wazuh整体分析

已于 2022-04-16 20:17:06 修改
阅读量1.1k 收藏 4
点赞数
分类专栏: security distributed system 文章标签: edr
于 2021-09-28 14:55:36 首次发布
原文链接:https://wazuh.com/start/
版权

wazuh是什么

  • Wazuh是一个免费、开源和企业级的安全监控解决方案,用于威胁检测、完整性监控、事件响应和合规、也就是一套开源的完善的edr。
  • Wazuh是一个安全检测、可视化和安全合规开源项目。它最初是OSSEC HIDS的一个分支,后来与Elastic Stack和OpenSCAP集成在一起,发展成为一个更全面的解决方案。下面是这些工具的简要描述以及它们的作用:

wazuh大体结构

  

  • Wazuh代理:它安装在端点上,例如笔记本电脑,台式机,服务器,云实例或虚拟机。它提供日志采集、预防、检测和响应功能。支持大多数操作系统
  • Wazuh服务器:它分析从代理收到的数据,通过解码器和规则对其进行处理,并使用威胁情报来查找众所周知的危害指标(IOC)。一台服务器可以分析来自成百上千个代理的数据,并在设置为集群时水平扩展。该服务器还用于管理代理,在必要时进行远程配置和升级。
  • Elastic Stack:它索引和存储Wazuh服务器生成的警报。此外,Wazuh和Kibana之间的集成为数据的可视化和分析提供了强大的用户界面。该界面还可用于管理Wazuh配置并监视其状态。

agent

agent功能包括:日志采集、命令执行、文件完整性、安全配置评估、恶意程序检测,系统完整性分析、主动响应、容器安全监控、云安全监控

 Wazuh agent - Components · Wazuh documentation

client - Local configuration (ossec.conf) · Wazuh documentation

 agent可以选择tcp与udp与 server进行通信,默认情况下是tcp

server

wach服务端运行分析引擎、提供restful api、端点代理注册服务、连接服务、集群守护进程、转发和集中日志数据传送(比如传送到es)

Wazuh server - Components · Wazuh documentation

分析引擎内部包括:内聚功能(数据解码,规则匹配,数据关联),威胁情报,对接威胁模型,对抗技巧,安全隐患探测,法规模块,终端状态,整合进程(第三方api,其他系统)

Elastic Stack

fliebeat:轻量级的日志转发

Filebeat Reference [7.10] | Elastic filebeat指导手册


elasticsearch: 高度可伸缩的,全文检索与分析引擎
kibana: 一个灵活和直观的web界面,用于挖掘、分析和可视化数据

agentless

How it works - Agentless monitoring · Wazuh documentation

 ossec-agentlessd(旧版本agentlessd)

https://documentation.wazuh.com/3.10/user-manual/reference/daemons/ossec-agentlessd.html

ossec-agentless程序允许在没有安装agent的系统上运行完整性检查。

wazuh-agentlessd (新版本agentlessd)

wazuh-agentlessd - Daemons · Wazuh documentation

wazuh集群

NGINX Load balancer for a Wazuh cluster · Wazuh · The Open Source Security Platform

支持集群需要agent、服务端都修改配置,协议官方建议用tcp

agent ossec.conf

<ossec_config>
  <client>
    <server>      
      <address>LB_IP</address>

server(master, worker) ossec.conf

<ossec_config>
  <client>
    <server>               
      <address>LB_IP</address>
      <port>1514</port>
      <protocol>tcp</protocol>

nginx 配置

stream {
    upstream master {
        server wazuh-master:1515;
    }
    upstream mycluster {
    hash $remote_addr consistent;
        server wazuh-master:1514;
        server wazuh-worker1:1514;
        server wazuh-worker2:1514;
    }
    server {
        listen 1515;
        proxy_pass master;
    }
    server {
        listen 1514;
        proxy_pass mycluster;
    }
}

ghost+
关注
  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
wazuh-qa:Wazuh-质量保证自动化模板
02-16
瓦祖 Wazuh是一个免费的开源平台,用于威胁的预防,检测和响应。 它能够在本地,虚拟化,容器化和基于云的环境中保护工作负载。 Wazuh解决方案由部署到受监视系统的端点安全代理和管理服务器组成,该管理服务器收集和分析代理收集的数据。 此外,Wazuh已与Elastic Stack完全集成,提供了搜索引擎和数据可视化工具,使用户可以浏览其安全警报。 Wazuh质量检查资料库 在此存储库中,您将找到在CI环境中使用的测试,以测试Wazuh的功能和守护程序。 这是存储库的结构: deps/wazuh_testing :包含一个Python框架,用于自动执行任务并与Wazuh交互。 tests :包含测试套件的目录。 这些是使用Pytest开发的测试。 integration :不同守护程序/组件的集成测试。 system :Wazuh的系统测试。
wazuh-elastic7-template-alerts.json
06-29
wazuh-elastic7-template-alerts.json,wazuh的ES模块导入
利用wazuh对系统进行漏洞检测扫描
weixin_44151123的博客
03-07 447
Wazuh 能够使用漏洞检测器模块检测安装在代理上的应用程序中的漏洞此软件审计是通过集成由 Canonical、Debian、Red Hat、Arch Linux、ALAS(Amazon Linux 公告安全)、Microsoft 和国家漏洞数据库索引的漏洞源来执行的。
wazuh-kibana-app:Wazuh-Kibana插件
02-03
Wazuh Kibana应用程序 该存储库包含Wazuh Kibana插件,您可以从中通过可视化方式以简单易懂的方式浏览Wazuh数据。 它还允许您管理Wazuh服务器的配置和功能。 Wazuh是一个安全检测,可见性和合规性开源项目。 Wazuh通过在操作系统和应用程序级别监视主机,可以帮助您更深入地了解基础结构的安全性。 您可以在这里了解更多信息 描述 该Kibana插件可让您可视化和分析Elasticsearch中存储的Wazuh警报,并提供以下功能: 搜索按模块分类的警报,并使用不同的视图过滤警报。 您将能够在Wazuh群集级别和特定代理中浏览警报。 这些模块分为以下几个用例:
wazuh-api:Wazuh-RESTful API
02-04
Wazuh RESTful API Wazuh API是一种开源RESTful API,可通过您自己的应用程序或简单的Web浏览器或诸如cURL之类的工具与Wazuh进行交互。 我们的目标是完全远程管理Wazuh。 使用Wazuh API,现在最简单的方法就是执行日常操作,例如添加代理,检查配置或查找syscheck文件。 Wazuh API功能: 代理商管理 经理概述 根检查控制和搜索 安全配置评估(SCA) Syscheck控制和搜索 规则集信息 统计信息 HTTPS和用户身份验证 错误处理 文献资料 如何安装 索取参考 完整文件 分行 stable分支对应于最新的Wazuh A
Wazuh和clamav的联动 -操作记录.docx
09-14
wazuh与clamav的联动
wazuh介绍
q1415500189的博客
08-18 1286
wazuh搭建
Wazuh从入门到上线
ordersyhack
02-02 1万+
Wazuh从入门到上线
Wazuh--一个完善的开源EDR产品
网络安全研究
09-11 9691
1. 简介 Wazuh由部署到受监视系统的端点安全代理和管理服务器组成,管理服务器收集和分析代理收集的数据。此外,Wazuh已与Elastic Stack完全集成,提供了搜索引擎和数据可视化工具,使用户可以浏览其安全警报。 Wazuh提供的功能包括日志数据分析,入侵和恶意软件检测,文件完整性监视,配置评估,漏洞检测以及对法规遵从性的支持。 github: https://github.com/wazuh 2. Wazuh平台的组件和体系结构 Wazuh平台主要包括三个主要组件,分别是Wazuh代理,Wazu
Wazuh开源主机安全解决方案的简介与使用体验
watermelonbig的专栏
07-03 4944
今天我们给大家介绍的这款开源主机安全产品——Wazuh,是免费的开源软件。其组件遵守GNU通用公共许可证2版和Apache许可证2.0版(ALv2)。Wazuh平台提供XDR和SIEM功能来保护云、容器和服务器工作负载。其中包括日志数据分析、入侵和恶意软件检测、文件完整性监控、配置评估、漏洞检测,以及支持检查对法规遵从性的检测。...
wazuh安装配置及学习笔记
weixin_54704770的博客
08-23 1038
Wazuh是一个用于威胁预防、检测和响应的开源平台,它能够跨场所、虚拟化、容器化和基于云的环境保护工作负载;使用场景广泛包括但不局限于:入侵检测、日志数据分析、完整性检查、漏洞检测、配置评估、事故应变、合规、云安全、容器安全等;解决方案包括一个部署到被监控系统的终端安全代理和一个收集和分析代理收集的数据的管理服务器。此外,Wazuh 已经与 Elastic Stack 完全集成,提供了一个搜索引擎和数据可视化工具,允许用户通过他们的安全警报进行导航。
wazuh-ruleset:Wazuh-规则集
02-03
瓦祖规则集 该存储库处于只读模式,不再使用。 现在,所有与Wazuh规则集相关的内容都位于 。
wazuh-packages:Wazuh-软件包创建工具
02-04
Wazuh软件包 Wazuh是基于开源主机的入侵检测系统,它执行日志分析,文件完整性监视,策略监视,rootkit检测,实时警报,活动响应,漏洞检测器等。 在此存储库中,您可以找到必要的工具来构建用于基于Debian的OS的Wazuh软件包,基于RPM的OS软件包,macOS,用于IBM AIX的RPM软件包,OVA以及用于Kibana和Splunk的应用程序: 有助于 如果您想为我们的项目做出贡献,请随时发送拉取请求。 您还可以通过发送电子邮件至加入我们的用户,或填写此来提问和参与讨论,加入我们的Slack频道。 许可和版权 WAZUH版权所有(C)2015-2020 Wazuh Inc
wazuh-documentation:Wazuh-项目文档
02-03
Wazuh文档 Wazuh是一个免费的,开源的,可用于企业的安全监视解决方案,用于威胁检测,完整性监视,事件响应和合规性。 该资源库中提供了有关该项目的在线文档。 Wazuh团队的成员和社区用户为它的发展和日常改进做出了贡献。 在线文件 为这个项目做贡献 如果您想对本文档做出贡献,请阅读我们的文件,以了解有关如何部署开发环境和提交请求的更多信息。 您也可以通过发送电子邮件至wazuh[email protected]加入我们的,以提出问题并参与讨论。 使用的软件和库 3.5+ 3.0.4 0.9.2 1.1.13 版权和许可 版权所有:copyright:2020 Wazuh,Inc. Wazuh是免费软件; 您可以根据自由软件基金会发布的GNU通用公共许可证的条款重新分发和/或修改它; 许可的版本2,或(由您选择)任何更高的版本。
wazuh安装、Rootkit原理解析与检测实践
m0_69435261的博客
08-20 396
Wazuh 是一个免费的开源安全平台,统一了 XDR 和 SIEM 功能。它可以保护本地、虚拟化、容器化和基于云的环境中的工作负载。Wazuh 帮助组织和个人保护其数据资产免受安全威胁。它被全球数千个组织广泛使用,从小型企业到大型企业。Wazuh的使用场景有:入侵检测日志数据分析完整性检查漏洞检测配置评估应急响应云、容器安全等。
网络安全--wazuh环境配置及漏洞复现
m0_68976043的博客
08-20 3840
1.1进入官网下载OVA启动软件1.2点击启动部署,傻瓜式操作1.3通过账号:wazuh-user,密码:wazuh进入wazuh1.4将桥接模式更改为仅nat模式1.5更改配置之后输入重新启动命令 service network restart查看自身ipip a1.6配置已好,本地开启小皮Apache直接访问1.7有时会因为网络问题出现如下问题,我们采用重启wazuh即可。
wazuh 日志收集原理分析
热门推荐
guoguangwu的专栏
11-05 1万+
wazuh 默认安装到 /var/ossec目录下。 我基于manager端进行分析,和agent一样。默认启动ossec-logcollector进程去搜集日志:比如 snort日志、auditd日志、syslog日志等。 入口函数代码在src/logcollector/main.c中。 int main(int argc, char **argv) { /* 初始化处理: 命...
wazuh中的规则编写以及日志分析
qalx9的博客
08-23 649
Wazuh是一个免费、开源和企业级的安全监控解决方案,用于威胁检测、完整性监控、事件响应和合规、也就是一套开源的完善的edrWazuh是一个安全检测、可视化和安全合规开源项目。它最初是OSSEC HIDS的一个分支,后来与Elastic Stack和OpenSCAP集成在一起,发展成为一个更全面的解决方案。Wazuh的功能有:入侵检测日志数据分析完整性检查漏洞检测配置评估应急响应云、容器安全等。
BT利器之wazuh
求大佬师傅带
08-17 536
BT利器之wazuh
wazuh 设置中文
最新发布
04-24
Wazuh是一个开源的安全监控解决方案,它可以帮助组织实时监控和分析其IT基础设施的安全事件。Wazuh支持多种语言,包括中文。要将Wazuh设置为中文,您可以按照以下步骤进行操作: 1. 下载Wazuh的最新版本,并按照官方文档进行安装和配置。 2. 打开Wazuh的配置文件,通常位于`/var/ossec/etc/ossec.conf`。 3. 在配置文件中找到`<global>`部分,并添加以下行: ``` <global> <lang>zh</lang> </global> ``` 这将设置Wazuh的语言为中文。 4. 保存并关闭配置文件。 5. 重新启动Wazuh服务,以使更改生效。 这样,您就可以将Wazuh的界面和日志信息显示为中文了。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值