0x00 介绍
1.背景介绍
传统的入侵检测,主要分为网络入侵检测系统和主机入侵检测系统,分别作用于网络层面和主机(服务器、办公电脑等终端)。
随着技术发展,出现了结合传统入侵检测系统和新技术(如数据分析、威胁情报、自动化操作、主动响应等)的新产品,这类新产品可能的名称是XDR、EDR、EPP等。
2.用途介绍
Wazuh 是 以OSSEC作为引擎的基于主机的入侵检测系统,用于主机端点和云工作负载的统一XDR和SIEM保护。提供配置评估、扩展检测和响应、文件完整性监控、漏洞检测、威胁情报、日志数据分析、恶意软件检测、审计与合规、态势管理、工作负载保护、容器安全等安全解决方案,此外可以与许多外部服务和工具集成。如VirusTotal,YARA,Amazon Macie,Slack和FortiGate。
0x01 部署架构
1.系统架构
Wazuh 平台提供 XDR 和 SIEM 功能来保护您的云、容器和服务器工作负载。其中包括日志数据分析、入侵和恶意软件检测、文件完整性监控、配置评估、漏洞检测以及对法规遵从性的支持。
编辑
2.架构组件
更多详情请参考:Components - Getting started with Wazuh · Wazuh documentation
3.部署架构
0x02 安装部署
0x03 系统管理
5.告警规则管理
1.修改默认规则
2.新增自定义规则
常规内网扫描检测策略
常规反弹shell检测策略
常规代理转发检测策略
检测规则
<!-- detection for reverse proxy -->
<group name="ossec,proxy,">
<!-- detection for nc forward -->
<rule id="100311" level="15">
<if_sid>100110</if_sid>
<match>nc -nvv |nc -lp </match>
<description>nc reverse proxy come out.</description>
<info>https://www.freebuf.com/articles/web/256415.html</info>
<group>process_monitor,attacks</group>
</rule>
<!-- detection for ngork forward -->
<rule id="100312" level="15">
<if_sid>100110</if_sid>
<match>ngork |ngrok TCP |ngrok http |ngrok tls --hostname=</match>
<description>ngork reverse proxy come out.</description>
<info>https://ngrok.com/docs/getting-started</info>
<group>process_monitor,attacks</group>
</rule>
<!-- detection forEarthworm+Proxychains -->
<!-- 0x06.1 正向SOCKS5服务器器 -->
<rule id="100321" level="15">
<if_sid>100110</if_sid>
<match>ew -s ssocksd -l </match>
<description>Earthworm+ proxy come out.</description>
<info>https://www.freebuf.com/articles/web/256415.html</info>
<group>process_monitor,attacks</group>
</rule>
<!-- 0x06.2 反弹SOCKS5服务器 -->
<rule id="100322" level="15">
<if_sid>100110</if_sid>
<match>ew -s rssocks -d </match>
<description>Earthworm+ proxy come out.</description>