Wazuh和Nmap集成扫描内网中开放端口和服务

已于 2024-01-10 19:19:30 修改
阅读量142 收藏
点赞数
文章标签: windows 安全 智能路由器 网络
于 2023-08-05 12:00:00 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xnxqwzy/article/details/132098347
版权

作者:Pamela@涂鸦智能安全实验室

前言

本篇文章将介绍利用WazuhNmap集成,扫描内网中开放端口和服务。

此处我们将使用python-nmap**(https://pypi.org/project/python-
nmap/)**来扫描不同子网的开放端口/服务。

Nmap扫描器需要安装在不同网段的不同Wazuh agent上 ,其输出被转换为JSON,并添加到每个agent的active- responseses.log中。然后扫描通过cron安排作业,每周、每月等执行一次,这里也可以通过Wazuh的wodle command集成来触发。

环境准备

  • Nmap需要安装在不同网段不个代理上,以运行网络扫描。(如果每个代理上安装也不是不行,看你喜欢。)
  • 安装python-nmap(https://pypi.org/project/python-nmap/)

实现过程

agent端

nmap.py

注:这个脚本可以放在agent上的任何文件夹中,它的执行可以用cron来安排。

import nmap  
import time  
import json  
nm = nmap.PortScanner()  
#Add subnets to scan to the Subnets Array  
subnets=['192.168.252.0/24','192.168.1.0/24']  
for subnet in subnets:  
json_output={}  
nm.scan(subnet)  
for host in nm.all_hosts():  
json_output['nmap_host']=host  
for proto in nm[host].all_protocols():  
if proto not in ["tcp", "udp"]:  
continue  
json_output['nmap_protocol']=proto  
lport = list(nm[host][proto].keys())  
lport.sort()  
for port in lport:  
hostname = ""  
json_output['nmap_port']=port  
for h in nm[host]["hostnames"]:  
hostname = h["name"]  
json_output['nmap_hostname']=hostname  
hostname_type = h["type"]  
json_output['nmap_hostname_type']=hostname_type  
json_output['nmap_port_name']=nm[host][proto][port]["name"]  
json_output['nmap_port_state']=nm[host][proto][port]["state"]  
json_output['nmap_port_product']=nm[host][proto][port]["product"]  
json_output['nmap_port_extrainfo']=nm[host][proto][port]["extrainfo"]  
json_output['nmap_port_reason']=nm[host][proto][port]["reason"]  
json_output['nmap_port_version']=nm[host][proto][port]["version"]  
json_output['nmap_port_conf']=nm[host][proto][port]["conf"]  
json_output['nmap_port_cpe']=nm[host][proto][port]["cpe"]  
with open("/var/ossec/logs/active-responses.log", "a") as active_response_log:  
active_response_log.write(json.dumps(json_output))  
active_response_log.write("\n")  
time.sleep(2)

manager端

检测规则
<group name="linux,nmap,network_scan">  
<rule id="200400" level="3">  
<decoded_as>json</decoded_as>  
<field name="nmap_host">\.+</field>  
<field name="nmap_protocol">\.+</field>  
<description>NMAP: Network Scan Host $(nmap_host)</description>  
<options>no_full_log</options>  
</rule>  
</group>

扫描结果

{  
"timestamp":"2022-06-29T18:20:32.001+0000",  
"rule":{  
"level":3,  
"description":"NMAP: Network Scan Host 192.168.252.222",  
"id":"200400",  
"firedtimes":55,  
"mail":false,  
"groups":[  
"linux",  
"nmap",  
"netwprk_scan"  
]  
},  
"agent":{  
"id":"017",  
"name":"ubunutu2004vm",  
"ip":"192.168.252.191"  
},  
"manager":{  
"name":"ASHWZH01"  
},  
"id":"1645591052.115711751",  
"decoder":{  
"name":"json"  
},  
"data":{  
"nmap_host":"192.168.252.222",  
"nmap_protocol":"tcp",  
"nmap_port":"443",  
"nmap_hostname":"_gateway",  
"nmap_hostname_type":"PTR",  
"nmap_port_name":"https",  
"nmap_port_state":"open",  
"nmap_port_product":"OPNsense",  
"nmap_port_reason":"syn-ack",  
"nmap_port_conf":"10"  
},  
"location":"/var/ossec/logs/active-responses.log"  
}

结语

赶KPI 写得有点仓促,敬请见谅,如果有疑问可以私信我哈~

漏洞悬赏计划:涂鸦智能安全响应中心(https://src.tuya.com)欢迎白帽子来探索。

招聘内推计划:涵盖安全开发、安全测试、代码审计、安全合规等所有方面的岗位,简历投递sec@tuya.com
请注明来自FreeBuf

Pamela@涂鸦智能安全实验室

最后

从时代发展的角度看,网络安全的知识是学不完的,而且以后要学的会更多,同学们要摆正心态,既然选择入门网络安全,就不能仅仅只是入门程度而已,能力越强机会才越多。

因为入门学习阶段知识点比较杂,所以我讲得比较笼统,大家如果有不懂的地方可以找我咨询,我保证知无不言言无不尽,需要相关资料也可以找我要,我的网盘里一大堆资料都在吃灰呢。

干货主要有:

①1000+CTF历届题库(主流和经典的应该都有了)

②CTF技术文档(最全中文版)

③项目源码(四五十个有趣且经典的练手项目及源码)

④ CTF大赛、web安全、渗透测试方面的视频(适合小白学习)

⑤ 网络安全学习路线图(告别不入流的学习)

⑥ CTF/渗透测试工具镜像文件大全

⑦ 2023密码学/隐身术/PWN技术手册大全

如果你对网络安全入门感兴趣,那么你需要的话可以点击这里👉网络安全重磅福利:入门&进阶全套282G学习资源包免费分享!

扫码领取

程序员菠萝
关注
wazuh官方安装指南(中文译版本)
weixin_30443895的博客
02-18 2664
安装Wazuh服务Wazuh服务器可以安装在任何类型的Unix操作系统上。最常见安装在Linux上。如果可以为您的系统提供自动化脚本,则安装过程会更容易,但是,从源码构建和安装也非常简单。 通常在Wazuh服务器上安装两个组件:管理器和API。此外,对于分布式体系结构(Wazuh服务器将数据发送到远程Elastic Stack集群),需要安装Filebeat。 安装Wazuh服务器...
Nmap内网扫描端口
安全小白的博客
04-28 5332
使用BurpSuite爆破路由管理密码 使用BurpSuite爆破密码 主要步骤: 1输入任意密码,使用Proxy模块截取cookie 2.使用Decoder转码分析cookie 3设定cookie变量,使用Intruder模块爆破密码 4.登录路由管理页面
网络安全最全Wazuh从入门到上线
2401_84247617的博客
05-04 1049
EOF。
WAZUH--安装
Devour_的博客
11-02 2784
安装Wazuh服务Wazuh服务器可以安装在任何类型的Unix操作系统上。最常见安装在Linux上。如果可以为您的系统提供自动化脚本,则安装过程会更容易,但是,从源码构建和安装也非常简单。 通常在Wazuh服务器上安装两个组件:管理器和API。此外,对于分布式体系结构(Wazuh服务器将数据发送到远程Elastic Stack集群),需要安装Filebeat。 安装Wazuh服务器有多种选择,具体取决于操作系统以及是否希望从源代码构建。请参阅下表并选择如何安装: 类型 描述 RPM包
开源XDR-SIEM一体化平台 Wazuh (2)安装
Monster✺◟(∗❛ัᴗ❛ั∗)◞✺的博客
07-23 1077
安装 Wazuh indexer 可以根据具体需求和环境选择多种方法。可以通过脚本安装,也可以通过yum/apt等安装工具进行安装,详细安装方式可以参考官方文档。即除了上述的安装方式外,还可以通过集成式的镜像进行运行。可以通过官方提供的OVA、docker镜像、或者其他平台的具体镜像来安装使用使用,本篇文章主要介绍的是OVA安装方式。
wazuh-documentation:Wazuh-项目文档
02-03
Wazuh文档 Wazuh是一个免费的,开源的,可用于企业的安全监视解决方案,用于威胁检测,完整性监视,事件响应和合规性。 该资源库提供了有关该项目的在线文档。 Wazuh团队的成员和社区用户为它的发展和日常改进做出了贡献。 在线文件 为这个项目做贡献 如果您想对本文档做出贡献,请阅读我们的文件,以了解有关如何部署开发环境和提交请求的更多信息。 您也可以通过发送电子邮件至wazuh+subscribe@googlegroups.com加入我们的,以提出问题并参与讨论。 使用的软件和库 3.5+ 3.0.4 0.9.2 1.1.13 版权和许可 版权所有:copyright:2020 Wazuh,Inc. Wazuh是免费软件; 您可以根据自由软件基金会发布的GNU通用公共许可证的条款重新分发和/或修改它; 许可的版本2,或(由您选择)任何更高的版本。
wazuh
Devotedakura的博客
08-20 715
Wazuh 是一个免费、开源和企业级的安全监控解决方案,用于威胁检测、完整性监控、事件响应和合规性。Wazuh由部署到受监视系统的端点安全代理和管理服务器组成,管理服务器收集和分析代理收集的数据。此外,Wazuh已与Elastic Stack完全集成,提供了搜索引擎和数据可视化工具,使用户可以浏览其安全警报。Wazuh提供的功能包括日志数据分析,入侵和恶意软件检测,文件完整性监视,配置评估,漏洞检测以及对法规遵从性的支持。对于日志来说,最常见的需求就是收集、存储、查询、展示,
nmap扫描服务端口(远程桌面端口)
01-11
扫描指定网段的远程桌面连接端口nmap -sT -p3389 218.206.112.0/243. 如果觉得输出太多,可以用 grep 命令过滤nmap -sT -p3389 218.206.112.0/24 | grep -B2 open  下面是操作的消息记录,备查。 代码如下:[root@...
nmap命令 网络探测工具和安全端口扫描
01-20
nmap (“Network Mapper(网络映射器)”) 是一款开放源代码的 网络探测和安全审核的工具。它的设计目标是快速地扫描大型网络,当然用它扫描单个 主机也没有问题。Nmap以新颖的方式使用原始IP报文来发现网络上有哪些...
Nmap扫描实战命令汇总
最新发布
啊渊的专栏
07-26 1861
Nmap实战详解
wazuh介绍
q1415500189的博客
08-18 1535
wazuh搭建
wazuhWazuh-开源安全平台
02-04
瓦祖 Wazuh是一个免费的开源平台,用于威胁的预防,检测和响应。 它能够在本地,虚拟化,容器化和基于云的环境保护工作负载。 Wazuh解决方案由部署到受监视系统的端点安全代理和管理服务器组成,该管理服务器收集和分析代理收集的数据。 此外,Wazuh已与Elastic Stack完全集成,提供了搜索引擎和数据可视化工具,使用户可以浏览其安全警报。 Wazuh功能 简要介绍Wazuh解决方案的一些更常见用例。 入侵检测 Wazuh代理扫描受监视的系统,以查找恶意软件,rootkit和可疑异常。 他们可以检测到隐藏文件,隐藏的进程或未注册的网络侦听器,以及系统调用响应的不一致。 除了代
wazuh, Wazuh主机和端点安全性.zip
09-18
wazuh, Wazuh主机和端点安全Wazuh Wazuh帮助你在操作系统和应用程序级别监控主机,从而帮助你获得更深入的基础。 这里解决方案基于轻量级多平台代理,提供以下功能:日志管理和分析: 代理读取操作系统和应用程序日志,并安全地将它们转发到一
初识wazuh
小白
08-20 325
Wazuh是一个开源的、用于安全事件检测、日志管理和合规性的安全监控解决方案。它提供了实时分析、告警和完整的日志收集,帮助组织检测和应对网络攻击、恶意行为和安全事件。Wazuh可以集成到现有的安全设备和日志源,提供强大的安全分析和可视化工具,有助于组织加强网络安全防御和合规性管理。
Wazuh从入门到上线
热门推荐
ordersyhack
02-02 1万+
Wazuh从入门到上线
Wazuh开源主机安全解决方案的简介与使用体验
watermelonbig的专栏
07-03 5525
今天我们给大家介绍的这款开源主机安全产品——Wazuh,是免费的开源软件。其组件遵守GNU通用公共许可证2版和Apache许可证2.0版(ALv2)。Wazuh平台提供XDR和SIEM功能来保护云、容器和服务器工作负载。其包括日志数据分析、入侵和恶意软件检测、文件完整性监控、配置评估、漏洞检测,以及支持检查对法规遵从性的检测。...
wazuh安装
weixin_57507186的博客
08-21 381
wazuh官网:https://wazuh.com/ wazuh是一款基于主机的IDS(HIDS),有着十分强大检测的功能,并且是一款免费的开源工具。
wazuh环境配置及漏洞复现
hdlaichi_的博客
08-24 216
根据规则ID来封堵,当触发了某条规则时,自动进行封堵,但这范围太小,面对多条规则不便于写配置文件。那既然已经出现了告警,我们怎么去防御呢,wazuh有它自身的Active-response。根据告警等级来封堵,比如说当告警等级大于7时,自动进行封堵,但这也容易造成误判,范围太大。右上角--->文件--->打开--->选择下载好的OVA文件。之后随便测试一些注入语句,然后再刷新,发现已经被防火墙拦截了。查看iptables,发现已经被封堵了,恢复时间600秒。在官方上下载OVA文件,可能比较大,几个g左右。
Nmap扫描技巧:全面探测与端口服务实战
**端口服务扫描**更为深入,nmap能够识别开放服务及其版本: 1. **TCP扫描**:-sT选项进行完整的三次握手扫描,效率较低;-sS则使用SYN扫描,速度快但可能不完全确定连接状态。 2. **UDP扫描**:-sU选项专门针对...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值