wazuh部署

最新推荐文章于 2024-12-31 12:00:36 发布
最新推荐文章于 2024-12-31 12:00:36 发布
阅读量630 收藏 1
点赞数
文章标签: 服务器 前端 数据库 wazuh
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/undefineing/article/details/132381975
版权
本文介绍了Wazuh相关内容。首先说明ova文件获取方法,接着阐述在VMware中导入ova文件的步骤,包括网络模式设置等。还介绍了Wazuh目录文件,如主要配置文件位置、各目录功能等。最后讲解了Wazuh解析原理,即对日志文件解码并匹配规则。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

文章目录

1.ova文件获取

访问官网

https://wazuh.com/

依次点击红色标注将文件下载到本地
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

2.VMware导入ova文件

直接打开下载到本地的ova文件
在这里插入图片描述设置导入的位置和名称

在这里插入图片描述初始密码账户为wazuh-user:wazuh
运行登录后为:
在这里插入图片描述
网络模式记得设定·为nat,并重庆网络服务

service network restart

接着用xshell连接

在这里插入图片描述

3.wazuh目录文件

主要配置文件在/var/ossec目录下
在这里插入图片描述

drwxr-x---  3 root  wazuh   17 Aug  8 19:06 active-response
drwxr-x---  2 root  wazuh  286 Aug  8 19:06 agentless
drwxr-x---  4 root  wazuh   42 Aug  8 19:06 api
drwxr-x---  5 root  wazuh   44 Aug  8 19:06 backup
drwxr-x---  2 root  wazuh 4096 Aug  8 19:06 bin
drwxrwx---  7 wazuh wazuh  242 Aug  8 19:09 etc
drwxr-x---  5 root  wazuh   48 Aug  8 19:06 framework
drwxr-x---  2 root  wazuh  124 Aug  8 19:06 integrations
drwxr-x---  2 root  wazuh  233 Aug  8 19:06 lib
drwxrwx---  8 wazuh wazuh  194 Aug 19  2023 logs
drwxr-x--- 15 root  wazuh  223 Aug  8 19:09 queue
drwxr-x---  5 root  wazuh   46 Aug  8 19:06 ruleset
drwxrwx---  2 root  wazuh    6 Aug  4 14:19 .ssh
drwxr-x---  5 wazuh wazuh   64 Aug  8 19:06 stats
drwxrwx--T  2 root  wazuh    6 Aug 19 09:37 tmp
drwxr-x---  9 root  wazuh  106 Aug 19  2023 var
drwxr-x---  6 root  wazuh   93 Aug  8 19:06 wodles

active-response 是主动响应,里面设定主要拦截、限制策略,检测到危险就禁止
在这里插入图片描述

etc是配置文件
在这里插入图片描述

total 48
-rw-r----- 1 root wazuh     0 Aug  8 19:09 client.keys
drwxrwx--- 2 root wazuh    31 Aug  8 19:06 decoders
-rw-r----- 1 root wazuh 14012 Aug  4 14:19 internal_options.conf
drwxrwx--- 3 root wazuh   122 Aug  8 19:06 lists
-rw-r----- 1 root wazuh   320 Aug  4 14:19 local_internal_options.conf
-rw-r----- 1 root wazuh   127 Mar 30 19:08 localtime
-rw-rw---- 1 root wazuh 10459 Aug  8 19:06 ossec.conf
drwxrwx--- 2 root wazuh  4096 Aug  8 19:06 rootcheck
drwxrwx--- 2 root wazuh    29 Aug  8 19:06 rules
drwxrwx--- 3 root wazuh    63 Aug  8 19:06 shared
-rw-r----- 1 root root   1176 Aug  8 19:06 sslmanager.cert
-rw-r----- 1 root root   1704 Aug  8 19:06 sslmanager.key
etc下 
dockers是解码器
rootcheck 是后面检测工具
-rw-rw---- 1 root wazuh  16174 Aug  4 14:19 rootkit_files.txt
-rw-rw---- 1 root wazuh   5548 Aug  4 14:19 rootkit_trojans.txt

ossec.conf是主要配置文件

ruleset下放规则

在这里插入图片描述

网站访问wazuh初始账号密码为admin:admin
在这里插入图片描述查看告警信息
在这里插入图片描述

ossec下几个说明
active-response:响应的脚本
agentless:无代理安装,即用户名密码
etc:配置,ossec.conf核心配置文件
ruleset:自带规则库,建议不改
log:日志,预警核心

以下两个目录记录了何时、触发了哪些规则
/var/ossec/logs/alerts/alerts.json:json格式的预警信息,用于分析展示,这不就是给elk用于展示的嘛
/var/ossec/logs/alerts/alerts.log:适用于直接查看

4.wazuh解析原理

在etc下主配置文件中有写入的日志文件地址

在这里插入图片描述

会将找到的日志文件进行解码并匹配
如/var/ossec/ruleset/rules下的规则就有匹配

vim 0095-sshd_rules.xml
在这里插入图片描述

rule id="5715" level="3">
    <if_sid>5700</if_sid>
    <match>^Accepted|authenticated.$</match>
    <description>sshd: authentication success.</description>
    <mitre>      <id>T1078</id>
      <id>T1021</id>
    </mitre>
    <group>authentication_success,gdpr_IV_32.2,gpg13_7.1,gpg13_7.2,hipaa_164.312.b,nist_800_53_AU.14,nist_800_53_AC.7,pci_dss_10.2.5,tsc_CC6.8,tsc_CC7.2,tsc_CC7.3,</group>
  </rule>

这里的

<match>^Accepted|authenticated.$</match>

就是正则匹配,含义是以Accepted开头或以authenticated结尾的信息

<if_sid>5700</if_sid>

5700是其父类

<rule id="5700" level="0" noalert="1">
    <decoded_as>sshd</decoded_as>    <description>SSHD messages grouped.</description>
  </rule>

5700里面放了一个sshd解码器(本来就是sshd日志嘛)

在这里插入图片描述
也就是这个

0310-ssh_decoders.xml

vim 0310-ssh_decoders.xml
在这里插入图片描述

简单看一下解码器

<decoder name="sshd">
  <program_name>^sshd</program_name> //匹配到sshd开头则解码器激活
</decoder>

<decoder name="sshd-success">
  <parent>sshd</parent> //匹配sshd开头
  <prematch>^Accepted</prematch> //在匹配Accepted
  <regex offset="after_prematch">^ \S+ for (\S+) from (\S+) port (\S+)</regex> //取for+空格后面、取from+空格后面、取port+空格后面的内容,也就是用户名、ip、端口
  <order>user, srcip, srcport</order> //三个匹配到的内容输出
  <fts>name, user, location</fts>
</decoder>


find . -name "*.xml" | xargs -0 grep -r -i "5557"
undefineing
关注
Wazuh部署记录
墨痕诉清风的博客
04-29 772
Wazuh是一个免费的开源安全平台,统一了XDR和SIEM功能。它可以保护内部部署、虚拟化、容器化和基于云的环境中的工作负载。Wazuh帮助组织和个人保护其数据资产免受安全威胁。它被全球数千个组织广泛使用,从小型企业到大型企业。443:仪表盘界面访问端口1515:探针连接服务器端口1514:探针回传信息端口以上3个端口必须打开防火墙。
wazuh--sql检测
upmans的博客
08-23 583
Wazuh(Wazuh · The Open Source Security Platform):是一整套基于ossec安全检测工具和EFK日志工具构成的终端安全管理工具。不管是将其分类至HIDS,还是EDR,它都是一套通过监控主机日志行为,提供安全检测、分析和完整报告的开源、免费利器。Wazuh基于C/S架构,它的Agent支持Windows、MacOS、Linux、HP-UX、AIX等主流操作系统。
wazuh部署与使用
最新发布
yh
12-31 626
wazuh安装与部署
Wazuh部署部署
ordersyhack
02-02 6256
Wazuh部署
主机入侵检测系统wazuh3.13单机部署
Cheney_My的博客
12-10 1235
Wazuh涉及两个主要组件的安装:Wazuh服务器和Elastic Stack。此外,Wazuh agent需要部署到受监视的主机上: Wazuh server:运行Wazuh管理器和API。它从已部署的代理收集和分析数据。 Elastic Stack:运行Elasticsearch引擎,Filebeat和Kibana(包括Wazuh应用程序)。它读取,解析,索引和存储由Wazuh管理器生成的警报数据。 Wazuh agent:在受监视的主机上运行,收集系统日志和配置数据,并检测入侵和异常。它与Wazuh
Wazuh快速部署方法
qq_44342688的博客
08-31 796
Wazuh是一个开源日志监控平台,部署方式分为快速部署和详细部署,此处介绍快速部署方法。
wazuh 4.7.2部署
weixin_44151123的博客
02-29 1470
wazuh最新版本部署,包括agent与邮件告警的配置
Security Onion安全洋葱-wazuh客户端安装
zjp0591的专栏
05-05 573
则修改/etc/hosts,删除::1 securityonion-cqt。安装key:/var/ossec/bin/manage_agents -i key。下载的agent包:wazuh-agent-3.13.1-1.x86_64.rpm。(4)输入e,再输入agent id,生成agent key。(2)输入A,配置agent的ip和名称。4、被监控服务器上修改配置文件:vi。2、在被监控服务器上安装agent。]:587改为自己的邮件服务配置。5、重启postfix。
利用AWS Cloudformation快速部署Wazuh环境
资源摘要信息:"wazuh-cloudformation:Wazuh-Amazon AWS Cloudformation" 1. Wazuh简介: Wazuh是一种开源的安全监控解决方案,主要用于日志分析和安全事件...这个文件包含了上述所有提及的Wazuh部署模板和配置脚本。
Wazuh部署部署_wazuh已与elastic stack
2401_86951321的博客
09-12 545
11.WazuhMaster的安装。10.Kibana的安装。
Wazuh部署部署_wazuh已与elastic stack,2024网络安全大厂面试真题
2401_83947353的博客
04-14 852
还有兄弟不知道网络安全面试可以提前刷题吗?费时一周整理的160+网络安全面试题,金九银十,做网络安全面试里的显眼包!王岚嵚工程师面试题(附答案),只能帮兄弟们到这儿了!如果你能答对70%,找一个安全工作,问题不大。对于有1-3年工作经验,想要跳槽的朋友来说,也是很好的温习资料!【完整版领取方式在文末!!
wazuh all in one 一步步部署
x10n9的博客
08-30 1449
默认情况下会安装Elasticsearch性能分析器插件,可能会对系统资源产生负面影响。我们建议使用以下命令删除它:/usr/share/elasticsearch/bin/elasticsearch-plugin remove opendistro-performance-analyzer。用户配置文件在:/usr/share/elasticsearch/plugins/opendistro_security/securityconfig/internal_users.yml。..............
开源EDR(Wazuh) 安装与部署
sun007700的专栏
04-30 2267
开源EDR(Wazuh) 安装与部署 - 知乎 火眼 edr
制作与部署Wazuh数字证书
watermelonbig的专栏
08-10 701
使用官方提供的证书管理工具wazuh-certs-tool.sh,来制作部署Wazuh服务使用的各种证书。
使用docker安装wazuh
weixin_30563917的博客
09-10 1060
使用docker安装wazuh centos下安装wazuh 官方文档: https://documentation.wazuh.com/3.9/installation-guide/installing-wazuh-manager/linux/centos/wazuh_server_packages_centos.html#wazuh-server-packages-centos 中文...
开源XDR-SIEM一体化平台 Wazuh (1)基础架构
Monster✺◟(∗❛ัᴗ❛ั∗)◞✺的博客
07-22 1787
Wazuh索引器是一个高度可扩展的全文搜索和分析引擎。作为Wazuh平台的核心组件之一,它负责索引和存储由Wazuh服务器生成的警报,并提供接近实时的数据搜索和分析功能。Wazuh索引器可以配置为单节点或多节点集群,以实现可扩展性和高可用性。Wazuh索引器以JSON文档的形式存储数据。每个文档将一组键(或字段名、属性)与其对应的值相关联,这些值可以是字符串、数字、布尔值、日期、值数组、地理位置或其他类型的数据。索引是相关文档的集合。
Wazuh安装&功能测试——一篇到底
网安小白的博客
04-21 6624
Wazuh的下载安装&功能测试,一篇就够了~
网络安全--wazuh环境配置及漏洞复现
m0_68976043的博客
08-20 4585
1.1进入官网下载OVA启动软件1.2点击启动部署,傻瓜式操作1.3通过账号:wazuh-user,密码:wazuh进入wazuh1.4将桥接模式更改为仅nat模式1.5更改配置之后输入重新启动命令 service network restart查看自身ipip a1.6配置已好,本地开启小皮Apache直接访问1.7有时会因为网络问题出现如下问题,我们采用重启wazuh即可。
配置Wazuh环境并漏洞复现实验
weixin_53960460的博客
08-24 472
Wazuh是一个开源的安全信息和事件管理(SIEM)平台,用于监控和分析实时安全事件。在本文中,我们将探讨如何配置Wazuh环境,并进行一个简单的漏洞复现实验。我们将在Ubuntu操作系统上完成整个过程。
win11部署wazuh
05-18
部署 Wazuh 在 Windows 11 上需要进行以下步骤: 1. 安装 Wazuh Agent - 下载 Wazuh Agent:去 Wazuh 官方网站下载适用于 Windows 的 Wazuh Agent 安装程序。 - 运行 Wazuh Agent 安装程序:安装程序会引导您完成...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值