入侵检测系统HIDS_wazuh使用及部署

文章目录

      • wazuh简介
      • wazuh在线文档及下载资源
        • 虚拟机默认用户是:
      • 访问页面登录,默认是用户:`admin`,密码:`admin`
      • 进入系统后页面
      • 点击代理总数
      • 选择需要添加的主机
      • 需要检测的主机测试是否ping通wazuh服务机
      • 测试访问通后,添加新代理
        • 添加分组-自动生成下面3的指令
      • 需要检测的主机执行上面生成的指令
        • 粘贴到powershell命令窗口中
        • 执行完,最后需要检测的主机启动服务执行指令
          • 检查连接状态
        • 在wazuh页面,点击箭头1,可以看到2中代理数出现一个,检查status状态是已连接
      • 使用点击监控的主机
      • 进入被监测的主机
        • 进入后点击事件,可以进行elk日志的筛选
      • 点击完整监测
        • 点击库存 --》文件和注册表
      • 基线检查
        • 进入页面后
        • 基线检查事项
      • 漏洞查看
        • 漏洞事件为0,虚拟机版的不支持,需要搭建官方版
      • att&ck面板
        • 进入att&ct面板页面
      • 尝试使用弱口令爆破是否告警
      • 登录到wazuh,查看攻击事件
        • 查看有暴力破解
        • 点击蛮力查看
        • 使用时间筛选
        • 点击蛮力
        • 弹窗详情
          • 点击下箭头,展示详情

wazuh简介

Wazuh平台提供XDR和SIEM功能来保护云、容器和服务器工作负载。是国外产品,
其中包括日志数据分析、入侵和恶意软件检测、文件完整性监控、配置评估、漏洞检测等

wazuh在线文档及下载资源

https://documentation.wazuh.com/current/deployment-options/virtual-machine/virtual-machine.html

虚拟机默认用户是:
user: wazuh-user
password: wazuh

访问页面登录,默认是用户:admin,密码:admin

页面登录:
URL: https://
user: admin
password: admin

入侵检测系统HIDS_wazuh使用及部署_第1张图片

进入系统后页面

入侵检测系统HIDS_wazuh使用及部署_第2张图片

点击代理总数

入侵检测系统HIDS_wazuh使用及部署_第3张图片

选择需要添加的主机

入侵检测系统HIDS_wazuh使用及部署_第4张图片

需要检测的主机测试是否ping通wazuh服务机

代理机windows机:192.168.225.206
测试: ping 192.168.225.217

入侵检测系统HIDS_wazuh使用及部署_第5张图片

测试访问通后,添加新代理

入侵检测系统HIDS_wazuh使用及部署_第6张图片

添加分组-自动生成下面3的指令
Invoke-WebRequest -Uri https://packages.wazuh.com/4.x/windows/wazuh-agent-4.7.0-1.msi -OutFile ${env.tmp}\wazuh-agent; msiexec.exe /i ${env.tmp}\wazuh-agent /q WAZUH_MANAGER='192.168.225.217' WAZUH_AGENT_GROUP='default' WAZUH_AGENT_NAME='testgroup' WAZUH_REGISTRATION_SERVER='192.168.225.217' 

NET START WazuhSvc

入侵检测系统HIDS_wazuh使用及部署_第7张图片

需要检测的主机执行上面生成的指令

Invoke-WebRequest -Uri https://packages.wazuh.com/4.x/windows/wazuh-agent-4.7.0-1.msi -OutFile ${env.tmp}\wazuh-agent; msiexec.exe /i ${env.tmp}\wazuh-agent /q WAZUH_MANAGER='192.168.225.217' WAZUH_AGENT_GROUP='default' WAZUH_AGENT_NAME='testgroup' WAZUH_REGISTRATION_SERVER='192.168.225.217' 

NET START WazuhSvc

入侵检测系统HIDS_wazuh使用及部署_第8张图片

粘贴到powershell命令窗口中

入侵检测系统HIDS_wazuh使用及部署_第9张图片

执行完,最后需要检测的主机启动服务执行指令
NET START WazuhSvc

入侵检测系统HIDS_wazuh使用及部署_第10张图片

入侵检测系统HIDS_wazuh使用及部署_第11张图片

检查连接状态
netstat  -an

入侵检测系统HIDS_wazuh使用及部署_第12张图片

在wazuh页面,点击箭头1,可以看到2中代理数出现一个,检查status状态是已连接

入侵检测系统HIDS_wazuh使用及部署_第13张图片

使用点击监控的主机

入侵检测系统HIDS_wazuh使用及部署_第14张图片

进入被监测的主机

入侵检测系统HIDS_wazuh使用及部署_第15张图片

进入后点击事件,可以进行elk日志的筛选

入侵检测系统HIDS_wazuh使用及部署_第16张图片

点击完整监测

入侵检测系统HIDS_wazuh使用及部署_第17张图片

点击库存 --》文件和注册表

入侵检测系统HIDS_wazuh使用及部署_第18张图片

基线检查

入侵检测系统HIDS_wazuh使用及部署_第19张图片

进入页面后

入侵检测系统HIDS_wazuh使用及部署_第20张图片

基线检查事项

入侵检测系统HIDS_wazuh使用及部署_第21张图片

漏洞查看

入侵检测系统HIDS_wazuh使用及部署_第22张图片

漏洞事件为0,虚拟机版的不支持,需要搭建官方版

入侵检测系统HIDS_wazuh使用及部署_第23张图片

att&ck面板

入侵检测系统HIDS_wazuh使用及部署_第24张图片

进入att&ct面板页面

入侵检测系统HIDS_wazuh使用及部署_第25张图片

入侵检测系统HIDS_wazuh使用及部署_第26张图片

尝试使用弱口令爆破是否告警

入侵检测系统HIDS_wazuh使用及部署_第27张图片

入侵检测系统HIDS_wazuh使用及部署_第28张图片

登录到wazuh,查看攻击事件

入侵检测系统HIDS_wazuh使用及部署_第29张图片

查看有暴力破解

入侵检测系统HIDS_wazuh使用及部署_第30张图片

点击蛮力查看

入侵检测系统HIDS_wazuh使用及部署_第31张图片

使用时间筛选

入侵检测系统HIDS_wazuh使用及部署_第32张图片

点击蛮力

入侵检测系统HIDS_wazuh使用及部署_第33张图片

弹窗详情

入侵检测系统HIDS_wazuh使用及部署_第34张图片

点击下箭头,展示详情

入侵检测系统HIDS_wazuh使用及部署_第35张图片

你可能感兴趣的:(应急溯源,安全,web安全,网络安全)