wazuh--开源安全平台

已于 2023-08-23 19:09:49 修改
阅读量434 收藏
点赞数
文章标签: 安全
于 2023-08-23 19:09:23 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xk2844600795/article/details/132431948
版权

目录

介绍

功能简介

 组件模块

1.客户端的功能

2.服务端

3.Elastic Stack

如何安装

1.仓库安装

 2.ova虚拟机安装

添加代理

 简析wazuh的常用规则原理和主动响应

告警信息(alerts)

规则以及解码器(rules and decoders)

规则

解码器

linux后门rootkit检测

用户自定义规则,以及动态链接库的劫持复现

SQL注入检测

介绍

Wazuh(Wazuh · The Open Source Security Platform):是一整套基于ossec安全检测工具和EFK日志工具构成的终端安全管理工具。不管是将其分类至HIDS,还是EDR,它都是一套通过监控主机日志行为,提供安全检测、分析和完整报告的开源、免费利器。Wazuh基于C/S架构,它的Agent支持Windows、MacOS、Linux、HP-UX、AIX等主流操作系统。其服务端负责提供认证和数据收集,然后通过filebeat进行日志清洗,最后导入ElasticSearch,通过Kinbana进行展示和输出日志。它不仅可以收集主机的事件日志进行一般的入侵检测功能,还可以通过第三方提供的系统漏洞检测feed文件,来实现主机的漏洞扫描和合规检查。

功能简介

 组件模块

1.客户端的功能

  1. 收集日志和事件日志;
  2. 文件和注册表的监控;
  3. 运行进程和安装软件的信息收集;
  4. 监控系统端口和网络配置;
  5. 检测恶意软件;
  6. 配置管理和策略监控
  7. 检测主机响应
2.服务端

  1. 客户端的服务器注册;
  2. 实现客户端的连接服务;
  3. 根据各项规则实现事件日志的分析引擎;
  4. 提供RESTful API;
  5. 实现服务端的群集化;
  6. 使用Filebeat将日志文件吐给ES存储
3.Elastic Stack

  1. 事件日志的收集存储;
  2. 日志的分析和提供搜索功能;
  3. 展示和分析事件日志;

如何安装

1.仓库安装

添加wazuh的官方仓库来安装wazuh的安装包

具体流程可以跟着wazuh的官方文档来一步步走

Wazuh documentation

 2.ova虚拟机安装

 在物理机上下载以后,然后在vm中之间导入,文件→打开。

添加代理

目前我们只是安装了wazuh的服务端,没有任何客户端连接,这是没有任何意义的,我们需要让其他服务器成为wazuh的客户端,也就是添加代理,端口号为1514。

这里添加的是centos7,注意是server address不是你的虚拟机的ip。

 像是如下就是代理成功了

wazuh的可视化界面进入方式就是,进入root模式后,直接在网页输入你的wazuh虚拟机的ip地址,然后就可以登录,密码和用户名都是admin。

 简析wazuh的常用规则原理和主动响应

告警信息(alerts)

当入侵者或正常用户执行了某些命令、做了某些操作,触发了wazuh的规则,那么wazuh就会在日志中记录并告警

这个日志的目录是在/var/ossec/logs/alerts目录下

分为有日期的告警日志和总告警日志

以.json结尾的文件是json格式的日志,主要用于ELK分析展示

以.log结尾的文件是我们查看起来比较方便的格式。

 我们随便看一条log

 我们在2023/8/22 9:15:20 进行了一次sudo -i,就是进入root模式

可以看到规则号为5402,报警等级为3,并且确定登录了,用户为root。

 在可视化界面更容易查看,警告等级默认为3.

规则以及解码器(rules and decoders)

规则

wazuh的规则在/var/ossec/ruleset/rules目录下

 

 而用户的自定义规则是在/var/ossec/etc/rules目录下

为什么不把用户自定义的规则放在wazuh的规则目录下,而是放在单独的自定义规则目录下呢?

这是因为wazuh的规则是在实时更新的,如果用户自定义的规则放在wazuh的规则目录下,有可能在更新的时候删除掉用户自定义的规则

解码器

解码器处于的位置

 解码器位于/var/ossec/ruleset/decoders/。不要在这些位置编辑规则或解码器,因为Wazuh的更新会覆盖你的更改。保存自定义规则和解码器的位置分别是/var/ossec/etc/rules/和/var/ossec/etc/decoders/。

Wazuh中的解码器就是从特定类型的事件中提取相关数据。解码分为预解码阶段和解码阶段。

预解码阶段:从已知字段(如syslog记录头中的字段)提取静态信息。这通常包括时间戳、主机名和程序名,这些值通常在所有syslog消息中都能找到,而不管哪个应用程序生成它们。
解码阶段:将从事件中提取更多的动态信息,如源IP地址、用户名、URL等等。一个或多个解码器专门用于从许多不同的应用程序和日志源中提取字段数据。

一旦日志事件被解码,Wazuh就可以根据其规则集对其进行评估,以确定是否应该生成警报。如果日志没有解码,Wazuh规则将被限制在寻找出现在日志事件中任何地方的通用子字符串,从而大大降低了生成告警的质量。

linux后门rootkit检测

 后门检测和基线检查的脚本在/var/ossec/etc/rootcheck目录下

debian_linux操作系统的基线检查、MySQL的基线检查、rhel_linux操作系统的基线检查、Windows2012R2操作系统的基线检查等等,如下的是后门检查。

 

 查看一下后门检查文件,wazuh的后门检查包含了世面上绝大数的rootkit,只有少数的核心rootkit没有。

 

再看检测木马的脚本

 可以看到wazuh能够检测Linux的基础命令是否被恶意代码替换。

检测hosts文件被恶意软件劫持等等功能。

用户自定义规则,以及动态链接库的劫持复现

这里我们就来写入动态链接库劫持的规则

Detecting common Linux persistence techniques with Wazuh

 centos7本身是有audit这个工具的,只需要启动一下就行

我们根据官方文档的步骤,重新查看我们的audit的规则,如下

 我们查看/var/log/audit,可以发现我们添加的规则已经触发

 我们在/etc/ld.so.preload中写入一个so文件,来手动触发这个规则。

 然后再去wazuh去查看

 可以证明成功触发了这个规则。

SQL注入检测

方法很简单,我们在centos的ossec.conf文件下添加自己的Apache路径

然后写一个sql注入语句。

your ip/?id=1%27%20select%201,2,3--+

再来查看Apache的日志文件。

 我们再来看wazuh,就会发现如下情况,有人尝试sql注入。

 这里的预期结果是规则 ID 31103 的警报,但成功的 SQL 注入尝试会生成规则 ID 31106 的警报。

昨日正晴
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Wazuh从入门到上线,GitHub重磅官宣
2401_83947353的博客
04-14 1072
当我学到一定基础,有自己的理解能力的时候,会去阅读一些前辈整理的书籍或者手写的笔记资料,这些笔记详细记载了他们对一些技术点的理解,这些理解是比较独到,可以学到不一样的思路。当我学到一定基础,有自己的理解能力的时候,会去阅读一些前辈整理的书籍或者手写的笔记资料,这些笔记详细记载了他们对一些技术点的理解,这些理解是比较独到,可以学到不一样的思路。网安所有方向的技术点做的整理,形成各个领域的知识点汇总,它的用处就在于,你可以按照上面的知识点去找对应的学习资源,保证自己学得较为全面。
WAZUH-OSSEC:WAZUH-开源安全平台安装
02-03
WAZUH-OSSEC:WAZUH-开源安全平台安装
Wazuh使用企业微信机器人预警
7*24小时的运维dog
05-23 333
告警
wazuh初探系列二 :Wazuh功能初步探知
weixin_51525416的博客
08-22 2502
Wazuh功能初步探知
Wazuh功能梳理
土肆的笔记本
07-28 2339
wazuh agent 官方文档 日志收集(Log Collector) 命令执行(Command execution) 文件完整性监控(File integrity monitoring, FIM) 安全配置评估 (Security configuration assessment,SCA)
Wazuh安装&功能测试——一篇到底
网安小白的博客
04-21 2222
Wazuh的下载安装&功能测试,一篇就够了~
wazuh
h2896713787的博客
08-24 231
Wazuh 是一个免费的开源安全平台,统一了 XDR 和 SIEM 功能。它可以保护本地、虚拟化、容器化和基于云的环境中的工作负载。Wazuh 帮助组织和个人保护其数据资产免受安全威胁。它被全球数千个组织广泛使用,从小型企业到大型企业。此外,Wazuh 已经与 Elastic Stack 完全集成,提供了一个搜索引擎和数据可视化工具,允许用户通过他们的安全警报进行导航。
wazuhWazuh-开源安全平台
02-04
瓦祖 Wazuh是一个免费的开源平台,用于威胁的预防,检测和响应。 它能够在本地,虚拟化,容器化和基于云的环境中保护工作负载。 Wazuh解决方案由部署到受监视系统的端点安全代理和管理服务器组成,该管理服务器收集...
wazuh-kibana-app:Wazuh-Kibana插件
02-03
Wazuh是一个安全检测,可见性和合规性开源项目。 Wazuh通过在操作系统和应用程序级别监视主机,可以帮助您更深入地了解基础结构的安全性。 您可以在这里了解更多信息描述该Kibana插件可让您可视化和分析Elastic...
wazuh-api:Wazuh-RESTful API
02-04
Wazuh RESTful API Wazuh API是一种开源RESTful API,可通过您自己的应用程序或简单的Web浏览器或诸如cURL之类的工具与Wazuh进行交互。 我们的目标是完全远程管理Wazuh。 使用Wazuh API,现在最简单的方法就是执行...
wazuh-documentation:Wazuh-项目文档
02-03
Wazuh文档 Wazuh是一个免费的,开源的,可用于企业的安全监视解决方案,用于威胁检测,完整性监视,事件响应和合规性。 该资源库中提供了有关该项目的在线文档。 Wazuh团队的成员和社区用户为它的发展和日常改进做出...
wazuh 集群
thinker
10-14 807
基本目的wazhu集群是一组wazuh管理器,它们共同工作以增强服务的可用性和可扩展性。使用wazuh集群设置,只要我们在必要时增加worker节点,就可以大大增加agent的数量。 使用集群的原因支持水平扩展与高可用性。 水平扩展支持数千个agent同时上报,向集群中增加一个agent也很简单(只需要在配置中增加master的地址)并且可以实现自动化,使用户可以实现自动扩展 可用性单节点机器系统可能宕机、或者人为关机、硬件损坏,当机器恢复时,您不知道之前发生的事件。但是在使用集群时,可以...
wazuh 原理分析之Syscollector 系统信息收集工作流程
guoguangwu的专栏
11-07 3453
wazuh是从ossec-hids衍生过来的,部分架构设计有所不同, 多进程多线程模式。本机的进程之间通过Unix domain socket 进行通信的。 今天简单介绍一下数据搜集的相关功能的实现(Linux系统)。 注意由于篇幅所限, 在函数中我们只列出相关代码。 可以先看一下官网的架构设计 https://documentation.wazuh.com/3.9/getting-...
wazuh安装、Rootkit原理解析与检测实践
m0_69435261的博客
08-20 535
Wazuh 是一个免费的开源安全平台,统一了 XDR 和 SIEM 功能。它可以保护本地、虚拟化、容器化和基于云的环境中的工作负载。Wazuh 帮助组织和个人保护其数据资产免受安全威胁。它被全球数千个组织广泛使用,从小型企业到大型企业。Wazuh的使用场景有:入侵检测日志数据分析完整性检查漏洞检测配置评估应急响应云、容器安全等。
必备!20款开源网络安全工具推荐
小司机的奥拓
12-19 1894
一些热门开源安全工具通常由充满热情的志愿者开发和维护,并定期更新和改进,能够紧跟不断变化的威胁发展态势,具备了较好的成本效益和应用灵活性。本文Zeek的前身为Bro,是一款性能良好的开源网络安全监控工具,可以实时分析网络流量,帮助用户监测网络活动、安全威胁和运行性能。Zeek是一款被动网络嗅探器,因此不会生成任何流量干扰网络正常运行。它可以用于监控包括HTTP、SMTP、DNS和SSH的众多网络协议,还可以检测和警报恶意软件、僵尸网络和拒绝服务攻击等安全威胁。
Wazuh关联分析规则高级玩法
orright的专栏
10-21 1555
# 前言 上面两篇讲到Wazuh安装部署和数据接入和解码,解决了EDR的基建问题,接下来就来讲解Wazuh的规则玩法,之前就提到过 Wazuh是ossec的分支,那为啥非要用分支不用原生呢?其实问题就在于Wazuh对ossec的规则引擎进行改良和扩展,使得规则不限制于 少量且写死的字段,譬如源地址、目的地址等字段,可以进行无限制的字段扩展! 本篇不会去讲规则具体字段的使用,这个主要原因是Wazuh官方的文档写的实在是太详细了。 ## 规则类型 ### 根规则与派生规则(Parent/Child)
开源XDR-SIEM一体化平台 Wazuh (1)基础架构
最新发布
Monster✺◟(∗❛ัᴗ❛ั∗)◞✺的博客
07-22 963
Wazuh索引器是一个高度可扩展的全文搜索和分析引擎。作为Wazuh平台的核心组件之一,它负责索引和存储由Wazuh服务器生成的警报,并提供接近实时的数据搜索和分析功能。Wazuh索引器可以配置为单节点或多节点集群,以实现可扩展性和高可用性。Wazuh索引器以JSON文档的形式存储数据。每个文档将一组键(或字段名、属性)与其对应的值相关联,这些值可以是字符串、数字、布尔值、日期、值数组、地理位置或其他类型的数据。索引是相关文档的集合。
Wazuh体系架构及典型用例
allway2的博客
06-29 8223
Wazuh是一个安全检测,可见性和合规性开源项目。它诞生于OSSEC HIDS的分支,后来又与Elastic Stack和OpenSCAP集成在一起,发展成为一个更全面的解决方案。以下是这些工具及其作用的简要说明: OSSEC HIDS OSSEC HIDS是用于安全检测,可见性和合规性监视的基于主机的入侵检测系统(HIDS)。它基于多平台代理,该代理将系统数据(例如日志消息,文件哈希和检测到的异常)转发给中央管理器,在中央管理器中对其进行进一步的分析和处理,从而产生安全警报。代理将事件...
wazuh agent功能详解
thinker
10-11 5515
wazhu之agent功能详解 一、日志数据收集 日志数据收集是从服务器或设备生成的记录中收集的实时过程。此组件可以通过文本文件或Windows事件日志接收日志。它还可以通过远程syslog直接接收日志,这对防火墙和其他此类设备非常有用。 此过程的目的是识别应用程序或系统程序错误,配置错误,入侵威胁,触发策略或安全问题。 Wazuh aegnt 的内存和CPU要求是,因为它的非常低的,主要作用是将事件转发给管理器。但是,在Wazuh管理器上,CPU和内存消耗可能会迅速增加,具体取决于管理器每秒事件数
wazuh中的wazuh-template.json
07-27
Wazuh中的"wazuh-template.json"是一个模板文件,用于定义Elasticsearch中的索引模式。Wazuh是一个开源安全监控解决方案,用于检测和预防入侵、漏洞和异常行为等安全事件。该模板文件定义了在Elasticsearch中存储和搜索Wazuh日志数据所需的字段和属性。它提供了一个结构化的方式来组织和索引Wazuh生成的日志数据,使其更易于分析和查询。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值