wazuh

最新推荐文章于 2024-04-21 15:10:50 发布
最新推荐文章于 2024-04-21 15:10:50 发布
阅读量232 收藏 1
点赞数
文章标签: linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/h2896713787/article/details/132463908
版权

1.wazuh的作用

Wazuh 是一个免费的开源安全平台,统一了 XDR 和 SIEM 功能。它可以保护本地、虚拟化、容器化和基于云的环境中的工作负载。Wazuh 帮助组织和个人保护其数据资产免受安全威胁。它被全球数千个组织广泛使用,从小型企业到大型企业。

Wazuh的使用场景有:

  • 入侵检测
  • 日志数据分析
  • 完整性检查
  • 漏洞检测
  • 配置评估
  • 应急响应
  • 云、容器安全等

此外,Wazuh 已经与 Elastic Stack 完全集成,提供了一个搜索引擎和数据可视化工具,允许用户通过他们的安全警报进行导航。

2.wazuh的安装

①仓库安装

添加wazuh的官方仓库来安装wazuh的安装包

虚拟机OVA安装

在官方上下载OVA文件,可能比较大,几个g左右下载完成后,可以在Vmware中直接导入虚拟机

右上角--->文件--->打开--->选择下载好的OVA文件之后选择安装路径

③.其他安装方式

可以选择镜像下载、部署在docker、k8s上、使用ES安装、使用ansible安装等等

3.wazuh的规则

1.主动响应

主动响应的主要作用是检测到危险或者是告警之后,在一定条件下(比如告警等级大于7或者触发了某条或多条规则),可以做出一系列反应来禁止入侵者访问或登录你的系统

主动响应的脚本在/var/ossec/active-response/bin目录下

2.告警信息

当入侵者或正常用户执行了某些命令、做了某些操作,触发了wazuh的规则,那么wazuh就会在日志中记录并告警

这个日志的目录是在/var/ossec/logs/alerts目录下

分为有日期的告警日志和总告警日志

以.json结尾的文件是json格式的日志,主要用于ELK分析展示

以.log结尾的文件是我们查看起来比较方便的格式

3.规则以及解码器

wazuh的规则在/var/ossec/ruleset/rules目录下

 而用户的自定义规则是在/var/ossec/etc/rules目录下

因为wazuh的规则是在实时更新的,如果用户自定义的规则放在wazuh的规则目录下,有可能在更新的时候删除掉用户自定义的规则说完目录后

 

Wazuh中的解码器就是从特定类型的事件中提取相关数据。解码分为预解码阶段和解码阶段。

预解码阶段:从已知字段(如syslog记录头中的字段)提取静态信息。这通常包括时间戳、主机名和程序名,这些值通常在所有syslog消息中都能找到,而不管哪个应用程序生成它们。
解码阶段:将从事件中提取更多的动态信息,如源IP地址、用户名、URL等等。一个或多个解码器专门用于从许多不同的应用程序和日志源中提取字段数据。
一旦日志事件被解码,Wazuh就可以根据其规则集对其进行评估,以确定是否应该生成警报。如果日志没有解码,Wazuh规则将被限制在寻找出现在日志事件中任何地方的通用子字符串,从而大大降低了生成告警的质量。

4.配置文件ossec.conf

wazuh的配置文件路径在/var/ossec/etc/ossec.conf

son_output:是否以json格式输出

alerts_log:是否输出告警日志

email_notification:是否邮箱认证

忽略检查的文件目录

 

 

 

 

 

h2896713787
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
安全审计平台Wazuh架构及功能概览
企业实战系列集 ●●● https://ximenjianxue.blog.csdn.net
05-12 764
一、概要 Wazuh是一个安全检测,可见性和合规性开源项目。它诞生于OSSEC HIDS的分支,后来又与Elastic Stack和OpenSCAP集成在一起,已发展成为一个更全面的解决方案。Wazuh已与Elastic Stack完全集成,提供了搜索引擎和数据可视化工具,使用户可以浏览其安全警报。 Wazuh提供的功能还包括日志数据分析,入侵和恶意软件检测,文件完整性监视,配置评估,漏洞检测以及对法规遵从性的支持。 github: https://github.com/wazuh OSSEC HIDS是基
Wazuh和clamav的联动 -操作记录.docx
09-14
**Wazuh与ClamAV联动详解** Wazuh和ClamAV是两种在网络安全监控领域广泛应用的工具。Wazuh是一款开源的安全监控系统,它能够实时检测操作系统、应用程序、网络设备的日志,提供入侵检测、恶意软件检测、合规性检查...
wazuh初探系列二 :Wazuh功能初步探知
weixin_51525416的博客
08-22 2503
Wazuh功能初步探知
Wazuh功能梳理
土肆的笔记本
07-28 2339
wazuh agent 官方文档 日志收集(Log Collector) 命令执行(Command execution) 文件完整性监控(File integrity monitoring, FIM) 安全配置评估 (Security configuration assessment,SCA)
wazuh 服务器--功能特点
Devour_的博客
10-23 1464
wazuh 服务器 Wazuh管理器是分析从所有注册代理接收到的数据的系统,当事件符合规则时触发警报,例如:检测到入侵、文件修改、配置不符合策略、可能的rootkit,等等。manager还作为本地机器上的代理进行操作,因此它具有代理所具有的所有特性。此外,管理员还可以通过系统日志、电子邮件或集成的外部api转发它所触发的警报。 远程服务器:<remote> 可以配置Wazuh管理器来发布代理使用的远程服务,如下所示: 远程服务的所有配置都是通过使用< remote &gt.
Wazuh开源主机安全解决方案的简介与使用体验
watermelonbig的专栏
07-03 5325
今天我们给大家介绍的这款开源主机安全产品——Wazuh,是免费的开源软件。其组件遵守GNU通用公共许可证2版和Apache许可证2.0版(ALv2)。Wazuh平台提供XDR和SIEM功能来保护云、容器和服务器工作负载。其中包括日志数据分析、入侵和恶意软件检测、文件完整性监控、配置评估、漏洞检测,以及支持检查对法规遵从性的检测。...
wazuh-ruleset:Wazuh-规则集
02-03
瓦祖(Wazuh)规则集是用于强化网络安全监控的重要工具,它主要关注安全、日志分析、监控、事件响应、入侵检测等多个方面。Wazuh最初基于OSSEC(Open Source Security Information and Event Management),随着时间...
wazuh-documentation:Wazuh-项目文档
02-03
Wazuh文档 Wazuh是一个免费的,开源的,可用于企业的安全监视解决方案,用于威胁检测,完整性监视,事件响应和合规性。 该资源库中提供了有关该项目的在线文档。 Wazuh团队的成员和社区用户为它的发展和日常改进做出...
WAZUH-OSSEC:WAZUH-开源安全平台安装
02-03
**WAZUH-OSSEC 开源安全平台安装详解** WAZUH-OSSEC 是一个强大的开源安全监控系统,它提供了实时的入侵检测、主机完整性检查和日志聚合功能。该平台支持多种操作系统,包括 CentOS8,在企业环境中广泛用于提升网络...
wazuh-elastic7-template-alerts.json
06-29
wazuh-elastic7-template-alerts.json,wazuh的ES模块导入
wazuh整体分析
thinker
09-28 1266
wazuh是什么 Wazuh是一个免费、开源和企业级的安全监控解决方案,用于威胁检测、完整性监控、事件响应和合规、也就是一套开源的完善的edr。 wazuh整体结构 Wazuh代理:它安装在端点上,例如笔记本电脑,台式机,服务器,云实例或虚拟机。它提供日志采集、预防、检测和响应功能。支持大多数操作系统 Wazuh服务器:它分析从代理收到的数据,通过解码器和规则对其进行处理,并使用威胁情报来查找众所周知的危害指标(IOC)。一台服务器可以分析来自成百上千个代理的数据,并在设置为集群时水平扩展。该服务器还
使用WAZUH检测LD_PRELAOD劫持、SQL注入、主动响应防御
qq_68163788的博客
01-01 1545
Wazuh是一个开源的安全监控解决方案,可以用于检测和防御各种安全威胁,包括LD_PRELOAD劫持和SQL注入。对于LD_PRELOAD劫持,Wazuh可以通过监控LD_PRELOAD环境变量的变化来检测潜在的劫持行为,一旦发现异常,Wazuh可以触发警报并采取相应的防御措施,比如阻止相关进程或通知安全管理员。对于SQL注入攻击,Wazuh可以通过监控Web应用程序的日志来检测SQL注入尝试,并在检测到异常行为时触发警报。此外,Wazuh还可以与Web应用程序防火墙(WAF)或Web应用程序防护系统(WA
wazuh--开源安全平台
xk2844600795的博客
08-23 435
收集日志和事件日志;文件和注册表的监控;运行进程和安装软件的信息收集;监控系统端口和网络配置;检测恶意软件;配置管理和策略监控检测主机响应这里我们就来写入动态链接库劫持的规则centos7本身是有audit这个工具的,只需要启动一下就行我们根据官方文档的步骤,重新查看我们的audit的规则,如下我们查看/var/log/audit,可以发现我们添加的规则已经触发我们在/etc/ld.so.preload中写入一个so文件,来手动触发这个规则。然后再去wazuh去查看。
wazuh安装
weixin_57507186的博客
08-21 326
wazuh官网:https://wazuh.com/ wazuh是一款基于主机的IDS(HIDS),有着十分强大检测的功能,并且是一款免费的开源工具。
开源工具利器之基于主机的IDS:Wazuh
黑白的博客
04-19 5747
服务器端安装了wazuh的服务后,服务自动就会采集本台服务器上的信息,服务器上不需要再装agent默认目录为active-response:响应的脚本agentless:无代理安装,即用户名密码etc:配置,ossec.conf核心配置文件ruleset:自带规则库,建议不改log:日志,预警核心以下两个目录记录了何时、触发了哪些规则/var/ossec/logs/alerts/alerts.json:json格式的预警信息,用于分析展示,这不就是给elk用于展示的嘛。
Wazuh安装&功能测试——一篇到底
网安小白的博客
04-21 2228
Wazuh的下载安装&功能测试,一篇就够了~
wazuh介绍
q1415500189的博客
08-18 1473
wazuh搭建
wazuh环境配置及漏洞复现
qq_56724164的博客
08-23 99
wazuh
Wazuh 预构建的虚拟机映像 OVA介绍及下载
allway2的博客
12-13 3232
Wazuh 提供了一个预构建的虚拟机映像 (OVA),您可以使用 VirtualBox 或其他兼容 OVA 的虚拟化系统直接导入该映像。请注意,此 VM 仅在 64 位系统上运行,不提供产品的高可用性和可伸缩性。 下载虚拟设备 (OVA)它包含以下组件: CentOS 7 Wazuh manager: 4.2.5 Open Distro for Elasticsearch: 1.13.2 Filebeat-OSS: 7.10.2 Kibana: 7.10.
wazuh 设置中文
最新发布
04-24
Wazuh是一个开源的安全监控解决方案,它可以帮助组织实时监控和分析其IT基础设施的安全事件。Wazuh支持多种语言,包括中文。要将Wazuh设置为中文,您可以按照以下步骤进行操作: 1. 下载Wazuh的最新版本,并按照官方文档进行安装和配置。 2. 打开Wazuh的配置文件,通常位于`/var/ossec/etc/ossec.conf`。 3. 在配置文件中找到`<global>`部分,并添加以下行: ``` <global> <lang>zh</lang> </global> ``` 这将设置Wazuh的语言为中文。 4. 保存并关闭配置文件。 5. 重新启动Wazuh服务,以使更改生效。 这样,您就可以将Wazuh的界面和日志信息显示为中文了。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值