Bu yazıda Wazuh üzerinden kurallara göre email bildirimi almak için gerekli konfigürasyonları paylaşacağım.
Email Server Ayarları
İlk aşamada wazuh sunucusuna aşağıdaki paketlerin yüklenmesi gerekiyor.
apt-get update && apt-get install postfix mailutils libsasl2-2 ca-certificates libsasl2-modules
Yükleme işleminden sonra /etc/postfix/main.cf dizini içerisinde aşağıdaki konfigürasyonu kendi mail sunucunuza göre düzenlemeniz gerekiyor.
relayhost = [MailServer]:587
smtp_sasl_auth_enable = yes
smtp_sasl_password_maps = hash:/etc/postfix/sasl_passwd
smtp_sasl_security_options = noanonymous
smtp_tls_CAfile = /etc/ssl/certs/ca-certificates.crt
smtp_use_tls = yes
smtpd_relay_restrictions = permit_mynetworks, permit_sasl_authenticated, defer_unauth_destination
Sonraki adımda gönderen email ve şifre ayarlarlarının yapılması. Bunun için aşağıdaki komutu relay edeceğiniz mail server ve kullanıcı bilgilerinize göre düzenleyin:
echo [mailserver]:587 USERNAME@gmail.com:PASSWORD > /etc/postfix/sasl_passwd
postmap /etc/postfix/sasl_passwd
chmod 400 /etc/postfix/sasl_passwd
Şifrenizin konfig dosyalarında görünür olmaması için aşağıdaki komutları çalıştırın.
chown root:root /etc/postfix/sasl_passwd /etc/postfix/sasl_passwd.db
chmod 0600 /etc/postfix/sasl_passwd /etc/postfix/sasl_passwd.db
Ve postfix’i yeniden başlatın.
systemctl restart postfix
Yukarıdaki işlemlerden sonra postfix ve relay ayarlarının doğruluğunu anlayabilmek için aşağıdaki komut ile test maili gönderin:
echo "Test mail from postfix" | mail -s "Test Postfix" -r "you@example.com" you@example.com
Bu işlemde başarılıysa wazuh üzerinden mail gönderebiliyoruz demektir. Şimdi rule’a göre bildirim mailinin gitmesi için /var/ossec/etc/ossec.conf dosyasında bazı ayarlamaların yapılması gerekiyor.
<email_notification>yes</email_notification>
<smtp_server>localhost</smtp_server>
<email_from>USERNAME@gmail.com</email_from>
<email_to>you@example.com</email_to>
<global></global> tagları içerisinde yukarı konfigleri kendi mail adreslerinize göre ekleyin.
Bu işlemlerden sonra default olarak alert serviyesi 12 ve üstü olan alertler ilgili mail adresine düşmesi gerekiyor.
Kaynak
- https://documentation.wazuh.com/current/user-manual/manager/manual-email-report/smtp-authentication.html
- https://documentation.wazuh.com/current/user-manual/manager/manual-email-report/index.html