Skip to main content

Wazuh Agent Installation

Firewallregeln für Wazuh-Agents

Destination-IP (CSOC Sensor): 192.168.180.101
Protokoll: TCP + PING
TCP-Ports: 1514-1515

Sysmon installieren

Sysmon Installer: https://learn.microsoft.com/en-us/sysinternals/downloads/sysmon

Config-Datei von CSOC: https://files.csoc.de/sysmonconfig-export.xml

Die Dateien sollten zur Installation gemeinsam unter C:\Programme\Sysmon abgelegt werden.

Sysmon mit Admin-Powershell installieren (vorher cd in Ordner C:\Program Files\Sysmon):

.\Sysmon64.exe -accepteula -i .\sysmonconfig-export.xml

Output bei Erfolg:

PS C:\Program Files\Sysmon> .\Sysmon64.exe -accepteula -i .\sysmonconfig-export.xml                                                                                                                                                                                                   System Monitor v15.15 - System activity monitor                                                                         
By Mark Russinovich and Thomas Garnier
Copyright (C) 2014-2024 Microsoft Corporation
Using libxml2. libxml2 is Copyright (C) 1998-2012 Daniel Veillard. All Rights Reserved.
Sysinternals - www.sysinternals.com

Loading configuration file with schema version 4.90
Configuration file validated.
Sysmon64 installed.
SysmonDrv installed.
Starting SysmonDrv.
SysmonDrv started.
Starting Sysmon64..
Sysmon64 started.


Wazuh Agent installieren

Installer über CSOC beziehen: https://files.csoc.de/wazuh-agent-latest.msi

Installer ausführen:

grafik.png

Im "Agent configuration interface" sollte zunächst stehen, dass der Agent nicht registriert ist:

grafik.png

Wazuh Agent registrieren:

cd in Ordner: C:\Program Files (x86)\ossec-agent\

In dem Ordner Befehl ausführen (Admin-Konsole):

.\agent-auth.exe -m <SENSOR-IP> -G windows-hosts -P <REG-PW>

Output bei Erfolg:

grafik.png

Prüfen im Agent-Interface: zeigt "Running" und Key an:

grafik.png

Prüfen im CSOC-Dashboard:

status.csoc.de --> KD-Start --> Kunden UI --> Assets

Neu registrierter Agent sollte nach einiger Zeit im Assets-Dashboard als "Verbunden" erscheinen:

grafik.png


No Comments
Back to top