基于Log4j供应链攻击检测能力--wazuh联动suricata测试

最新推荐文章于 2025-10-12 15:58:57 发布

原创

最新推荐文章于 2025-10-12 15:58:57 发布 · 905 阅读

14 ·

CC 4.0 BY-SA版权

文章标签：

#log4j #供应链攻击检测 #wazuh #suricata测试 #威胁预防 #网络安全 #攻防技术

注：仅供交流学习使用，请勿用于非法用途

一、测试条件

1. 安装和配置wazuh

1.1安装wazuh：按照官方文档指导在你的系统上安装wazuh。它是一个功能强大且高度灵活的开源安全平台，旨在为企业和组织提供全面的威胁预防和检测能力。

1.2安装Wazuh代理：在需要监控的设备上安装Wazuh代理。这些设备可以包括但不限于服务器、工作站和其他重要资产。

2. 安装和部署suricata和java

2.1配置相关环境：在渗透虚机上部署suricata，java等相关环境。

2.2定义安全策略：利用Wazuh和suricata的规则库来进行定义合适的安全策略，以检测可能存在的Log4j漏洞。

3. 测试环境

Log4j供应链攻击方案和计划虽然是一个可控范围的攻击，但建议还是尽可能在本地断网测试。

二、测试信息

攻击机	192.168.31.29	利用相关shell
Wazuh	192.168.31.218	配置安全策略
Ubuntu	192.168.31.9	配置相关环境

三、部署wazuh服务器

略

四、Ubuntu上部署安装suricata

略

五、Ubuntu中suricata项目联动wazuh服务器

1、在suricata部署wazuh

在wazuh服务器的wazuh网站上点击这里

点击deploy生成

填写相关数据，分组我默认defalut

2、切换到ubuntu主机编辑文档使得suricata数据能够正确传输给wazuh

最低0.47元/天解锁文章

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

骥龙

关注关注

19
点赞
踩
14

收藏

觉得还不错? 一键收藏
0
评论
分享

复制链接

分享到 QQ

分享到新浪微博

扫一扫
举报

举报

专栏目录

（开源）wazuh和suricata结合实现威胁流量监测

weixin_67259816的博客

01-10

914

suricata对通过网卡的流量按照自己的规则进行分析、判断，然后将结果传递给wazuh进行可视化展示。理论上，将内网中交换机做流量镜像之后，将镜像口与suricata设备进行连接，从而所有流量经过suricata的网卡，然后进行分析、传递。直接按照官方文档进行安装和配置就可以（同时也是将suricata与wazuh结合起来了）查看wazuh的流量：点击suricata代理，进去点击威胁狩猎。web访问wazuh系统：（admin/admin）这时候已经可以看到刚才的扫描流量了。wauzh安装完成！

suricata初体验+wireshark流量分析

weixin_53434577的博客

08-26

1429

通过官网下载suricata，根据官网步骤进行安装。以上配置完毕后，重启suricata。进入wazuh匹配文件，需将suricata加入，使wazuh代理可以读取suricata日志文件。然后重启wazuh服务。

参与评论您还未登录，请先登录后发表或查看评论

wazuh日志审计--定制规则

Devour_的博客

10-21

3879

日志审计--定制规则目录布局规则集文件夹结构如下所示: 在接收到agent传来的日志后，manager会根据/var/ossec/ruleset/decoders里面的各种规则对日志进行处理，提取到了指定字段的值之后再根据/var/ossec/ruleset/rules里面的各种规则进行匹配，告警日志输出到/var/ossec/logs/alerts/alerts.json，logstash再将其解析后传输到elasticsearch上面。更新规则集每周运行update_ruleset

开源安全管理平台wazuh-与网络入侵检测系统集成增强威胁检测能力

最新发布

学而思(xiejava的blog)

10-12

1161

Wazuh可以与基于网络的入侵检测系统（NIDS）集成，通过监控和分析网络流量来增强威胁检测。Suricata 是一个开源的高性能网络安全监控工具，由开放信息安全基金会（OISF）开发维护。它被广泛用于实时网络流量分析、威胁检测和防护。Suricata 是现代网络安全架构中的重要组件，特别适合需要高性能实时流量分析的场景，是构建深度防御体系的关键工具。

suricata安装以及流量抓包

qq_39744805的博客

08-24

575

先安装wazuh的agent上篇博客有提到。与wazuh联动，所以查看wazuh官方文档配置要求跟着配置一步步走就行到这一步，需要将本台ubuntu的ip写上ip addr查看正在使用的是哪块网卡，例如ens33，写在interface后面全都完成好后重启wazuh-agent和suricata。

wazuh 收集 suricata eve.json日志

guoguangwu的专栏

11-19

4569

安装suricata和规则 (源码或者安装包)，本博客提供安装包操作方式：切换成超级用户进行操作 yum -y install epel-release wget jq curl -O https://copr.fedorainfracloud.org/coprs/jasonish/suricata-stable/repo/epel-7/jasonish-suricata-stable-e...

探索安全测试新维度：Huntress Log4Shell 测试应用

gitblog_00089的博客

05-24

252

探索安全测试新维度：Huntress Log4Shell 测试应用项目介绍在网络安全的世界里，漏洞检测是至关重要的。现在，我们向您推荐一款专为Log4Shell漏洞设计的测试应用——Huntress Log4Shell Testing Application。这是一个开源工具，旨在帮助安全专业人员和研究人员验证其系统是否受到Log4Shell漏洞的影响，该漏洞是Java日志库Log4j中的一个...

威胁猎杀实战（三）：基于Wazuh, Snort/Suricata和Elastic Stack的SOC

weixin_30883311的博客

07-28

449

https://www.secpulse.com/archives/81629.html 转载于:https://www.cnblogs.com/diyunpeng/p/11261515.html

精选资源

suricata-rules:Suricata针对新的严重漏洞制定规则

05-25

什么是Suricata？ Suricata是一个免费，开源，成熟，快速且强大的网络威胁检测引擎。有关更多信息，请访问。该存储库的目的支持蓝色团队成员编写有关新的严重漏洞的Suricata规则，以尽快发现并防止攻击者的利用...

精选资源

pfsense-suricata-elk-docker:使用docker-compose将pfSense和Suricata绑定到ELK

05-08

pfsense-suricata-elk-docker 使用docker-compose将pfSense与Suricata绑定到ELK（Elasticsearch，logstash和kibana）已针对Windows使用docker在Elasticsearch 6.3.0和pfSense 2.4.3-RELEASE-p1上进行了测试这里...

精选资源

suricata-update:更新您的Suricata规则的工具

04-30

点安装--upgrade suricata-update 文献资料问题用法示例 suricata更新 suricata-update的默认调用将执行以下操作：阅读配置，/ etc / suricata / update.yaml（如果存在）。读入规则过滤器配置文件： /etc/...

精选资源

欧拉系统（openEuler-22.03-LTS-SP3） suricata rpm安装包

12-22

欧拉系统（openEuler-22.03-LTS-SP3） suricata rpm安装包

5.2网安学习第五阶段第二周回顾(个人学习记录使用)

lovely2610的博客

05-27

940

1、定义：网络入侵检测系统2、工作机制：网络流量需要经过NIDS系统，如果通过NIDS的检测规则，没有发现问题，则可以进入后续的设备。类似于在服务器的前面加入一层过滤器。1、安装：按照官方文档的提示，使用提供的命令进行在线安装 2、修改基础配置信息直接编辑/etc/suricata/suricata.yaml 3、手工创建一个规则文件(没有规则文件启动会报错) 4、启动 3、规则语法基础预警规则 ()中的内容，使用key:value的方式来设置元素，元素之间使用“;”隔开。如果规则中存在特色字符，使用

使用WAZUH检测LD_PRELAOD劫持、SQL注入、主动响应防御

qq_68163788的博客

01-01

2014

Wazuh是一个开源的安全监控解决方案，可以用于检测和防御各种安全威胁，包括LD_PRELOAD劫持和SQL注入。对于LD_PRELOAD劫持，Wazuh可以通过监控LD_PRELOAD环境变量的变化来检测潜在的劫持行为，一旦发现异常，Wazuh可以触发警报并采取相应的防御措施，比如阻止相关进程或通知安全管理员。对于SQL注入攻击，Wazuh可以通过监控Web应用程序的日志来检测SQL注入尝试，并在检测到异常行为时触发警报。此外，Wazuh还可以与Web应用程序防火墙（WAF）或Web应用程序防护系统（WA

Wazuh安装&功能测试——一篇到底

基于Log4j供应链攻击检测能力--wazuh联动suricata测试

一、测试条件

1. 安装和配置wazuh

2. 安装和部署suricata和java

3. 测试环境

二、测试信息

三、部署wazuh服务器

四、Ubuntu上部署安装suricata

五、Ubuntu中suricata项目联动wazuh服务器

1、在suricata部署wazuh

2、切换到ubuntu主机编辑文档使得suricata数据能够正确传输给wazuh