Para implantar o agente Wazuh no seu endpoint siga os passos abaixo:

1) Baixe o executável do agente Wazuh Clique aqui.

1.1) Se o download não iniciar verifique:

• Se a hora e data do dispositivo está correta.

• Se o Antivírus está bloqueando o download;

2) Mova o arquivo para o Disco Local (C:). 

Obs: deixa na raiz.

3) Na barra de pesquisa do Windows digite cmd e selecione  a opção Executar como Administrador.

4) Cole o comando abaixo. 

4.1. Onde esta escrito default, Modifique para nome do seu grupo 

4.2. Consulte a lista de grupos clicando aqui

wazuh-agent-4.12.0-1.msi /q WAZUH_MANAGER=wazuh.ctic.ufpa.br WAZUH_AGENT_GROUP=default

5) Inicialize o serviço:

NET START Wazuh

6) Verifique se o Agente pegou informações como:

• Nome

• ID

• Status: Running.

• Authentication Key: observe se está preenchida.

4) Instalação do Sysmon

4.1) Baixe o Sysmon:

4.1.1.) Windows 8, 10, 11 (clique aqui)

4.1.2) Windows 7 (Clique aqui)

4.2) Extraia o arquivo e copie para o Disco Local (C:)

4.3) Se o arquivo de configuração (xml) não estiver dentro da pasta Sysmon baixe -> (clique aqui)

4.4) Transfira o arquivo de configuração para a Disco Local (C:) > Sysmon

4.5) Execute o prompt (cmd) como Administrador

4.6) Se você observar no cmd que está no diretório "C:\Windows\System32" ou algo similar, então utitlize os comandos abaixo:

 cd..\..\

• Depois acesse a pasta Sysmon pelo comando:

cd Sysmon 

4.7) Cole o comando:

Arquitetura 32 bits

sysmon.exe -accepteula -i sysmonconfig-export.xml

Arquitetura 64 bits

sysmon64.exe -accepteula -i sysmonconfig-export.xml

4.8) Valide se o Sysmon foi instalado e iniciado pelo próprio prompt:

4.9) Validando via interface: na barra de pesquisa do Windows digite Visualizador de Eventos, no menu lateral esquerdo selecione: Logs de Aplicativos e Serviços > Microsoft > Windows > Sysmon observe se o Sysmon está coletando os log em tempo real.

1) Instalação do Wazuh no Linux

1.1) Acesse o terminal como superusuário

1.2) Cole o comando abaixo no terminal

1.3) Altere a variável default em WAZUH_AGENT_GROUP para o nome do seu grupo (Consulte a Lista de Grupos aqui)

wget https://packages.wazuh.com/4.x/apt/pool/main/w/wazuh-agent/wazuh-agent_4.12.0-1_amd64.deb && sudo WAZUH_MANAGER='wazuh.ctic.ufpa.br' WAZUH_AGENT_GROUP='default' dpkg -i ./wazuh-agent_4.12.0-1_amd64.deb

1.3) Inicialize o agente

sudo systemctl daemon-reload

sudo systemctl enable wazuh-agent

sudo systemctl start wazuh-agent

systemctl status wazuh-agent

1) Arquitetura Intel

1) Instalação do Wazuh no Mac (Arquitetura Intel)

1.1) Acesse o terminal como Administrador;

1.2) Cole o comando abaixo no terminal:

curl -so wazuh-agent.pkg https://packages.wazuh.com/4.x/macos/wazuh-agent-4.12.0-1.intel64.pkg

1.3) Altere a variável WAZUH_AGENT_GROUP = "default" (Consulte a Lista de Grupos aqui)

echo "WAZUH_MANAGER='wazuh.ctic.ufpa.br' && WAZUH_AGENT_GROUP='default'" > /tmp/wazuh_envs && sudo installer -pkg ./wazuh-agent.pkg -target /

1.4) Ative, inicialize e verifique o status do serviço:

launchctl enable system/com.wazuh.agent

launchctl bootstrap system /Library/LaunchDaemons/com.wazuh.agent.plist

/Library/Ossec/bin/wazuh-control status

2) Arquitetura ARM

2) Instalação do Wazuh no Mac (Arquitetura ARM)

2.1) Acesse o terminal como Administrador;

2.2) Cole o comando abaixo no terminal:

curl -so wazuh-agent.pkg https://packages.wazuh.com/4.x/macos/wazuh-agent-4.12.0-1.arm64.pkg

2.3) Altere a variável WAZUH_AGENT_GROUP = "default" (Consulte a Lista de Grupos aqui)

echo "WAZUH_MANAGER='wazuh.ctic.ufpa.br' && WAZUH_AGENT_GROUP='default'" > /tmp/wazuh_envs && sudo installer -pkg ./wazuh-agent.pkg -target /

2.4) Ative, inicialize e verifique o status do serviço:

launchctl enable system/com.wazuh.agent

launchctl bootstrap system /Library/LaunchDaemons/com.wazuh.agent.plist

/Library/Ossec/bin/wazuh-control status

O agente Wazuh é multi-plataforma e roda nos endpoints que o usuário deseja monitorar. Ele se comunica com o servidor Wazuh, enviando dados quase em tempo real através de um canal criptografado e autenticado.