经历了上一次的惨痛教训(ailx10:wazuh 一键安装失败体验),我还是成功的安装wazuh,令人可气的是,因为防火墙没有关,导致一些权限刷不进去,折腾了那么久,唉,又涨经验了,下次做实验之前,首先关闭防火墙~
Agent 主页
主页信息比较少,默认展示在线的Agent列表,这里只有1个在线,就是我的win10主机,随后我又上线了win7电脑,linux电脑,都ok了,搭建过程算成功了,很圆满~
进入win10主机的画像,首先也是概要信息,里面有ID,在线状态,IP地址,Agent版本,分组,操作系统,集群节点,注册日期,最近上线时间等。另外,概要里面包含了ATT&CK的统计信息,合规统计信息,事件趋势,安全配置评估~
主机安全事件
包含告警分组数量趋势图,告警数量趋势图,Top5告警分布图~
Top5告警,Top5规则分布,Top5 PCI-DSS需求分布~
安全告警列表,包含时间,ATT&CK技术,ATT&CK策略,描述,级别和规则ID~
主机完整性监控分析
- 文件完整性:文件,上次修改时间,用户,用户ID组,组ID,权限,文件大小~
- windows注册表:注册表,上次修改时间~
SCA 安全配置评估
- windows审计基准:通过,失败,不适用占比~
- 列表包含:策略,描述,最后一次扫描,通过,失败,不适用,得分~
漏洞分析
空空如也,系统暂时没有漏洞~
ATT&CK分析
这里是ATT&CK,暂时不讨论了,以后慢慢说~
详细数据分析
这里包含了Agent详细信息,有:
- CPU核数,RAM内存大小,架构,操作系统,CPU类型
- 网络接口详情:网卡,MAC地址,状态,类型,MTU
- 网络端口详情:进程,本地IP,本地端口,状态,协议
网络设置:网卡,地址,掩码,协议,广播地址
软件安装包:软件包名称,架构,版本,作者
进程:进程名字,PID,PPID,VM大小,优先级,线程数,命令(路径)
状态分析
- 状态,缓冲区,消息缓冲区,消息数量,消息发送,最近一次确认时间,最近一次上线时间
- 全局:位置,时间数,字节数
- 间隔:位置,事件数,字节数
配置
- 主配置(Main configurations)
- 以明文形式写入内容日志
- 以JSON格式写入内容日志
- 用于加密的通信方法
- 启用远程配置
- 从管理接收到有效配置时自动重新启动agent
- Agent向管理检查的时间间隔
- 重新连接的时间间隔
- 缓冲区大小
- 队列数量
- 事件/秒
- 审计和策略监控(Auditing and policy monitoring)
- 策略监控服务状态
- 基础目录
- 扫描整个系统
- 运行扫描的频率
- 检查/dev路径
- 检查文件
- 检查网络接口
- 检查进程ID
- 检查网络端口
- 检查异常的系统对象
- 检查目录
- 检查windows应用程序
- 检查windows审计日志
- 检查windows恶意软件
- 跳过CIFS/NFS挂载扫描
- CIS-CAT集成状态
- 执行扫描的超时时间
- Java可执行目录的路径
- CIS-CAT可执行目录的路径
- 执行扫描的时间间隔
- 检查开始
- Windows应用程序定义文件路径
- Windows恶意软件定义文件路径
- 系统威胁和事件响应(System threats and incident response)、
- OSquery集成状态
- OSquery守护程序自动运行
- OSquery可执行文件的路径
- OSquery结果日志文件的路径
- OSquery配置文件的路径
- 使用定义的标签作为装饰器
- Syscollector集成状态
- 系统扫描间隔时间
- 检查开始
- 扫描硬件信息
- 扫描当前流程
- 扫描操作系统信息
- 扫描安装包
- 扫描网络接口
- 扫描监听网口
- 扫描所有网口
- 积极响应状态
- 日志数据分析(Log data analysis)
- 日志格式
- 日志位置
- 只有启动后才会接收日志
- 使用这个XPath查询过滤日志
- 将输出重定向到此套接字
- 完整性监控状态
- 运行完整性扫描的时间间隔
- 每天运行完整性扫描的时间
- 本周进行完整性扫描的日子
- 检查开始
- 跳过CIFS/NFS挂载扫描
- 跳过/dev /sys /proc目录扫描
- 删除旧的本地快照
- 检查目录SACLs的时间间隔
- 命令用于放置预连接
- 最大事件报告吞吐量
- 进程优先级
- 数据库类型
- 选择项目
- 启动实时监控
- 启用审计
- 报告文件变化
- 执行所有检验和(MD5\SHA1\SHA256)
- 检验文件的所有者
- 检查文件组
- 检查文件权限
- 检查文件修改时间
- 检查文件的索引节点
- 限制包含此字符串的文件
- 递归级别
- 遵循符号链接
- 具体的路径
- 某些特殊后缀
- 同步状态
- 每次同步最大的时间间隔
- 每次同步之间的时间间隔
- 响应超时
- 管理响应的队列大小
- 最大的消息吞吐量
- 文件限制状态
- 要监视的最大文件数
- 云安全监控(Cloud security monitoring)