line --type=data --limit 10000
done

またalertsインデックスのテンプレートは別途作成する必要がある。

documentation.wazuh.com

Indices configuration - Elasticsearch · Wazuh documentation

https://documentation.wazuh.com/current/user-manual/elasticsearch/configure-indices.html

User manual, installation and configuration guides. Learn how to get the most out of the Wazuh platform.

僕はES 7.17系からの移行だったが思いの外すんなりいってラッキーだったかもしれない。

Opensearch Dashboardは認証が標準でDockerイメージに入っている

いわゆるkibanaのOpensearch版なのだが、他で認証していて、認証を無効にしたい場合は下記のようにイメージをビルドする必要がある。

OpenSearch documentation

Disable security

https://opensearch.org/docs/2.0/security-plugin/configuration/disable/

Disable security

最後に

Wazuh 4.3、APIも結構変更があって、脆弱性情報などの管理もしやすくなっているので、可能であればバージョンアップして行くのがいいと思う。