开源HIDS-Wauzh测试使用

Wazuh简介

前端时间调研了一些HIDS的开源系统:

https://github.com/Neo23x0/Fenrir更加方便(不需要安装代理或者软件包)使用的IOC扫描工具

https://github.com/ysrc/yulong-hids由 Agent, Daemon, Server 和 Web 四个部分组成的服务器入侵检测系统

https://github.com/InQuest/awesome-yara基于yara(一款识别和分类恶意软件样本的开源工具)所写的安全核查规则

https://github.com/grayddq/GScan:基于checklist的Linux主机安全扫描

https://documentation.wazuh.com/3.10/index.html:数据收集基于ELK并集合了威胁检测、安全监控、事件响应等的开源OSSEC系统

从完整度来看,Wauzh无疑是企业快速化部署HIDS的有利工具,现成的agent-server-web框架节省了大量的开发时间,可以把精力专注在规则的撰写上。

Wauzh 服务端docker部署

官网:https://documentation.wazuh.com/3.10/docker/docker-installation.html

curl安装

curl -L "https://github.com/docker/compose/releases/download/1.24.1/docker-compose-$(uname -s)-$(uname -m)" -o /usr/local/bin/docker-compose

chmod +x /usr/local/bin/docker-compose

或者pip安装

pip install docker-compose

验证是否安装成功

docker-compose –version

配置服务器参数max_map_count

sysctl -w vm.max_map_count=262144

创建安装路径

mkdir /data/wazuh && cd /data/wazuh

下载docker配置文件

curl -so docker-compose.yml https://raw.githubusercontent.com/wazuh/wazuh-docker/3.9.5_7.2.1/docker-compose.yml

可以修改docker-compose.yml,加上密码


vi docker-compose.yml

拉取容器创建并且启动Wazuh

docker-compose up -d


进入容器时需要注意一下默认名字是简化的,不能使用容器的name


访问web页面(kibana)


wazuh agent安装

Linux

需要安装audit:

yum install audit

https://documentation.wazuh.com/3.10/installation-guide/installing-wazuh-agent/linux/centos6-or-greater/wazuh_agent_package_centos6_or_greater.html#wazuh-agent-package-centos6-or-greater

官网提供了yum安装(需要加入wazuh的仓库地址)和源码安装(整包下载,选择agent部署)

在此选择下载客户端的RPM包安装:

https://documentation.wazuh.com/3.10/installation-guide/packages-list/index.html

wget https://packages.wazuh.com/3.x/yum/wazuh-agent-3.10.2-1.x86_64.rpm

rpm -ivh wazuh-agent-3.10.2-1.x86_64.rpm

手动注册agent

回到wazuh服务端,进入到wazuh的容器中

docker-compose exec wazuh /bin/bash

/var/ossec/bin/manage_agents

A

JDB(新agent的命名,这之后需要从CMDB上获取IP的主机名称)

1.1.1.1(新agent的IP地址)

y

添加好以后显示:

Agent added with ID 001.

E(给agent创建key)

001(输入需要创建key的agent ID)

Agent key information for '001' is:

MDAxIEpEQiAxMDAuNzMuMjAuNDcgNzRjNTM0NTU2MTRjNTU2OWYyYmFmODM2NzI1ZGMyOTk4MDM4Njk3NTA1NTE4YWRkMWI0MzM1ZjE2MzY0NzUwNw==

回到agent端上,

使用key注册agent

/var/ossec/bin/manage_agents -i MDAxIEpEQiAxMDAuNzMuMjAuNDcgNzRjNTM0NTU2MTRjNTU2OWYyYmFmODM2NzI1ZGMyOTk4MDM4Njk3NTA1NTE4YWRkMWI0MzM1ZjE2MzY0NzUwNw==

vi /var/ossec/etc/ossec.conf

添加服务端的IP

serverIP

启动agent

service wazuh-agent start

显示

Starting Wazuh:                                            [  OK  ]


进入服务端页面https://服务端IP/app/wazuh#/overview/?_g=()&tabView=panels&tab=welcome&_a=(columns:!(_source),index:'wazuh-alerts-3.x-*',interval:auto,query:(language:kuery,query:''),sort:!(timestamp,desc))

可以看到已经有agent显示了


自动注册agent

其实就是在agent上操作,在agent端

/var/ossec/bin/agent-auth -m 服务端IP

此时agent的name即为主机名:


vi /var/ossec/etc/ossec.conf

添加服务端IP

启动

service wazuh-agent start

Windows

agent部署服务器

下载安装包https://packages.wazuh.com/3.x/windows/wazuh-agent-3.10.2-1.msi

双击运行,默认文件保存在C:\Program Files (x86)\ossec-agent

注册agent

https://documentation.wazuh.com/3.10/user-manual/registering/windows-simple-registration.html

你可能感兴趣的:(开源HIDS-Wauzh测试使用)