Wazuh簡(jiǎn)介
前端時(shí)間調(diào)研了一些HIDS的開源系統(tǒng):
https://github.com/Neo23x0/Fenrir更加方便(不需要安裝代理或者軟件包)使用的IOC掃描工具
https://github.com/ysrc/yulong-hids由?Agent冠蒋,?Daemon秋忙,?Server?和?Web?四個(gè)部分組成的服務(wù)器入侵檢測(cè)系統(tǒng)
https://github.com/InQuest/awesome-yara基于yara(一款識(shí)別和分類惡意軟件樣本的開源工具)所寫的安全核查規(guī)則
https://github.com/grayddq/GScan:基于checklist的Linux主機(jī)安全掃描
https://documentation.wazuh.com/3.10/index.html:數(shù)據(jù)收集基于ELK并集合了威脅檢測(cè)、安全監(jiān)控、事件響應(yīng)等的開源OSSEC系統(tǒng)
從完整度來看肘迎,Wauzh無疑是企業(yè)快速化部署HIDS的有利工具艺智,現(xiàn)成的agent-server-web框架節(jié)省了大量的開發(fā)時(shí)間锡溯,可以把精力專注在規(guī)則的撰寫上习勤。
Wauzh 服務(wù)端docker部署
官網(wǎng):https://documentation.wazuh.com/3.10/docker/docker-installation.html
curl安裝
curl -L "https://github.com/docker/compose/releases/download/1.24.1/docker-compose-$(uname -s)-$(uname -m)" -o /usr/local/bin/docker-compose
chmod +x /usr/local/bin/docker-compose
或者pip安裝
pip install docker-compose
驗(yàn)證是否安裝成功
docker-compose –version
配置服務(wù)器參數(shù)max_map_count
sysctl -w vm.max_map_count=262144
創(chuàng)建安裝路徑
mkdir /data/wazuh && cd /data/wazuh
下載docker配置文件
curl -so docker-compose.yml?https://raw.githubusercontent.com/wazuh/wazuh-docker/3.9.5_7.2.1/docker-compose.yml
可以修改docker-compose.yml,加上密碼
vi docker-compose.yml
拉取容器創(chuàng)建并且啟動(dòng)Wazuh
docker-compose up -d
進(jìn)入容器時(shí)需要注意一下默認(rèn)名字是簡(jiǎn)化的敛腌,不能使用容器的name
訪問web頁面(kibana)
wazuh agent安裝
Linux
需要安裝audit:
yum install audit
官網(wǎng)提供了yum安裝(需要加入wazuh的倉庫地址)和源碼安裝(整包下載卧土,選擇agent部署)
在此選擇下載客戶端的RPM包安裝:
https://documentation.wazuh.com/3.10/installation-guide/packages-list/index.html
wget?https://packages.wazuh.com/3.x/yum/wazuh-agent-3.10.2-1.x86_64.rpm
rpm -ivh wazuh-agent-3.10.2-1.x86_64.rpm
手動(dòng)注冊(cè)agent
回到wazuh服務(wù)端,進(jìn)入到wazuh的容器中
docker-compose exec wazuh /bin/bash
/var/ossec/bin/manage_agents
A
JDB(新agent的命名像樊,這之后需要從CMDB上獲取IP的主機(jī)名稱)
1.1.1.1(新agent的IP地址)
y
添加好以后顯示:
Agent added with ID 001.
E(給agent創(chuàng)建key)
001(輸入需要?jiǎng)?chuàng)建key的agent ID)
Agent key information for '001' is:
MDAxIEpEQiAxMDAuNzMuMjAuNDcgNzRjNTM0NTU2MTRjNTU2OWYyYmFmODM2NzI1ZGMyOTk4MDM4Njk3NTA1NTE4YWRkMWI0MzM1ZjE2MzY0NzUwNw==
回到agent端上尤莺,
使用key注冊(cè)agent
/var/ossec/bin/manage_agents -i MDAxIEpEQiAxMDAuNzMuMjAuNDcgNzRjNTM0NTU2MTRjNTU2OWYyYmFmODM2NzI1ZGMyOTk4MDM4Njk3NTA1NTE4YWRkMWI0MzM1ZjE2MzY0NzUwNw==
vi /var/ossec/etc/ossec.conf
添加服務(wù)端的IP
<address>serverIP</address>
啟動(dòng)agent
service wazuh-agent start
顯示
Starting Wazuh:??????????????????????????????????????????? [? OK? ]
可以看到已經(jīng)有agent顯示了
自動(dòng)注冊(cè)agent
其實(shí)就是在agent上操作,在agent端
/var/ossec/bin/agent-auth -m 服務(wù)端IP
此時(shí)agent的name即為主機(jī)名:
vi /var/ossec/etc/ossec.conf
添加服務(wù)端IP
啟動(dòng)
service wazuh-agent start
Windows
agent部署服務(wù)器
下載安裝包https://packages.wazuh.com/3.x/windows/wazuh-agent-3.10.2-1.msi
雙擊運(yùn)行生棍,默認(rèn)文件保存在C:\Program Files (x86)\ossec-agent
注冊(cè)agent
https://documentation.wazuh.com/3.10/user-manual/registering/windows-simple-registration.html