一度で終わらせるSIEM構築：WazuhとELKを活用したスレットハンティングの第一歩（基礎）

こんにちはZerominiです。

追加参考資料としてDocker環境でのWazuh構築とSOAR適用概要について簡単な資料を

共有するので、学習に注意してください。

該当活用講義については今後アップロードさせていただきます。

こんにちはZerominiです

以下のブログを参照してWazuhが基本的に提供するルール+ Chainsaw + SigmaRuleを活用して効果的に脅威ハンティングを行い、その結果をWazuh Agentを通じてELKで確認が可能です。

https://socfortress.medium.com/wazuh-and-chainsaw-integration-for-near-real-time-sigma-detection-6f3e729e892

こんにちはZerominiです

オープンソースを活用して体系を構築できるように簡潔にまとめたブログです。一度参考にしてください

ありがとう

注リンク：

https://larbi-ouiyzme.medium.com/maximizing-cybersecurity-with-open-source-and-hybrid-solutions-a-guide-for-blue-teams-ff622102f58e

このコンテンツは、受講生（Airmanさん）がトラブルシューティングに関する内容を共有してくれました。

トラブルシューティングの概要：Linuxのインストール時に「英語」でインストールする（エンコードなどのいくつかの問題のため、 unattended.sh （シェルスクリプト）が正常に動作しない

クラスの途中で以下のコマンドを実行してunattendedインストールを実行するように指示しますが、「英語以外の言語でUbuntuをインストールした場合」エラーが発生し、インストール中に中断されます。 curl -so ~/ unattended-installation.sh https://packages.wazuh.com/resources/4.2/open-distro/unattended-installation/unattended-installation.sh && bash ~/ unattended-installation.sh -i ターミナル output ：シェルスクリプト内の332行目にオペランドがありません〜問題の原因：シェルスクリプトの331行目でfree -gコマンドを実行してMemという文字列を見つけて、そこで2番目の引数の値を見つけるという内容があります。 」まず解決策としては、最初からUbuntuをインストールするときに英語でインストールしましょう。別の言語でUbuntuをインストールした場合は、以下の手順で英語に変更してcurl ~~コマンドを実行することをお勧めします。 locale -aコマンドでen_US.UTF-8があるかどうかを確認します。

ある場合) sudo update-locale LANG=en_US.UTF-8

存在しない場合) sudo locale-gen en_US.UTF-8 実行後 sudo update-locale LANG=en_US.UTF-8 実行

再起動を必要とせずにシステム変更を適用する*

存在するかどうかにかかわらず、最後に次のコマンドを実行します）source /etc/default/locale

もちろん、言語をあえて変えずにスクリプトの内容を free -g | awk 'NR==2{print $2}' このように変更することもできますが、面倒にシェルスクリプトの該当内容を探したくないからです。失敗エラーが表示された後、bash ~/ unattended-installation.sh -i —overwriteこれを再度 overwrite オプションを追加して実行しますか？と言えますが、これも「結局はクリーンインストールがきちんとできず、何かインストールになっていないとエラーが何度も現れます」

• 解決方法は、講義受講生分「CP」が内容を共有してくれました。

• できない場合は、以下の方法で解決してください。
  
  Edit > Virtual Network Editor に入り、 bridged to を automatic ではなく現在使用中のネットワークを選択