一、Wazuh 守护进程及工具进程
守护进程
ossec-agentd
https://documentation.wazuh.com/3.10/user-manual/reference/daemons/ossec-agentd.html
ossec-agentd程序是与服务器通信的客户端守护进程。它作为ossec运行,并被 chrooted to /var/ossec。
ossec-agentlessd
https://documentation.wazuh.com/3.10/user-manual/reference/daemons/ossec-agentlessd.html
ossec-agentless程序允许在没有安装agent的系统上运行完整性检查。
ossec-analysisd
https://documentation.wazuh.com/3.10/user-manual/reference/daemons/ossec-analysisd.html
ossec-analysisd程序接收日志消息并将其与规则进行比较。然后,当日志消息与适用的规则匹配时,它将创建一个警报。
ossec-authd
https://documentation.wazuh.com/3.10/user-manual/reference/daemons/ossec-authd.html
ossecc -authd程序可以自动向Wazuh管理器添加agent,并向agent提供密钥。它与agent-auth应用程序一起使用。该程序创建一个IP地址为any的agent,而不是使用特定的IP地址。
ossec-csyslogd
https://documentation.wazuh.com/3.10/user-manual/reference/daemons/ossec-csyslogd.html
ossec-csyslogd程序通过syslog转发警报。
ossec-dbd
https://documentation.wazuh.com/3.10/user-manual/reference/daemons/ossec-dbd.html
ossec-dbd程序将警报日志插入数据库。这些警报可以插入到postgresql或mysql中。
ossec-execd
https://documentation.wazuh.com/3.10/user-manual/reference/daemons/ossec-execd.html
ossec-execd程序通过初始化配置的脚本来运行活动响应。它还处理在agent中执行远程升级所需的套接字。
ossec-logcollector
https://documentation.wazuh.com/3.10/user-manual/reference/daemons/ossec-logcollector.html
ossec-logcollector程序监视为新的日志消息配置的文件和命令。此程序是多线程执行的。
ossec-maild
https://documentation.wazuh.com/3.10/user-manual/reference/daemons/ossec-maild.html
ossec-maild程序通过电子邮件发送警报。它由ossec-control启动。
ossec-monitord
https://documentation.wazuh.com/3.10/user-manual/reference/daemons/ossec-monitord.html
ossecc -monitord程序监视agent的连接。此外,它每天或当内部日志达到一定的可配置大小时对其进行旋转和压缩。
ossec-remoted
https://documentation.wazuh.com/3.10/user-manual/reference/daemons/ossec-remoted.html
ossec-remoted程序是与agent通信的服务器端守护进程。它作为ossecr运行,默认情况下是/var/ossec。
ossec-reportd
https://documentation.wazuh.com/3.10/user-manual/reference/daemons/ossec-reportd.html
ossec-reportd程序从Wazuh警报创建报告。它接收关于stdin的警报并输出关于stderr的报告。
ossec-syscheckd
https://documentation.wazuh.com/3.10/user-manual/reference/daemons/ossec-syscheckd.html
ossec-syscheckd程序检查配置文件的校验和、权限和所有权的更改。它使用ossec-control运行。
wazuh-clusterd
https://documentation.wazuh.com/3.10/user-manual/reference/daemons/clusterd.html
Wazuh -clusterd程序管理属于该集群的管理器之间的Wazuh集群通信,并同步所有文件。
wazuh-modulesd
https://documentation.wazuh.com/3.10/user-manual/reference/daemons/wazuh-modulesd.html
Wazuh -modulesd程序管理下面描述的Wazuh模块。
wazuh-db
https://documentation.wazuh.com/3.10/user-manual/reference/daemons/wazuh-db.html
https://documentation.wazuh.com/3.10/user-manual/reference/daemons/wazuh-db.html#tables-available-for-wazuh-db
Wazuh核心使用基于列表的数据库来存储与代理密钥和FIM/Rootcheck事件数据相关的信息。
ossec-integratord
https://documentation.wazuh.com/3.10/user-manual/reference/daemons/ossec-integratord.html
ossec-integratord是一个守护程序,它允许Wazuh连接到外部api和警报工具,如Slack、VirusTotal和PagerDuty。
工具进程
ossec-control 管理Wazuh进程的状态 manager, agent
agent-auth 添加agent到Wazuh管理端 agent
agent_control 允许管理端查询所有agent的信息 manager
manage_agents 为agent提供可处理的身份验证接口 manager, agent
ossec-logtest 允许根据提供的日志记录测试和验证规则 manager
ossec-makelists编译cdb数据库manager
rootcheck_control允许管理策略监控和系统审计数据库
manager
syscheck_control提供一个接口,用于管理自3.7版以来已废弃的完整性检查数据库。
manager
syscheck_update更新完整性检查数据库,该数据库自3.7版以来一直被弃用。manager
clear_stats清除事件状态manager
ossec-regex验证正则表达式manager
update_ruleset更新解码器,规则和rootchecksmanager
util.sh添加要由ossec-logcollector监视的文件manager agent
verify-agent-conf验证Wazuh的agent.conf配置manager
agent_groups管理和分配组manager
agent_upgrade罗列低版本的agent并升级manager
cluster_control管理和检索集群信息manager
fim_migrate将旧的FIM数据库迁移到Wazuh-DBmanager
一、Wauzh主要功能探索
Inverntory data展示主机基础信息:CPU、内存、arch、系统版本、网络接口信息、开放端口、网络配置、安装应用、进程
Web攻击检测:基于access.log日志进行,规则集为0245-web_rules.xml
漏洞风险检测:基于vulnerability-detector模块检测,需要配置feed以提供漏洞库支持
危险命令检测:基于audit审计功能,需要事先在agent服务器上配置审计规则,如:auditctl -a exit,always -F euid=0 -F arch=b64 -S execve -k audit-wazuh-c
反弹shell检测:同上,可以采用wazuh规则高耦合设计,结合网络连接匹配告警
web后门检测:基于关键字匹配
系统后门检测:基于恶意文件名字典库
提权:规则80721
自定义任务/规则下发:可以使用localfile或者wodle command模块实现,实现方式之后单独写一篇文章来介绍,包括新规则的一些创建要求。
暴力破解:基于日志审计功能,针对不同协议的暴力破解规则有5712(sshd)31510(WordPress/joomla)11510/11511/11512/40111/40112(MS-FTP)11251/11252(proftpd)11451(vsftp)30310/30116/30316(Apache)11109(ftpd)85760(MongoDB)60203/60204/18152/18156/18116(win-security、win-auth)64109(win-remote)19152/19153(VMware ESX)31316(Nginx)5551(pam)