การตรวจสอบอุปกรณ์เครือข่าย Cisco ด้วย Wazuh: คู่มือฉบับสมบูรณ์

โครงสร้างพื้นฐานด้านเครือข่ายคือกระดูกสันหลังของระบบไอทีในองค์กรยุคใหม่ และการรวบรวม log จากอุปกรณ์เครือข่ายแบบรวมศูนย์เป็นกุญแจสำคัญในการดูแลความปลอดภัย บทความนี้จะแนะนำวิธีการเชื่อมต่อ สวิตช์หรือเราเตอร์ Cisco กับ Wazuh เพื่อให้คุณสามารถตรวจสอบสถานะของอุปกรณ์ได้แบบเรียลไทม์

ไม่ว่าจะเป็นเหตุการณ์พอร์ตลิงก์ขึ้น/ลง การเข้าสู่ระบบ หรือการเปลี่ยนแปลงค่าคอนฟิก — Wazuh ช่วยให้คุณเปลี่ยน log เหล่านี้ให้กลายเป็นข้อมูลเชิงลึกที่นำไปใช้ได้จริง

🚀 ทำไมต้องใช้ Wazuh กับ Cisco?

✅ รวมศูนย์ log จากอุปกรณ์ Cisco ทั้งหมด
🔍 ตรวจสอบเหตุการณ์ด้านเครือข่ายแบบเรียลไทม์
⚠️ ตั้งค่า alert ตามกฎและความเสี่ยง
📊 แสดงผลผ่านแดชบอร์ด Wazuh (Kibana)

🛠️ สถาปัตยกรรมระบบ

+--------------------+               +------------------------+               +---------------------+
|  Cisco Switches    +-------------> |  Wazuh Manager         +-------------> |  Wazuh Rules Engine |
|  (IOS/ASA/NX-OS)   | (UDP/TCP 514) |  (Logcollector active) |               |  (แจ้งเตือน)        |
+--------------------+               +-----------+------------+               +---------------------+
                                                  |
                                                  | บันทึก log
                                                  v
                                     +----------------------------+
                                     | /var/ossec/logs/archives/ |
                                     | /var/ossec/logs/alerts/   |
                                     +-------------+--------------+
                                                   |
                                        ส่งต่อไปยัง (ถ้ามี)
                                                   v
                                    +------------------------------+
                                    |     Wazuh Dashboard (Kibana) |
                                    |     สำหรับการดู log และ alert |
                                    +------------------------------+

⚙️ ขั้นตอนการตั้งค่า

1. ตั้งค่า Cisco Switch ให้ส่ง Syslog

เข้าสู่โหมดคอนฟิกบนอุปกรณ์ Cisco:

conf t
logging host <WAZUH_IP> transport udp port 514
logging trap informational
service timestamps log datetime msec
exit

คุณสามารถเปลี่ยน udp เป็น tcp ได้ถ้าต้องการความน่าเชื่อถือสูงขึ้น

2. ตั้งค่า Wazuh Manager ให้รับ Syslog

เปิดไฟล์ /var/ossec/etc/ossec.conf และเพิ่มบล็อก:

<remote>
  <connection>syslog</connection>
  <port>514</port>
  <protocol>udp</protocol>
  <allowed-ips>192.168.10.0/24</allowed-ips>
  <local_ip>192.168.10.10</local_ip> <!-- IP ของเครื่อง Wazuh -->
</remote>

จากนั้นรีสตาร์ต Wazuh:

sudo systemctl restart wazuh-manager

3. ตัวอย่าง Log จาก Cisco

<189>Jun 10 14:22:10 switch01 33953: %LINK-3-UPDOWN: Interface GigabitEthernet1/0/24, changed state to up
<189>Jun 10 14:23:45 switch01 33954: %SEC_LOGIN-5-LOGIN_SUCCESS: Login Success [user: admin] [Source: 192.168.1.50]
<190>Jun 10 14:24:30 switch01 33955: %SYS-5-CONFIG_I: Configured from console by admin on vty0 (192.168.1.50)

Wazuh จะถอดรหัส log และจัดหมวดหมู่ให้พร้อมใช้งานในระบบ

4. แสดงผลใน Wazuh Dashboard

เมื่อรับ log แล้ว คุณสามารถ:

ค้นหา log ตาม IP หรือประเภทเหตุการณ์
สร้าง dashboard สำหรับ:
- การตรวจจับลิงก์อัป/ดาวน์
- การ login ที่ผิดพลาด
- การเปลี่ยนค่าคอนฟิก

🔒 ข้อควรระวัง: ตั้งค่า `<allowed-ips>`

ตัวอย่างเช่น:

<allowed-ips>192.168.10.0/24</allowed-ips>

เพื่อจำกัดเฉพาะ IP ของอุปกรณ์ที่เชื่อถือได้เท่านั้นในการส่ง syslog เข้ามา

✅ สรุป

การรวม log จากอุปกรณ์ Cisco เข้ากับ Wazuh ช่วยให้องค์กรของคุณสามารถเฝ้าระวังโครงสร้างพื้นฐานด้านเครือข่ายได้อย่างมั่นใจ พร้อมรับมือกับภัยคุกคามและเหตุการณ์ผิดปกติแบบเรียลไทม์