hids wazuh 系列3-内网扫描规则

VIP文章 已于 2023-01-19 10:14:54 修改
阅读量1.2k 收藏
点赞数
分类专栏: 安全建设 基础安全 文章标签: wazuh hids wazuh规则 反弹shell 扫描规则 Powered by 金山文档
于 2023-01-18 22:00:00 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_29277155/article/details/128723003
版权

0x00 介绍

1.背景介绍

传统的入侵检测,主要分为网络入侵检测系统和主机入侵检测系统,分别作用于网络层面和主机(服务器、办公电脑等终端)。

随着技术发展,出现了结合传统入侵检测系统和新技术(如数据分析、威胁情报、自动化操作、主动响应等)的新产品,这类新产品可能的名称是XDR、EDR、EPP等。

2.用途介绍

Wazuh 是 以OSSEC作为引擎的基于主机的入侵检测系统,用于主机端点和云工作负载的统一XDR和SIEM保护。提供配置评估、扩展检测和响应、文件完整性监控、漏洞检测、威胁情报、日志数据分析、恶意软件检测、审计与合规、态势管理、工作负载保护、容器安全等安全解决方案,此外可以与许多外部服务和工具集成。如VirusTotal,YARA,Amazon Macie,Slack和FortiGate。

0x01 部署架构

1.系统架构

Wazuh 平台提供 XDR 和 SIEM 功能来保护您的云、容器和服务器工作负载。其中包括日志数据分析、入侵和恶意软件检测、文件完整性监控、配置评估、漏洞检测以及对法规遵从性的支持。

编辑

2.架构组件

更多详情请参考:Components - Getting started with Wazuh · Wazuh documentation

3.部署架构

0x02 安装部署

0x03 系统管理

5.告警规则管理

1.修改默认规则

2.新增自定义规则

  1. 常规内网扫描检测策略

检测规则

<!-- detection for scanner -->

<group name="ossec,scanner,">

<!-- detection for scanner process -->

<rule id="100211" level="15">

<if_sid>100110</if_sid>

<
最低0.47元/天 解锁文章
煜铭2011
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
HIDS_SPEC_V10.pdf
08-03
BLE 5.0 HID spec,这份协议详细描述了BLE5.0中HID设备的协议,在开发基于BLE5.0的HID设备时,需要参考这个文档
ossec-hids-3.3.0-pcre2.tar.gz
08-22
带有PCRE2的OSSEC 3.3.0,解压之后可以直接运行install.sh安装
ossec-hids-2.8.2.zip
06-22
ossec用于安装在linux主机,可以安装服务器版本和代理版本。用于检测攻击行为,文件系统变化,收集系统日志等。
yulong-hids:一种由YSRC开源的主机入侵检测系统
02-20
驭龙隐藏 由于此项目缺少维护,建议仅用于参考学习和二次开发 驭龙HIDS是一种由YSRC开源的开源的入侵检测系统,由Agent , Daemon , Server和Web四个部分组成的,集合异常检测,监控管理为一体,拥有异常行为发现,快速中断,高级分析等功能,可从多个维度行为信息中发现入侵行为。 代理为收集者角色,收集服务器信息,启动启动项,计划任务,监听端口,服务,登录日志,用户列表,实时监控文件操作行为,网络连接,执行命令,初步筛选整理后通过RPC协议传输到服务器官员。 Daemon为守护服务进程,为Agent提供进程守护,静默环境部署作用,其任务执行功能通过接收服务端的指令实现Agent热更新,切换功能和自定义命令执行等,任务传输过程使用RSA进行加密。 服务器为集成系统的大脑,支持横向扩展分布式部署,解析用户定义的规则(已内置部分基础规则)对从各个代理接收到的信息和行为进行分
wazuh agent功能详解
thinker
10-11 4976
wazhu之agent功能详解 一、日志数据收集 日志数据收集是从服务器或设备生成的记录中收集的实时过程。此组件可以通过文本文件或Windows事件日志接收日志。它还可以通过远程syslog直接接收日志,这对防火墙和其他此类设备非常有用。 此过程的目的是识别应用程序或系统程序错误,配置错误,入侵威胁,触发策略或安全问题。 Wazuh aegnt 的内存和CPU要求是,因为它的非常低的,主要作用是将事件转发给管理器。但是,在Wazuh管理器上,CPU和内存消耗可能会迅速增加,具体取决于管理器每秒事件数
AgentSmith-HIDS:AgentSmith-HIDS是一个基于云的基于主机的入侵检测解决方案项目,旨在提供具有现代体系结构的下一代威胁检测和行为审计
02-06
AgentSmith-HIDS English |AgentSmith-HIDS是一个基于云的基于主机的入侵检测解决方案项目,旨在提供具有现代体系结构的下一代威胁检测和行为审计。 AgentSmith-HIDS包含三个主要组件: AgentSmith-HIDS Agent与...
Wazuh--一个完善的开源EDR产品
网络安全研究
09-11 9686
1. 简介 Wazuh由部署到受监视系统的端点安全代理和管理服务器组成,管理服务器收集和分析代理收集的数据。此外,Wazuh已与Elastic Stack完全集成,提供了搜索引擎和数据可视化工具,使用户可以浏览其安全警报。 Wazuh提供的功能包括日志数据分析,入侵和恶意软件检测,文件完整性监视,配置评估,漏洞检测以及对法规遵从性的支持。 github: https://github.com/wazuh 2. Wazuh平台的组件和体系结构 Wazuh平台主要包括三个主要组件,分别是Wazuh代理,Wazu
wazuh环境配置及漏洞复现
最新发布
Senvenhu的博客
08-23 120
因为没有给wazuh设置代理,centos上监控不到,因为没给定埋点,没有像远控木马一样的工具。这里的埋点就是把代理的一个软件装到代理的端点上 在wazuh上选择监控的客户机类型。我们在getshell之后,就是bypass disable_function,这里使用LD_Preload来bypass。当它与包含函数结合时,php://filter流会被当作php文件执行。代码读取出来然后再用包含函数include结合即可,因此再上传。代码读取出来然后再用包含函数include结合即可,因此再上传。
Wazuh功能梳理
土肆的笔记本
07-28 2181
wazuh agent 官方文档 日志收集(Log Collector) 命令执行(Command execution) 文件完整性监控(File integrity monitoring, FIM) 安全配置评估 (Security configuration assessment,SCA)
Wazuh体系架构及典型用例
allway2的博客
06-29 7951
Wazuh是一个安全检测,可见性和合规性开源项目。它诞生于OSSEC HIDS的分支,后来又与Elastic Stack和OpenSCAP集成在一起,发展成为一个更全面的解决方案。以下是这些工具及其作用的简要说明: OSSEC HIDS OSSEC HIDS是用于安全检测,可见性和合规性监视的基于主机的入侵检测系统(HIDS)。它基于多平台代理,该代理将系统数据(例如日志消息,文件哈希和检测到的异常)转发给中央管理器,在中央管理器中对其进行进一步的分析和处理,从而产生安全警报。代理将事件...
Wazuh: 一款超强大的威胁预防、检测安全平台,支持虚拟化、容器化和云环境保护...
easylife206的专栏
08-08 1324
公众号关注「奇妙的 Linux 世界」设为「星标」,每天带你玩转 Linux !Wazuh是一个用于威胁预防、检测和响应的开源平台,它能够跨场所、虚拟化、容器化和基于云的环境保护工作负载。解决方案包括一个部署到被监控系统的终端安全代理和一个收集和分析代理收集的数据的管理服务器。此外,Wazuh 已经与 Elastic Stack 完全集成,提供了一个搜索引擎和数据可视...
巧妙地把windows搭建成代理服务器
热门推荐
煜铭2011
12-24 13万+
0x01 背景   在现实情景中,我们仅有一台windows 主机可以上网(在公司的生产环境、测试环境、各种其他场景下,由于各种安全策略或者上网限制,其他服务器均无法上网。但是我们在测试、生产中,可能需要其他服务器联网获取更新包、插件包、安装包、策略文件等。这就要求我们通过一台可以上网的机器作为代理进行中转。 0x01 CCproxy 代理软件   CCproxy 可以很简答地把一台
如何强制删除需要卸载密码的软件
煜铭2011
09-04 9万+
0x00 背景 现在的互联网安全监管趋严,存在不少案例是某某软件需要卸载密码,但是电脑使用者并不知道这个密码,但他有需要需要卸载电脑的某某软件,但该软件需要密码才能进行卸载。例如离职员工安装了前东家的安全软件,但离职时未卸载。 此外,使用普通的软件管理工具无法卸载,如360的软件管家、腾讯的软件管家、软媒魔方的软件管理,电脑本身的程序卸载等。 0x01 删除思路 ...............
常见网络端口及其服务
煜铭2011
06-15 7万+
# tcpmux 1/tcp 0.001995 # TCP Port Service Multiplexer [rfc-1078] tcpmux 1/udp 0.001236 # TCP Port Service Multiplexer compressnet 2/tcp 0.000013 # Management Utility compressnet 2/udp 0.001845 # Mana
值得推荐的威胁情报平台--2022.3更新
煜铭2011
02-27 3万+
威胁情报是指:基于一定知识的证据,已经存在或正在形成的潜在威胁,比如,上下文、机制、指标、意义以及可实施的建议,利用这些,可以帮助当事人形成应对这些危险的决策。
免费的DNS推荐
煜铭2011
04-10 3万+
0x00前言   当前我们对于自定义的DNS域名往往会想到114.114.114.114和8.8.8.8,那么是否还有其他DNS域名可供选择呢?并且这些顶级的免费可用的DNS解析器之间的性能如何呢?决定使用哪一个,并向家人和朋友推荐。Google,OpenDNS,Quad9等等其他的选择...我该选择哪一个呢0x01 免费的DNS114DNS 主114.114.114.114 备 114.114....
搭建syslog日志服务器
煜铭2011
04-23 2万+
为了方便日志监控并防止日志被篡改,通常工作环境中会使用rsyslog架设日服务器用于存放其它服务器的日志。rsyslog支持日志的远程发送和接收。
xhydra使用介绍说明
煜铭2011
02-18 1万+
THC-HYDRA是一个支持多种网络服务的非常快速的网络登陆工具。这个工具是一个验证性质的工具,它被设计的主要目的是为研究人员和安全从业人员展示远程获取一个系统的认证权限是比较容易的!并且支持多种协议和服务:asterisk cisco cisco-enable cvs firebird ftp ftps http[s]-{head|get} http[s]-{ge...
IIS安全配置参考
煜铭2011
01-06 1万+
0x01 账号管理 一、 应按照用户分配账号。避免不同用户间共享账号     避免用户账号和设备间通信使用的账号共享(对于IIS用户定义分为两个层次:一、IIS自身操作用户,二、IIS发布应用访问用户)。 操作:         1. 为不同维护人员创建账号:进入“控制面板->管理工具->计算机管理”,在“系统工具->本地用户和组”:根据系统的要求,设定不同的账户和账户组.对应设置IIS系
[root@localhost HIDS]# pip3 install --user WARNING: Running pip install with root privileges is generally not a good idea. Try `pip3 install --user` instead. You must give at least one requirement to install (see "pip help install")
05-25
pip3 install --user numpy==1.19.3 ``` 这将安装numpy 1.19.3版本到你的用户目录下。如果你不知道要安装哪些包,可以查看项目的requirements.txt文件,其中列出了项目依赖的所有包及其版本。你可以使用以下命令来...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值