一飞蚓、Wazuh 守護(hù)進(jìn)程及工具進(jìn)程

守護(hù)進(jìn)程

ossec-agentd

https://documentation.wazuh.com/3.10/user-manual/reference/daemons/ossec-agentd.html

ossec-agentd程序是與服務(wù)器通信的客戶端守護(hù)進(jìn)程。它作為ossec運(yùn)行靴迫，并被 chrooted to /var/ossec拄衰。

ossec-agentlessd

https://documentation.wazuh.com/3.10/user-manual/reference/daemons/ossec-agentlessd.html

ossec-agentless程序允許在沒有安裝agent的系統(tǒng)上運(yùn)行完整性檢查。

ossec-analysisd

https://documentation.wazuh.com/3.10/user-manual/reference/daemons/ossec-analysisd.html

ossec-analysisd程序接收日志消息并將其與規(guī)則進(jìn)行比較。然后童漩，當(dāng)日志消息與適用的規(guī)則匹配時(shí)，它將創(chuàng)建一個(gè)警報(bào)春锋。

ossec-authd

https://documentation.wazuh.com/3.10/user-manual/reference/daemons/ossec-authd.html

ossecc -authd程序可以自動向Wazuh管理器添加agent矫膨，并向agent提供密鑰。它與agent-auth應(yīng)用程序一起使用期奔。該程序創(chuàng)建一個(gè)IP地址為any的agent侧馅，而不是使用特定的IP地址。

ossec-csyslogd

https://documentation.wazuh.com/3.10/user-manual/reference/daemons/ossec-csyslogd.html

ossec-csyslogd程序通過syslog轉(zhuǎn)發(fā)警報(bào)呐萌。

ossec-dbd

https://documentation.wazuh.com/3.10/user-manual/reference/daemons/ossec-dbd.html

ossec-dbd程序?qū)⒕瘓?bào)日志插入數(shù)據(jù)庫馁痴。這些警報(bào)可以插入到postgresql或mysql中。

ossec-execd

https://documentation.wazuh.com/3.10/user-manual/reference/daemons/ossec-execd.html

ossec-execd程序通過初始化配置的腳本來運(yùn)行活動響應(yīng)肺孤。它還處理在agent中執(zhí)行遠(yuǎn)程升級所需的套接字罗晕。

ossec-logcollector

https://documentation.wazuh.com/3.10/user-manual/reference/daemons/ossec-logcollector.html

ossec-logcollector程序監(jiān)視為新的日志消息配置的文件和命令。此程序是多線程執(zhí)行的赠堵。

ossec-maild

https://documentation.wazuh.com/3.10/user-manual/reference/daemons/ossec-maild.html

ossec-maild程序通過電子郵件發(fā)送警報(bào)攀例。它由ossec-control啟動。

ossec-monitord

https://documentation.wazuh.com/3.10/user-manual/reference/daemons/ossec-monitord.html

ossecc -monitord程序監(jiān)視agent的連接顾腊。此外粤铭，它每天或當(dāng)內(nèi)部日志達(dá)到一定的可配置大小時(shí)對其進(jìn)行旋轉(zhuǎn)和壓縮。

ossec-remoted

https://documentation.wazuh.com/3.10/user-manual/reference/daemons/ossec-remoted.html

ossec-remoted程序是與agent通信的服務(wù)器端守護(hù)進(jìn)程杂靶。它作為ossecr運(yùn)行梆惯，默認(rèn)情況下是/var/ossec酱鸭。

ossec-reportd

https://documentation.wazuh.com/3.10/user-manual/reference/daemons/ossec-reportd.html

ossec-reportd程序從Wazuh警報(bào)創(chuàng)建報(bào)告。它接收關(guān)于stdin的警報(bào)并輸出關(guān)于stderr的報(bào)告垛吗。

ossec-syscheckd

https://documentation.wazuh.com/3.10/user-manual/reference/daemons/ossec-syscheckd.html

ossec-syscheckd程序檢查配置文件的校驗(yàn)和凹髓、權(quán)限和所有權(quán)的更改。它使用ossec-control運(yùn)行怯屉。

wazuh-clusterd

https://documentation.wazuh.com/3.10/user-manual/reference/daemons/clusterd.html

Wazuh -clusterd程序管理屬于該集群的管理器之間的Wazuh集群通信蔚舀，并同步所有文件。

wazuh-modulesd

https://documentation.wazuh.com/3.10/user-manual/reference/daemons/wazuh-modulesd.html

Wazuh -modulesd程序管理下面描述的Wazuh模塊锨络。

wazuh-db

https://documentation.wazuh.com/3.10/user-manual/reference/daemons/wazuh-db.html

https://documentation.wazuh.com/3.10/user-manual/reference/daemons/wazuh-db.html#tables-available-for-wazuh-db

Wazuh核心使用基于列表的數(shù)據(jù)庫來存儲與代理密鑰和FIM/Rootcheck事件數(shù)據(jù)相關(guān)的信息赌躺。

ossec-integratord

https://documentation.wazuh.com/3.10/user-manual/reference/daemons/ossec-integratord.html

ossec-integratord是一個(gè)守護(hù)程序，它允許Wazuh連接到外部api和警報(bào)工具羡儿，如Slack礼患、VirusTotal和PagerDuty。

工具進(jìn)程

ossec-control?管理Wazuh進(jìn)程的狀態(tài) manager, agent

agent-auth?添加agent到Wazuh管理端 agent

agent_control?允許管理端查詢所有agent的信息 manager

manage_agents?為agent提供可處理的身份驗(yàn)證接口 manager, agent

ossec-logtest?允許根據(jù)提供的日志記錄測試和驗(yàn)證規(guī)則 manager

ossec-makelists編譯cdb數(shù)據(jù)庫manager

rootcheck_control允許管理策略監(jiān)控和系統(tǒng)審計(jì)數(shù)據(jù)庫

manager

syscheck_control提供一個(gè)接口掠归，用于管理自3.7版以來已廢棄的完整性檢查數(shù)據(jù)庫缅叠。

manager

syscheck_update更新完整性檢查數(shù)據(jù)庫，該數(shù)據(jù)庫自3.7版以來一直被棄用虏冻。manager

clear_stats清除事件狀態(tài)manager

ossec-regex驗(yàn)證正則表達(dá)式manager

update_ruleset更新解碼器肤粱，規(guī)則和rootchecksmanager

util.sh添加要由ossec-logcollector監(jiān)視的文件manager agent

verify-agent-conf驗(yàn)證Wazuh的agent.conf配置manager

agent_groups管理和分配組manager

agent_upgrade羅列低版本的agent并升級manager

cluster_control管理和檢索集群信息manager

fim_migrate將舊的FIM數(shù)據(jù)庫遷移到Wazuh-DBmanager

一、Wauzh主要功能探索

Inverntory data展示主機(jī)基礎(chǔ)信息：CPU厨相、內(nèi)存狼犯、arch、系統(tǒng)版本领铐、網(wǎng)絡(luò)接口信息悯森、開放端口、網(wǎng)絡(luò)配置绪撵、安裝應(yīng)用瓢姻、進(jìn)程

Inverntory data截圖

Invernory data截圖2

Invernory data 截圖3

Web攻擊檢測：基于access.log日志進(jìn)行，規(guī)則集為0245-web_rules.xml

漏洞風(fēng)險(xiǎn)檢測：基于vulnerability-detector模塊檢測音诈，需要配置feed以提供漏洞庫支持

危險(xiǎn)命令檢測：基于audit審計(jì)功能幻碱，需要事先在agent服務(wù)器上配置審計(jì)規(guī)則，如：auditctl -a exit,always -F euid=0 -F arch=b64 -S execve -k audit-wazuh-c

反彈shell檢測：同上细溅，可以采用wazuh規(guī)則高耦合設(shè)計(jì)褥傍，結(jié)合網(wǎng)絡(luò)連接匹配告警

web后門檢測：基于關(guān)鍵字匹配

系統(tǒng)后門檢測：基于惡意文件名字典庫

提權(quán)：規(guī)則80721

自定義任務(wù)/規(guī)則下發(fā)：可以使用localfile或者wodle command模塊實(shí)現(xiàn)，實(shí)現(xiàn)方式之后單獨(dú)寫一篇文章來介紹喇聊，包括新規(guī)則的一些創(chuàng)建要求恍风。

暴力破解：基于日志審計(jì)功能，針對不同協(xié)議的暴力破解規(guī)則有5712（sshd）31510（WordPress/joomla）11510/11511/11512/40111/40112（MS-FTP）11251/11252（proftpd）11451（vsftp）30310/30116/30316（Apache）11109（ftpd）85760（MongoDB）60203/60204/18152/18156/18116（win-security、win-auth）64109（win-remote）19152/19153（VMware ESX）31316（Nginx）5551（pam）