入侵检测系统HIDS_wazuh使用及部署

最新推荐文章于 2024-09-12 03:42:10 发布
最新推荐文章于 2024-09-12 03:42:10 发布
阅读量900 收藏 8
点赞数 10
分类专栏: 应急溯源 文章标签: 安全 web安全 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42786460/article/details/135062004
版权
本文介绍了如何在Wazuh平台上部署和管理虚拟机,包括登录、添加代理、执行安装脚本、检查连接状态、日志分析、漏洞检测以及安全防护措施,如使用att&ck面板和防止弱口令攻击。
摘要由CSDN通过智能技术生成

文章目录

wazuh简介

Wazuh平台提供XDR和SIEM功能来保护云、容器和服务器工作负载。是国外产品,
其中包括日志数据分析、入侵和恶意软件检测、文件完整性监控、配置评估、漏洞检测等

wazuh在线文档及下载资源

https://documentation.wazuh.com/current/deployment-options/virtual-machine/virtual-machine.html

虚拟机默认用户是:
user: wazuh-user
password: wazuh

访问页面登录,默认是用户:admin,密码:admin

页面登录:
URL: https://<wazuh_server_ip>
user: admin
password: admin

在这里插入图片描述

进入系统后页面

在这里插入图片描述

点击代理总数

在这里插入图片描述

选择需要添加的主机

在这里插入图片描述

需要检测的主机测试是否ping通wazuh服务机

代理机windows机:192.168.225.206
测试: ping 192.168.225.217

在这里插入图片描述

测试访问通后,添加新代理

在这里插入图片描述

添加分组-自动生成下面3的指令
Invoke-WebRequest -Uri https://packages.wazuh.com/4.x/windows/wazuh-agent-4.7.0-1.msi -OutFile ${env.tmp}\wazuh-agent; msiexec.exe /i ${env.tmp}\wazuh-agent /q WAZUH_MANAGER='192.168.225.217' WAZUH_AGENT_GROUP='default' WAZUH_AGENT_NAME='testgroup' WAZUH_REGISTRATION_SERVER='192.168.225.217' 

NET START WazuhSvc

在这里插入图片描述

需要检测的主机执行上面生成的指令

Invoke-WebRequest -Uri https://packages.wazuh.com/4.x/windows/wazuh-agent-4.7.0-1.msi -OutFile ${env.tmp}\wazuh-agent; msiexec.exe /i ${env.tmp}\wazuh-agent /q WAZUH_MANAGER='192.168.225.217' WAZUH_AGENT_GROUP='default' WAZUH_AGENT_NAME='testgroup' WAZUH_REGISTRATION_SERVER='192.168.225.217' 

NET START WazuhSvc

在这里插入图片描述

粘贴到powershell命令窗口中

在这里插入图片描述

执行完,最后需要检测的主机启动服务执行指令
NET START WazuhSvc

在这里插入图片描述

在这里插入图片描述

检查连接状态
netstat  -an

在这里插入图片描述

在wazuh页面,点击箭头1,可以看到2中代理数出现一个,检查status状态是已连接

在这里插入图片描述

使用点击监控的主机

在这里插入图片描述

进入被监测的主机

在这里插入图片描述

进入后点击事件,可以进行elk日志的筛选

在这里插入图片描述

点击完整监测

在这里插入图片描述

点击库存 --》文件和注册表

在这里插入图片描述

基线检查

在这里插入图片描述

进入页面后

在这里插入图片描述

基线检查事项

在这里插入图片描述

漏洞查看

在这里插入图片描述

漏洞事件为0,虚拟机版的不支持,需要搭建官方版

在这里插入图片描述

att&ck面板

在这里插入图片描述

进入att&ct面板页面

在这里插入图片描述

在这里插入图片描述

尝试使用弱口令爆破是否告警

在这里插入图片描述

在这里插入图片描述

登录到wazuh,查看攻击事件

在这里插入图片描述

查看有暴力破解

在这里插入图片描述

点击蛮力查看

在这里插入图片描述

使用时间筛选

在这里插入图片描述

点击蛮力

在这里插入图片描述

弹窗详情

在这里插入图片描述

点击下箭头,展示详情

在这里插入图片描述

煜磊
关注
专栏目录
hids wazuh 系列1-安全运营
煜铭2011
09-17 774
Wazuh 是 以OSSEC作为引擎的基于主机的入侵检测系统,用于主机端点和云工作负载的统一XDR和SIEM保护。提供配置评估、扩展检测和响应、文件完整性监控、漏洞检测、威胁情报、日志数据分析、恶意软件检测、审计与合规、态势管理、工作负载保护、容器安全安全解决方案,此外可以与许多外部服务和工具集成。如VirusTotal,YARA,Amazon Macie,Slack和FortiGate。
hids Elastic Security 系列2-部署和运维
煜铭2011
02-04 1061
Elastic Security安全是在 Elastic Stack 上构建对所有人的统一保护。Elastic Security 使分析人员能够预防,检测和响应威胁。 这个免费开放的解决方案可提供 SIEM,端点安全,威胁搜寻,云监视等功能。
Wazuh部署部署_wazuh已与elastic stack
最新发布
2401_86951321的博客
09-12 422
11.WazuhMaster的安装。10.Kibana的安装。
OSSIM下部署HIDS
weixin_34068198的博客
11-24 377
OSSIM下部署HIDS       OSSEC是OSSIM下的IDS之一,在系统中作为HIDS。通常如果你自己手动安装Ossec Server/Ossec Agent,很多精力花在安装部署和排错上,而且自己搭建分布式Ossec对你而言或许是个挑战。想把这种工作变的轻松些吗,下面视频为大家讲解如何通过WebUI中安装Ossec Agent。 视频地址:http://www.tudou.com/pr...
开源的HIDS软件
老尹的笔记
10-24 4673
最近发现了一个好用的开源HIDS软件:OSSEC HIDS项目主页:http://www.ossec.net支持linux 和 windows系统但是似乎server要安装在Linux系统上。agent可以安装在linux或者windows上。功能包括日志分析,rootkit检测,完整性检测等。email报警,定时报警等。OSSEC目前还不支持Windows系统下得root-kit检测。安装使用
wazuh的基本使用
qq_60680687的博客
08-20 505
我们可以看到触发规则的字段:select、insert、from、where、union 这些关键词通常与SQL查询语句相关,Wazuh可能使用这些规则来监测系统中的日志,以便检测是否有恶意的SQL注入攻击行为。注:我这里的wazuh 的IP地址是192.168.200.137 每一台的设备都不同。做一个小测试:在centos 这个系统中使用xshell连接,然后输入三次错误密码。然后我们进入wazuh,我们可以看到这里的SQL在尝试注入。初始化的账号:wazuh-user。初始化的密码:wazuh
开源HIDS OSSEC部署与扩展使用(安检)
3569
01-24 4757
0x01 概述 from http://vinc.top/2017/12/26/%e3%80%90%e4%bc%81%e4%b8%9a%e5%ae%89%e5%85%a8%e5%ae%9e%e6%88%98%e3%80%91%e5%bc%80%e6%ba%90hids-ossec%e9%83%a8%e7%bd%b2%e4%b8%8e%e6%89%a9%e5%b1%95%e4%bd%bf%e7
hids wazuh 系列2- 规则管理
煜铭2011
09-16 833
Wazuh 是 以OSSEC作为引擎的基于主机的入侵检测系统,本文重点描述了wazuh规则,自定义规则,实现wazuh检测端口扫描、存在主机扫描的恶意内网行为的目标
hids wazuh 系列3-内网扫描规则
煜铭2011
01-18 1395
传统的入侵检测,主要分为网络入侵检测系统和主机入侵检测系统,分别作用于网络层面和主机(服务器、办公电脑等终端)。随着技术发展,出现了结合传统入侵检测系统和新技术(如数据分析、威胁情报、自动化操作、主动响应等)的新产品,这类新产品可能的名称是XDR、EDR、EPP等。Wazuh 是 以OSSEC作为引擎的基于主机的入侵检测系统,用于主机端点和云工作负载的统一XDR和SIEM保护。
hids wazuh 系列5-常规代理检测规则
煜铭2011
01-29 797
传统的入侵检测,主要分为网络入侵检测系统和主机入侵检测系统,分别作用于网络层面和主机(服务器、办公电脑等终端)。随着技术发展,出现了结合传统入侵检测系统和新技术(如数据分析、威胁情报、自动化操作、主动响应等)的新产品,这类新产品可能的名称是XDR、EDR、EPP等。Wazuh 是 以OSSEC作为引擎的基于主机的入侵检测系统,用于主机端点和云工作负载的统一XDR和SIEM保护。
入侵检测系统的设计与实现_基于正则表达式的web入侵检测系统的设计与实现
m0_60634964的博客
04-09 801
外链图片转存中…(img-VTPsF9IM-1712609792335)]
wazuh, Wazuh主机和端点安全性.zip
09-18
wazuh, Wazuh主机和端点安全Wazuh Wazuh帮助你在操作系统和应用程序级别监控主机,从而帮助你获得更深入的基础。 这里解决方案基于轻量级多平台代理,提供以下功能:日志管理和分析: 代理读取操作系统和应用程序日志,并安全地将它们转发到一
HIDS_SPEC_V10.rar
02-20
蓝牙联盟官方协议文档
OSSEC HIDS 部署使用指南
测试0901-1
04-12 809
1. 目的方便运维人员、系统管理员和安全人员,快速掌握 OSSEC HIDS 的部署使用,特此编写本指导。2. 概述本文从 OSSEC 的部署到高级使用方面进行编写,由浅入深。3. 功能OSSEC 属于基于主机和应用的入侵检测系统,通过监视企业重要服务器和各种应用以避免企业资源被攻击、滥用和误用。OSSEC 是一款开源的...
Wazuh开源主机安全解决方案的简介与使用体验
watermelonbig的专栏
07-03 5600
今天我们给大家介绍的这款开源主机安全产品——Wazuh,是免费的开源软件。其组件遵守GNU通用公共许可证2版和Apache许可证2.0版(ALv2)。Wazuh平台提供XDR和SIEM功能来保护云、容器和服务器工作负载。其中包括日志数据分析、入侵和恶意软件检测、文件完整性监控、配置评估、漏洞检测,以及支持检查对法规遵从性的检测。...
wazuh安装与使用
weixin_53434577的博客
08-23 1106
下载:https://wazuh.com可以直接安装Linux这个,然后导入到Linux中就可以使用了。导入完毕后开启,使用远程连接工具进行连接,出现以下画面则成功了。之后可以看一下图形化界面,使用IP地址进行登录。账号和密码均为admin登录后所示页面。到此wazuh安装完毕,就可以使用wazuh了。
Wazuh的安装和基本使用
zhuge_long的专栏
09-11 1320
WazuhHIDS。
部署HIDS之OSSEC部署
weixin_39798910的博客
09-13 1723
文章目录准备工作服务器ossec-server安装服务器ossec-server配置客户端ossec-agent安装客户端ossec-agent配置服务器端ossec-server可视化web界面ossec-wui 准备工作 参考:https://www.cnblogs.com/zlslch/p/8512757.html 官网:https://www.ossec.net/docs/docs/manual/installation/index.html 更新一些插件 sudo apt-get update
Wazuh安装&功能测试——一篇到底
网安小白的博客
04-21 3360
Wazuh的下载安装&功能测试,一篇就够了~
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值