Wazuh功能梳理

最新推荐文章于 2024-06-23 21:00:00 发布
最新推荐文章于 2024-06-23 21:00:00 发布
阅读量2.3k 收藏 11
点赞数
分类专栏: 学习笔记 # 2021 文章标签: wazuh
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/sinat_18665801/article/details/119172751
版权

wazuh agent

官方文档
在这里插入图片描述

功能介绍

日志收集(Log Collector)

> 介绍

官方文档

This agent component can read flat log files and Windows events, collecting operating system and application log messages. It does support XPath filters for Windows events and recognizes multi-line formats (e.g. Linux Audit logs). It can also enrich JSON events with additional metadata.

> 流程图

在这里插入图片描述

> 配置

ossec.conf(agent)或agent.conf(manager)中配置:

<localfile>
    <log_format>json</log_format>
    <location>/test/json_log</location>
</localfile>
  • log_format: 日志格式
  • location: 日志路径
    • 支持通配:如/var/log/*.log
    • 支持日期:如C:\Windows\app\log-%y-%m-%d.log
    • 支持环境变量:如%SystemDrive%\inetpub\logs\LogFiles\W3SVC1\u_ex%y%m%d.log
  • target: 目标
    • 仅多output的时候需要配置,配合<socket>...</socket>使用。

> 输出

  • alert.json/log
    如果配置了规则匹配上了会输出到这儿。
  • archives.json/log
    manager端开启logall或logall_json
    每次修改被监控的文件,会输出文件的所有内容到这儿。
    TODO: 如何利用该功能做日志收集
    在这里插入图片描述

命令执行(Command execution)

> 介绍

官方文档

Agents can run authorized commands periodically, collecting their output and reporting it back to the Wazuh server for further analysis. This module can be used to meet different purposes (e.g. monitoring hard disk space left, getting a list of last logged in users, etc.).

> 流程图

在这里插入图片描述

> 配置

  • agent端
    需要在/var/ossec/etc/local_internal_options.conf添加wazuh_command.remote_commands=1

  • manager/agent端
    ossec.conf(agent)或agent.conf(manager)中配置:

    <localfile>
 	<log_format>full_command</log_format>
 	<command>.....</command>
 	<frequency>120</frequency>
</localfile>

文件完整性监控(File integrity monitoring, FIM)

> 介绍

官方文档

This module monitors the file system, reporting when files are created, deleted, or modified. It keeps track of file attributes, permissions, ownership, and content. When an event occurs, it captures who, what, and when details in real time. Additionally, this module builds and maintains a database with the state of the monitored files, allowing queries to be run remotely.

> 流程图

在这里插入图片描述

> 配置

ossec.confagent.conf中配置:

<syscheck>
  <frequency>36000</frequency>
  <directories check_all="yes">/etc,/usr/bin,/usr/sbin</directories>
  ...
</syscheck>
扫描位置
  • directories:路径(文件or文件夹)
    • 支持分割符(逗号,)或多行(多directories标签)
    • 支持环境变量
    • 默认:取决于操作系统
    • 属性:
扫描时间
  • frequency: 频率
    • 单位:秒
    • 默认:43200秒,即12个小时
  • scan_on_start: 启动时是否扫描
    • yes / no
    • 默认:yes
  • scan_time: 扫描时间(一天内)
    • 支持精确到分(如8:30)或到小时(如9pm
    • 默认:无(默认是frequency)
  • scan_day: 扫描时间(一周内)
    • 如:thursday
    • 默认:无(默认是frequency)
其他

安全配置评估 (Security configuration assessment,SCA)

> 介绍

官方文档

This component provides continuous configuration assessment, utilizing out-of-the-box checks based on the Center of Internet Security (CIS) benchmarks. Users can also create their own SCA checks to monitor and enforce their security policies.

> 流程图

在这里插入图片描述

> 配置

  <sca>
    <enabled>yes</enabled>
    <scan_on_start>yes</scan_on_start>
    <interval>12h</interval>
    <skip_nfs>yes</skip_nfs>
  </sca>

系统数据(System inventory)

> 介绍

官方文档

This agent module periodically runs scans, collecting inventory data such as operating system version, network interfaces, running processes, installed applications, and a list of open ports. Scan results are stored into local SQLite databases that can be queried remotely.

恶意软件检测(Malware detection)

> 介绍

官方文档

Using a non-signature based approach, this component is capable of detecting anomalies and possible presence of rootkits. Monitoring system calls, it looks for hidden processes, hidden files, and hidden ports.

> 流程图

在这里插入图片描述

自动响应(Active response)

> 介绍

This agent module is integrated with the Docker Engine API in order to monitor changes in a containerized environment. For example, it detects changes to container images, network configuration, or data volumes. Besides, it alerts on containers running in privileged mode and on users executing commands in a running container.

容器安全监控(Containers security monitoring)

> 介绍

This agent module is integrated with the Docker Engine API in order to monitor changes in a containerized environment. For example, it detects changes to container images, network configuration, or data volumes. Besides, it alerts on containers running in privileged mode and on users executing commands in a running container.

云安全监控(Containers security monitoring)

> 介绍

This component monitors cloud providers such as Amazon AWS, Microsoft Azure, or Google GCP. It natively communicates with their APIs. It is capable of detecting changes to the cloud infrastructure (e.g. a new user is created, a security group is modified, a cloud instance is stopped, etc.), and collecting cloud services log data (e.g. AWS Cloudtrail, AWS Macie, AWS GuardDuty, Azure Active Directory, etc.)

agent与manager通讯

注册

  1. 修改配置
    vim /var/ossec/etc/ossec.conf
    修改<server>标签的<address>为manager的ip

    <ossec_config>
  <client>
    <server>
      <address>${manager_ip}</address>
      <port>1514</port>
      <protocol>tcp</protocol>
...

  2. 认证
    /var/ossec/bin/agent-auth -m ${manager_ip} -p ${manager_port} -A ${agent_name}

    • manager_ip: manager的ip
    • manager_port: manager认证端口,默认为1515
    • agent_name: agent注册名称,默认为agent的hostname

  3. 重启
    /var/ossec/bin/ossec-control restart

消息上报

策略下发

配置文件梳理

ossec.conf

官方文档

> 功能

> 属于

  • agent
  • manager

> 位置

  • /var/ossec/etc/ossec.conf
  • C:\Program Files (x86)\ossec-agent\ossec.conf

agent.conf

官方文档

> 功能

对agent进行远程分组的管理。

> 分组依据

  • 名称(name)
  • 系统(os)
  • 配置(profile)

> 启用

该功能需要在agent端启用:在agent的/var/ossec/etc/local_internal_options.conf文件中,添加wazuh_command.remote_commands=1

> 属于

  • agent - 不需要配置,会从manager端同步
  • manager

> 位置

  • /var/ossec/etc/shared/*/agent.conf
土肆
关注
  • 0
    点赞
  • 11
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
安全审计平台Wazuh架构及功能概览
企业实战系列集 ●●● https://ximenjianxue.blog.csdn.net
05-12 764
一、概要 Wazuh是一个安全检测,可见性和合规性开源项目。它诞生于OSSEC HIDS的分支,后来又与Elastic Stack和OpenSCAP集成在一起,已发展成为一个更全面的解决方案。Wazuh已与Elastic Stack完全集成,提供了搜索引擎和数据可视化工具,使用户可以浏览其安全警报。 Wazuh提供的功能还包括日志数据分析,入侵和恶意软件检测,文件完整性监视,配置评估,漏洞检测以及对法规遵从性的支持。 github: https://github.com/wazuh OSSEC HIDS是基
Wazuh和clamav的联动 -操作记录.docx
09-14
Wazuh是一款开源的安全监控系统,它能够实时检测操作系统、应用程序、网络设备的日志,提供入侵检测、恶意软件检测、合规性检查等功能。而ClamAV则是一款流行的开源反病毒引擎,主要用于邮件服务器、文件服务器等...
wazuh agent功能详解
thinker
10-11 5504
wazhu之agent功能详解 一、日志数据收集 日志数据收集是从服务器或设备生成的记录中收集的实时过程。此组件可以通过文本文件或Windows事件日志接收日志。它还可以通过远程syslog直接接收日志,这对防火墙和其他此类设备非常有用。 此过程的目的是识别应用程序或系统程序错误,配置错误,入侵威胁,触发策略或安全问题。 Wazuh aegnt 的内存和CPU要求是,因为它的非常低的,主要作用是将事件转发给管理器。但是,在Wazuh管理器上,CPU和内存消耗可能会迅速增加,具体取决于管理器每秒事件数
自动化安全运营实操案例- 飞书 X Wazuh X 雷池WAF
最新发布
ZL_1618的博客
06-23 814
Wazuh| 一款国外的SIEM平台,可以理解为安全版的ELK,具有日志统计分析、可视化、主机监控等功能。目前github有9.2kstar,目前分为Saas版和开源版。Wazuh分为Server端以及Agent,Agent可以对服务器进行日志监控、漏洞检测、安全合规基线扫描、进程收集,集成VirusTotal接口后可具备磁盘恶意文件检测能力。本文中使用的是私有部署的开源版4.7.4,主要提供日志监控、下发指令自动处置的能力。—|—
wazuh初探系列二 :Wazuh功能初步探知
weixin_51525416的博客
08-22 2501
Wazuh功能初步探知
wazuh
h2896713787的博客
08-24 230
Wazuh 是一个免费的开源安全平台,统一了 XDR 和 SIEM 功能。它可以保护本地、虚拟化、容器化和基于云的环境中的工作负载。Wazuh 帮助组织和个人保护其数据资产免受安全威胁。它被全球数千个组织广泛使用,从小型企业到大型企业。此外,Wazuh 已经与 Elastic Stack 完全集成,提供了一个搜索引擎和数据可视化工具,允许用户通过他们的安全警报进行导航。
wazuh介绍
q1415500189的博客
08-18 1472
wazuh搭建
wazuh-elastic7-template-alerts.json
06-29
wazuh-elastic7-template-alerts.json,wazuh的ES模块导入
wazuh-ruleset:Wazuh-规则集
02-03
瓦祖(Wazuh)规则集是用于强化网络安全监控的重要工具,它主要关注安全、日志分析、监控、事件响应、入侵检测等多个方面。Wazuh最初基于OSSEC(Open Source Security Information and Event Management),随着时间...
wazuh-documentation:Wazuh-项目文档
02-03
Wazuh文档 Wazuh是一个免费的,开源的,可用于企业的安全监视解决方案,用于威胁检测,完整性监视,事件响应和合规性。 该资源库中提供了有关该项目的在线文档。 Wazuh团队的成员和社区用户为它的发展和日常改进做出...
WAZUH-OSSEC:WAZUH-开源安全平台安装
02-03
WAZUH-OSSEC 是一个强大的开源安全监控系统,它提供了实时的入侵检测、主机完整性检查和日志聚合功能。该平台支持多种操作系统,包括 CentOS8,在企业环境中广泛用于提升网络安全防护能力。在本文中,我们将详细介绍...
wazuh, Wazuh主机和端点安全性.zip
09-18
wazuh, Wazuh主机和端点安全性 Wazuh Wazuh帮助你在操作系统和应用程序级别监控主机,从而帮助你获得更深入的基础。 这里解决方案基于轻量级多平台代理,提供以下功能:日志管理和分析: 代理读取操作系统和应用程序日志,并安全地将它们转发到一
wazuh--开源安全平台
xk2844600795的博客
08-23 434
收集日志和事件日志;文件和注册表的监控;运行进程和安装软件的信息收集;监控系统端口和网络配置;检测恶意软件;配置管理和策略监控检测主机响应这里我们就来写入动态链接库劫持的规则centos7本身是有audit这个工具的,只需要启动一下就行我们根据官方文档的步骤,重新查看我们的audit的规则,如下我们查看/var/log/audit,可以发现我们添加的规则已经触发我们在/etc/ld.so.preload中写入一个so文件,来手动触发这个规则。然后再去wazuh去查看。
入侵检测系统HIDS_wazuh使用及部署
weixin_42786460的博客
12-18 775
入侵检测系统HIDS_wazuh使用及部署
Wazuh开源主机安全解决方案的简介与使用体验
watermelonbig的专栏
07-03 5319
今天我们给大家介绍的这款开源主机安全产品——Wazuh,是免费的开源软件。其组件遵守GNU通用公共许可证2版和Apache许可证2.0版(ALv2)。Wazuh平台提供XDR和SIEM功能来保护云、容器和服务器工作负载。其中包括日志数据分析、入侵和恶意软件检测、文件完整性监控、配置评估、漏洞检测,以及支持检查对法规遵从性的检测。...
wazuh 收集 suricata eve.json日志
guoguangwu的专栏
11-19 4089
安装suricata和规则 (源码或者安装包),本博客提供安装包操作方式: 切换成超级用户进行操作 yum -y install epel-release wget jq curl -O https://copr.fedorainfracloud.org/coprs/jasonish/suricata-stable/repo/epel-7/jasonish-suricata-stable-e...
wazuh 日志收集原理分析
热门推荐
guoguangwu的专栏
11-05 1万+
wazuh 默认安装到 /var/ossec目录下。 我基于manager端进行分析,和agent一样。默认启动ossec-logcollector进程去搜集日志:比如 snort日志、auditd日志、syslog日志等。 入口函数代码在src/logcollector/main.c中。 int main(int argc, char **argv) { /* 初始化处理: 命...
wazuh 设置中文
04-24
Wazuh是一个开源的安全监控解决方案,它可以帮助组织实时监控和分析其IT基础设施的安全事件。Wazuh支持多种语言,包括中文。要将Wazuh设置为中文,您可以按照以下步骤进行操作: 1. 下载Wazuh的最新版本,并按照官方文档进行安装和配置。 2. 打开Wazuh的配置文件,通常位于`/var/ossec/etc/ossec.conf`。 3. 在配置文件中找到`<global>`部分,并添加以下行: ``` <global> <lang>zh</lang> </global> ``` 这将设置Wazuh的语言为中文。 4. 保存并关闭配置文件。 5. 重新启动Wazuh服务,以使更改生效。 这样,您就可以将Wazuh的界面和日志信息显示为中文了。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值