【wazuh】配置漏洞扫描feed

最新推荐文章于 2024-09-11 10:21:36 发布
最新推荐文章于 2024-09-11 10:21:36 发布
阅读量1k 收藏 21
点赞数 21
文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_25954259/article/details/140871747
版权

1 利用wazuh对系统进行漏洞检测扫描

Wazuh 能够使用漏洞检测器模块检测安装在代理上的应用程序中的漏洞
此软件审计是通过集成由 Canonical、Debian、Red Hat、Arch Linux、ALAS(Amazon Linux 公告安全)、Microsoft 和国家漏洞数据库索引的漏洞源来执行的。
参考官网的解读,Wazuh 有三种不同类型的扫描。

(1)基线:漏洞检测器会在您首次启用模块时触发此扫描类型。漏洞检测器会对操作系统和安装的每个软件包进行全面扫描。它会创建 CVE清单并针对每个漏洞生成警报。
(2)全面扫描full scan:漏洞检测器会扫描此扫描类型中安装的每个软件包和操作系统。它仅在配置min_full_scan_interval过期且 CVE
数据库包含新信息时运行。因此,当漏洞清单中有任何更新/更改时,Wazuh 会生成警报。
(3)部分扫描Partial scan:漏洞检测器仅扫描新软件包。因此,当 CVE 清单有任何更新/更改时,Wazuh 会生成警报。

所以
min_full_scan_interval设置通过不频繁运行完整扫描来保护管理器性能,尤其是当管理器收到许多漏洞源更新时。代理漏洞清单中的每个漏洞都处于三种不同的状态:
VALID:表示该漏洞仍然存在于系统中。
待定:全面扫描正在进行中,需要确认漏洞。
已过时:表示系统中不再存在该漏洞。当任何漏洞进入此状态时,漏洞检测器会生成删除警报。

PS:我在扫描结果中看漏洞的状态,并无上面几个状态,反而是data.vulnerability.status为active,solved

2 Wazuh配置

官网文档见https://documentation.wazuh.com/4.4/user-manual/capabilities/vulnerability-detection/offline-update.html#arch

2.1. agent端配置

vi /var/ossec/etc/ossec.conf

no 1h yes

2.2. server端配置

(1)配置
根据自己的操作系统类型, 开启相应的 yes块
vi /var/ossec/etc/ossec.conf 或者直接在页面编辑 managentment–>configuration

<vulnerability-detector>
    <enabled>yes</enabled>
    <interval>180d</interval>
    <min_full_scan_interval>180d</min_full_scan_interval>
    <run_on_start>no</run_on_start>
    <!-- Ubuntu OS vulnerabilities -->
    <provider name="canonical">
      <enabled>yes</enabled>
      <os path="/var/ossec/etc/scanfeeds/ubuntuscanplugin/com.ubuntu.jammy.cve.oval.xml.bz2">jammy</os>
      <os path="/var/ossec/etc/scanfeeds/ubuntuscanplugin/com.ubuntu.focal.cve.oval.xml.bz2">focal</os>
      <os path="/var/ossec/etc/scanfeeds/ubuntuscanplugin/com.ubuntu.bionic.cve.oval.xml.bz2">bionic</os>
      <os path="/var/ossec/etc/scanfeeds/ubuntuscanplugin/com.ubuntu.xenial.cve.oval.xml.bz2">xenial</os>
      <os path="/var/ossec/etc/scanfeeds/ubuntuscanplugin/com.ubuntu.trusty.cve.oval.xml.bz2">trusty</os>
      <update_interval>180d</update_interval>
    </provider>
    <!-- RedHat OS vulnerabilities -->
    <provider name="redhat">
      <enabled>yes</enabled>
      <os path="/var/ossec/etc/scanfeeds/redhetfeed/rhel-7-including-unpatched.oval.xml.bz2">7</os>
      <path>/var/ossec/etc/rh-feed/redhat-feed[[:digit:]]\+\.json$</path>
      <update_interval>180d</update_interval>
    </provider>

    <!-- Windows OS vulnerabilities -->
    <provider name="msu">
      <enabled>yes</enabled>
      <path>/var/ossec/etc/scanfeeds/windowsfeed/msu-updates\.json\.gz$</path>
      <update_interval>672h</update_interval>
    </provider>

    <!-- Aggregate vulnerabilities -->
    <provider name="nvd">
      <enabled>yes</enabled>
      <path>/var/ossec/etc/nvd-feed/nvd-feed[[:digit:]]\{4\}\.json\.gz$</path>
      <update_from_year>2010</update_from_year>
      <update_interval>672h</update_interval>
    </provider>

  </vulnerability-detector>

重新启动管理器以应用更改:
systemctl restart wazuh-manager

(2)检测是否配置成功
查看日志

sudo tail -n 1000 /var/ossec/logs/ossec.log|grep vulnerability
sudo tail -f /var/ossec/logs/ossec.log

更新feed的配置日志如下

2024/07/24 07:42:57 wazuh-modulesd:vulnerability-detector: INFO: (5400): Starting 'Red Hat Enterprise Linux 7' database update.
2024/07/24 07:43:25 wazuh-modulesd:vulnerability-detector: INFO: (5430): The update of the 'Red Hat Enterprise Linux 7' feed finished successfully.
2024/07/24 07:43:25 wazuh-modulesd:vulnerability-detector: INFO: (5400): Starting 'JSON Red Hat Enterprise Linux' database update.
2024/07/24 07:43:30 wazuh-modulesd:vulnerability-detector: INFO: (5430): The update of the 'JSON Red Hat Enterprise Linux' feed finished successfully.
2024/07/24 07:43:30 wazuh-modulesd:vulnerability-detector: INFO: (5400): Starting 'National Vulnerability Database' database update.
2024/07/24 07:59:51 wazuh-modulesd:vulnerability-detector: INFO: (5430): The update of the 'National Vulnerability Database' feed finished successfully.
2024/07/24 07:59:51 wazuh-modulesd:vulnerability-detector: INFO: (5400): Starting 'Microsoft Security Update' database update.
2024/07/24 08:00:07 wazuh-modulesd:vulnerability-detector: INFO: (5430): The update of the 'Microsoft Security Update' feed finished successfully.

发现ubunt的feed加载失败,报错如下:

ERROR: (5502): Could not load the CVE OVAL for 'TRUSTY'. 'XMLERR: Attribute '?' has no value.'

解决方案参考:https://github.com/wazuh/wazuh/issues/20573
该错误是由于 Canonical 在 OVAL 开头添加了以下行而导致的,从而导致其无法正确解析 feed,将离线下载的feed解压 并删除第一行,命令如下:

mkdir custom-ubuntu-ovals-fixed
cd custom-ubuntu-ovals-fixed
curl -SO https://security-metadata.canonical.com/oval/com.ubuntu.jammy.cve.oval.xml.bz2
curl -SO https://security-metadata.canonical.com/oval/com.ubuntu.focal.cve.oval.xml.bz2
curl -SO https://security-metadata.canonical.com/oval/com.ubuntu.bionic.cve.oval.xml.bz2
curl -SO https://security-metadata.canonical.com/oval/com.ubuntu.xenial.cve.oval.xml.bz2
curl -SO https://security-metadata.canonical.com/oval/com.ubuntu.trusty.cve.oval.xml.bz2
bzip2 -d com.ubuntu.*
sed -i '/<?xml version="1.0" ?>/d' com.ubuntu.*

然后修改feed配置文件如下,而不是bz的:

    <provider name="canonical">
      <enabled>yes</enabled>
      <os path="/var/ossec/etc/scanfeeds/ubuntuscanplugin/com.ubuntu.jammy.cve.oval.xml">jammy</os>
      <os path="/var/ossec/etc/scanfeeds/ubuntuscanplugin/com.ubuntu.focal.cve.oval.xml">focal</os>
      <os path="/var/ossec/etc/scanfeeds/ubuntuscanplugin/com.ubuntu.bionic.cve.oval.xml">bionic</os>
      <os path="/var/ossec/etc/scanfeeds/ubuntuscanplugin/com.ubuntu.xenial.cve.oval.xml">xenial</os>
      <os path="/var/ossec/etc/scanfeeds/ubuntuscanplugin/com.ubuntu.trusty.cve.oval.xml">trusty</os>
      <update_interval>180d</update_interval>
    </provider>

然后重启管理器:systemctl restart wazuh-manager
再检查日志,可以看到更新Feed成功。

2024/07/24 09:28:44 wazuh-modulesd:vulnerability-detector: INFO: (5400): Starting 'Ubuntu Trusty' database update.
2024/07/24 09:29:10 wazuh-modulesd:vulnerability-detector: INFO: (5430): The update of the 'Ubuntu Trusty' feed finished successfully.
2024/07/24 09:29:10 wazuh-modulesd:vulnerability-detector: INFO: (5400): Starting 'Ubuntu Xenial' database update.
2024/07/24 09:29:42 wazuh-modulesd:vulnerability-detector: INFO: (5430): The update of the 'Ubuntu Xenial' feed finished successfully.
2024/07/24 09:29:42 wazuh-modulesd:vulnerability-detector: INFO: (5400): Starting 'Ubuntu Bionic' database update.
2024/07/24 09:30:25 wazuh-modulesd:vulnerability-detector: INFO: (5430): The update of the 'Ubuntu Bionic' feed finished successfully.
2024/07/24 09:31:15 wazuh-modulesd:vulnerability-detector: INFO: (5430): The update of the 'Ubuntu Focal' feed finished successfully.
2024/07/24 09:31:15 wazuh-modulesd:vulnerability-detector: INFO: (5400): Starting 'Ubuntu Jammy' database update.

随机可以看到开始扫描的日志如下:


2024/07/24 08:00:07 wazuh-modulesd:vulnerability-detector: INFO: (5431): Starting vulnerability scan.
2024/07/24 08:00:17 wazuh-modulesd:vulnerability-detector: INFO: (5450): Analyzing agent '000' vulnerabilities.
2024/07/24 08:00:17 wazuh-modulesd:vulnerability-detector: INFO: (5471): Finished vulnerability assessment for agent '000'
2024/07/24 08:00:17 wazuh-modulesd:vulnerability-detector: INFO: (5450): Analyzing agent '001' vulnerabilities.
2024/07/24 08:00:18 wazuh-modulesd:vulnerability-detector: INFO: (5471): Finished vulnerability assessment for agent '001'

2.3 查看报告

(1)查看漏洞
查看dashboard:agent–>Vulnerabilities就可以看到扫描的漏洞报告。但是这种方式只能查看某个主机的漏洞,如果想查看所有主机的漏洞报告,可以查看discover–索引wazuh-alerts-*–》筛选 “rule.groups”: “vulnerability-detector”。或者直接使用Dev tools查看数据。

GET /wazuh-alerts-*/_search
{
  "track_total_hits": true,
    "query": {
    "term": {
      "rule.groups": "vulnerability-detector"
    }
  }
}

(2)导出漏洞
wazuh可以从discover中导出csv格式的漏洞,但是最高只能导出1w条,看网上参考ES的可以改配置,由于wazuh使用opensearch没找到改配置教程,因此使用脚本去导出,脚本如下:https://github.com/m01ly/wazuh/blob/main/exportvulnerability.py

(3)分析漏洞结果
查看每个主机的漏洞,通过detect time可以看到,每次增加的漏洞是增量,且通过"data.vulnerability.status"字段去判断漏洞的状态,
active:表示漏洞存在
solved:表示漏洞被修复。

如果机器不存在了,但是漏洞仍然在,怎么搞?

m01ly
关注
  • 21
    点赞
  • 21
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
LibScanner:RPMSWID漏洞扫描程序
05-04
要使此工作正常进行,您需要在此处下载NVD的副本: ://nvd.nist.gov/download.cfm#CVE_FEED并将xml文件放在dbs文件夹中。 您可以运行download_xml.sh来自动为您执行此操作。 命令行界面类似,但是会输出JUnit样式的...
利用wazuh对系统进行漏洞检测扫描
weixin_44151123的博客
03-07 710
Wazuh 能够使用漏洞检测器模块检测安装在代理上的应用程序中的漏洞此软件审计是通过集成由 Canonical、Debian、Red Hat、Arch Linux、ALAS(Amazon Linux 公告安全)、Microsoft 和国家漏洞数据库索引的漏洞源来执行的。
wazuh环境配置漏洞复现
Senvenhu的博客
08-23 195
因为没有给wazuh设置代理,centos上监控不到,因为没给定埋点,没有像远控木马一样的工具。这里的埋点就是把代理的一个软件装到代理的端点上 在wazuh上选择监控的客户机类型。我们在getshell之后,就是bypass disable_function,这里使用LD_Preload来bypass。当它与包含函数结合时,php://filter流会被当作php文件执行。代码读取出来然后再用包含函数include结合即可,因此再上传。代码读取出来然后再用包含函数include结合即可,因此再上传。
wazuh漏洞复现
weixin_52635036的博客
08-23 178
通过本地cmd连接ssh wazuh-user@192.168.40.139 -p 22。来到nginx目录下/var/www/html创建index.php并写入案例。一直输错密码,此次在后台可以明显的看到有爆破的提示扫描。
Wazuh安装&功能测试——一篇到底
网安小白的博客
04-21 2647
Wazuh的下载安装&功能测试,一篇就够了~
wazuh学习和部署
zq315749330的专栏
12-10 624
##################################################### Security information management (安全信息管理) Security Events 安全事件 Integrity Monitoring 完整性监控 invent...
feed forward equalization 专利
06-29
Embedded wire feed forward equalization Embedded wire feed forward equalization Embedded wire feed forward equalization Embedded wire feed forward equalization Feed-forward optical equalization using ...
rss:Raccolta feed RSS
02-10
在“rss-master”这个压缩包文件中,可能包含了一个RSS项目的源代码或教程资料,可能包括RSS feed的创建方法、如何配置RSS阅读器、如何在网站上集成RSS feed等功能的实现。对于想要深入了解和实践RSS技术的人来说,...
浅谈网络安全的认识与学习规划
qq_201729558
09-05 1043
本文主要介绍网络安全认识与学习规划
快速失败 (fail-fast) 和安全失败 (fail-safe)
Flying_Fish_roe的博客
09-07 855
快速失败是一种系统设计原则,当系统遇到异常情况或错误时,立即停止执行并返回错误,而不是试图继续执行或处理潜在的问题。快速失败系统会主动检测系统中的问题,并尽早报告错误,以防止错误进一步传播或导致更大的问题。在快速失败系统中,当检测到某些异常条件或不一致时,系统立即抛出异常或错误,停止当前操作并通知用户或开发者。这种机制通常用于防止错误堆积,使得系统可以快速恢复到正常状态,并尽早解决问题。快速失败的核心思想是“及早报告、及早修复”。通过尽早暴露错误,开发者能够更容易地定位问题,减少问题在系统中的蔓延。
网站安全需求分析与安全保护工程
weixin_49171105的博客
09-09 660
网站:是基于B/S技术架构的综合信息服务平台,主要提供网页信息及业务后台对外接口服务。
智能对决:提示词攻防中的AI安全博弈
weixin_41496173的博客
09-05 979
在2024年上海AIGC开发者大会上,知名提示词爱好者工程师云中嘉树发表了关于**AI提示词攻防与安全博弈**的精彩演讲。他深入探讨了当前AI产品的安全现状,提示词攻击的常见手段及其应对策略。本文将对他的演讲进行详细的解读与分析,并结合实际案例和技术手段,探讨如何在AI应用开发中提高安全性。
稀土阻燃剂:电子设备的安全守护者
最新发布
Kingcela1的博客
09-11 469
稀土阻燃剂在电子设备中的应用主要是通过提升材料的阻燃性能、热稳定性和环保安全性,来满足现代电子产品对高性能和安全性的需求。随着技术的不断进步,稀土阻燃剂在电子设备领域的应用前景将会更加广阔。
【论文速读】| SEAS:大语言模型的自进化对抗性安全优化
m0_73736695的博客
09-05 1012
在初始化阶段,红队模型和目标模型分别使用不同的数据集进行微调,以增强红队模型生成对抗性提示的能力和目标模型的指令遵循能力。此外,实验还发现,SEAS框架能够在保持模型通用能力的同时,显著增强其抵御攻击的能力。传统方法通常无法有效揭示模型的潜在漏洞,因此,SEAS框架旨在通过自我进化的方式,迭代提升红队模型和目标模型的能力,从而在无需人工干预的情况下增强LLMs的安全性能。SEAS框架的核心优势在于减少了对人工测试的依赖,提供了一种自动化的、安全性持续提升的解决方案,为LLMs的安全部署提供了强有力的支持。
高压喷雾车的功能与应用_鼎跃安全
ShenZhenDingYue的博客
09-05 501
在灭火行动中,高压喷雾车的高效作业能成功阻止了火势蔓延,还能保护救援人们群众的财产安全,极大缩短了灭火时间,减少了火灾损失。高压喷雾车不仅在森林灭火中发挥不可替代的作用,其还能在山地、复杂地形和火势迅速蔓延的情况下,保护生命财产安全。在一次森林火灾中,位于山区的一个小型度假村附近突然起火,由于山风强劲,火势迅速蔓延,消防部门立即调派多辆高压喷雾车赶往现场。由于高压喷雾车产生的细水雾可以迅速蒸发吸热,有效降低火场温度,同时水雾还能将空气中的烟雾和有害气体迅速沉降,保护了周围的生态环境和救援人员的安全
数据治理策略:确保数据资产的安全与高效利用
weixin_44835050的博客
09-05 804
数据治理是企业数字化转型的关键环节,也是确保数据资产安全、高效利用的重要保障。面对数据治理的挑战,企业应制定明确的策略和实施路径,加强数据治理团队的建设和培训,积极鼓励员工学习考取数据治理领域证书(如DAMA-CDGA/CDGP),建立统一的数据治理平台,并持续优化数据治理策略。只有这样,企业才能在激烈的市场竞争中保持领先地位,实现可持续发展。
网络安全应急响应技术原理与应用
weixin_49171105的博客
09-06 466
概念为应对网络安全事件,相关人员或组织机构对网络安全事件进行监测、预警、分析、响应和恢复等工作。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值