wazuh环境配置及漏洞复现

最新推荐文章于 2024-07-04 12:39:04 发布
最新推荐文章于 2024-07-04 12:39:04 发布
阅读量200 收藏
点赞数
文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/hdlaichi_/article/details/132463167
版权

目录

一、wazuh配置

1进入官网下载OVA启动软件

2.虚拟机OVA安装

二、wazuh案例复现

1.wazuh初体验

2.这里我们以SQL注入为例,在我们的代理服务器上进行SQL注入,看wazuh如何检测和响应

一、wazuh配置

1进入官网下载OVA启动软件

Virtual Machine (OVA) - Installation alternatives (wazuh.com)

2.虚拟机OVA安装

在官方上下载OVA文件,可能比较大,几个g左右

下载完成后,可以在Vmware中直接导入虚拟机

右上角--->文件--->打开--->选择下载好的OVA文件

之后选择安装路径,跟着引导程序一步步走

二、wazuh案例复现

1.wazuh初体验

当我们使用本地的cmd通过ssh一直连接wazuh的时候便会出现十级报错,此次在后台可以明显的看到有爆破的提示扫描,通过分析其具体的数据包以及对应的规则理解到wuzuh在外来访问的时候,会触发到解码器,其作用是用来抓取关键信息,其中核心便是正则表达式进行正则匹配,当数据来了之后,wazuh程序会分析我们的日志,把这些日志信息发到相对应的解码器去,通过解码器去进行解码,解码完后,再发送到相应的规则,然后把解码完的数据通过规则,再次进行匹配,最终展示到仪表盘的Modules里的Security events里

2.这里我们以SQL注入为例,在我们的代理服务器上进行SQL注入,看wazuh如何检测和响应

首先要把Nginx的日志路径加载到client端的配置文件里面去,wazuh默认加载好了的

如果路径不同,修改即可 

然后我们随便写一些注入语句

 

已经出现了告警,显示尝试SQL注入

那既然已经出现了告警,我们怎么去防御呢,wazuh有它自身的Active-response

如何配置,官方文档也给出了步骤

How to configure active response - Active response

wazuh有两种封堵方式:

根据告警等级来封堵,比如说当告警等级大于7时,自动进行封堵,但这也容易造成误判,范围太大
根据规则ID来封堵,当触发了某条规则时,自动进行封堵,但这范围太小,面对多条规则不便于写配置文件
所以这两种方式要根据项目中的实际情况来判断

这里我们使用规则ID封堵IP方式来演示

官方文档:

File integrity monitoring and YARA - Malware detection

在wazuh服务器,也就是manager的配置文件里写入如下内容

当触发31103和31171这两条规则时,执行firewall-drop命令,600秒后恢复

<active-response>
    <command>firewall-drop</command>
    <location>local</location>
    <rules_id>31103,31171</rules_id>
    <timeout>600</timeout>
</active-response>

 

之后随便测试一些注入语句,然后再刷新,发现已经被防火墙拦截了

 查看iptables,发现已经被封堵了,恢复时间600秒

 

hdlaichi_
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Ansible-wazuh-ansible.zip
09-18
Ansible-wazuh-ansible.zip,wazuh-ansible剧本wazuh ansible,ansible是一个简单而强大的自动化引擎。它用于帮助配置管理、应用程序部署和任务自动化。
wazuh-ruleset:Wazuh-规则集
02-03
`wazuh-ruleset-master`可能是Wazuh规则集的一个版本仓库,包含了规则文件的源代码或配置。用户需要按照官方文档的指引,将这些规则导入到Wazuh服务器中,然后配置代理以应用这些规则。 总结起来,Wazuh规则集是...
使用Elasticsearch与TheHive构建开源安全应急响应平台
systemino的博客
05-30 2094
概述 通过开源软件可以构建一个安全应急响应平台,该平台可以进行日志整合、告警生成、IoC 丰富与事件管理。 在上面的流程图中,作为 HIDS 的 Wazuh 将数据发送回 Wazuh Manager 与 Elasticsearch。ElastAlert 观测到新事件并在 TheHive 中相应生成告警。然后通过 Cortex 与 MISP 查询额外信息丰富该事件,之后自动关闭该事件或提交给...
Wazuh 预构建的虚拟机映像 OVA介绍及下载
allway2的博客
12-13 3167
Wazuh 提供了一个预构建的虚拟机映像 (OVA),您可以使用 VirtualBox 或其他兼容 OVA 的虚拟化系统直接导入该映像。请注意,此 VM 仅在 64 位系统上运行,不提供产品的高可用性和可伸缩性。 下载虚拟设备 (OVA)它包含以下组件: CentOS 7 Wazuh manager: 4.2.5 Open Distro for Elasticsearch: 1.13.2 Filebeat-OSS: 7.10.2 Kibana: 7.10.
CRT7.3.1版本安装步骤
03-19 250
工具: Setup.exe安装程序 keygen.exe注册机 zwt.nfo 查看电脑信息(主要看自己电脑是x86还x64版本) 安装步骤(所有程序尽量以管理员身份启动) 1.安装SecureCRT,一路确定即可。 2.先不要启动SecureCRT,确保SecureCRT未运行。现在启动注册机,点击“Patch”(图中红色框体位置)。 3.进入S...
wazuh安装
thinker
09-28 1196
终端 终端系统:win10 agent:wazuh-agent-4.2.2-1https://packages.wazuh.com/4.x/windows/wazuh-agent-4.2.2-1.msi 服务器 安装方式:单步安装Step-by-step installation - All-in-one deployment echo "install necessary packages" yum install curl unzip wget libcap -y rpm --import .
网络安全--wazuh环境配置漏洞复现
m0_68976043的博客
08-20 4061
1.1进入官网下载OVA启动软件1.2点击启动部署,傻瓜式操作1.3通过账号:wazuh-user,密码:wazuh进入wazuh1.4将桥接模式更改为仅nat模式1.5更改配置之后输入重新启动命令 service network restart查看自身ipip a1.6配置已好,本地开启小皮Apache直接访问1.7有时会因为网络问题出现如下问题,我们采用重启wazuh即可。
wazuh环境配置漏洞复现
m0_73113764的博客
08-26 1223
wazuh
配置Wazuh环境并漏洞复现实验
weixin_53960460的博客
08-24 257
Wazuh是一个开源的安全信息和事件管理(SIEM)平台,用于监控和分析实时安全事件。在本文中,我们将探讨如何配置Wazuh环境,并进行一个简单的漏洞复现实验。我们将在Ubuntu操作系统上完成整个过程。
Wazuh: 一款超强大的威胁预防、检测安全平台,支持虚拟化、容器化和云环境保护...
easylife206的专栏
08-08 1412
公众号关注「奇妙的 Linux 世界」设为「星标」,每天带你玩转 Linux !Wazuh是一个用于威胁预防、检测和响应的开源平台,它能够跨场所、虚拟化、容器化和基于云的环境保护工作负载。解决方案包括一个部署到被监控系统的终端安全代理和一个收集和分析代理收集的数据的管理服务器。此外,Wazuh 已经与 Elastic Stack 完全集成,提供了一个搜索引擎和数据可视...
wazuh-elastic7-template-alerts.json
06-29
wazuh-elastic7-template-alerts.json,wazuh的ES模块导入
wazuh-documentation:Wazuh-项目文档
02-03
在线文件 为这个项目做贡献如果您想对本文档做出贡献,请阅读我们的文件,以了解有关如何部署开发环境和提交请求的更多信息。 您也可以通过发送电子邮件至wazuh+subscribe@googlegroups.com加入我们的,以提出问题并...
WAZUH-OSSEC:WAZUH-开源安全平台安装
02-03
在本文中,我们将详细介绍如何在 CentOS8 上安装和配置 WAZUH-OSSEC。 ### 1. 安装准备 在开始安装之前,确保你的 CentOS8 系统是最新的,通过运行以下命令: ```bash sudo yum update -y ``` 同时,确保系统上...
wazuh-api:Wazuh-RESTful API
02-04
使用Wazuh API,现在最简单的方法就是执行日常操作,例如添加代理,检查配置或查找syscheck文件。 Wazuh API功能: 代理商管理经理概述根检查控制和搜索安全配置评估(SCA) Syscheck控制和搜索规则集信息统计信息...
2024年校园通用型发生网络安全事件解决方案(1)
2401_84264096的博客
05-01 929
核心交换机配置端口镜像操作联系官方400或查阅产品对应配置手册,这里就不详细讲解了。《必要的》使用OneDNS公益版对内外网连接做到威胁监测。《必要的》https://www.onedns.net部署开源DNS系统可选择adguardhome。等。将局域网内所有终端设置成内网dns服务器,来过滤病毒,广告,成人等。《必要的》部署流量分析系统可选择派网NTM、流影Flowshadow,Elastiflow,ntopng,Malcolm套件。等。
亚信安全发布2024年6月威胁态势,高危漏洞猛增60%
亚信安全官方账号的博客
07-04 351
亚信安全发布2024年6月威胁态势
构建安全稳定的应用:SpringSecurity实用指南
最新发布
zhugedali_的博客
07-04 722
它涵盖了认证(Authentication)、授权(Authorization)、防止常见的安全攻击等多个方面,适用于各种类型的应用,包括 Web 应用、RESTful 服务、微服务等。- 生成认证对象:认证成功后,创建包含用户信息、角色和权限的 Authentication 对象,并存储在安全上下文中。- 加载用户角色和权限:除了基本的用户信息,还包括用户所拥有的角色和权限。- 认证请求处理:根据配置的认证方式,对用户提交的认证信息进行验证。
[图解]SysML和EA建模住宅安全系统-09-流程指南·分析系统需求
rolt的专栏
07-04 934
然后这一步,你看,这里有个决策点
wazuh中针对文件包含漏洞是如何制定规则检测的
09-24
Wazuh针对文件包含漏洞的检测是通过制定规则来实现的。规则是一系列条件和操作的组合,当满足条件时,就会执行操作。在Wazuh中,规则由以下几部分组成: 1.条件:规则中的条件是指需要满足的安全事件或日志条目,...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值