hids wazuh 系列5-常规代理检测规则

VIP文章 已于 2023-04-12 09:45:51 修改
阅读量668 收藏
点赞数
分类专栏: 安全建设 基础安全 安全合规 文章标签: wazuh规则 hids检测规则 wazuh检测代理 wazuh Powered by 金山文档
于 2023-01-29 23:15:00 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_29277155/article/details/128733003
版权

0x00 介绍

1.背景介绍

传统的入侵检测,主要分为网络入侵检测系统和主机入侵检测系统,分别作用于网络层面和主机(服务器、办公电脑等终端)。

随着技术发展,出现了结合传统入侵检测系统和新技术(如数据分析、威胁情报、自动化操作、主动响应等)的新产品,这类新产品可能的名称是XDR、EDR、EPP等。

2.用途介绍

Wazuh 是 以OSSEC作为引擎的基于主机的入侵检测系统,用于主机端点和云工作负载的统一XDR和SIEM保护。提供配置评估、扩展检测和响应、文件完整性监控、漏洞检测、威胁情报、日志数据分析、恶意软件检测、审计与合规、态势管理、工作负载保护、容器安全等安全解决方案,此外可以与许多外部服务和工具集成。如VirusTotal,YARA,Amazon Macie,Slack和FortiGate。

0x01 部署架构

1.系统架构

Wazuh 平台提供 XDR 和 SIEM 功能来保护您的云、容器和服务器工作负载。其中包括日志数据分析、入侵和恶意软件检测、文件完整性监控、配置评估、漏洞检测以及对法规遵从性的支持。

编辑

2.架构组件

更多详情请参考:Components - Getting started with Wazuh · Wazuh documentation

3.部署架构

0x02 安装部署

0x03 系统管理

5.告警规则管理

1.修改默认规则

2.新增自定义规则

  1. 常规内网扫描检测策略

  1. 常规反弹shell检测策略

  1. 常规代理转发检测策略

检测规则

<!-- detection for reverse proxy -->

<group name="ossec,proxy,">

<!-- detection for nc forward -->

<rule id="100311" level="15">

<if_sid>100110</if_sid>

<match>nc -nvv |nc -lp </match>

<description>nc reverse proxy come out.</description>

<info>https://www.freebuf.com/articles/web/256415.html</info>

<group>process_monitor,attacks</group>

</rule>

<!-- detection for ngork forward -->

<rule id="100312" level="15">

<if_sid>100110</if_sid>

<match>ngork |ngrok TCP |ngrok http |ngrok tls --hostname=</match>

<description>ngork reverse proxy come out.</description>

<info>https://ngrok.com/docs/getting-started</info>

<group>process_monitor,attacks</group>

</rule>

<!-- detection forEarthworm+Proxychains -->

<!-- 0x06.1 正向SOCKS5服务器器 -->

<rule id="100321" level="15">

<if_sid>100110</if_sid>

<match>ew -s ssocksd -l </match>

<description>Earthworm+ proxy come out.</description>

<info>https://www.freebuf.com/articles/web/256415.html</info>

<group>process_monitor,attacks</group>

</rule>

<!-- 0x06.2 反弹SOCKS5服务器 -->

<rule id="100322" level="15">

<if_sid>100110</if_sid>

<match>ew -s rssocks -d </match>

<description>Earthworm+ proxy come out.</description>

<info>https://www.freebuf.com/articles/web/256415.html</

最低0.47元/天 解锁文章
煜铭2011
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
AgentSmith-HIDS:AgentSmith-HIDS是一个基于云的基于主机的入侵检测解决方案项目,旨在提供具有现代体系结构的下一代威胁检测和行为审计
02-06
AgentSmith-HIDS English | AgentSmith-HIDS是一个基于云的基于主机的入侵检测解决方案项目,旨在提供具有现代体系结构的下一代威胁检测和行为审计。 AgentSmith-HIDS包含三个主要组件: AgentSmith-HIDS Agent与AgentSmith-HIDS Driver合作,是数据收集市场的变革者。 它可以在Linux系统的内核和用户空间上工作,从而提供了具有更好性能的丰富数据流。 AgentSmith-HIDS Server为多达数百万个代理的生产环境提供服务发现。 服务器还支持主要数据格式以及代理规则分发。 AgentSmith
5个流行的开源HIDS系统介绍
allway2的博客
06-29 1万+
威胁形势变得越来越多样化,用于攻击的系统比以往任何时候都更加复杂。毫无疑问,入侵检测系统对于确保现代组织资产和所有网络流量的安全至关重要。这些保护措施用于捍卫对组织网络的受限访问。当涉及入侵检测系统时,有两种不同的类型。基于主机的(HIDS)和基于网络的系统(NIDS)。基于网络的IDS分析网络流量中是否有入侵,并发出警报,而HIDS通过检查网络上的事件来跟踪主机的可疑活动。 本文将介绍五个基于主机的开源入侵检测系统,以帮助您保护组织。 关于HIDS 在深入研究HIDS工具之前,让我们探讨什么是基于主
13款入侵检测系统介绍(HIDS)
thinker
10-22 8880
阅读目录 工具列表 基于签名的IDS 基于异常的IDS 选择IDS方法 1. SolarWinds Security Event Manager(FREE TRIAL) 2. CrowdStrike Falcon(FREE TRIAL) 3. ManageEngine EventLog Analyzer(FREE TRIAL) 4. Snort 5. OSSEC 6. Suricata 7. Zeek 8. Sagan 9. Security Onion 10. ...
规则引擎思考
SHELLCODE_8BIT的博客
01-13 247
1.精确匹配 2.模糊匹配 3.不需要重新部署即可加载规则
Wazuh安全能力
王教主的博客
09-21 2243
Wazuh概述 wazuh是开源HIDS或XDR系统,能对服务器、虚拟化、容器、云进行威胁检测和响应。在安全领域有较高知名度,wazuh主要提供了一个检测框架,规则并不十分完善,需要使用者持续维护规则。 官网为:https://wazuh.com ,文档地址为:https://documentation.wazuh.com/current/index.html,github地址为:https://github.com/wazuh/wazuh。 截止2021年7月,wazuh开箱共3762条规则。覆盖操作系统
系列一:HIDS初识
非想非非想的博客
12-07 1万+
一、IDS之HIDS与NIDS 问题: 什么是HIDS HIDS与NDIS的区别 类型 HIDS NDIS 概念 基于主机的入侵检测系统 基于网络的入侵检测系统 有无agent 有 无 部署位置 内网服务器中 内网节点中 功能 .
yulong-hids:一种由YSRC开源的主机入侵检测系统
02-20
驭龙隐藏由于此项目缺少维护,建议仅用于参考学习和二次开发驭龙HIDS是一种由YSRC开源的开源的入侵检测系统,由Agent , Daemon , Server和Web四个部分组成的,集合异常检测,监控管理为一体,拥有异常行为发现,...
ossec-hids-3.3.0-pcre2.tar.gz
08-22
带有PCRE2的OSSEC 3.3.0,解压之后可以直接运行install.sh安装
ossec-hids-2.8.2.zip
06-22
ossec用于安装在linux主机,可以安装服务器版本和代理版本。用于检测攻击行为,文件系统变化,收集系统日志等。
HIDS_SPEC_V10.pdf
08-03
BLE 5.0 HID spec,这份协议详细描述了BLE5.0中HID设备的协议,在开发基于BLE5.0的HID设备时,需要参考这个文档
HIDS是什么,如何保护主机系统
最新发布
HoewDec的博客
04-08 703
作为传统攻防视角的重要一环有着不可替代的作用,可以有效的检测到从网络层面难以发现的安全问题,如:后门,反弹shell,恶意操作,主机组件安全漏洞,系统用户管理安全问题,主机基线安全风险等。针对主机安全这块,德迅卫士采用自适应安全架构,有效解决传统专注防御手段的被动处境,为系统添加强大的实时监控和响应能力,帮助企业有效预测风险,精准感知威胁,提升响应效率,保障企业安全的最后一公里。结合多个病毒检测引擎,能够实时准确发现主机上的病毒进程,并提供多角度分析结果,以及相应的病毒处理能力。
保障IDC安全:分布式HIDS集群架构设计
WLANQY的博客
01-16 152
我们在研发这款产品过程中,也看到了网上开源了几款同类产品,也了解了他们的设计思路,发现很多产品都是把主要方向放在了单个模块的实现上,而忽略了产品架构上的重要性。比如,有的产品使用了syscall hook这种侵入性高的方案来保障数据完整性,使得对系统侵入性非常高,Hook代码的稳定性,也严重影响了操作系统内核的稳定。同时,Hook代码也缺少了监控熔断的措施,在几十万服务器规模的场景下部署,潜在的风险可能让安全部门无法接受,甚至是致命的。
HIDS与NIDS
zeson27的专栏
02-04 8509
HIDS如何保护主机系统  HIDS如何保护主机系统     从技术上看,入侵检测系统基本上可分为两类:基于网络(NIDS)和基于主机(HIDS)。本文主要介绍基于主机的入侵检测系统,包括它的主要用途、基本工作原理和方式、优缺点、现状和发展趋势等。HIDS的原理及体系结构主机入侵检测系统通常在被重点检测的主机上运行一个代理程序。该代理程序扮演着检测引擎的角色,它根据主机行为特征库对受检
hids wazuh 系列2- 规则管理
煜铭2011
09-16 699
Wazuh 是 以OSSEC作为引擎的基于主机的入侵检测系统,本文重点描述了wazuh规则,自定义规则,实现wazuh检测端口扫描、存在主机扫描的恶意内网行为的目标
驭龙HIDS的简介,它开源了
lengye7的博客
04-02 6053
转载自:https://www.jianshu.com/p/6f1e49d80beb前言HIDS全称是Host-based Intrusion Detection System,即基于主机型入侵检测系统。作为一款HIDS,应当包括了主机重要日志分析,重要系统文件完整性检查,root-kit检测等功能。国外开源HIDS产品Ossec是著名的开源的多平台入侵检测系统。而在生产环境中,很多同学会使用基于...
缓存导致的绕过
weixin_66218784的博客
12-15 139
缓存导致的绕过是通过分析web数据的轮转过程可知webshell大多为多引擎,为了减少资源浪费,会采用缓存的机制,也就是说相同的文件名直接被分拣器将数据发送到master节点,而不进行检测,这样我们可以通过这个思路去将恶意文件进行发送,将文件名一致,但是开发者在数据库中的key不但需要文件名还需要hash数值,可是hash数值不是绝对的安全,可以通过一样的hash值也可以进行绕过,这里是进行理论的阐述,具体实例未进行操作
巧妙地把windows搭建成代理服务器
热门推荐
煜铭2011
12-24 13万+
0x01 背景   在现实情景中,我们仅有一台windows 主机可以上网(在公司的生产环境、测试环境、各种其他场景下,由于各种安全策略或者上网限制,其他服务器均无法上网。但是我们在测试、生产中,可能需要其他服务器联网获取更新包、插件包、安装包、策略文件等。这就要求我们通过一台可以上网的机器作为代理进行中转。 0x01 CCproxy 代理软件   CCproxy 可以很简答地把一台
试从误报、漏报、系统部署与维护、检测规则检测特征、安全策略、安全局限和安全隐患等方面对HIDS和NIDS进行比较
04-17
回答:HIDS(主机入侵检测系统)和NIDS(网络入侵检测系统)是两种入侵检测系统,它们在检测方式上有所不同。相对于HIDS,NIDS更侧重于监控网络流量,检测和识别入侵行为;而HIDS主要监控和保护单个主机,通过监控本机的系统、安全日志和服务进程等来检测和预防入侵行为。 具体来说,从误报和漏报方面来看,HIDS在监控主机上比较准确,但可能会因为误报和漏报的问题而影响检测效果,而NIDS在检测网络入侵方面也会遇到类似的问题。 在系统部署与维护方面,由于HIDS需要在每个主机上部署,因此安装和维护相对复杂,而NIDS则可以集中在一个设备上进行部署,因此操作相对简单一些。 在检测规则检测特征方面,HIDS在检测主机的文件变化、登陆次数、行为规律等方面比较准确;而NIDS则主要基于网络行为模式进行检测,并且可以与规则和签名结合使用,提高精准度。 在安全策略方面,两者都可以进行攻击拦截和预防。HIDS主要通过防火墙、安全日志等策略来保证系统的安全性;而NIDS则主要通过检测和过滤流量、协议规则等策略来保障网络的安全性。 在安全局限和安全隐患方面,HIDS主要受限于本地主机,无法监测网络流量,因此在特定的攻击模式下可能受到一定的限制;而NIDS则主要受限于网络协议,可能存在一些内置的漏洞。 总的来说,通过HIDS和NIDS的比较可以看出它们各有优势和不足。企业需要根据自身实际情况,选择最适合自己的入侵检测系统,并配合其他安全策略,来保证网络和计算机系统的安全性。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值