Bazı ortamlarda, dağıtım sürecinin en zor kısmı Wazuh’un Windows endpointlere kurulmasıdır. Wazuh, bir PowerShell komut dosyası ile birlikte RESTful API’nin özelliklerini kullanarak Windows agentlarını kurabilmekte, kaydedebilmekte ve bağlanabilmektedir.
Wazuh API Kullanarak Windows Sistemlerde Agent Dağıtımı
Ön Koşullar:
- Wazuh HIDS v2.0+
- Wazuh RESTful API v2.0+
- Powershell v2.0+ (Yerleşik Windows Server 2008 R2 veya üstü)
Açıklama:
Powershell betiği, agentı uygulamak için iki farklı işlemi kapsar.
Birincisi kurulum.
Komut dosyası agent yükleyicisini çalıştıracak, tamamlandığında Wazuh varsayılan olarak C:\Program Files x(86) \ossec-agent\ klasörüne yüklenecektir.
İkincisi agentı kaydetmektir.
Geleneksel olarak işlem Wazuh Yöneticisi (server) ana bilgisayarında manuel olarak (örneğin manage_agents kullanılarak), agent adını ve IP’yi doldurup anahtarın Windows Agent’a ihraç edilerek yeniden başlatılmasını içerir.
API’yi kullanarak aynı işlemi gerçekleştireceğiz fakat tamamen otomatikleştireceğiz. PowerShell komut dosyası otomatik olarak API’ye şifrelenmiş istek gönderir, ana makine adını ve IP’yi alır, aracı kaydettirir ve anahtarı çıkarır. Ardından anahtar otomatik olarak aracıya aktarılır ve aracı yeniden başlatılır.
İndirilmesi Gerekenler:
Paketin tamamı aşağıdakilerden oluşur:
- OSSEC agent Yükleyicisi.
- Powershell dağıtım betiği.
- Bat dosyası, tek tıklamayla -PS komut dosyasını çalıştırın. Komut dosyasını Windows örneğinizde Aşağıdaki URL’den indirebilirsiniz:
Konfigurasyon:
Komut dosyasını yapılandırmak ve çalıştırmak için birkaç seçeneğimiz var, dört zorunlu parametre belirtmek zorundayız.
Api_ip: IP’iniz genellikle Wazuh Manager ana bilgisayar IP’si ile aynı olacaktır.
Api_user: API’nizde kullanıcı adı belirlenmiştir.
Api_password: API’nizde şifre belirlenmiştir.
Ossec_exe: Wazuh agent yükleyicisine giden yol, bu durumda wazuh-winagent-v2.0.1-1.exe (Active Directory kullanılabilir) olacaktır.
Parametreler ayarlandıktan sonra, komut dosyasını çalıştırabilir, aracı kurabilir ve bağlayabiliriz. Varsayılan olarak C:\ossec-agent üzerine yüklenecektir. Ardından, agent IP’si istekten alınacak ve temsilci adı Windows ana makine adı olacaktır.
Bu parametrelerin herhangi birini belirtmek isterseniz, tam seçenek listesini göstermek için “-help” kullanın.
Çalıştırma:
Senaryoyu çalıştırmak için iki farklı yolumuz bulunuyor.
Birinci yöntem;
Yönetici olarak yeni bir Powershell terminali açın, komut dizinine gidin ve şunu çalıştırın:
.\agent_deploy.ps1 -api_ip api_ip_adresiniz-username api_kullanici_adiniz -password api_parolaniz -ossec_exewazuh-winagent-v2.0.1-1.exe
İkinci yöntem;
Dosyadeploy.bat’ı yapılandırın, açın ve yapılandırmanıza değiştirin (1. adımda yaptığınız gibi), kaydedin ve yönetici olarak çalıştırın. SCCM gibi büyük dağıtma araçlarını kullanıyorsanız, .bat dosyası kullanışlıdır.Komut dosyasını çalıştırdıktan sonra, beklenen çıktıyı almanız gerekir.
Herhangi bir sorunla karşılaşırsanız, agent_deploy.log dosyasını kontrol ediniz.
Sorun Giderme (Troubleshooting):
“Agent name already exists or it is invalid” Hatası:
Aynı adı taşıyan bir agent zaten varsa, Wazuh yenisini kaydetemenize, “-prompt_agent_name 1” seçeneğini kullanmamıza izin vermeyecek ve betik sizden adı seçmenizi isteyecektir veya agent adını belirtmek için “agent_name your_agent_name” seçeneğini kullanın.
“Duplicated IP for agent” Hatası:
Wazuh yöneticisi aynı IP ile iki agent sahibi olamaz, bu da bağlantı sorunlarına neden olur. Daha önce aynı IP’li bir agentvarsa, başka bir tane ekleyemezsiniz, lütfen eski agentı manage_agents aracını kullanarak Wazuh Yöneticinizden kaldırın.
Bir Proxy arkasındaysanız, “behindProxy” ayarını etkinleştirerek API’yi kurmayı unutmayın.
“Unauthorized” Hatası
API kimlik bilgilerinizde bir sorun var, lütfen API kullanıcı adınız ve şifrenizin doğru olduğunu doğrulayın.
“OSSEC Executable does not exists” Hatası
Ossec_exe argümanında belirttiğiniz yükleyici bulunamadı, lütfen Powershell komut dosyasının aynı klasörde olduğunu doğrulayın veya tam yolu girin.
Sonuç:
Wazuh RESTful API, büyük dağıtımlar oluşturmak için yeni komut dosyaları geliştirebilmeye imkan sağlamaktadır. Agent yönetimi de dahil olmak üzere bir dizi yeni olanak getirmektedir. API, dahili HTTPS şifreleme ve kimlik doğrulama kimlik bilgilerine sahiptir, bu nedenle, aracı dağıtımına güvenli ve güvenli bir araç kurabilirsiniz.
