wazuh部署

news2024/12/27 15:28:59

文章目录

  • 1.ova文件获取
  • 2.VMware导入ova文件
  • 3.wazuh目录文件
  • 4.wazuh解析原理

1.ova文件获取

访问官网

https://wazuh.com/

依次点击红色标注将文件下载到本地
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

2.VMware导入ova文件

直接打开下载到本地的ova文件
在这里插入图片描述设置导入的位置和名称

在这里插入图片描述初始密码账户为wazuh-user:wazuh
运行登录后为:
在这里插入图片描述
网络模式记得设定·为nat,并重庆网络服务

service network restart

接着用xshell连接

在这里插入图片描述

3.wazuh目录文件

主要配置文件在/var/ossec目录下
在这里插入图片描述

drwxr-x---  3 root  wazuh   17 Aug  8 19:06 active-response
drwxr-x---  2 root  wazuh  286 Aug  8 19:06 agentless
drwxr-x---  4 root  wazuh   42 Aug  8 19:06 api
drwxr-x---  5 root  wazuh   44 Aug  8 19:06 backup
drwxr-x---  2 root  wazuh 4096 Aug  8 19:06 bin
drwxrwx---  7 wazuh wazuh  242 Aug  8 19:09 etc
drwxr-x---  5 root  wazuh   48 Aug  8 19:06 framework
drwxr-x---  2 root  wazuh  124 Aug  8 19:06 integrations
drwxr-x---  2 root  wazuh  233 Aug  8 19:06 lib
drwxrwx---  8 wazuh wazuh  194 Aug 19  2023 logs
drwxr-x--- 15 root  wazuh  223 Aug  8 19:09 queue
drwxr-x---  5 root  wazuh   46 Aug  8 19:06 ruleset
drwxrwx---  2 root  wazuh    6 Aug  4 14:19 .ssh
drwxr-x---  5 wazuh wazuh   64 Aug  8 19:06 stats
drwxrwx--T  2 root  wazuh    6 Aug 19 09:37 tmp
drwxr-x---  9 root  wazuh  106 Aug 19  2023 var
drwxr-x---  6 root  wazuh   93 Aug  8 19:06 wodles

active-response 是主动响应,里面设定主要拦截、限制策略,检测到危险就禁止
在这里插入图片描述

etc是配置文件
在这里插入图片描述

total 48
-rw-r----- 1 root wazuh     0 Aug  8 19:09 client.keys
drwxrwx--- 2 root wazuh    31 Aug  8 19:06 decoders
-rw-r----- 1 root wazuh 14012 Aug  4 14:19 internal_options.conf
drwxrwx--- 3 root wazuh   122 Aug  8 19:06 lists
-rw-r----- 1 root wazuh   320 Aug  4 14:19 local_internal_options.conf
-rw-r----- 1 root wazuh   127 Mar 30 19:08 localtime
-rw-rw---- 1 root wazuh 10459 Aug  8 19:06 ossec.conf
drwxrwx--- 2 root wazuh  4096 Aug  8 19:06 rootcheck
drwxrwx--- 2 root wazuh    29 Aug  8 19:06 rules
drwxrwx--- 3 root wazuh    63 Aug  8 19:06 shared
-rw-r----- 1 root root   1176 Aug  8 19:06 sslmanager.cert
-rw-r----- 1 root root   1704 Aug  8 19:06 sslmanager.key
etc下 
dockers是解码器
rootcheck 是后面检测工具
-rw-rw---- 1 root wazuh  16174 Aug  4 14:19 rootkit_files.txt
-rw-rw---- 1 root wazuh   5548 Aug  4 14:19 rootkit_trojans.txt

ossec.conf是主要配置文件

ruleset下放规则

在这里插入图片描述

网站访问wazuh初始账号密码为admin:admin
在这里插入图片描述查看告警信息
在这里插入图片描述

ossec下几个说明
active-response:响应的脚本
agentless:无代理安装,即用户名密码
etc:配置,ossec.conf核心配置文件
ruleset:自带规则库,建议不改
log:日志,预警核心

以下两个目录记录了何时、触发了哪些规则
/var/ossec/logs/alerts/alerts.json:json格式的预警信息,用于分析展示,这不就是给elk用于展示的嘛
/var/ossec/logs/alerts/alerts.log:适用于直接查看

4.wazuh解析原理

在etc下主配置文件中有写入的日志文件地址

在这里插入图片描述

会将找到的日志文件进行解码并匹配
如/var/ossec/ruleset/rules下的规则就有匹配

vim 0095-sshd_rules.xml
在这里插入图片描述

rule id="5715" level="3">
    <if_sid>5700</if_sid>
    <match>^Accepted|authenticated.$</match>
    <description>sshd: authentication success.</description>
    <mitre>      <id>T1078</id>
      <id>T1021</id>
    </mitre>
    <group>authentication_success,gdpr_IV_32.2,gpg13_7.1,gpg13_7.2,hipaa_164.312.b,nist_800_53_AU.14,nist_800_53_AC.7,pci_dss_10.2.5,tsc_CC6.8,tsc_CC7.2,tsc_CC7.3,</group>
  </rule>

这里的

<match>^Accepted|authenticated.$</match>

就是正则匹配,含义是以Accepted开头或以authenticated结尾的信息

<if_sid>5700</if_sid>

5700是其父类

<rule id="5700" level="0" noalert="1">
    <decoded_as>sshd</decoded_as>    <description>SSHD messages grouped.</description>
  </rule>

5700里面放了一个sshd解码器(本来就是sshd日志嘛)

在这里插入图片描述
也就是这个

0310-ssh_decoders.xml

vim 0310-ssh_decoders.xml
在这里插入图片描述

简单看一下解码器

<decoder name="sshd">
  <program_name>^sshd</program_name> //匹配到sshd开头则解码器激活
</decoder>

<decoder name="sshd-success">
  <parent>sshd</parent> //匹配sshd开头
  <prematch>^Accepted</prematch> //在匹配Accepted
  <regex offset="after_prematch">^ \S+ for (\S+) from (\S+) port (\S+)</regex> //取for+空格后面、取from+空格后面、取port+空格后面的内容,也就是用户名、ip、端口
  <order>user, srcip, srcport</order> //三个匹配到的内容输出
  <fts>name, user, location</fts>
</decoder>

find . -name "*.xml" | xargs -0 grep -r -i "5557"

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/899915.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

手写模拟SpringBoot核心流程(一):实现极简一个SpringBoot——模拟SpringBoot启动过程

前言 Spring Boot 是一个开源的框架&#xff0c;用于简化 Spring 应用程序的开发和部署。它建立在 Spring Framework 的基础上&#xff0c;内置了web服务器——tomcat和jetty&#xff0c;使得 Spring 应用的构建变得更加快速、简单和可维护。 本文通过实现一个SpringBoot&…

Global Illumination_Exponential Variance Shadow Maps(EVSM)

最近工程中需要集成高质量阴影&#xff08;效率、效果&#xff09;&#xff0c;介于项目非循环渲染所以CSM无法使用&#xff0c;但动态建模中还需要快速增删改场景&#xff0c;阴影还必须重新生成&#xff0c;奈何之前简单SMPCF无法满足效率、效果要求&#xff0c;于是调研RVT等…

十、Linux的root用户、用户和用户组的问题

目录 1、Linux的root用户 &#xff08;1&#xff09;基础 &#xff08;2&#xff09;如何进入root模式 &#xff08;3&#xff09;如何给普通用户配置root权限&#xff1f; 注意点&#xff1a; 配置方法&#xff1a; 2、用户/用户组问题 &#xff08;1&#xff09;用户/用…

【网络安全必看】如何提升自身 WEB 渗透能力?

前言 web 渗透这个东西学起来如果没有头绪和路线的话&#xff0c;是非常烧脑的。 理清 web 渗透学习思路&#xff0c;把自己的学习方案和需要学习的点全部整理&#xff0c;你会发现突然渗透思路就有点眉目了。 程序员之间流行一个词&#xff0c;叫 35 岁危机&#xff0c;&am…

宁德时代与陕汽签署十年战略合作协议,助力商用车电动化进程

据报道&#xff0c;宁德时代新能源科技股份有限公司与陕西汽车控股集团有限公司已经签署了一项为期十年的战略合作协议。双方的合作旨在推动商用车电池技术的发展&#xff0c;并面向商用车全领域应用。 这次战略合作具有重要意义&#xff0c;为宁德时代和陕汽启动了全面合作的序…

iOS开发 - Swift Codable协议实战:快速、简单、高效地完成JSON和Model转换!

前言 Codable 是 Swift 4.0 引入的一种协议&#xff0c;它是一个组合协议&#xff0c;由 Decodable 和 Encodable 两个协议组成。它的作用是将模型对象转换为 JSON 或者是其它的数据格式&#xff0c;也可以反过来将 JSON 数据转换为模型对象。 Encodable 和 Decodable 分别定…

【数据结构】 单链表面试题讲解

文章目录 引言反转单链表题目描述示例&#xff1a;题解思路代码实现&#xff1a; 移除链表元素题目描述&#xff1a;示例思路解析&#xff1a; 链表的中间结点题目描述&#xff1a;示例&#xff1a;思路解析代码实现如下&#xff1a; 链表中倒数第k个结点题目描述示例思路解析&…

OpenFOAM的fvOptions

采用OpenFoam中的fvOptions /*--------------------------------*- C -*----------------------------------*\ |\\ / F ield | OpenFOAM: The Open Source CFD Toolbox\\ / O peration | Website: https://openfoam.org\\ / A n…

CentOS7.6安装mysql8.0.34

一、查看服务器相关信息 cat /etc/redhat-release cat /proc/version [rootlocalhost ~]# cat /etc/redhat-release CentOS Linux release 7.6.1810 (Core) [rootlocalhost ~]# cat /proc/version Linux version 3.10.0-957.el7.x86_64 (mockbuildkbuilder.bsys.centos.org) …

不用插拔网线鼠标点击自动切换网线和WIFI

因为之前在zf单位工作,政务内网需要插网线,而访问外网又需要连wifi,切换就需要拔掉网线插上网线很麻烦,旁边老哥教我了一手.bat程序自动切换方法, .bat文件代码如下: 以下代码的.bat文件执行后会切换到以太网,同时关闭掉wifi和以太网4 echo off %1 mshta vbscript:CreateObjec…

YOLOX算法调试记录

YOLOX是在YOLOv3基础上改进而来&#xff0c;具有与YOLOv5相媲美的性能&#xff0c;其模型结构如下&#xff1a; 由于博主只是要用YOLOX做对比试验&#xff0c;因此并不需要对模型的结构太过了解。 先前博主调试过YOLOv5,YOLOv7&#xff0c;YOLOv8,相比而言&#xff0c;YOLOX的环…

Linux:shell脚本数组和脚本免交互

目录 一、shell数组的定义 二、定义数组的方式 &#xff08;1&#xff09;数组名(value1 value2 value3 value4 ...) &#xff08;2&#xff09;获取数组的长度 &#xff08;3&#xff09;获取数组下标对应的值 &#xff08;4&#xff09;数组的遍历 &#xff08;5&#x…

Ubuntu20.04安装Nvidia显卡驱动教程

1、禁用nouveau 1、创建文件&#xff0c;如果没有下载vim编辑器&#xff0c;将vim换成gedit即可 $ sudo vim /etc/modprobe.d/blacklist-nouveau.conf 2、在文件中插入以下内容&#xff0c;将nouveau加入黑名单&#xff0c;默认不开启 blacklist nouveau options nouveau m…

Linux学习之基本指令二

-----紧接上文 在了解cat指令之前&#xff0c;我们首先要了解到Linux下一切皆文件&#xff0c;在学习c语言时我们就已经了解到了 对文件输入以及读入的操作&#xff08;向显示器打印&#xff0c;从键盘读取数据&#xff09;&#xff0c;对于Linux下文件的操作&#xff0c;也是…

make系列之入门

一.欢迎来到我的酒馆 在本章节介绍make工具。 目录 一.欢迎来到我的酒馆二.什么是make三.make与Makefile四.如何写Makefile 二.什么是make 你可能会遇到一些名词&#xff1a;GNU&#xff0c;Linux&#xff0c;make。它们是什么&#xff0c;又有什么样的联系&#xff1f; …

mongodb.使用自带命令工具导出导入数据

在一次数据更新中&#xff0c;同事把老数据进行了清空操作&#xff0c;但是新的逻辑数据由于某种原因&#xff08;好像是她的电脑中病毒了&#xff09;&#xff0c;一直无法正常连接数据库进行数据插入&#xff0c;然后下午2点左右要给甲方演示&#xff0c;所以要紧急恢复本地的…

【图论】Floyd算法

一.简介 Floyd算法&#xff0c;也称为Floyd-Warshall算法&#xff0c;是一种用于解决所有节点对最短路径问题的动态规划算法。它可以在有向图或带权图中找到任意两个节点之间的最短路径。 Floyd算法的基本思想是通过中间节点逐步优化路径长度。它使用一个二维数组来存储任意两…

挖漏洞竟能赚取百万美金?来认识一下这 6 位百万美元白帽黑客

在黑客世界&#xff0c;有三种人&#xff1a;白帽&#xff08;黑客&#xff09;、灰帽&#xff08;黑客&#xff09;和黑帽&#xff08;黑客&#xff09;。其中&#xff0c;白帽黑客&#xff0c;即 White Hat Hacker&#xff0c;又称白帽子&#xff0c;它们用自己的黑客技术来维…

redux的介绍、安装、三大核心与执行流程

redux的介绍、安装、三大核心与执行流程 一、redux的基本介绍二、redux的安装三、redux核心概念3.1 action3.2 reducer3.3 store 四、Redux代码执行流程五、加减案例练习 一、redux的基本介绍 redux中文官网Redux 是 React 中最常用的状态管理工具&#xff08;状态容器&#x…

B树和B+树MySQL为什么用B+树?

文章目录 B树和B树B树B树的定义B树的插入操作删除操作 B树B树的定义B树的插入操作删除操作 B树和B树的区别?MySQL数据库为啥用B树作为索引&#xff0c;而不用B树? B树和B树 原文链接&#xff1a;https://blog.csdn.net/jinking01/article/details/115130286 B树 B树的定义…