Wazuh簡(jiǎn)介

前端時(shí)間調(diào)研了一些HIDS的開(kāi)源系統(tǒng)：

https://github.com/Neo23x0/Fenrir更加方便（不需要安裝代理或者軟件包）使用的IOC掃描工具

https://github.com/ysrc/yulong-hids由?Agent，?Daemon，?Server?和?Web?四個(gè)部分組成的服務(wù)器入侵檢測(cè)系統(tǒng)

https://github.com/InQuest/awesome-yara基于yara（一款識(shí)別和分類(lèi)惡意軟件樣本的開(kāi)源工具）所寫(xiě)的安全核查規(guī)則

https://github.com/grayddq/GScan：基于checklist的Linux主機(jī)安全掃描

https://documentation.wazuh.com/3.10/index.html：數(shù)據(jù)收集基于ELK并集合了威脅檢測(cè)、安全監(jiān)控、事件響應(yīng)等的開(kāi)源OSSEC系統(tǒng)

從完整度來(lái)看，Wauzh無(wú)疑是企業(yè)快速化部署HIDS的有利工具，現(xiàn)成的agent-server-web框架節(jié)省了大量的開(kāi)發(fā)時(shí)間，可以把精力專(zhuān)注在規(guī)則的撰寫(xiě)上。

Wauzh 服務(wù)端docker部署

官網(wǎng)：https://documentation.wazuh.com/3.10/docker/docker-installation.html

curl安裝

curl -L "https://github.com/docker/compose/releases/download/1.24.1/docker-compose-$(uname -s)-$(uname -m)" -o /usr/local/bin/docker-compose

chmod +x /usr/local/bin/docker-compose

或者pip安裝

pip install docker-compose

驗(yàn)證是否安裝成功

docker-compose –version

配置服務(wù)器參數(shù)max_map_count

sysctl -w vm.max_map_count=262144

創(chuàng)建安裝路徑

mkdir /data/wazuh && cd /data/wazuh

下載docker配置文件

curl -so docker-compose.yml?https://raw.githubusercontent.com/wazuh/wazuh-docker/3.9.5_7.2.1/docker-compose.yml

可以修改docker-compose.yml，加上密碼

vi docker-compose.yml

拉取容器創(chuàng)建并且啟動(dòng)Wazuh

docker-compose up -d

進(jìn)入容器時(shí)需要注意一下默認(rèn)名字是簡(jiǎn)化的，不能使用容器的name

訪問(wèn)web頁(yè)面（kibana）

wazuh agent安裝

Linux

需要安裝audit：

yum install audit

https://documentation.wazuh.com/3.10/installation-guide/installing-wazuh-agent/linux/centos6-or-greater/wazuh_agent_package_centos6_or_greater.html#wazuh-agent-package-centos6-or-greater

官網(wǎng)提供了yum安裝（需要加入wazuh的倉(cāng)庫(kù)地址）和源碼安裝（整包下載，選擇agent部署）

在此選擇下載客戶(hù)端的RPM包安裝：

https://documentation.wazuh.com/3.10/installation-guide/packages-list/index.html

wget?https://packages.wazuh.com/3.x/yum/wazuh-agent-3.10.2-1.x86_64.rpm

rpm -ivh wazuh-agent-3.10.2-1.x86_64.rpm

手動(dòng)注冊(cè)agent

回到wazuh服務(wù)端，進(jìn)入到wazuh的容器中

docker-compose exec wazuh /bin/bash

/var/ossec/bin/manage_agents

A

JDB（新agent的命名，這之后需要從CMDB上獲取IP的主機(jī)名稱(chēng)）

1.1.1.1（新agent的IP地址）

y

添加好以后顯示：

Agent added with ID 001.

E（給agent創(chuàng)建key）

001（輸入需要?jiǎng)?chuàng)建key的agent ID）

Agent key information for '001' is:

MDAxIEpEQiAxMDAuNzMuMjAuNDcgNzRjNTM0NTU2MTRjNTU2OWYyYmFmODM2NzI1ZGMyOTk4MDM4Njk3NTA1NTE4YWRkMWI0MzM1ZjE2MzY0NzUwNw==

回到agent端上，

使用key注冊(cè)agent

/var/ossec/bin/manage_agents -i MDAxIEpEQiAxMDAuNzMuMjAuNDcgNzRjNTM0NTU2MTRjNTU2OWYyYmFmODM2NzI1ZGMyOTk4MDM4Njk3NTA1NTE4YWRkMWI0MzM1ZjE2MzY0NzUwNw==

vi /var/ossec/etc/ossec.conf

添加服務(wù)端的IP

<address>serverIP</address>

啟動(dòng)agent

service wazuh-agent start

顯示

Starting Wazuh:??????????????????????????????????????????? [? OK? ]

進(jìn)入服務(wù)端頁(yè)面https://服務(wù)端IP/app/wazuh#/overview/?_g=()&tabView=panels&tab=welcome&_a=(columns:!(_source),index:'wazuh-alerts-3.x-*',interval:auto,query:(language:kuery,query:''),sort:!(timestamp,desc))

可以看到已經(jīng)有agent顯示了

自動(dòng)注冊(cè)agent

其實(shí)就是在agent上操作，在agent端

/var/ossec/bin/agent-auth -m 服務(wù)端IP

此時(shí)agent的name即為主機(jī)名：

vi /var/ossec/etc/ossec.conf

添加服務(wù)端IP

啟動(dòng)

service wazuh-agent start

Windows

agent部署服務(wù)器

下載安裝包https://packages.wazuh.com/3.x/windows/wazuh-agent-3.10.2-1.msi

雙擊運(yùn)行，默認(rèn)文件保存在C:\Program Files (x86)\ossec-agent

注冊(cè)agent

https://documentation.wazuh.com/3.10/user-manual/registering/windows-simple-registration.html