hids wazuh 系列5-常规代理检测规则

已于 2023-04-12 09:45:51 修改
阅读量721 收藏
点赞数
分类专栏: 安全建设 基础安全 安全合规 文章标签: wazuh规则 hids检测规则 wazuh检测代理 wazuh Powered by 金山文档
于 2023-01-29 23:15:00 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_29277155/article/details/128733003
版权

0x00 介绍

1.背景介绍

传统的入侵检测,主要分为网络入侵检测系统和主机入侵检测系统,分别作用于网络层面和主机(服务器、办公电脑等终端)。

随着技术发展,出现了结合传统入侵检测系统和新技术(如数据分析、威胁情报、自动化操作、主动响应等)的新产品,这类新产品可能的名称是XDR、EDR、EPP等。

2.用途介绍

Wazuh 是 以OSSEC作为引擎的基于主机的入侵检测系统,用于主机端点和云工作负载的统一XDR和SIEM保护。提供配置评估、扩展检测和响应、文件完整性监控、漏洞检测、威胁情报、日志数据分析、恶意软件检测、审计与合规、态势管理、工作负载保护、容器安全等安全解决方案,此外可以与许多外部服务和工具集成。如VirusTotal,YARA,Amazon Macie,Slack和FortiGate。

0x01 部署架构

1.系统架构

Wazuh 平台提供 XDR 和 SIEM 功能来保护您的云、容器和服务器工作负载。其中包括日志数据分析、入侵和恶意软件检测、文件完整性监控、配置评估、漏洞检测以及对法规遵从性的支持。

编辑

2.架构组件

更多详情请参考:Components - Getting started with Wazuh · Wazuh documentation

3.部署架构

0x02 安装部署

0x03 系统管理

5.告警规则管理

1.修改默认规则

2.新增自定义规则

  1. 常规内网扫描检测策略

  1. 常规反弹shell检测策略

  1. 常规代理转发检测策略

检测规则

<!-- detection for reverse proxy -->

<group name="ossec,proxy,">

<!-- detection for nc forward -->

<rule id="100311" level="15">

<if_sid>100110</if_sid>

<match>nc -nvv |nc -lp </match>

<description>nc reverse proxy come out.</description>

<info>https://www.freebuf.com/articles/web/256415.html</info>

<group>process_monitor,attacks</group>

</rule>

<!-- detection for ngork forward -->

<rule id="100312" level="15">

<if_sid>100110</if_sid>

<match>ngork |ngrok TCP |ngrok http |ngrok tls --hostname=</match>

<description>ngork reverse proxy come out.</description>

<info>https://ngrok.com/docs/getting-started</info>

<group>process_monitor,attacks</group>

</rule>

<!-- detection forEarthworm+Proxychains -->

<!-- 0x06.1 正向SOCKS5服务器器 -->

<rule id="100321" level="15">

<if_sid>100110</if_sid>

<match>ew -s ssocksd -l </match>

<description>Earthworm+ proxy come out.</description>

<info>https://www.freebuf.com/articles/web/256415.html</info>

<group>process_monitor,attacks</group>

</rule>

<!-- 0x06.2 反弹SOCKS5服务器 -->

<rule id="100322" level="15">

<if_sid>100110</if_sid>

<match>ew -s rssocks -d </match>

<description>Earthworm+ proxy come out.</description>

<info>https://www.freebuf.com/articles/web/256415.html</i

最低0.47元/天 解锁文章
煜铭2011
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
wazuh-documentation:Wazuh-项目文档
02-03
Wazuh文档 Wazuh是一个免费的,开源的,可用于企业的安全监视解决方案,用于威胁检测,完整性监视,事件响应和合规性。 该资源库中提供了有关该项目的在线文档。 Wazuh团队的成员和社区用户为它的发展和日常改进做出了贡献。 在线文件 为这个项目做贡献 如果您想对本文档做出贡献,请阅读我们的文件,以了解有关如何部署开发环境和提交请求的更多信息。 您也可以通过发送电子邮件至wazuh+subscribe@googlegroups.com加入我们的,以提出问题并参与讨论。 使用的软件和库 3.5+ 3.0.4 0.9.2 1.1.13 版权和许可 版权所有:copyright:2020 Wazuh,Inc. Wazuh是免费软件; 您可以根据自由软件基金会发布的GNU通用公共许可证的条款重新分发和/或修改它; 许可的版本2,或(由您选择)任何更高的版本。
wazuh介绍
q1415500189的博客
08-18 1449
wazuh搭建
推荐文章:Wazuh - 开源安全监控解决方案
最新发布
gitblog_00089的博客
06-04 230
推荐文章:Wazuh - 开源安全监控解决方案 项目地址:https://gitcode.com/wazuh/wazuh-documentation 项目介绍 在网络安全日益重要的今天,Wazuh 是一款值得信赖的免费、开源且企业级的解决方案,致力于威胁检测、完整性监控、事故响应和合规性检查。这个强大的工具由Wazuh团队和社区用户共同维护和更新,并提供了详细的在线文档以便用户学习和应用。 项目技...
wazuh安装配置及学习笔记
weixin_54704770的博客
08-23 2047
Wazuh是一个用于威胁预防、检测和响应的开源平台,它能够跨场所、虚拟化、容器化和基于云的环境保护工作负载;使用场景广泛包括但不局限于:入侵检测、日志数据分析、完整性检查、漏洞检测、配置评估、事故应变、合规、云安全、容器安全等;解决方案包括一个部署到被监控系统的终端安全代理和一个收集和分析代理收集的数据的管理服务器。此外,Wazuh 已经与 Elastic Stack 完全集成,提供了一个搜索引擎和数据可视化工具,允许用户通过他们的安全警报进行导航。
Wazuh从入门到上线
ordersyhack
02-02 1万+
Wazuh从入门到上线
Wazuh--一个完善的开源EDR产品
网络安全研究
09-11 9948
1. 简介 Wazuh由部署到受监视系统的端点安全代理和管理服务器组成,管理服务器收集和分析代理收集的数据。此外,Wazuh已与Elastic Stack完全集成,提供了搜索引擎和数据可视化工具,使用户可以浏览其安全警报。 Wazuh提供的功能包括日志数据分析,入侵和恶意软件检测,文件完整性监视,配置评估,漏洞检测以及对法规遵从性的支持。 github: https://github.com/wazuh 2. Wazuh平台的组件和体系结构 Wazuh平台主要包括三个主要组件,分别是Wazuh代理,Wazu
AgentSmith-HIDS:AgentSmith-HIDS是一个基于云的基于主机的入侵检测解决方案项目,旨在提供具有现代体系结构的下一代威胁检测和行为审计
02-06
AgentSmith-HIDS English |AgentSmith-HIDS是一个基于云的基于主机的入侵检测解决方案项目,旨在提供具有现代体系结构的下一代威胁检测和行为审计。 AgentSmith-HIDS包含三个主要组件: AgentSmith-HIDS Agent与...
yulong-hids:一种由YSRC开源的主机入侵检测系统
02-20
驭龙隐藏由于此项目缺少维护,建议仅用于参考学习和二次开发驭龙HIDS是一种由YSRC开源的开源的入侵检测系统,由Agent , Daemon , Server和Web四个部分组成的,集合异常检测,监控管理为一体,拥有异常行为发现,...
ossec-hids-3.3.0-pcre2.tar.gz
08-22
"ossec-hids-3.3.0-pcre2.tar.gz" 这个文件名揭示了几个关键信息。"ossec-hids" 指的是 OSSEC(Open Source Security Information and Event Management)主机入侵检测系统,这是一个开源项目,用于监控系统日志、...
ossec-hids-2.8.2.zip
06-22
**ossec-hids-2.8.2.zip** 是一个包含OSSEC主机入侵检测系统(Host-based Intrusion Detection System)的版本2.8.2的压缩包。OSSEC是一款开源的、多平台的HIDS,它能提供实时的系统监控、警报以及日志分析功能,...
实验报告-入侵检测与防御
08-19
四、实验3-5:异常检测模型构建 这部分可能涵盖统计学和机器学习方法在异常检测中的应用,如基于阈值的检测、聚类分析和行为建模。学生可能通过模拟数据集构建和测试这些模型,理解如何识别不寻常的网络流量或用户...
wazuh-packages:Wazuh-软件包创建工具
02-04
Wazuh软件包 Wazuh是基于开源主机的入侵检测系统,它执行日志分析,文件完整性监视,策略监视,rootkit检测,实时警报,活动响应,漏洞检测器等。 在此存储库中,您可以找到必要的工具来构建用于基于Debian的OS的Wazuh软件包,基于RPM的OS软件包,macOS,用于IBM AIX的RPM软件包,OVA以及用于Kibana和Splunk的应用程序: 有助于 如果您想为我们的项目做出贡献,请随时发送拉取请求。 您还可以通过发送电子邮件至加入我们的用户,或填写此来提问和参与讨论,加入我们的Slack频道。 许可和版权 WAZUH版权所有(C)2015-2020 Wazuh Inc
Wazuh开源主机安全解决方案的简介与使用体验
watermelonbig的专栏
07-03 5243
今天我们给大家介绍的这款开源主机安全产品——Wazuh,是免费的开源软件。其组件遵守GNU通用公共许可证2版和Apache许可证2.0版(ALv2)。Wazuh平台提供XDR和SIEM功能来保护云、容器和服务器工作负载。其中包括日志数据分析、入侵和恶意软件检测、文件完整性监控、配置评估、漏洞检测,以及支持检查对法规遵从性的检测。...
wazuh 日志收集原理分析
热门推荐
guoguangwu的专栏
11-05 1万+
wazuh 默认安装到 /var/ossec目录下。 我基于manager端进行分析,和agent一样。默认启动ossec-logcollector进程去搜集日志:比如 snort日志、auditd日志、syslog日志等。 入口函数代码在src/logcollector/main.c中。 int main(int argc, char **argv) { /* 初始化处理: 命...
Wazuh安装&功能测试——一篇到底
网安小白的博客
04-21 1845
Wazuh的下载安装&功能测试,一篇就够了~
网络安全--wazuh环境配置及漏洞复现
m0_68976043的博客
08-20 4094
1.1进入官网下载OVA启动软件1.2点击启动部署,傻瓜式操作1.3通过账号:wazuh-user,密码:wazuh进入wazuh1.4将桥接模式更改为仅nat模式1.5更改配置之后输入重新启动命令 service network restart查看自身ipip a1.6配置已好,本地开启小皮Apache直接访问1.7有时会因为网络问题出现如下问题,我们采用重启wazuh即可。
规则引擎思考
SHELLCODE_8BIT的博客
01-13 252
1.精确匹配 2.模糊匹配 3.不需要重新部署即可加载规则
wazuh整体分析
thinker
09-28 1250
wazuh是什么 Wazuh是一个免费、开源和企业级的安全监控解决方案,用于威胁检测、完整性监控、事件响应和合规、也就是一套开源的完善的edr。 wazuh整体结构 Wazuh代理:它安装在端点上,例如笔记本电脑,台式机,服务器,云实例或虚拟机。它提供日志采集、预防、检测和响应功能。支持大多数操作系统 Wazuh服务器:它分析从代理收到的数据,通过解码器和规则对其进行处理,并使用威胁情报来查找众所周知的危害指标(IOC)。一台服务器可以分析来自成百上千个代理的数据,并在设置为集群时水平扩展。该服务器还
wazuh初探系列二 :Wazuh功能初步探知
weixin_51525416的博客
08-22 2469
Wazuh功能初步探知
入侵检测技术解析:NIDS与HIDS
"该资源主要介绍了入侵检测技术的分类、定义、模型以及其工作原理,特别提到了特征检测和异常检测两种技术,并区分了网络入侵检测(NIDS)和主机入侵检测(HIDS)这两种不同的监测对象。" 入侵检测是网络安全领域中的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值