Instalación distribuida de wazuh
350 views
Skip to first unread message
henry valz
Apr 10, 2023, 11:46:23 AM4/10/23
to Wazuh mailing list
Saludos:
Me podrían orientar o ayudar como sería el despliegue del wazuh para poder monitorear de forma centralizada los eventos de seguridad de varias zonas geograficas?
La intensión es que cada zona geográfica pueda ver sus eventos de seguridad de esa zona y a la vez enviarlas a un wazuh central para poder analizarlas a nivel de las zonas geográficas.
Wazuh, permite realizar ese tipo de despliegue?, adjunto la imagen de referencia para la idea expuesta
Carlos Dams
Apr 10, 2023, 1:03:23 PM4/10/23
to Wazuh mailing list
Hola Henry,
En caso que sea necesario el almacenamiento de las alertas desde los servidores remotos al servidor central, entonces se puede realizar un Cross Cluster Replication.
Te dejo aquí documentación referente a ambas opciones:
Sí, Wazuh permite lo que describiste y se puede lograr con un despliegue Cross Cluster Search.
En este tipo de despliegue hay un Coordinating Cluster que desde el Wazuh Dashboard puede acceder a las alertas de los servidores remotos, la data no se almacena en el servidor central sino que esta se puede visualizar mediante una búsqueda que realiza el servidor central hacia los servidores remotos.
En caso que sea necesario el almacenamiento de las alertas desde los servidores remotos al servidor central, entonces se puede realizar un Cross Cluster Replication.
Te dejo aquí documentación referente a ambas opciones:
https://opensearch.org/docs/latest/security/access-control/cross-cluster-search/ (adicional te adjunto un diagrama que te puede servir a entender esta)
https://opensearch.org/docs/latest/tuning-your-cluster/replication-plugin/index/
https://opensearch.org/docs/latest/tuning-your-cluster/replication-plugin/index/
Ambas opciones requieren algo de dedicación para desplegar y también para mantener, por lo que si no es completamente necesario tal despliegue, te recomendaría considerar tener un solo servidor central monitoreando los agentes en las diferentes zonas geográficas, o en caso de que la latencia pueda ser un problema entonces despliegues individuales en cada zona.
Te comparto también las diferentes alternativas de despliegue de Wazuh aquí:
- Installation Alternatives - Wazuh
Espero te sirva esta información y puedas aprovechar al máximo la solución de Wazuh!
Espero te sirva esta información y puedas aprovechar al máximo la solución de Wazuh!
henry valz
Apr 10, 2023, 4:48:31 PM4/10/23
to Wazuh mailing list
Gracias Carlos:
En la replicación con cross cluster search, los datos se pueden replicar solo hacia el nodo central y no hacia los demás nodos?, pues me gustaría que las alertas, se puedan replicar al nodo central o principal, pero no a los demás nodos. Ahora si la instalación desplegada de wazuh es de un solo host que incluye toda la pila de solución de wazuh(indexer, manager y dashboard), debo realizar esta configuración en el componente del indexer?
Carlos Dams
Apr 12, 2023, 8:15:33 AM4/12/23
to Wazuh mailing list
Hola henry,
En la replicación con cross cluster search, los datos se pueden replicar solo hacia el nodo central y no hacia los demás nodos?
Es correcto, el Coordinating cluster puede acceder a los datos de los ambientes remotos, los ambientes remotos no pueden acceder a los datos entre estos mismos o el del Coordinating cluster.
La mayoría del trabajo de de Cross Cluster Search radica en los Wazuh Indexer, opcionalmente hay ciertas configuraciones a realizar en el Wazuh Dashboard hacia los Wazuh Server remotos, tal como se puede visualizar en el diagrama.
Saludos,
henry valz
Apr 13, 2023, 10:03:08 AM4/13/23
to Wazuh mailing list
Nuevamente gracias Carlos:
Y puedo hacer cascada en esta configuración?, es decir de ese nodo que es está en modo Coordinating cluster recibiendo o consultando los datos de los demás nodos debajo de él, este a su vez(Coordinating cluster) puede enviar a otro Coordinatin cluster por encima de él?.
Y por favor si puedes brindarme alguna documentación para la implementación de un Coordinating cluster en el propio Wazuh
Gracias
Carlos Dams
Apr 17, 2023, 8:21:08 AM4/17/23
to Wazuh mailing list
Hola Henry,
Y puedo hacer cascada en esta configuración?, es decir de ese nodo que es está en modo Coordinating cluster recibiendo o consultando los datos de los demás nodos debajo de él, este a su vez(Coordinating cluster) puede enviar a otro Coordinating cluster por encima de él?
Y puedo hacer cascada en esta configuración?, es decir de ese nodo que es está en modo Coordinating cluster recibiendo o consultando los datos de los demás nodos debajo de él, este a su vez(Coordinating cluster) puede enviar a otro Coordinating cluster por encima de él?
No lo he probado pero basado en la configuración yo creo que si se puede, en general una de las partes mas complejas de tal despliegue es la creación de certificados, ya que todos deben estar firmados por el mismo certificado root, de esta manera los clusters pueden confiar entre ellos.
Te comparto la documentación de OpenSearch y de Elasticsearch:
Espero sea de utilidad, saludos!
Reply all
Reply to author
Forward
0 new messages