Wazuh

Docs > インテグレーション > Wazuh

Supported OS Linux Windows Mac OS

インテグレーションバージョン1.0.0

Wazuh - Cloud Security

Wazuh - File Integrity Monitoring

Wazuh - Malware Detection

Wazuh - MITRE ATT&CK

Wazuh - Overview

Wazuh - Security Operations

Wazuh - System

Wazuh - Vulnerability Detection

概要

Wazuh は、複数の IT インフラストラクチャレイヤーにわたる脅威を検出・分析し、対応する包括的なセキュリティソリューションを提供します。Wazuh は、エンドポイント、ネットワークデバイス、クラウドワークロード、サードパーティ API、その他のソースからテレメトリを収集し、統合されたセキュリティ監視と保護を実現します。

このインテグレーションは、次の種類のログを解析します:

vulnerability-detector : Wazuh によって生成される脆弱性イベント。
malware-detector : システム内のマルウェアを検出するために Wazuh によって生成される Rootcheck イベント。
file-integrity-monitoring : 権限、コンテンツ、所有権、属性などのファイル変更に関連するイベント。
docker : docker コンテナのアクティビティイベント。
github : GitHub 組織の監査ログ由来のイベント。
google-cloud : Google Cloud Platform サービスに関連するセキュリティイベント。
amazon : Amazon AWS サービスからのセキュリティイベント。
office365 : Office 365 に関連するセキュリティイベント。
system : FTPD、PAM、SSHD、syslog、Windows、dpkg、yum、sudo、su、wazuh、ossec などのサービスからのイベントおよび内部イベント。

これらのログを、すぐに利用できるダッシュボードで詳細に可視化できます。

セットアップ

インストール

Wazuh インテグレーションをインストールするには、次の Agent インストールコマンドを実行し、以降の手順に従ってください。詳細はインテグレーション管理ドキュメントを参照してください。

注: このステップは Agent のバージョンが 7.58.0 以上の場合は不要です。

Linux コマンド

sudo -u dd-agent -- datadog-agent integration install datadog-wazuh==1.0.0

設定

ログの収集

Datadog Agent で、ログの収集はデフォルトで無効になっています。datadog.yaml で有効にします。
```
logs_enabled: true
```
ログ収集を開始するには、この構成ブロックを wazuh.d/conf.yaml ファイルに追加します。
Wazuh アラートデータの収集には UDP メソッドを使用します。利用可能な構成オプションは、サンプルの wazuh.d/conf.yaml を参照してください。
```
  logs:
  - type: udp
    port: <PORT>
    source: wazuh
    service: wazuh
```
注: パイプラインの動作に不可欠なため、service と sourceの値は変更しないことを推奨します。
Agent を再起動します。

Wazuh からの syslog メッセージ転送を構成する

Wazuh UI にログインします。左側の Menu に移動します。
Server management > Settings に移動します。
Edit configuration をクリックします。
次の構成ブロックを追加します:
この例では、すべてのアラートがポート 8080 の 1.1.1.1 に JSON 形式で送信されます。
```
  <syslog_output>
    <server>1.1.1.1</server>
    <port>8080</port>
    <format>json</format>
  </syslog_output>
```
- server タグには Datadog Agent が稼働しているホストの IP アドレスを指定してください。
- port タグには、Datadog Agent が待ち受けているポート番号を設定します。
注: JSON 形式の使用は必須です。Wazuh パイプラインは JSON 形式のログのみを解析します。
Save ボタンをクリックします。
保存後、Restart Manager ボタンをクリックします。

検証

Agent の status サブコマンドを実行し、Checks セクションで wazuh を探します。

収集データ

ログ

形式	イベントタイプ
JSON	vulnerability-detector、file-integrity-monitoring、malware-detector、github、docker、amazon、office365、google-cloud、system など

メトリクス

Wazuh インテグレーションにはメトリクスは含まれません。

イベント

Wazuh インテグレーションにはイベントは含まれません。

サービスチェック

Wazuh インテグレーションにはサービスチェックは含まれません。

トラブルシューティング

ポートバインド時に Permission denied エラーが発生する場合:

Agent のログにポートバインド時の Permission denied エラーが表示される場合。

1024 未満のポートにバインドするには高い権限が必要です。setcap コマンドを使用してポートへのアクセスを許可してください。
```
sudo setcap CAP_NET_BIND_SERVICE=+ep /opt/datadog-agent/bin/agent/agent
```
getcap コマンドを実行し、設定を確認します。
```
sudo getcap /opt/datadog-agent/bin/agent/agent
```
正しければ、次のように出力されます。
```
/opt/datadog-agent/bin/agent/agent = cap_net_bind_service+ep
```
注: Agent をアップグレードするたびに、この setcap コマンドを再実行する必要があります。
Agent を再起動します。

想定される問題のトラブルシューティング方法は次のとおりです。

データが収集されない場合:

ファイアウォールが有効な場合は、設定したポートへのトラフィックをファイアウォールルールで許可してください。

すでに使用されているポートの場合:

Port <PORT_NUMBER> Already in Use エラーが発生したら、以下の手順を参照してください。次の例はポート 514 を想定しています。

Syslog を使用しているシステムで、Agent がポート 514 で Wazuh ログをリッスンしている場合、Agent ログに次のエラーが表示されることがあります: Can't start UDP forwarder on port 514: listen udp :514: bind: address already in use。このエラーは、デフォルトで Syslog がポート 514 をリッスンしているために発生します。解決するには、次の いずれか 1 つ の手順を実行してください:
- Syslog を無効にする。
- Agent を他の利用可能なポートで待ち受けるよう設定する。

さらに支援が必要な場合は、Datadog サポートにお問い合わせください。