wazuh-API 防篡改

最新推荐文章于 2024-07-03 16:37:09 发布
最新推荐文章于 2024-07-03 16:37:09 发布
阅读量988 收藏 2
点赞数 2
分类专栏: 防篡改
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Devour_/article/details/110130879
版权

Wazuh API

Wazuh API是一种开源的RESTful API,允许通过web浏览器、cURL之类的命令行工具或任何可以发出web请求的脚本或程序与Wazuh管理器进行交互。Wazuh Kibana应用程序严重依赖于此

Wazuh的目标是通过Wazuh Kibana应用程序适应对Wazuh基础设施的完整远程管理。使用API可以轻松执行日常操作,如添加代理、重启管理器或代理或查找syscheck详细信息

 

参见官方文档:https://documentation.wazuh.com/3.13/user-manual/api/index.html

Wazuh API功能:

代理管理

经理控制及概述

Rootcheck控制和搜索

Syscheck控制和搜索

规则集信息

统计信息

HTTPS和用户身份验证

错误处理

查询远程配置

wazuh API基本使用

API在启动时启动。要控制或检查wazuh-api服务,请使用systemctl或service命令。

Systemd systems

# systemctl start/status/stop/restart wazuh-api

SysVinit systems

# service wazuh-api start/status/stop/restart

 

使用cURL命令发送一个请求,以确认一切都按预期工作:

curl -u foo:bar "https://localhost:55000?pretty"

  • curl:用于通过HTTP和HTTPS发送请求和命令的命令行工具
  • -u foo:bar:验证API的用户名和密码。
  • https://localhost:55000:如果您在管理器本身上运行命令,将使用的API URL。
  • ?pretty:使JSON输出更易于读懂的参数。
  •  

基本概念

下面是一些与API请求和理解它们的响应有关的基本概念:

1、每个请求的基本URL是https://IP:55000/或http://IP:55000/,这取决于是否在API中启用和设置了SSL。

2、所有响应均为JSON格式,

  • error如果一切正常,则为0,否则为错误代码。
  • data请求的数据。只有当错误时候为0。
  • message错误描述。只有当错误时候不为0时(展示错误信息)。

 

注意:

  • 包含数据集合的响应将返回最多500个元素。偏移量和限制参数可用于遍历大型集合。
  • 所有响应都有一个HTTP状态码:2xx(成功)、4xx(客户端错误)、5xx(服务器错误)等等。
  • 所有请求都接受pretty参数,以将JSON响应转换为更易于阅读的格式。
  • API日志以/var/ossec /log /api.log的形式存储在管理器上。API日志每天轮换。循环存储在/var/ossec/log /api/<year>/<month>中,并使用gzip进行压缩。
  • 如果在一段时间后没有收到任何响应,那么所有API请求将被中止。参数wait_for_complete可用于禁用此超时。这对于花费比预期更多时间的调用非常有用,例如PUT/agents/:agent_id/upgrade见官方文档:使用在线存储库中的WPK文件升级代理。(链接如下):https://documentation.wazuh.com/3.13/user-manual/api/reference.html#upgrade-agent-using-online-repository

官方用例:

官方文档的测试用例(帮助了解wazuh API): https://documentation.wazuh.com/3.13/user-manual/api/getting-started.html#use-cases

 

使用查询过滤数据

基本用法

使用Wazuh API的查询可以进行预先过滤。使用q参数指定查询。查询有以下结构:

字段名称:要筛选的字段名称。如果使用了不正确的字段名,将会引发错误。

 

操作符:过滤操作符:

  • =: equality.
  • !=: not equality.
  • <: smaller.
  • >: bigger.
  • ~: like as.

值:用于过滤过滤的值。

 

分隔符:连接多个“查询”的操作符:  用 q 标识

  • ,: represents an OR.
  • ;: represents an AND.

官方示例:

官方链接:

https://documentation.wazuh.com/3.13/user-manual/api/queries.html#examples

根据操作系统名称和操作系统版本过滤代理:

同一字段可以多次使用以获得更准确的结果。例如,比Ubuntu 12高但比Ubuntu 18低的过滤代理:

curl -u foo:bar -X GET "https://localhost:55000/agents?pretty&q=os.name=ubuntu;os.version>12;os.version<18&select=id,name,os.name,os.version,os.codename,os.major"

 

使用OR操作符的一个例子是过滤Ubuntu或CentOS代理:

curl -u foo:bar -X GET "https://localhost:55000/agents?pretty&q=os.name=ubuntu,os.name=centos+linux&select=id,name,os.name,os.version,os.codename,os.major"
  • & :作为分隔符
  • q :作为---标识,标识接下来的条件作为过滤条件
  • select :表示查询后要展示的字段(个人理解)
  • < > = != :作为条件符号---查询过滤的条件符号
  • , :表示 或
  • ; :表示 与

按日期过滤rootcheck事件

下面的示例展示了如何检查在指定的时间框架内生成的rootcheck事件:

curl -u foo:bar -X GET "https://localhost:55000/rootcheck/001?pretty&q=oldDay<3h25m&limit=2"

可以使用操作符>和<一起指定更精确的时间框架:

curl -u foo:bar -X GET "https://localhost:55000/rootcheck/001?pretty&q=oldDay<3h30m;oldDay>3h&limit=2"
  • limit :返回的最大元素数。
  • 3h10m :这个条件是限制什么 没搞懂

wazuh API配置

默认情况下,API将绑定到端口55000/tcp,并需要用户名和密码身份验证。默认的用户名和密码是“foo”和“bar”。

基本配置

配置脚本:

运行脚本/var/ossec/api/scripts/configure_api.sh来配置基本设置。

 

该脚本同时支持无人值守配置和有人值守配置。要设置无人值守配置的参数,请使用文件/var/ossec/api/configuration/preloaded_vars.conf。该文件将在运行脚本后删除写入其中的任何敏感信息。

 

配置文件

你可以在文件/var/ossec/api/configuration/config.js中配置某些API设置:

 

确保在编辑配置文件后重新启动wazuh-api服务:

  1. For Systemd:

# systemctl restart wazuh-api

  1. For SysV Init:

# service wazuh-api restart

 

基本身份认证

通常建议创建新的凭证来替换foo:bar。这可以很容易地做以下步骤,替换你想要的用户名为我的用户名:

cd /var/ossec/api/configuration/auth
node htpasswd -c user myUserName

运行上述命令后,在提示符处输入所需的密码。

 

不要忘记重新启动API来应用这些更改:

For Systemd:

# systemctl restart wazuh-api

For SysV Init:

# service wazuh-api restart

 

手动启用https支持

生成密钥和证书请求(需要Openssl):

cd /var/ossec/api/configuration/ssl
openssl genrsa -des3 -out server.key 1024
openssl req -new -key server.key -out server.csr

 

默认情况下,每次运行服务器时都必须输入密钥的密码。如果您不想每次都输入密码,您可以通过运行以下命令删除密码:   

cp server.key server.key.org
openssl rsa -in server.key.org -out server.key

 

接下来生成您的自签名证书:

openssl x509 -req -days 365 -in server.csr -signkey server.key -out server.crt

 

并删除临时文件:

rm server.csr
rm server.key.org

 

补充

     curl

       CURL CURL是一个用于发送http/https请求和命令的命令行工具。它预装在许多LinuxMac系统上,可以用于与API交互。一些例子:

 

active-response命令

在代理中运行AR命令

在指定代理上运行活动响应命令。

Request:

PUT

/active-response/:agent_id

Parameters:

Param

Type

Description

agent_id

Number

Agent ID.

command

String

Command running in the agent. If this value starts by !, then it refers to a script name instead of a command name.

custom

Boolean

Whether the specified command is a custom command or not.

arguments

String[]

Array with command arguments.

Example Request:

curl -u foo:bar -k -X PUT -d '{"command":"restart-ossec0", "arguments": ["-", "null", "(from_the_server)", "(no_rule_id)"]}' -H 'Content-Type:application/json' "https://127.0.0.1:55000/active-response/001?pretty"

Example Response:utput

{
    "error": 0,
    "data": "Command sent."
}

 

python

       您还可以使用PythonAPI交互,如下所示:

 

有关更完整的示例,请参见/var/ossec/api/examples/api-client.py.

PowerShell

https://documentation.wazuh.com/3.13/user-manual/api/examples.html#powershell

 

 

 

Devour_
关注
专栏目录
wazuh-app RESTful API归纳总结
weixin_43295228的博客
08-30 1076
Active Response 动态入侵规避 指定终,发送可执行命令, 进行终控制或检测 PUT /active-response/:agent_id Agent 模块 agent的添加与删除 POST /agents POST /agents/:agent_name POST /agents/insert 插入现有的agent。 DELETE /agents?ids=&pur...
wazuh-elastic7-template-alerts.json
06-29
wazuh-elastic7-template-alerts.json,wazuh的ES模块导入
wazuh-apiWazuh-RESTful API
02-04
Wazuh RESTful API Wazuh API是一种开源RESTful API,可通过您自己的应用程序或简单的Web浏览器或诸如cURL之类的工具与Wazuh进行交互。 我们的目标是完全远程管理Wazuh。 使用Wazuh API,现在最简单的方法就是执行日常操作,例如添加代理,检查配置或查找syscheck文件。 Wazuh API功能: 代理商管理 经理概述 根检查控制和搜索 安全配置评估(SCA) Syscheck控制和搜索 规则集信息 统计信息 HTTPS和用户身份验证 错误处理 文献资料 如何安装 索取参考 完整文件 分行 stable分支对应于最新的Wazuh A
Wazuh安装&功能测试——一篇到底
网安小白的博客
04-21 2730
Wazuh的下载安装&功能测试,一篇就够了~
2024年值得收藏的几款开源主机安全系统hids
最新发布
corpcorp的博客
07-03 431
Elkeid是字节跳动旗下的一个云原生的基于主机的安全解决方案,Elkeid 不仅具备传统的 HIDS的对于主机层入侵检测和恶意文件识别的能力,且对容器内的恶意行为也可以很好的识别,部署在宿主机即可以满足宿主机与其上容器内的反入侵安全需求,并且 Elkeid 底层强大的内核态数据采集能力可以满足大部分安全运营人员对于主机层数据的渴望。项目地址:https://github.com/httpwaf/ 或 https://gitee.com/httpwaf/优点是扫描的模块多,缺点是只兼容Centos系列。
wazuh api分析
thinker
10-15 699
代码所在路径wazuh\api\scripts\wazuh-apid.py。wazuh api服务进程。wazuh服务架构。
解决kibana启动时:3005 - wrong protocol being used to connect to the wazuh apiWazuh API seems to be dow
Devour_的博客
01-13 424
解决elasticsearch缺少模板问题(https://mp.csdn.net/editor/html/112570396)后,依然不能正常检测到 wazuh api 状态,默认ip和口。 现在:解决kibana启动时:3005 - wrong protocol being used to connect to the wazuh api 解决Wazuh API seems to be down 1、 修改 /usr/share/kibana/optimize/...
wazuh
Devotedakura的博客
08-20 657
Wazuh 是一个免费、开源和企业级的安全监控解决方案,用于威胁检测、完整性监控、事件响应和合规性。Wazuh部署到受监视系统的点安全代理和管理服务器组成,管理服务器收集和分析代理收集的数据。此外,Wazuh已与Elastic Stack完全集成,提供了搜索引擎和数据可视化工具,使用户可以浏览其安全警报。Wazuh提供的功能包括日志数据分析,入侵和恶意软件检测,文件完整性监视,配置评估,漏洞检测以及对法规遵从性的支持。对于日志来说,最常见的需求就是收集、存储、查询、展示,
wazuh-docker:Wazuh-Docker容器
02-03
wazuh-opendistro:它运行Wazuh管理器,Wazuh API和Filebeat OSS(用于与ODFE集成) wazuh-kibana-opendistro:提供一个Web用户界面来浏览警报数据。 它包括用于Kibana的Wazuh插件,使您可以可视化代理的配置和...
wazuh-ruleset:Wazuh-规则集
02-03
`wazuh-ruleset-master`可能是Wazuh规则集的一个版本仓库,包含了规则文件的源代码或配置。用户需要按照官方文档的指引,将这些规则导入到Wazuh服务器中,然后配置代理以应用这些规则。 总结起来,Wazuh规则集是...
wazuh, Wazuh主机和点安全性.zip
09-18
wazuh, Wazuh主机和点安全性 Wazuh Wazuh帮助你在操作系统和应用程序级别监控主机,从而帮助你获得更深入的基础。 这里解决方案基于轻量级多平台代理,提供以下功能:日志管理和分析: 代理读取操作系统和应用程序日志,并安全地将它们转发到一
wazuh-cloudformation:Wazuh-Amazon AWS Cloudformation
05-20
Wazuh for Amazon AWS Cloudformation 该存储库包含CloudFormation模板和配置脚本,以在Amazon Web Services(AWS)中部署Wazuh生产就绪环境和Wazuh演示环境: 生产就绪环境: 一个VPC,具有两个子网,一个用于...
Ansible-wazuh-ansible.zip
09-18
在“Ansible-wazuh-ansible.zip”这个压缩包中,包含的是一个名为“wazuh-ansible-master”的项目,它主要用于使用Ansible来自动化Wazuh的安全监控和日志分析平台的部署Wazuh是一款开源的安全操作中心(SOC)、...
开源的网页篡改监控工具推荐——WGCLOUD
tianshiyeben的专栏
04-20 4549
WGCLOUD是一款轻量高性能的分布式监控系统 "支持主机各种指标监控(cpu/温度,内存,磁盘容量/IO,硬盘smart监控,系统负载,网卡流量,硬件系统信息等),数据可视化,进程应用监控,大屏可视化展板,服务接口检测,DOCKER监控,公众看板,自动生成网络拓扑图,口监控,日志文件监控,告警信息推送(默认邮件,可集成钉钉微信短信等),同时集成了WebTerminal堡垒机能力" 其中服务接口检测模块,可以监控网页是否被篡改,如果被篡改时候会报500错误代码,并进行告警 如下图是如何使用的截图
推荐开源项目:终极反作弊系统 - UltimateAntiCheat
gitblog_00084的博客
06-19 364
推荐开源项目:终极反作弊系统 - UltimateAntiCheat UltimateAntiCheatResearch project: make some elaborate anti-cheat to detect: memory editing, debugging, certificates (and spoofing), injected modules, etc项目地址:https...
WAZUH--安装
Devour_的博客
11-02 2726
安装Wazuh服务器 Wazuh服务器可以安装在任何类型的Unix操作系统上。最常见安装在Linux上。如果可以为您的系统提供自动化脚本,则安装过程会更容易,但是,从源码构建和安装也非常简单。 通常在Wazuh服务器上安装两个组件:管理器和API。此外,对于分布式体系结构(Wazuh服务器将数据发送到远程Elastic Stack集群),需要安装Filebeat。 安装Wazuh服务器有多种选择,具体取决于操作系统以及是否希望从源代码构建。请参阅下表并选择如何安装: 类型 描述 RPM包
wazuh介绍
q1415500189的博客
08-18 1516
wazuh搭建
Wazuh: 一款超强大的威胁预、检测安全平台,支持虚拟化、容器化和云环境保护...
easylife206的专栏
08-08 1566
公众号关注「奇妙的 Linux 世界」设为「星标」,每天带你玩转 Linux !Wazuh是一个用于威胁预、检测和响应的开源平台,它能够跨场所、虚拟化、容器化和基于云的环境保护工作负载。解决方案包括一个部署到被监控系统的终安全代理和一个收集和分析代理收集的数据的管理服务器。此外,Wazuh 已经与 Elastic Stack 完全集成,提供了一个搜索引擎和数据可视...
--> Finished Dependency Resolution Error: wazuh-manager conflicts with wazuh-agent-4.3.11-1.i386 Error: wazuh-agent conflicts with wazuh-manager-4.4.3-1.x86_64 You could try using --skip-broken to work around the problem You could try running: rpm -Va --nofiles --nodigest怎么办
06-09
这个错误提示表明wazuh-managerwazuh-agent之间存在冲突,导致无法安装。建议你尝试使用--skip-broken选项来绕过这个问题,或者运行rpm -Va --nofiles --nodigest命令来修复已损坏的包。如果问题仍然存在,你可以...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值