wazuh 页面分析

最新推荐文章于 2024-06-04 09:51:56 发布
最新推荐文章于 2024-06-04 09:51:56 发布
阅读量136 收藏 2
点赞数
文章标签: 网络 linux 运维 windows 服务器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/admin_gt/article/details/124663454
版权

经历了上一次的惨痛教训(ailx10:wazuh 一键安装失败体验),我还是成功的安装wazuh,令人可气的是,因为防火墙没有关,导致一些权限刷不进去,折腾了那么久,唉,又涨经验了,下次做实验之前,首先关闭防火墙~

Agent 主页

主页信息比较少,默认展示在线的Agent列表,这里只有1个在线,就是我的win10主机,随后我又上线了win7电脑,linux电脑,都ok了,搭建过程算成功了,很圆满~

a0aefcdf52f82c16fcdac21c25d3848d.png

进入win10主机的画像,首先也是概要信息,里面有ID,在线状态,IP地址,Agent版本,分组,操作系统,集群节点,注册日期,最近上线时间等。另外,概要里面包含了ATT&CK的统计信息,合规统计信息,事件趋势,安全配置评估~

64b81cd020d2ff482b8437bc6a86b896.png

主机安全事件

包含告警分组数量趋势图,告警数量趋势图,Top5告警分布图~

f6154d0b0521c2d832ae8124081ede7d.png

Top5告警,Top5规则分布,Top5 PCI-DSS需求分布~

76c0b3289b3c4ae2b23187c06f67271c.png

安全告警列表,包含时间,ATT&CK技术,ATT&CK策略,描述,级别和规则ID~

40ba472a578041388288d3c65b1765c0.png

主机完整性监控分析

  • 文件完整性:文件,上次修改时间,用户,用户ID组,组ID,权限,文件大小~
  • windows注册表:注册表,上次修改时间~

419d9defab816fedc64985d9e5d8f6e4.png

SCA 安全配置评估

  • windows审计基准:通过,失败,不适用占比~
  • 列表包含:策略,描述,最后一次扫描,通过,失败,不适用,得分~

2e406fa16d29661c56ea4f9cb2be5941.png

漏洞分析

空空如也,系统暂时没有漏洞~

ATT&CK分析

这里是ATT&CK,暂时不讨论了,以后慢慢说~

f7a20056cd6b18725a0065af6d49efb2.png

f917412abe57e572ce42602ac620bc66.png

6797653fc9acd2a3be7c19840d6bcd4b.png

详细数据分析

这里包含了Agent详细信息,有:

  • CPU核数,RAM内存大小,架构,操作系统,CPU类型
  • 网络接口详情:网卡,MAC地址,状态,类型,MTU
  • 网络端口详情:进程,本地IP,本地端口,状态,协议

0d5338ea12f4c8fd2f3e1772ed0f03a9.png

网络设置:网卡,地址,掩码,协议,广播地址

fcac62264d4066e5911f02bf913148a2.png

软件安装包:软件包名称,架构,版本,作者

124383d2090bfe8120254c6faeb838f2.png

进程:进程名字,PID,PPID,VM大小,优先级,线程数,命令(路径)

07c622aae2562c867786ee14e7220e16.png

状态分析

  • 状态,缓冲区,消息缓冲区,消息数量,消息发送,最近一次确认时间,最近一次上线时间
  • 全局:位置,时间数,字节数
  • 间隔:位置,事件数,字节数

04c2b9db33201c3de1aa518ffb35c9ec.png

配置

  • 主配置(Main configurations)
    • 以明文形式写入内容日志
    • 以JSON格式写入内容日志
    • 用于加密的通信方法
    • 启用远程配置
    • 从管理接收到有效配置时自动重新启动agent
    • Agent向管理检查的时间间隔
    • 重新连接的时间间隔
    • 缓冲区大小
    • 队列数量
    • 事件/秒
  • 审计和策略监控(Auditing and policy monitoring)
    • 策略监控服务状态
    • 基础目录
    • 扫描整个系统
    • 运行扫描的频率
    • 检查/dev路径
    • 检查文件
    • 检查网络接口
    • 检查进程ID
    • 检查网络端口
    • 检查异常的系统对象
    • 检查目录
    • 检查windows应用程序
    • 检查windows审计日志
    • 检查windows恶意软件
    • 跳过CIFS/NFS挂载扫描
    • CIS-CAT集成状态
    • 执行扫描的超时时间
    • Java可执行目录的路径
    • CIS-CAT可执行目录的路径
    • 执行扫描的时间间隔
    • 检查开始
    • Windows应用程序定义文件路径
    • Windows恶意软件定义文件路径

21899c46db5d1947742c1bf496e37bd2.png
  • 系统威胁和事件响应(System threats and incident response)、
    • OSquery集成状态
    • OSquery守护程序自动运行
    • OSquery可执行文件的路径
    • OSquery结果日志文件的路径
    • OSquery配置文件的路径
    • 使用定义的标签作为装饰器
    • Syscollector集成状态
    • 系统扫描间隔时间
    • 检查开始
    • 扫描硬件信息
    • 扫描当前流程
    • 扫描操作系统信息
    • 扫描安装包
    • 扫描网络接口
    • 扫描监听网口
    • 扫描所有网口
    • 积极响应状态
  • 日志数据分析(Log data analysis)
    • 日志格式
    • 日志位置
    • 只有启动后才会接收日志
    • 使用这个XPath查询过滤日志
    • 将输出重定向到此套接字
    • 完整性监控状态
    • 运行完整性扫描的时间间隔
    • 每天运行完整性扫描的时间
    • 本周进行完整性扫描的日子
    • 检查开始
    • 跳过CIFS/NFS挂载扫描
    • 跳过/dev /sys /proc目录扫描
    • 删除旧的本地快照
    • 检查目录SACLs的时间间隔
    • 命令用于放置预连接
    • 最大事件报告吞吐量
    • 进程优先级
    • 数据库类型
    • 选择项目
    • 启动实时监控
    • 启用审计
    • 报告文件变化
    • 执行所有检验和(MD5\SHA1\SHA256)
    • 检验文件的所有者
    • 检查文件组
    • 检查文件权限
    • 检查文件修改时间
    • 检查文件的索引节点
    • 限制包含此字符串的文件
    • 递归级别
    • 遵循符号链接
    • 具体的路径
    • 某些特殊后缀
    • 同步状态
    • 每次同步最大的时间间隔
    • 每次同步之间的时间间隔
    • 响应超时
    • 管理响应的队列大小
    • 最大的消息吞吐量
    • 文件限制状态
    • 要监视的最大文件数
  • 云安全监控(Cloud security monitoring)

9b63884ffcd40f63ff1ac1b561e1a9fb.png

黑客笔记
关注
wazuh--sql检测
upmans的博客
08-23 522
Wazuh(Wazuh · The Open Source Security Platform):是一整套基于ossec安全检测工具和EFK日志工具构成的终端安全管理工具。不管是将其分类至HIDS,还是EDR,它都是一套通过监控主机日志行为,提供安全检测、分析和完整报告的开源、免费利器。Wazuh基于C/S架构,它的Agent支持Windows、MacOS、Linux、HP-UX、AIX等主流操作系统。
wazuh-app RESTful API归纳总结
weixin_43295228的博客
08-30 1082
Active Response 动态入侵规避 指定终端,发送可执行命令, 进行终端控制或检测 PUT /active-response/:agent_id Agent 模块 agent的添加与删除 POST /agents POST /agents/:agent_name POST /agents/insert 插入现有的agent。 DELETE /agents?ids=&pur...
wazuh
Devotedakura的博客
08-20 734
Wazuh 是一个免费、开源和企业级的安全监控解决方案,用于威胁检测、完整性监控、事件响应和合规性。Wazuh由部署到受监视系统的端点安全代理和管理服务器组成,管理服务器收集和分析代理收集的数据。此外,Wazuh已与Elastic Stack完全集成,提供了搜索引擎和数据可视化工具,使用户可以浏览其安全警报。Wazuh提供的功能包括日志数据分析,入侵和恶意软件检测,文件完整性监视,配置评估,漏洞检测以及对法规遵从性的支持。对于日志来说,最常见的需求就是收集、存储、查询、展示,
wazuh介绍
q1415500189的博客
08-18 1541
wazuh搭建
Wazuh: 一款超强大的威胁预防、检测安全平台,支持虚拟化、容器化和云环境保护...
easylife206的专栏
08-08 1599
公众号关注「奇妙的 Linux 世界」设为「星标」,每天带你玩转 LinuxWazuh是一个用于威胁预防、检测和响应的开源平台,它能够跨场所、虚拟化、容器化和基于云的环境保护工作负载。解决方案包括一个部署到被监控系统的终端安全代理和一个收集和分析代理收集的数据的管理服务器。此外,Wazuh 已经与 Elastic Stack 完全集成,提供了一个搜索引擎和数据可视...
日志分析系列之平台实现
bloodzer0
03-04 1234
本系列故事纯属虚构,如有雷同实属巧合 平台实现前的说明 小B在给老板汇报了"统一日志分析平台"项目后,老板拍板立即开始做,争取下一次能及时发现攻击并且追踪攻击者。于是小B开始分析了市面上商业与开源的日志分析平台架构,大家都神似如下图: 知道了架构如何,接下来的关键就是每层之间选择什么样的产品了。关于如何选择,小B推荐了几个方面: 已有架构:避免基础能力的重复,使用目前IT基础框架中已有的东西。...
Wazuh从入门到上线,2024年最新网络安全自学
2401_83973995的博客
04-18 445
Wazuh-Manager和Wazuh-Agent之间通过1515/tcp端口来进行认证的,具体实现形式类似CA证书的形式。在中大型网络环境中,单台Allinone的Wazuh系统或者单节点的分布式部署Wazuh系统从性能上已经无法满足日志分析和漏洞扫描的需求,因此应当采用高可用、多节点的分布式部署来满足Wazuh对CPU和存储的要求。postgresql12 ≠ postgresql,所以wazuh使用redhat的OVAL文件可以搜出redhat打包的postgresql的漏洞,其他就不可以。
wazuh官方安装指南(中文译版本)
weixin_30443895的博客
02-18 2671
安装Wazuh服务器 Wazuh服务器可以安装在任何类型的Unix操作系统上。最常见安装在Linux上。如果可以为您的系统提供自动化脚本,则安装过程会更容易,但是,从源码构建和安装也非常简单。 通常在Wazuh服务器上安装两个组件:管理器和API。此外,对于分布式体系结构(Wazuh服务器将数据发送到远程Elastic Stack集群),需要安装Filebeat。 安装Wazuh服务器...
Kali Linux终端日志分析:洞悉系统运行状态的10大工具与方法
![Kali Linux终端日志分析:洞悉系统运行状态的10大工具与方法]...有效的日志分析不仅能够帮助系统管理员进行故障诊断、性能调优,也是安全人员监测和响应安全事件的重要手段。 ## 1.2 Kali
wazuh, Wazuh主机和端点安全性.zip
09-18
wazuh, Wazuh主机和端点安全性 Wazuh Wazuh帮助你在操作系统和应用程序级别监控主机,从而帮助你获得更深入的基础。 这里解决方案基于轻量级多平台代理,提供以下功能:日志管理和分析: 代理读取操作系统和应用程序日志,并安全地将它们转发到一
【无标题】wazuh
weixin_64623293的博客
09-01 197
总体分析:通过 LD_PRELOAD 劫持了函数,劫持后启动了一个新进程,若不在新进程启动前取消 LD_PRELOAD,则将陷入无限循环,所以必须得删除环境变量 LD_PRELOAD,最直接的就是调用。对于 Wazuh 或 Elastic Stack 的每个新版本,Wazuh 的开发团队都会彻底测试每个组件的兼容性,并在发布新的 Wazuh Kibana 插件之前进行必要的调整。告警信息查看,在alerts.js中,里面可以看到促发的规则,登录IP,登录端口,登录时间以及登录成功或失败等。
wazuh 集群
thinker
10-14 831
基本目的wazhu集群是一组wazuh管理器,它们共同工作以增强服务的可用性和可扩展性。使用wazuh集群设置,只要我们在必要时增加worker节点,就可以大大增加agent的数量。 使用集群的原因支持水平扩展与高可用性。 水平扩展支持数千个agent同时上报,向集群中增加一个agent也很简单(只需要在配置中增加master的地址)并且可以实现自动化,使用户可以实现自动扩展 可用性单节点机器系统可能宕机、或者人为关机、硬件损坏,当机器恢复时,您不知道之前发生的事件。但是在使用集群时,可以...
BT利器之wazuh
求大佬师傅带
08-17 920
BT利器之wazuh
wazuhwazuh学习笔记
u013376865的博客
11-11 5508
主动响应:执行各种对策来解决威胁,下面是一些执行对策的脚本。 1. 禁用用户disable-account(disable-account.c) 将用户添加到禁用列表 /usr/bin/passwd -l 用户 将用户移除禁用列表 /usr/bin/passwd -u 用户 2. 防火墙拦截firewall-drop(default-firewall-drop.c) 将IP加入iptables拒绝列表 /usr/bin/iptables -I INPUT -s 源IP -j DROP
初识wazuh
小白
08-20 332
Wazuh是一个开源的、用于安全事件检测、日志管理和合规性的安全监控解决方案。它提供了实时分析、告警和完整的日志收集,帮助组织检测和应对网络攻击、恶意行为和安全事件。Wazuh可以集成到现有的安全设备和日志源,提供强大的安全分析和可视化工具,有助于组织加强网络安全防御和合规性管理。
Wazuh--一个完善的开源EDR产品
热门推荐
网络安全研究
09-11 1万+
1. 简介 Wazuh由部署到受监视系统的端点安全代理和管理服务器组成,管理服务器收集和分析代理收集的数据。此外,Wazuh已与Elastic Stack完全集成,提供了搜索引擎和数据可视化工具,使用户可以浏览其安全警报。 Wazuh提供的功能包括日志数据分析,入侵和恶意软件检测,文件完整性监视,配置评估,漏洞检测以及对法规遵从性的支持。 github: https://github.com/wazuh 2. Wazuh平台的组件和体系结构 Wazuh平台主要包括三个主要组件,分别是Wazuh代理,Wazu
推荐文章:Wazuh - 开源安全监控解决方案
最新发布
gitblog_00089的博客
06-04 270
推荐文章:Wazuh - 开源安全监控解决方案 项目地址:https://gitcode.com/wazuh/wazuh-documentation 项目介绍 在网络安全日益重要的今天,Wazuh 是一款值得信赖的免费、开源且企业级的解决方案,致力于威胁检测、完整性监控、事故响应和合规性检查。这个强大的工具由Wazuh团队和社区用户共同维护和更新,并提供了详细的在线文档以便用户学习和应用。 项目技...
wazuh4.7利用python脚本发送告警信息到飞书机器人
Cheney_My的博客
12-14 318
最近在安装wazuh服务器,但是系统自带的集成第三方告警一直尝试无法使用,最后只能自己编写脚本实现实时告警功能。三、可根据脚本进行修改,过滤匹配其他告警信息,以下是模拟攻击,触发告警,告警展示。一、编写python脚本,匹配level 12以上的告警级别,发送到飞书机器人。二、将编写好的脚本执行以下命令,放到后台执行。
wazuh 设置中文
04-24
Wazuh是一个开源的安全监控解决方案,它可以帮助组织实时监控和分析其IT基础设施的安全事件。Wazuh支持多种语言,包括中文。要将Wazuh设置为中文,您可以按照以下步骤进行操作: 1. 下载Wazuh的最新版本,并按照官方文档进行安装和配置。 2. 打开Wazuh的配置文件,通常位于`/var/ossec/etc/ossec.conf`。 3. 在配置文件中找到`<global>`部分,并添加以下行: ``` <global> <lang>zh</lang> </global> ``` 这将设置Wazuh的语言为中文。 4. 保存并关闭配置文件。 5. 重新启动Wazuh服务,以使更改生效。 这样,您就可以将Wazuh的界面和日志信息显示为中文了。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

黑客笔记

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值