Postman integracja z API Wazuh

    Daniel Nowak·
    BezpieczeństwohomelablinuxmonitoringTestowanieWazuh

    Postman – podstawy komunikacji z API i praktyczne zastosowanie w pracy administratora

    Postman to jedno z podstawowych narzędzi w pracy administratora systemów, DevOpsa oraz specjalisty Cyber Security. Umożliwia szybkie testowanie, analizowanie i automatyzowanie komunikacji z API bez konieczności pisania kodu.

    Bezpłatne warsztaty: NMAP – Skanowanie Urządzeń i Portów w Sieci

    Dowiedz się, jak wykrywać urządzenia w sieci, skanować porty i identyfikować usługi przy użyciu narzędzia NMAP. Poznasz podstawy skanowania, analizę wyników oraz praktyczne zastosowania w audycie bezpieczeństwa i testach penetracyjnych.

    Środa, 18 marca o 14:00

    Sprawdź szczegóły: https://asdevops.pl/warsztaty/

     

     

    Czym jest API i dlaczego administrator musi je znać?

    API (Application Programming Interface) to sposób komunikacji pomiędzy systemami. W praktyce:

    • systemy monitoringu,
    • narzędzia SIEM/XDR,
    • panele zarządzania,
    • platformy chmurowe

    Udostępniają swoje funkcje właśnie przez API. Administrator, który rozumie API, ma pełną kontrolę nad systemem, a nie tylko nad GUI.

    Podstawowe elementy Postmana

    Request (żądanie)

    Każde zapytanie składa się z:

    • metody: GET, POST, PUT, DELETE
    • URL: np. https://server:55000/security/users
    • nagłówków (Headers) – np. Authorization
    • body (opcjonalnie) – dane wysyłane do API

    Environment – klucz do porządku

    Environments pozwalają przechowywać:

    • adresy API (baseURL),
    • tokeny,
    • loginy i hasła testowe.

    Dzięki temu:

    • zmiana środowiska (DEV / PROD) = jedno kliknięcie,
    • nie edytujesz każdego requesta ręcznie.

    Przykład:

    baseURL-api = https://192.168.1.77:55000
token = {{auth_token}}

    Autoryzacja

    Postman obsługuje m.in.:

    • Basic Auth
    • Bearer Token (JWT)
    • API Keys

    W codziennej pracy administratora:

    • Wazuh API → token
    • Wazuh Indexer / OpenSearch → Basic Auth
    • Cloud / SaaS → Bearer Token

    Postman w codziennej pracy administratora

    Administracja i automatyzacja

    • sprawdzanie statusu usług (/health)
    • zarządzanie użytkownikami
    • pobieranie alertów i logów
    • testowanie webhooków i integracji

    Zamiast klikać w GUI – jedno zapytanie API.

    Monitoring i bezpieczeństwo

    W obszarze Cyber Security Postman pozwala:

    • testować API systemów SIEM (np. Wazuh),
    • analizować alerty bezpieczeństwa,
    • symulować ataki na API (brak auth, złe metody),
    • weryfikować, czy API nie udostępnia zbyt wielu danych.

    Przykład:

    GET /alerts?severity>10

    Cyber Security – spojrzenie ofensywne i defensywne

    Dla zespołów bezpieczeństwa Postman to:

    • szybkie testy podatności API,
    • sprawdzanie poprawności mechanizmów auth,
    • analiza odpowiedzi serwera (401 vs 403),
    • testowanie rate limiting i błędów logiki.

    Postman świetnie pokazuje, że API to dziś jeden z głównych wektorów ataku.

    Instalacja Postman na systemie Ubuntu

    W przeglądarce wyszukujemy stronę główną Postman i pobieramy narzędzie

    Pobierz wersję Linux x64

    Przejdź do folderu i wypakuj narzędzie, klikając na plik prawym myszy, wybierz Extract (w polskiej wersji językowej Wypakuj)

    Przejdź do wypakowanego folderu u uruchom narzędzie, klikając dwukrotnie na ikonę Postman

    Po uruchomieniu narzędzia stwórz nowe konto (Create Free Account) lub Continue with Google/Github, Single Sign On (SSO). Masz pełną dowolność

    Po zarejestrowaniu i zalogowaniu przywita Cię Pulpit nawigacyjny Postman

    Integracja Postman z Wazuh

    Kliknij Import, wybierz plik (files). Zaimportuj tej plik:

    Postman-Wazuh_integration

    Kliknij Import/files

    Wyszukaj pobrany plik i go zaimportuj Klikając Open (otwórz)

    Rozwiń listę i Kliknij w POST Wazuh Authenticate, zauważ {{baseUrl-api}} jest czerwone. Oznacza to że nie mamy dodanych zmiennych środowiskowych, w dalszej części artykułu, pokażę Ci jak to skonfigurować

    Przejdź do Environments, kliknij New i nadaj nazwę zmiennych środowiskowych (w moim przypadku Wazuh). PO nadaniu nazwy pod kolumną Variable, wpisz dokładnie te same dane co na screenie

    W sekcji baseUrl-api wpisz adres IP serwera Wazuh, koniecznie https://Twój-Adres-IP:55000. W api-username wpisz wazuh-wui (nazwa użytkownika API) oraz hasło, które pobierzemy z serwera Wazuh, następującą komendą:

    grep -r "password\|api.*user" /usr/share/wazuh-dashboard/data/wazuh/config/wazuh.yml 2>/dev/null | grep -v "^#"

Zaloguj się do serwera Wazuh, za pomocą ssh, skopuj password bez nawiasów i wklej do sekcji api-password

    Następnie przejdź do sekcji baseUrl-Indexer, wpisz adres Twojego serwera Wazuh https://Twój-Adres-IP:9200, w Indexer-user wpisz admin oraz hasło, w Indexer-password. Hasło pobierzemy ponownie z serwera Wazuh komendą:

    tar -axf wazuh-install-files.tar wazuh-install-files/wazuh-passwords.txt -O | grep -P "\'admin\'" -A 1

    Skopuj hasło bez nawiasów do sekcji Indexer-password

    Tak wygląda finalna konfiguracja

    Kolejnym krokiem jest wdrożenie naszej konfiguracji do projektu. W tym celu kliknij na Collection

    Wybierz projekt Wazuh, kliknij na No enviroment i wybierz świeżo utworzoną konfigurację

    Kliknij na POST Wazuh Authenticate, zauważ {{baseUrl-api}}, zmienił kolor na niebieski, czyli konfiguracja działa. Kliknij na Send, by pobrać token API Wazuh’a

    W sekcji Body, Postman pobrał token z serwera Wazuh i przypisał je do zmiennych środowiskowych. Wskazuje na to zielony napis 200 OK oraz Ciąg znaków tokena

    Wróć do sekcji Environments, zauważ pola Value dla token oraz tokenCreatedAt, zostały automatycznie zapełnione przez Postman.

    Przetestuj integrację Postman z Wazuh, kliknij na POST GET List Agents (pobierzemy listę maxymalnie 10 agentów znajdujących się w serwrze Wazuh). Zauważ przy {{baseUrl-api}} występuje składnia /agents?linit=10&offset=0 (liczbę wyświetlanych agentów możemy dowolnie modyfikować), oznacza to że postman automatycznie pobiera listę maksymanie 10 agentów o offsecie 0. Kliknij Send.

    W sekcji { } JSON, wyświetla się pobrana lista agentów z szczegółowym opisem, danego agenta

    W ten sposób możemy kontrolować co się dzieje w Wazuh jeśli chodzi o agentów. Bardzo ważną informacją jest czy agent działa czyli jest „status” : „active”

    Lub „status”: „disconnected”/”disconnection_time”: xxxxxxx, oraz którego dnia i godzinie agent przestał działać

    Wazuh management Server APIs działa poprawnie, zajmijmy się teraz Wazuh Indexer APIs. Przejdź do POST Count Alerts, {{baseURL-Indexer}} ma kolor niebieski (w teorii zapytanie powinno zadziałać). Kliknij Send. Jak możesz zauważyć wyświetla się błąd Error: connect ECONNREFUSED XXX.XXX.X.XX:9200

    Postman nie ma połączenia z Indexerem Wazuh

    By naprawić ten błąd komunikacji, przejdź ponownie do linii komend serwera Wazuh i edytuj plik /etc/wazuh-indexer/opensearch.yml, komendą:

    nano /etc/wazuh-indexer/opensearch.yml

    Na samej górze pliku dopisz nawiasy [ ] i po przecinku w cudzysłowie wpisz adres IP serwera Wazuh zapisz plik

    Następnie zrestartuj usługę wazuh-indexer komendą

    systemctl restart wazuh-indexer

    Prześlij ponownie zapytanie Send w POST GET List Agents. Postman zwraca nam wynik z informacją o liczbie alarmów bezpieczeństwa (count alerts). Na screenie widzimy 62 alerty (alarmy bezpieczeństwa)

    Uruchamiając kolejne zapytania dostajemy bardziej szczegółowe informacje związane z Alarmami Wazuha na poszczególnych agentach. Prostym przykładem jest POST Search Alerts, który wyszukuje zaistniałe zdarzenia na serwerze Wazuh jak i na agentach. Na sreenie mamy informację o poprawnym logowaniu się do serwera Wazuh (serwer nazywa się Wazuh-Testy), o „@timestamp”: (czas i data logowania), „level”: (poziom alarmu), „description”: (opis zdarzenia) oraz „full_log”: (cały log z opisem zdarzenia).

    Przetestuj i przeanalizuj inne zapytania, które zawarłem w Collecion Wazuh

    Na liście znajduje się także GET Indices, jest to zapytanie które pokazuje listę indeksów ich stan – coś jak komenda ls -lh dla indeksów. Używa się go głównie do szybkiej diagnostyki green = wszystko OK (primary + replica dostępnme), yellow = brak replik, red = problem z primary shardem. Open z kolei to stan indeksu (indeks aktywny, można czytać/pisać), close z kolei to indeks zamknięty. Wazuh-statistycs-2055.xxw (nazwa indeksu), następnie ciąg znaków to wewnętrzny identyfikator a liczby od 0 do 2 oznaczają 0 – liczba replica shards 1 – liczba primary shards 2 – liczba dokunów w tym indeksie oraz inne dane.

    Podsumowanie artykułu

    Artykuł wyjaśnia, czym jest API i dlaczego jego znajomość jest dziś kluczowa dla administratorów – większość nowoczesnych systemów (monitoring, SIEM/XDR, chmura, panele zarządzania) udostępnia swoje funkcje właśnie przez API. Dzięki temu administrator nie jest ograniczony do GUI i może automatyzować oraz precyzyjnie kontrolować systemy.

    Postman to podstawowe narzędzie do testowania i analizy API, jego kluczowe elementy: requesty (metody HTTP, URL, nagłówki, body), środowiska (Environments) oraz mechanizmy autoryzacji (Basic Auth, Bearer Token, API Keys). Pokazuje, jak użycie zmiennych środowiskowych upraszcza pracę między DEV/PROD i zwiększa bezpieczeństwo.

    W kolejnej części artykułu opisano zastosowanie Postmana w codziennej pracy administratora, m.in. do:

    • sprawdzania stanu usług,
    • zarządzania użytkownikami,
    • pobierania alertów i logów,
    • testowania webhooków i integracji,
    • analizy i diagnostyki systemów bezpieczeństwa.

    Duży nacisk położono na Cyber Security – zarówno w ujęciu defensywnym (analiza alertów, weryfikacja autoryzacji, kontrola wycieków danych), jak i ofensywnym (testy podatności API, błędy logiki, brak uwierzytelnienia, rate limiting). Podkreślam, że API jest dziś jednym z głównych wektorów ataku.

    Artykuł zawiera również instrukcję instalacji Postmana na Ubuntu oraz bardzo szczegółowy, praktyczny przewodnik integracji Postmana z Wazuh. Krok po kroku pokazano:

    • import gotowej kolekcji,
    • konfigurację środowisk i zmiennych,
    • pobieranie tokenów API,
    • komunikację z Wazuh Management API i Wazuh Indexer (OpenSearch),
    • rozwiązywanie problemów z połączeniem,
    • analizę agentów, alertów i indeksów.

    Całość kończy się prezentacją, jak za pomocą gotowych zapytań API można monitorować stan agentów, analizować alerty bezpieczeństwa oraz diagnozować indeksy Wazuh – bez klikania w GUI, w pełni automatycznie.

    Wniosek:
    Postman to nie tylko narzędzie testowe, ale realne wsparcie w administracji, monitoringu i cyberbezpieczeństwie, a umiejętność pracy z API jest dziś niezbędna dla nowoczesnego administratora.

    Bezpłatne warsztaty: NMAP – Skanowanie Urządzeń i Portów w Sieci

    Dowiedz się, jak wykrywać urządzenia w sieci, skanować porty i identyfikować usługi przy użyciu narzędzia NMAP. Poznasz podstawy skanowania, analizę wyników oraz praktyczne zastosowania w audycie bezpieczeństwa i testach penetracyjnych.

    Środa, 18 marca o 14:00

    Sprawdź szczegóły: https://asdevops.pl/warsztaty/

     

     

     

     

    Darmowe warsztaty NMAP - Skanowanie Urządzeń i Portów W Sieci

    Dołącz!
    X