Wazuh je open‑source SIEM i XDR platforma koja omogućuje centralizirano prikupljanje, analizu i korelaciju sigurnosnih događaja iz različitih izvora, uključujući endpoint uređaje, mrežnu opremu i cloud servise. Zahvaljujući modularnoj arhitekturi i agent‑based + agentless pristupu, idealan je za kućne labove, edukaciju i manje produkcijske okoline.
Postavljanje kućnog SIEM-a odličan je način za razumijevanje stvarnih sigurnosnih procesa: prikupljanja logova, korelacije događaja, detekcije anomalija i odgovora na incidente. U ovom vodiču prolazimo cijeli postupak — od pripreme virtualnog stroja do ingestiranja logova s endpointa i firewalla.
Za Wazuh server preporučuje se Linux distribucija poput Ubuntu Servera ili Debian-a. Minimalna konfiguracija za kućni lab uključuje:
- 4 GB RAM-a
- 2 CPU jezgre
- 20–40 GB prostora
- stabilnu mrežnu vezu (bridged ili NAT)
Prema Wazuh dokumentaciji, potrošnja resursa linearno raste s brojem agenata. Svaki agent generira vlastiti volumen događaja (autentikacije, sistemske promjene, FIM zapise, procese, mrežne aktivnosti). To znači da se CPU, RAM i disk moraju skalirati ovisno o broju endpointa. Kućni lab s nekoliko agenata može raditi na 2–4 GB RAM-a, dok okruženja s desetak ili više agenata zahtijevaju više resursa kako bi indeksiranje i obrada događaja ostali stabilni.
Nakon kreiranja VM-a u VirtualBoxu, VMwareu ili Proxmoxu, instalira se operacijski sustav i postavlja statička IP adresa kako bi Wazuh server bio lako dostupan ostalim uređajima.
Wazuh nudi jednostavnu instalacijsku skriptu koja automatski postavlja Elasticsearch, Kibanu i Wazuh server. To je najbrži i najstabilniji način za kućnu implementaciju.
Na svježe instaliranom OS-u pokreni:
curl -sO https://packages.wazuh.com/4.7/wazuh-install.sh
sudo bash wazuh-install.sh -a
Instalacija traje nekoliko minuta. Nakon završetka, Wazuh dashboard dostupan je putem preglednika (najčešće na https://IP-adresa:5601). Prijavi se inicijalnim korisničkim podacima koje generira instalacijska skripta.
Wazuh agenti omogućuju prikupljanje logova s Windows, Linux i macOS sustava. Na Windowsu se agent instalira putem MSI instalera, dok se na Linuxu koristi paketni menadžer.
U Wazuh dashboardu otvori Agents → Deploy new agent, odaberi operacijski sustav i slijedi upute. Ključni parametri su:
- IP adresa Wazuh servera
- agent key (generira se automatski)
- naziv agenta (hostname)
Nakon instalacije agent se automatski registrira i počinje slati logove: sistemske događaje, autentikacije, promjene datoteka, procese, mrežne aktivnosti i druge sigurnosno relevantne informacije.
Wazuh može primati Syslog događaje iz bilo kojeg firewalla koji podržava slanje logova prema udaljenom Syslog serveru. Budući da Wazuh uključuje ugrađeni Syslog listener, firewall može slati logove izravno na Wazuh bez potrebe za dodatnim posredničkim serverom.
Kada firewall pošalje događaje, Wazuh ih sprema u /var/ossec/logs/archives/archives.log u sirovom obliku, pod agent ID‑em 000, jer se radi o agentless izvoru. U dokumentu se navodi: “You can see all your logs (in raw form) in the file /var/ossec/logs/archives/archives.log.”
Ako se logovi ne pojavljuju, potrebno je omogućiti arhiviranje u ossec.conf:
<global>
<alerts_log>yes</alerts_log>
<logall>yes</logall>
<logall_json>yes</logall_json>
</global>
Nakon izmjena:
sudo systemctl restart wazuh-manager
Ako se logovi pojavljuju u archives.log, ali ne i u dashboardu, potrebno je dodati decoder koji će Wazuh-u objasniti strukturu firewall događaja.
Decoder se dodaje u:
/var/ossec/etc/decoders/local_decoder.xml
Primjer generičkog decodera (prilagodljiv bilo kojem firewall formatu):
<decoder name="Firewall_Generic">
<type>syslog</type>
<prematch>device_name="</prematch>
</decoder>
<decoder name="Firewall_Generic_child">
<parent>Firewall_Generic</parent>
<regex>device_name="(\S+)" timestamp="([^"]+)" log_type="([^"]+)" src_ip="([^"]+)" dst_ip="([^"]+)" protocol="([^"]+)" src_port=(\d+) dst_port=(\d+)"</regex>
<order>device_name,timestamp,log_type,src_ip,dst_ip,protocol,src_port,dst_port</order>
</decoder>
Pravila se dodaju u:
/var/ossec/etc/rules/local_rules.xml
Primjer:
<group name="custom_firewall">
<rule id="100040" level="3">
<decoded_as>Firewall_Generic</decoded_as>
<description>Firewall Log Event</description>
</rule>
</group>
Wazuh ima ugrađeni alat za testiranje decodera i pravila. U dokumentu se navodi: “It’s important that you see the fields in Phase 2 and the alert in Phase 3.”
Pokreni:
/var/ossec/bin/wazuh-logtest
Zalijepi firewall log (bez timestamp dijela koji dodaje rsyslog), npr.:
device_name="FW" timestamp="2024-01-01T12:00:00+0100" log_type="Firewall" src_ip="1.2.3.4" dst_ip="5.6.7.8" protocol="TCP" src_port=1234 dst_port=443
Ako je sve ispravno:
Phase 1: pre-decoding Phase 2: prikaz svih polja (decoder radi) Phase 3: aktivirano pravilo (alert generiran)
Nakon toga:
sudo systemctl restart wazuh-manager
Firewall logovi sada će biti vidljivi u Wazuh dashboardu.
Kućni SIEM nije samo edukativan projekt — on daje stvarni uvid u sigurnosne događaje u tvojoj mreži. Wazuh je dovoljno moćan za profesionalnu upotrebu, ali i dovoljno jednostavan za kućni lab. Uz pravilnu konfiguraciju možeš pratiti sve: od endpoint aktivnosti do firewall prometa.
Tijekom ovog serijala doticat ćemo se i drugih konfiguracijskih elemenata vezanih uz Wazuh, ali i drugih sigurnosnih proizvoda, kako bismo izgradili cjelovit, održiv i razumljiv sigurnosni ekosustav.
Sigurnost se ne može kupiti u kutiji. Ipak, mnoge organizacije se ponašaju kao da može. Primamljivo zapakirani sigurnosni softver često se nudi kao instant rješenje – ali bez stručnog korištenja, pretvara se u “policu”.
U današnjem svijetu kibernetičke sigurnosti sve je prisutniji fenomen "gomilanja alata" – opsesivna kupovina sve više sigurnosnih rješenja u nadi da kvantiteta znači zaštitu. Vendori nude sjajne nadzorne ploče i zvučne kratice, preprodavači obećavaju savršenu dubinsku obranu, a rukovoditelji bez dubljeg tehničkog znanja potpisuju narudžbenice kao da skupljaju sličice.
Ali istina je jednostavna: bez prave integracije, posvećenih stručnjaka, upravljanja i strategije, više alata često znači manje sigurnosti.
Svaki sigurnosni alat donosi vlastite agente, pravila, zapisnike i alarme. Umnožite to s deset ili dvadeset sustava i dobit ćete kaos umjesto kontrole. Mnogi alati se preklapaju u funkcionalnosti, sukobljavaju se međusobno ili djeluju izolirano bez razmjene konteksta.
U nekim okruženjima alati se doslovno bore jedni s drugima. Vatrozidi blokiraju legitiman promet koji je drugi alat označio. DLP i backup sustavi se sukobljavaju oko pristupa datotekama. Jedan alat označi upozorenje, ali ga SIEM ne može povezati jer formati nisu usklađeni. Drugim riječima, pretjerana kompleksnost urušava preglednost i učinkovitost obrane. Nije rijetkost da čak trećina novo kupljenih sigurnosnih rješenja ostane neiskorištena ili tek djelomično korištena
Rezultat? Sigurnosne rupe. Promašena upozorenja. Frustrirani timovi. Usporeni odgovori na incidente. I u najgorem slučaju – lažan osjećaj sigurnosti.
Sigurnosni vendori se hrane strahom, neizvjesnošću i sumnjom. Pokazuju crne statistike o probojima, nude skupe "srebrne metke" i sugeriraju da će vaša tvrtka biti sljedeća žrtva bez njihovog rješenja.
Ovakav model prodaje često uspije – ne zato što su alati loši (neki su izvrsni!) – već zato što donositelji odluka često nemaju tehničko vodstvo. Rukovoditelji bez savjetnika od povjerenja mogu odobriti nabave alata koje ne razumiju, ne trebaju ili ne mogu integrirati.
Nije rijetkost da organizacije troše stotine tisuća eura na sigurnosna rješenja, da bi mnoga od njih ostala neiskorištena ili loše konfigurirana. "shelfware" je svuda. Proračuni su potrošeni. Sigurnost nije poboljšana.
Kibernetička sigurnost je lanac. Svaka komponenta mora komunicirati, podržavati i ojačavati druge. Ako je ijedan dio neuravnotežen – direktorij koji ne sinkronizira, nezaštićeni endpoint, loše povezan IDS – lanac puca.
Raspršenost sigurnosnih alata povećava površinu napada. Više alata znači veću kompleksnost, više patchiranja, više posla oko integracije i više šansi za pogrešnu konfiguraciju.
Umjesto orkestrirane obrane, mnoge tvrtke završe s bučnim, fragmentiranim sustavom. Sigurnosni timovi žongliraju konzolama, upozorenja se gube u šumu, a napadači iskorištavaju rupe između alata.
Još jedan zanemaren aspekt? Krajnji korisnik. Alati štite ljude, ali mnoge sigurnosne strategije ignoriraju stvarne korisnike sustava.
Korisnici nisu sigurnosni stručnjaci. Ako je alat preinvazivan, zbunjujuć ili loše objašnjen, korisnici će ga zaobići, isključiti ili napraviti greške. Nije važno koliko vendora sudjeluje – ako sustav nije dizajniran s korisnikom na umu, neće funkcionirati.
Sigurnosni alati koštaju – s razlogom. Razvoj, održavanje i podrška su zahtjevni. Vendori zaslužuju zaraditi.
Ali moć nosi odgovornost.
Sigurnost ne smije biti pogonjena kratkoročnim profitom i taktikama zastrašivanja. Umjesto toga, cilj mora biti edukacija korisnika, procjena rizika i usklađivanje tehnologije, procesa i ljudi kako bi se rizik stvarno smanjio.
Vendori koji se ponašaju kao partneri, a ne prodavači, dugoročno će steći više povjerenja i posla. Kompetentni tehnički savjetnici igraju ovdje veliku ulogu. Bilo da su interni (vaš CISO, arhitekt sigurnosti) ili eksterni konzultanti, bitno je imati nekoga tko gleda širu sliku i nije zaslijepljen prodajnim targetima. Takvi savjetnici mogu napraviti pravu tehničku procjenu prije odluke o kupnji: sagledati cijeli lanac, uočiti gdje su stvarne slabe karike, te predložiti rješenja (bilo proceduralna ili tehnološka) koja će te karike ojačati bez da oslabe druge. Njihova uloga je biti glas razuma koji će reći “ne” kad se predloži nepotreban alat, ili “da, ali pod ovim uvjetima integracije” kad se razmatra neko rješenje. Nažalost, kao što smo vidjeli, taj glas se ponekad zagubi u metežu marketinga i prodaje. No, organizacije koje ga uspiju čuti i slijediti, izgradit će daleko otporniju obranu.
Prije nego što kupite još jedan "srebrni metak", popravite ono što već imate.
Patchirajte sustave. Pregledajte konfiguracije. Obučite ljude. Ugasite zastarjele račune. Uvedite MFA. Pratite postojeće alate.
Većina proboja se ne događa jer nije kupljen najnoviji alat, već zato što je ostavljen nezaštićen server, ukradena lozinka ili pogrešno postavljena opcija.
Sigurnost počinje s higijenom, a ne s hardverom.
Sigurnost nije u kupnji alata – nego u tome da oni rade zajedno, kroz strategiju i stručnost.
Kibernetička zaštita nije lista za shopping. Više ne znači bolje. Ponekad znači – više zbrke, troškova i ranjivosti.
Promijenimo način razmišljanja: od troši-troši-troši do poveži-integriraj-učvrsti. Tu stanuje prava sigurnost.