ECSS - Wazuh Lab 2

Instalar sensores Wazuh no Windows Server e Windows 11

Roteiro simples para conectar as maquinas Windows ao Wazuh instalado no Ubuntu Server.

Lab anterior Proximo lab

Cenario

O servidor Wazuh ja esta instalado no Ubuntu Server. Agora o aluno deve instalar o agente Wazuh no Windows Server e no Windows 11 do proprio laboratorio.

A instalacao sera feita pela propria interface web do Wazuh, usando o assistente Deploy new agent. Ao final, as duas maquinas devem aparecer como agentes ativos.

Resumo

Duracao
30 a 40 min
Wazuh
10.50.X.12
Windows Server
10.50.X.10
Windows 11
10.50.X.11
Dominio
ECSS.LOCAL

Antes de comecar

Substitua X pelo numero do seu aluno. Exemplo: student01 = 10.50.1.12, student02 = 10.50.2.12.
  • O Wazuh deve estar instalado e acessivel no Ubuntu Server.
  • Use a interface web do Wazuh para gerar o comando de instalacao do agente.
  • Execute o comando gerado no Windows Server e no Windows 11 em PowerShell como Administrador.

1. Confirmar acesso ao Wazuh

No Windows 11, abra o navegador e acesse:

https://10.50.X.12

Entre no dashboard com o usuario admin e a senha gerada no Lab 1.

2. Instalar pela interface web do Wazuh

  1. No Wazuh, abra Agents.
  2. Clique em Deploy new agent.
  3. Selecione Windows.
  4. Informe o endereco do manager: 10.50.X.12.
  5. Copie o comando gerado pela interface.
  6. No Windows Server, abra o PowerShell como Administrador e cole o comando.
  7. Volte ao dashboard e gere/repita o mesmo processo para o Windows 11.
O aluno deve usar o comando exibido pelo Wazuh. Ele ja vem apontando para o manager informado.

3. Fallback do instrutor

Use este modelo somente se a interface web do Wazuh nao gerar o comando.

$WazuhManager = "10.50.X.12"
$Installer = "$env:TEMP\wazuh-agent.msi"

Invoke-WebRequest -Uri "https://packages.wazuh.com/4.x/windows/wazuh-agent-4.14.1-1.msi" -OutFile $Installer
msiexec.exe /i $Installer /q WAZUH_MANAGER="$WazuhManager" WAZUH_AGENT_GROUP="default"
Start-Service WazuhSvc
Get-Service WazuhSvc

4. Validar os agentes

No Wazuh Dashboard, acesse Agents e confirme os dois agentes:

Maquina IP esperado Status esperado
Windows Server 10.50.X.10 Active
Windows 11 10.50.X.11 Active

5. Troubleshooting rapido

Se o agente nao aparecer, rode na maquina Windows afetada:

Restart-Service WazuhSvc
Get-Service WazuhSvc
Get-Content "C:\Program Files (x86)\ossec-agent\ossec.log" -Tail 40

Verifique tambem se a maquina Windows consegue acessar o Wazuh em https://10.50.X.12.

Checklist de entrega

  • Agente Wazuh instalado no Windows Server.
  • Agente Wazuh instalado no Windows 11.
  • Servico WazuhSvc rodando nas duas maquinas.
  • Dois agentes ativos no dashboard.