Wazuh E-Mail Notification Konfigürasyonu

Bu yazıda Wazuh üzerinden kurallara göre email bildirimi almak için gerekli konfigürasyonları paylaşacağım.

Email Server Ayarları

İlk aşamada wazuh sunucusuna aşağıdaki paketlerin yüklenmesi gerekiyor.

apt-get update && apt-get install postfix mailutils libsasl2-2 ca-certificates libsasl2-modules

Yükleme işleminden sonra /etc/postfix/main.cf dizini içerisinde aşağıdaki konfigürasyonu kendi mail sunucunuza göre düzenlemeniz gerekiyor.

relayhost = [MailServer]:587
smtp_sasl_auth_enable = yes
smtp_sasl_password_maps = hash:/etc/postfix/sasl_passwd
smtp_sasl_security_options = noanonymous
smtp_tls_CAfile = /etc/ssl/certs/ca-certificates.crt
smtp_use_tls = yes
smtpd_relay_restrictions = permit_mynetworks, permit_sasl_authenticated, defer_unauth_destination

Sonraki adımda gönderen email ve şifre ayarlarlarının yapılması. Bunun için aşağıdaki komutu relay edeceğiniz mail server ve kullanıcı bilgilerinize göre düzenleyin:

echo [mailserver]:587 USERNAME@gmail.com:PASSWORD > /etc/postfix/sasl_passwd
postmap /etc/postfix/sasl_passwd
chmod 400 /etc/postfix/sasl_passwd

Şifrenizin konfig dosyalarında görünür olmaması için aşağıdaki komutları çalıştırın.

chown root:root /etc/postfix/sasl_passwd /etc/postfix/sasl_passwd.db
chmod 0600 /etc/postfix/sasl_passwd /etc/postfix/sasl_passwd.db

Ve postfix’i yeniden başlatın.

systemctl restart postfix

Yukarıdaki işlemlerden sonra postfix ve relay ayarlarının doğruluğunu anlayabilmek için aşağıdaki komut ile test maili gönderin:

echo "Test mail from postfix" | mail -s "Test Postfix" -r "you@example.com" you@example.com

Bu işlemde başarılıysa wazuh üzerinden mail gönderebiliyoruz demektir. Şimdi rule’a göre bildirim mailinin gitmesi için /var/ossec/etc/ossec.conf dosyasında bazı ayarlamaların yapılması gerekiyor.

  <email_notification>yes</email_notification>
  <smtp_server>localhost</smtp_server>
  <email_from>USERNAME@gmail.com</email_from>
  <email_to>you@example.com</email_to>

<global></global> tagları içerisinde yukarı konfigleri kendi mail adreslerinize göre ekleyin.

Bu işlemlerden sonra default olarak alert serviyesi 12 ve üstü olan alertler ilgili mail adresine düşmesi gerekiyor.

Kaynak
  • https://documentation.wazuh.com/current/user-manual/manager/manual-email-report/smtp-authentication.html
  • https://documentation.wazuh.com/current/user-manual/manager/manual-email-report/index.html

Leave a Reply

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir