Wazuh Agent Installation
Firewallregeln für Wazuh-Agents
Destination-IP (CSOC Sensor): 192.168.180.101
Protokoll: TCP + PING
TCP-Ports: 1514-1515
Sysmon installieren
Sysmon Installer: https://learn.microsoft.com/en-us/sysinternals/downloads/sysmon
Config-Datei von CSOC: https://files.csoc.de/sysmonconfig-export.xml
Die Dateien sollten zur Installation gemeinsam unter C:\Programme\Sysmon abgelegt werden.
Sysmon mit Admin-Powershell installieren (vorher cd in Ordner C:\Program Files\Sysmon):
.\Sysmon64.exe -accepteula -i .\sysmonconfig-export.xmlOutput bei Erfolg:
PS C:\Program Files\Sysmon> .\Sysmon64.exe -accepteula -i .\sysmonconfig-export.xml System Monitor v15.15 - System activity monitor
By Mark Russinovich and Thomas Garnier
Copyright (C) 2014-2024 Microsoft Corporation
Using libxml2. libxml2 is Copyright (C) 1998-2012 Daniel Veillard. All Rights Reserved.
Sysinternals - www.sysinternals.com
Loading configuration file with schema version 4.90
Configuration file validated.
Sysmon64 installed.
SysmonDrv installed.
Starting SysmonDrv.
SysmonDrv started.
Starting Sysmon64..
Sysmon64 started.Wazuh Agent installieren
Installer über CSOC beziehen: https://files.csoc.de/wazuh-agent-latest.msi
Installer ausführen:
Im "Agent configuration interface" sollte zunächst stehen, dass der Agent nicht registriert ist:
Wazuh Agent registrieren:
cd in Ordner: C:\Program Files (x86)\ossec-agent\
In dem Ordner Befehl ausführen (Admin-Konsole):
.\agent-auth.exe -m <SENSOR-IP> -G windows-hosts -P <REG-PW>Output bei Erfolg:
Prüfen im Agent-Interface: zeigt "Running" und Key an:
Prüfen im CSOC-Dashboard:
status.csoc.de --> KD-Start --> Kunden UI --> Assets
Neu registrierter Agent sollte nach einiger Zeit im Assets-Dashboard als "Verbunden" erscheinen:
