摘要: 一、Wazuh介绍 Wazuh是一个开源的主机入侵检测系统(HIDS),其核心是轻量级的端点代理,可部署在需要监控的系统上实时收集关键安全数据,并传输到中央管理服务器。该服务器具备深入的分析能力,能通过规则引擎识别潜在安全威胁和异常行为,还可与Elastic ...
一、Wazuh介绍
Wazuh是一个开源的主机入侵检测系统(HIDS),其核心是轻量级的端点代理,可部署在需要监控的系统上实时收集关键安全数据,并传输到中央管理服务器。该服务器具备深入的分析能力,能通过规则引擎识别潜在安全威胁和异常行为,还可与Elastic Stack无缝集成,提供强大的搜索和数据可视化功能,可用于入侵检测、日志数据分析、文件完整性监控、漏洞检测等多种安全监控场景,官网 https://wazuh.com 。
二、服务端安装
1、硬件要求
入门部署的推荐硬件
| 代理 | 中央处理器 | 内存 | 储存(90 天) |
|---|---|---|---|
| 1–25 | 4 个虚拟 CPU | 8 GiB | 50 GB |
| 25–50 | 8 个虚拟 CPU | 8 GiB | 100 GB |
| 50–100 | 8 个虚拟 CPU | 8 GiB | 200 GB |
2、操作系统要求
需要 64 位 Intel 或 AMD Linux 处理器(x86_64/AMD64 架构)才能运行
| 亚马逊 Linux 2、亚马逊 Linux 2023 | CentOS 7、8 |
| Red Hat Enterprise Linux 7、8、9 | Ubuntu 16.04、18.04、20.04、22.04、24.04 |
3、Centos7上安装Server端
curl -sO https://packages.wazuh.com/4.10/wazuh-install.sh && sudo bash ./wazuh-install.sh -a #详细安装方法 https://documentation.wazuh.com/current/quickstart.html
20分钟左右安装完成,登录信息
You can access the web interface https://<wazuh-dashboard-ip>:443
User: admin
Password: daFeMsv8V4g0uB9?DrJ7Vhy0Q6mqVLf.
systemctl restart wazuh-manager #重启服务
4、登录控制台
https://<wazuh-dashboard-ip>:443
5、服务端需要开放的端口
TCP 443: Web控制台访问
TCP 1514:Wazuh 代理(Agent)与 Wazuh 管理器(Manager)之间的常规数据传输
TCP 1515:Wazuh 代理(Agent)注册,当新的Agent加入 Wazuh 系统时,会通过这个端口向请求身份验证和获取的密钥
TCP 55000:Wazuh API 使用的端口
详细见:https://documentation.wazuh.com/4.10/user-manual/manager/wazuh-manager.html
三、安装Agent
1、在Debian上安装Agent
https://ip/app/endpoints-summary#/agents-preview/deploy
第一步,选择对应系统的安装包
第二步,使用root权限 在命令行安装
wget https://packages.wazuh.com/4.x/apt/pool/main/w/wazuh-agent/wazuh-agent_4.10.1-1_amd64.deb && sudo WAZUH_MANAGER='192.168.25.219' WAZUH_AGENT_NAME='kali-20.236' dpkg -i ./wazuh-agent_4.10.1-1_amd64.deb
第三步,启动Agent
sudo systemctl daemon-reload
sudo systemctl enable wazuh-agent
sudo systemctl start wazuh-agent
yum remove wazuh-agent && rm -rf /var/ossec #卸载并删除命令
第四步,查看状态
Agent成功运行后,会显示在左上角
2、在Windows上安装Agent
第一步,利用脚本一键安装
安装Windows agent时,需使用管理员权限启动PowerShell
如果未安装成功,NET START WazuhSvc 命令会提示未找到服务
第二步,查看目录及状态(可跳过,排查故障时使用)
C:\Program Files (x86)\ossec-agent #Windows下安装后的目录
NET START WazuhSvc #启动服务
win32ui.exe #查看状态、重启等
ossec.log #查看日志
第三步,端口状态查看(排查故障时使用)
如果Agent未上线,可以尝试重启服务,或关闭本地杀软之类
netstat -an|findstr 1514
四、安全功能测试
先用Nessus扫描Agent,开启密码爆破功能,然后来观察日志
1、Threat Hunting 安全威胁
可以监测到 SSH /RDP 登录成功与失败,以及暴力破解等信息
文件添加及删除
2、MITRE ATT&CK
3、Vulnerability Detection 漏洞检测
4、Malware Detection 恶意软件检测
安装 Reptile-rootkit 和mafix rootkit程序测试,已经检测到
5、File Integrity Monitoring 文件完整性监控
6、Configuration Assessment 配置评估
转自:https://blog.hx99.net/Tech/2561.html
