目录
1、安装
1)官方地址
点击下载即可
2)使用VMware Workstation Pro打开
点击打开虚拟机,选择刚下载的ova镜像即可
初始化的账号:wazuh-user
初始化的密码:wazuh
3)查看ip
2、部署
1)浏览器访问刚查询的IP
这里的默认账号和密码都是:admin
进入:
2)添加代理
在cotens 下添加:
sudo WAZUH_MANAGER='192.168.200.137' WAZUH_AGENT_GROUP='default' WAZUH_AGENT_NAME='ww' yum install -y https://packages.wazuh.com/4.x/yum/wazuh-agent-4.5.0-1.x86_64.rpm
注:我这里的wazuh 的IP地址是192.168.200.137 每一台的设备都不同
开启服务:
systemctl start wazuh-agent
systemctl status wazuh-agent
systemctl enable wazuh-agen
3) 在线情况的确认
4)测试
做一个小测试:在centos 这个系统中使用xshell连接,然后输入三次错误密码
3、复现
1)首先在centos 这个系统下安装httpd服务,然后开启服务
2) 将以下行添加到 Wazuh 代理/var/ossec/etc/ossec.conf
文件中,这允许 Wazuh 代理监控 httpd 服务器的访问日志
<ossec_config>
<localfile>
<log_format>apache</log_format>
<location>/var/log/httpd/access_log</location>
</localfile>
</ossec_config>
如图:
然后在centos 系统下重新启动wazuh
systemctl restart wazuh-agent
3)在客户端进行访问
curl -XGET "http://<UBUNTU_IP>/users/?id=SELECT+*+FROM+users";
然后我们进入wazuh,我们可以看到这里的SQL在尝试注入
然后我们详细的分析一下这个31103的规则:
先查找在哪一个文件:
打开此文件:
我们可以看到触发规则的字段:select、insert、from、where、union 这些关键词通常与SQL查询语句相关,Wazuh可能使用这些规则来监测系统中的日志,以便检测是否有恶意的SQL注入攻击行为。
4、扩展
wazuh 规则中的告警级别
级别 | 描述 | 告警实例 |
level 0 | 忽略,不会采取任何行动 | 用来避免误报,这里没有安全问题 |
level 2 | 系统低优先级的通知 | 没有安全相关性的状态消息 |
level 3 | 成功或授权的事件 | 成功登录,防火墙允许的事件 |
level 5 | 用户生成的错误 | 密码错误,拒绝操作 |
level 6 | 低威胁的攻击 | 对系统没有威胁的蠕虫或病毒(例如Linux机器上的Windows蠕虫) |
level 9 | 来自无效源的错误信息 | 试图以未知用户或无效的来源登录 |
level 10 | 用户产生重复性的错误 | 多个错误密码,多次登录失败 |
level 11 | 完整性检查的警告 | 检测到二进制文件被修改或通过rootcheck检测到rootkit存在信息。它们可能表明袭击成功 |
level 12 | 重要事件 | 来自系统或内核的错误或告警 |
level 13 | 异常错误(重要) | 常见的攻击模式,如缓冲区溢出尝试 |
level 14 | 重要安全事件 | 多个检测规则形成关联结果 |
level 15 | 严重的攻击成功 | 很少产生误报,发现这个级别的告警需要立即处理 |