wazuh的基本使用

目录

1、安装

2、部署

3、复现

4、扩展

---

1、安装

1）官方地址

Open Source XDR. Open Source SIEM | Wazuhhttps://wazuh.com/

 

 点击下载即可

2）使用VMware Workstation Pro打开

点击打开虚拟机，选择刚下载的ova镜像即可

 

 初始化的账号：wazuh-user

 初始化的密码：wazuh

3）查看ip

 

2、部署

1）浏览器访问刚查询的IP 

 这里的默认账号和密码都是：admin

 进入：

 2）添加代理

在cotens 下添加：

sudo WAZUH_MANAGER='192.168.200.137' WAZUH_AGENT_GROUP='default' WAZUH_AGENT_NAME='ww' yum install -y https://packages.wazuh.com/4.x/yum/wazuh-agent-4.5.0-1.x86_64.rpm

注：我这里的wazuh 的IP地址是192.168.200.137 每一台的设备都不同

 开启服务：

systemctl start wazuh-agent
systemctl status wazuh-agent
systemctl enable wazuh-agen

 

3） 在线情况的确认

 

4）测试

做一个小测试：在centos 这个系统中使用xshell连接，然后输入三次错误密码

 

3、复现

1）首先在centos 这个系统下安装httpd服务，然后开启服务

2） 将以下行添加到 Wazuh 代理/var/ossec/etc/ossec.conf文件中，这允许 Wazuh 代理监控 httpd 服务器的访问日志

 
    apache
    /var/log/httpd/access_log
 

 如图：

然后在centos 系统下重新启动wazuh

systemctl restart wazuh-agent

 3）在客户端进行访问

curl -XGET "http:///users/?id=SELECT+*+FROM+users";

 

 然后我们进入wazuh，我们可以看到这里的SQL在尝试注入

 然后我们详细的分析一下这个31103的规则：

 先查找在哪一个文件：

 打开此文件：

  我们可以看到触发规则的字段：select、insert、from、where、union 这些关键词通常与SQL查询语句相关，Wazuh可能使用这些规则来监测系统中的日志，以便检测是否有恶意的SQL注入攻击行为。

4、扩展

wazuh 规则中的告警级别

级别	描述	告警实例
level 0	忽略，不会采取任何行动	用来避免误报，这里没有安全问题
level 2	系统低优先级的通知	没有安全相关性的状态消息
level 3	成功或授权的事件	成功登录，防火墙允许的事件
level 5	用户生成的错误	密码错误，拒绝操作
level 6	低威胁的攻击	对系统没有威胁的蠕虫或病毒(例如Linux机器上的Windows蠕虫)
level 9	来自无效源的错误信息	试图以未知用户或无效的来源登录
level 10	用户产生重复性的错误	多个错误密码，多次登录失败
level 11	完整性检查的警告	检测到二进制文件被修改或通过rootcheck检测到rootkit存在信息。它们可能表明袭击成功
level 12	重要事件	来自系统或内核的错误或告警
level 13	异常错误(重要)	常见的攻击模式，如缓冲区溢出尝试
level 14	重要安全事件	多个检测规则形成关联结果
level 15	严重的攻击成功	很少产生误报，发现这个级别的告警需要立即处理