【无标题】

一、什么是wazuh
Wazuh 是一个免费的开源安全平台，统一了 XDR 和 SIEM 功能。它可以保护本地、虚拟化、容器化和基于云的环境中的工作负载。

Wazuh 帮助组织和个人保护其数据资产免受安全威胁。它被全球数千个组织广泛使用，从小型企业到大型企业。

Wazuh的使用场景有：

入侵检测
日志数据分析
完整性检查
漏洞检测
配置评估
应急响应
云、容器安全等
此外，Wazuh 已经与 Elastic Stack 完全集成，提供了一个搜索引擎和数据可视化工具，允许用户通过他们的安全警报进行导航。

二、wazuh的安装
1.仓库安装
添加wazuh的官方仓库来安装wazuh的安装包

具体流程可以跟着wazuh的官方文档来一步步走

Wazuh documentation

2.虚拟机OVA安装

在官方上下载OVA文件，可能比较大，几个g左右

下载完成后，可以在Vmware中直接导入虚拟机

右上角--->文件--->打开--->选择下载好的OVA文件

之后选择安装路径，跟着引导程序一步步走

 

三、浅析wazuh的规则、解码器等告警原理以及主动响应
1.主动响应(active-response)
主动响应的主要作用是检测到危险或者是告警之后，在一定条件下(比如告警等级大于7或者触发了某条或多条规则)，可以做出一系列反应来禁止入侵者访问或登录你的系统

主动响应的脚本在/var/ossec/active-response/bin目录下

 

这里面有许多脚本，比如

disable-account            禁止账户登录
firewalld-drop                防火墙拦截
host-deny                      禁止ip访问
restart-wazuh                重启wazuh服务

2.告警信息(alerts)
当入侵者或正常用户执行了某些命令、做了某些操作，触发了wazuh的规则，那么wazuh就会在日志中记录并告警

这个日志的目录是在/var/ossec/logs/alerts目录下

分为有日期的告警日志和总告警日志

以.json结尾的文件是json格式的日志，主要用于ELK分析展示

以.log结尾的文件是我们查看起来比较方便的格式
 

 

我们来仔细看一条告警信息

 

这条告警信息触发了规则ID5715，告警等级3，显示ssh认证成功

源IP地址：192.168.239.1

源端口：49688

用户：root

而告警信息同样也会在wazuh的可视化界面中展示出来，而且在界面中告警信息更加清晰

浏览器URL中输入https://

用户名和密码默认为admin:admin

进入后转到如下界面，这里就是wazuh的告警信息
 

 展开其中一条仍然可以看到我们刚刚在alerts.log日志中的信息，而且比日志看起来更方便