Skip to main content

Wazuh Agent Installation

Firewallregeln für Wazuh-Agents

Destination-IP (CSOC Sensor): 192.168.180.101
Protokoll: TCP + PING
TCP-Ports: 1514-1515

Sysmon installieren

Sysmon Installer: https://learn.microsoft.com/en-us/sysinternals/downloads/sysmon

Config-Datei von CSOC: https://files.csoc.de/sysmonconfig-export.xml

Sysmon-Installer und Config-Datei in selben Ordner legen.

Sysmon mit cmd-Befehl (in Admin-Konsole) installieren:

Sysmon64.exe -accepteula -i sysmonconfig-export.xml

Wazuh Agent installieren

Installer über CSOC beziehen: https://files.csoc.de/wazuh-agent-latest.msi

Installer ausführen:

grafik.png

Im "Agent configuration interface" sollte zunächst stehen, dass der Agent nicht registriert ist.

Wazuh Agent registrieren:

"C:\Program Files (x86)\ossec-agent\agent-auth.exe" -m SENSOR-IP -G windows-hosts -P REG-PW

cd in Ordner: C:\Program Files (x86)\ossec-agent\

In dem Ordner Befehl ausführen (Admin-Konsole):

agent-auth.exe -m <SENSOR-IP> -G windows-hosts -P <REG-PW>

Prüfen im Agent-Interface: zeigt "Running" und Key an:

grafik.png

Prüfen im CSOC-Dashboard:

status.csoc.de --> KD-Start --> Kunden UI --> Assets

Neu registrierter Agent sollte im Assets-Dashboard als "Verbunden" erscheinen:

grafik.png


Back to top