Wazuh 4.1部署及使用
基础概念 wazuh是一个开源免费的HIDS(主机入侵检测),用于漏洞扫描,完整性校验,异常流量捕获,shellshock、rootkit检测等 组件 Wazuh server: 通过agent端传过来的数据使用解码器和规则对其进行处理,管理agent配置等 Wazuh agent:安装在节点上的代理,用于检测,采集等 Elastic Stack: 索引数据及展示 集群架构图如下:
代理架构图如下: 架构图说明:
1: Wazuh代理具有模块化架构,其中不同组件负责各自的任务:监视文件系统,读取日志消息,收集清单数据,扫描系统配置,查找恶意软件等,用户可以通过配置启用或禁用代理模块设置
2: agent和server间通过密钥进行数据加密和通信
Log collector: 收集系统和应用程序日志及windows事件等日志 Command execution: 代理周期性运行命令并将输出结果发送到server端进行分析(比如监控磁盘等指标使用率等) File integrity monitoring (FIM): 文件信息监控,在文件修改时将相关信息发送给server端进行分析(比如谁何时做了什么,包括文件自身信息等) Security configuration assessment (SCA): 根据CIS标准来检查现有的安全策略,也可以自定义SCA System inventory: 定期扫描系统信息(比如系统版本,网卡,运行的进场,已安装的程序,打开的端口等信息) Malware detection: 恶意软件扫描,基于non-signature检测异常的程序或rootkit的存在,通过监视系统调用,它将查找隐藏的进程,隐藏的文件和隐藏的端口等 Active response: 检测到威胁时,此模块将自动执行相关操作,比如阻止网络连接,停止正在运行的进程或删除恶意文件,用户也可以在必要时创建自定义响应 Containers security monitoring: 此代理模块与Docker Engine API集成在一起以监视容器化环境中的更改,例如它检测到容器镜像,网络配置或数据量的更改,它还会警告以特权模式运行的容器以及正在运行的容器中执行命令的用户 Cloud security monitoring: 云提供商安全检测,它能够检测到云基础架构的更改(例如,创建新用户,修改安全组,停止云实例等),并收集云服务日志数据(AWS Cloudtrail,AWS Macie,AWS GuardDuty,Azure Active Directory等) server架构图如下:
Wazuh server组件负责分析从代理接收的数据,并在检测到威胁或异常时触发警报,它还用于远程管理代理配置并监视其状态
组件说明:
Agents registration service: 给每个代理分配一个唯一的预共享身份验证密钥来注册新代理,并支持通过TLS/SSL证书或提供固定密码进行身份验证 Agents connection service: 该组件用于接受agent发送来的数据,利用预共享密钥来验证代理身份和加密代理与Wazuh服务器之间的通信及此将配置推送给远程的agent Analysis engine: 进行数据分析,将agent传送过来的数据进行分析,利用解码器来识别正在处理的信息的类型,通过使用规则,它可以识别解码事件中的特定模式,从而触发警报,甚至可能要求采取自动对策(比如防火墙禁止ip等) Wazuh RESTful API: 管理代理和服务器配置设置,监视基础结构状态和整体运行状况,管理和编辑Wazuh解码器和规则等 Wazuh cluster daemon: 此服务用于水平扩展Wazuh server,将它们部署为群集,这种配置与网络负载平衡器相结合,可提供高可用性和负载平衡(Wazuh server用来相互通信并保持同步的工具) Filebeat: 用于将事件和警报发送到es,它读取Wazuh分析引擎的输出并实时发送事件,当连接到多节点Elasticsearch集群时,它还提供负载平衡 部署 服务器说明 192.