【无标题】

一、什么是wazuh
Wazuh 是一个免费的开源安全平台,统一了 XDR 和 SIEM 功能。它可以保护本地、虚拟化、容器化和基于云的环境中的工作负载。

Wazuh 帮助组织和个人保护其数据资产免受安全威胁。它被全球数千个组织广泛使用,从小型企业到大型企业。

Wazuh的使用场景有:

入侵检测
日志数据分析
完整性检查
漏洞检测
配置评估
应急响应
云、容器安全等
此外,Wazuh 已经与 Elastic Stack 完全集成,提供了一个搜索引擎和数据可视化工具,允许用户通过他们的安全警报进行导航。

二、wazuh的安装
1.仓库安装
添加wazuh的官方仓库来安装wazuh的安装包

具体流程可以跟着wazuh的官方文档来一步步走

Wazuh documentation

【无标题】_第1张图片

2.虚拟机OVA安装

在官方上下载OVA文件,可能比较大,几个g左右

下载完成后,可以在Vmware中直接导入虚拟机

右上角--->文件--->打开--->选择下载好的OVA文件

之后选择安装路径,跟着引导程序一步步走

【无标题】_第2张图片

 

三、浅析wazuh的规则、解码器等告警原理以及主动响应
1.主动响应(active-response)
主动响应的主要作用是检测到危险或者是告警之后,在一定条件下(比如告警等级大于7或者触发了某条或多条规则),可以做出一系列反应来禁止入侵者访问或登录你的系统

主动响应的脚本在/var/ossec/active-response/bin目录下

【无标题】_第3张图片 

这里面有许多脚本,比如

disable-account            禁止账户登录
firewalld-drop                防火墙拦截
host-deny                      禁止ip访问
restart-wazuh                重启wazuh服务

2.告警信息(alerts)
当入侵者或正常用户执行了某些命令、做了某些操作,触发了wazuh的规则,那么wazuh就会在日志中记录并告警

这个日志的目录是在/var/ossec/logs/alerts目录下

分为有日期的告警日志和总告警日志

以.json结尾的文件是json格式的日志,主要用于ELK分析展示

以.log结尾的文件是我们查看起来比较方便的格式
 

【无标题】_第4张图片

 

我们来仔细看一条告警信息

【无标题】_第5张图片

 

这条告警信息触发了规则ID5715,告警等级3,显示ssh认证成功

源IP地址:192.168.239.1

源端口:49688

用户:root

而告警信息同样也会在wazuh的可视化界面中展示出来,而且在界面中告警信息更加清晰

浏览器URL中输入https://

用户名和密码默认为admin:admin

进入后转到如下界面,这里就是wazuh的告警信息
 

【无标题】_第6张图片

 展开其中一条仍然可以看到我们刚刚在alerts.log日志中的信息,而且比日志看起来更方便

【无标题】_第7张图片

 

你可能感兴趣的:(笔记)