发布日期:2024-08-09 08:28 点击次数:199
1.wazuh是什么?
Wazuh 是一个用于病毒检测、罅隙扫描、安全监控、事件反馈和战略监控的开源
EDR处理决议。
2.wazuh的功能有哪些?
图片
3.wazuh的系统框架?
图片
Wazuh平台主要包括三个主要组件:
wazuh-agent:安设在被监控端
wazuh-manager:安设在行状端
Elastic Stack(es+filebeat+kibana):安设在行状端
4.wazhu-server的安设智商?
安设花样礼聘:将扫数组件安设在统一台主机上
系统:centos 7
图片
添加 Wazuh 源
安设必要的安设包:#yum install curl unzip wget libcap导入 GPG 密钥:#rpm --import https://packages.wazuh.com/key/GPG-KEY-WAZUH添加存储库:#cat > /etc/yum.repos.d/wazuh.repo << EOF[wazuh]gpgcheck=1gpgkey=https://packages.wazuh.com/key/GPG-KEY-WAZUHenabled=1name=EL-$releasever - Wazuhbaseurl=https://packages.wazuh.com/4.x/yum/protect=1EOF
安设 Wazuh manager
安设 Wazuh 经管器包:#yum install wazuh-manager启用并启动 Wazuh 经管器行状:#systemctl daemon-reload#systemctl enable wazuh-manager#systemctl start wazuh-manager运行以下敕令搜检 Wazuh 经管器是否处于动作气象:#systemctl status wazuh-manager
安设 Elasticsearch
Open Distro for Elasticsearch 是 Elasticsearch 的开源刊行版,Elasticsearch 是一种高度可膨胀的全文搜索引擎。它提供高等安全性、警报、索引经管、深度性能分析和其他一些附加功能。
安设 Open Distro for Elasticsearch:# yum install opendistroforelasticsearch确立 Elasticsearch,运行以下敕令下载确立文献/etc/elasticsearch/elasticsearch.yml:# curl -so /etc/elasticsearch/elasticsearch.yml https://packages.wazuh.com/resources/4.1/open-distro/elasticsearch/7.x/elasticsearch_all_in_one.ymlElasticsearch 用户和扮装,您需要添加用户和扮装才略正确使用 Wazuh、Kibana。运行以下敕令在 Kibana 中添加 Wazuh 用户和其他扮装:# curl -so /usr/share/elasticsearch/plugins/opendistro_security/securityconfig/roles.yml https://packages.wazuh.com/resources/4.1/open-distro/elasticsearch/roles/roles.yml# curl -so /usr/share/elasticsearch/plugins/opendistro_security/securityconfig/roles_mapping.yml https://packages.wazuh.com/resources/4.1/open-distro/elasticsearch/roles/roles_mapping.yml# curl -so /usr/share/elasticsearch/plugins/opendistro_security/securityconfig/internal_users.yml https://packages.wazuh.com/resources/4.1/open-distro/elasticsearch/roles/internal_users.ymlWazuh 用户通过运行上述敕令添加到 Kibana:wazuh_user,它是为需要对 Wazuh Kibana 插件进行只读造访的用户而创建的。wazuh_admin,提议需要经管权限的用户使用。在 Kibana 中添加了 Wazuh 附加扮装以向用户授予符合的权限:wazuh_ui_user,它提供wazuh_user读取 Wazuh 索引的权限。wazuh_ui_admin,它允许wazuh_admin对 Wazuh 索引实行读取、写入、经管和索引任务。这些用户和扮装旨在与 Wazuh Kibana 插件通盘操作,但它们受到保护,无法从 Kibana 界面进行修改。要修改它们或添加新用户或扮装,securityadmin必须运行剧本。文凭创建删除演示文凭:# rm /etc/elasticsearch/esnode-key.pem /etc/elasticsearch/esnode.pem /etc/elasticsearch/kirk-key.pem /etc/elasticsearch/kirk.pem /etc/elasticsearch/root-ca.pem -f生成并部署文凭:下载wazuh-cert-tool.sh:# curl -so ~/wazuh-cert-tool.sh https://packages.wazuh.com/resources/4.1/open-distro/tools/certificate-utility/wazuh-cert-tool.sh# curl -so ~/instances.yml https://packages.wazuh.com/resources/4.1/open-distro/tools/certificate-utility/instances_aio.yml运行 wazuh-cert-tool.sh以创建文凭:# bash ~/wazuh-cert-tool.sh将 Elasticsearch 文凭移动到相应位置:# mkdir /etc/elasticsearch/certs/# mv ~/certs/elasticsearch* /etc/elasticsearch/certs/# mv ~/certs/admin* /etc/elasticsearch/certs/# cp ~/certs/root-ca* /etc/elasticsearch/certs/启用并启动 Elasticsearch 行状:# systemctl daemon-reload# systemctl enable elasticsearch# systemctl start elasticsearch运行 Elasticsearchsecurityadmin剧本加载新文凭信息并启动集群:# export JAVA_HOME=/usr/share/elasticsearch/jdk/ && /usr/share/elasticsearch/plugins/opendistro_security/tools/securityadmin.sh -cd /usr/share/elasticsearch/plugins/opendistro_security/securityconfig/ -nhnv -cacert /etc/elasticsearch/certs/root-ca.pem -cert /etc/elasticsearch/certs/admin.pem -key /etc/elasticsearch/certs/admin-key.pem运行以下敕令,确保安设成功:# curl -XGET https://localhost:9200 -u admin:admin -k
示例反馈应如下所示:
Output
{
"name" : "node-1",
"cluster_name" : "elasticsearch",
"cluster_uuid" : "tWYgqpgdRz6fGN8gH11flw",
"version" : {
"number" : "7.10.2",
"build_flavor" : "oss",
"build_type" : "rpm",
"build_hash" : "89473hjh88a59143c1f785afa92b9",
"build_date" : "2021-08-7T00:42:12.435326Z",
"build_snapshot" : false,
"lucene_version" : "8.7.1",
"minimum_wire_compatibility_version" : "6.8.0",
"minimum_index_compatibility_version" : "6.0.0-beta1"
},
"tagline" : "You Know, for Search"
}
Open Distro for Elasticsearch 性能分析器件是默许安设的,可能会对系统资源产生负面影响。咱们提议使用以下敕令将其删除。之后请务必重启 Elasticsearch 行状
/usr/share/elasticsearch/bin/elasticsearch-plugin remove opendistro-performance-analyzer
安设 Filebeat
Filebeat 是 Wazuh 行状器上的器具,可将警报和归档事件安全地转发到 Elasticsearch。
安设 Filebeat 包:#yum install filebeat下载用于将 Wazuh 警报转发到 Elasticsearch 的预确立 Filebeat 确立文献:#curl -so /etc/filebeat/filebeat.yml https://packages.wazuh.com/resources/4.1/open-distro/filebeat/7.x/filebeat_all_in_one.yml下载 Elasticsearch 的警报模板:#curl -so /etc/filebeat/wazuh-template.json https://raw.githubusercontent.com/wazuh/wazuh/4.1/extensions/elasticsearch/7.x/wazuh-template.json#chmod go+r /etc/filebeat/wazuh-template.json下载 Filebeat 的 Wazuh 模块:curl -s https://packages.wazuh.com/4.x/filebeat/wazuh-filebeat-0.1.tar.gz | tar -xvz -C /usr/share/filebeat/module将 Elasticsearch 文凭复制到/etc/filebeat/certs:#mkdir /etc/filebeat/certs#cp ~/certs/root-ca.pem /etc/filebeat/certs/#mv ~/certs/filebeat* /etc/filebeat/certs/启用并启动 Filebeat 行状:#systemctl daemon-reload#systemctl enable filebeat#systemctl start filebeat为确保成功安设 Filebeat,请运行以下敕令:#filebeat test output
示例反馈应如下所示:
Output
elasticsearch: https://127.0.0.1:9200...
parse url... OK
connection...
parse host... OK
dns lookup... OK
addresses: 127.0.0.1
dial up... OK
TLS...
security: server's certificate chain verification is enabled
handshake... OK
TLS version: TLSv1.3
dial up... OK
talk to server... OK
version: 7.10.2
安设 Kibana
Kibana 是一个机动且直不雅的 Web 界面,用于挖掘和可视化存储在 Elasticsearch 中的数据。
安设 Kibana 包:# yum install opendistroforelasticsearch-kibana下载 Kibana 确立文献:# curl -so /etc/kibana/kibana.yml https://packages.wazuh.com/resources/4.1/open-distro/kibana/7.x/kibana_all_in_one.yml在/etc/kibana/kibana.yml文献中,诞生 server.host的值为0.0.0.0。这意味着 Kibana 不错从外部造访并继承主机的扫数可用 IP。若是需要,软件开发资讯不错针对特定 IP 篡改此值。创建/usr/share/kibana/data目次:# mkdir /usr/share/kibana/data# chown -R kibana:kibana /usr/share/kibana/data安设 Wazuh Kibana 插件。插件的安设必须从 Kibana 主目次完成,如下所示:# cd /usr/share/kibana# sudo -u kibana /usr/share/kibana/bin/kibana-plugin install https://packages.wazuh.com/4.x/ui/kibana/wazuh_kibana-4.1.5_7.10.2-1.zip将 Elasticsearch 文凭复制到/etc/kibana/certs:# mkdir /etc/kibana/certs# cp ~/certs/root-ca.pem /etc/kibana/certs/# mv ~/certs/kibana* /etc/kibana/certs/# chown kibana:kibana /etc/kibana/certs/*将 Kibana 套接字长入到特权端口 443:# setcap 'cap_net_bind_service=+ep' /usr/share/kibana/node/bin/node启用并启动 Kibana 行状:# systemctl daemon-reload# systemctl enable kibana# systemctl start kibana
造访网页界面:
URL: https://ip
user: admin
password: admin
5.wazuh-agent的安设?linux系统:花样1:系统不错连外网导入 GPG 密钥:# rpm --import https://packages.wazuh.com/key/GPG-KEY-WAZUH添加存储库:# cat > /etc/yum.repos.d/wazuh.repo << EOF[wazuh]gpgcheck=1gpgkey=https://packages.wazuh.com/key/GPG-KEY-WAZUHenabled=1name=EL-$releasever - Wazuhbaseurl=https://packages.wazuh.com/4.x/yum/protect=1EOF安设 Wazuh agent# WAZUH_MANAGER="10.0.0.2" yum install wazuh-agent启动# systemctl daemon-reload# systemctl enable wazuh-agent# systemctl start wazuh-agent保举操作- 禁用 Wazuh 更新当Wazuh Manager版块高于或就是Wazuh Agent版块时,保证Wazuh agent与Wazuh manager的兼容性。因此,咱们提议禁用 Wazuh 存储库以谨慎不测升级。为此,请使用以下敕令:# sed -i "s/^enabled=1/enabled=0/" /etc/yum.repos.d/wazuh.repo
卸载 Wazuh agent# yum remove wazuh-agent花样2:主机莫得外网权限
1.外网下载对应版块的rpm包,上传到该主机https://documentation.wazuh.com/current/installation-guide/packages-list.html#linux2.安设rpm -i 旅途/包名windows:
下载wazuh-agent.msi
https://packages.wazuh.com/4.x/windows/wazuh-agent-4.1.5-1.msi
大开msi,写入行状端ip,启动行状
图片
卸载
cmd进安设目次C:\Program Files (x86)\ossec-agent
msiexec.exe /x wazuh-agent-4.1.5-1.msi /qn
6.奈何看在线的agent?
在行状端通过敕令:
图片
约略web上:
图片
~
安设完成,server端真实立文献及agent真实立文献均未篡改。
现在的气象:不错平淡造访web,仅有部分功能模块在运转确立下被开启。
造访: https://ip
用户名: admin
密码: admin
部分功能模块启用以后
app安全事件:
图片
文献圆善性搜检:
图片
图片
罅隙扫描:
图片
图片
病毒扫描:
图片
告警散布:
图片
图片
二、百位分析:上期开出号码2,前10次号码2出现之后下期分别开出号码:7598486744,其中号码大小比为7:3,小 号表现较冷;奇偶比为4:6,基本持平;012路比为2:5:3,2路号码走温。本期参考号码:2。
后头的实质先容若何针对各个功能模块来进行确立文献的篡改,使功能平淡运行。确立文献的篡改包括(系统版块不相似,确立略有各别):
server端的篡改:
agent端的篡改(linux/windows):长沙专业软件开发
本站仅提供存储行状,扫数实质均由用户发布,如发现存害或侵权实质,请点击举报。