Wazuh介绍和使用指南

发布时间:2023-05-19

一、Wazuh简介

Wazuh是一个免费、开源、基于安全事件管理的解决方案,用于安全检测、监视、响应和合规性,旨在保护企业中的服务器、云实例、容器和终端节点。 Wazuh是基于OSSEC HIDS构建的,Wazuh被称为OSSEC的后继发展,拥有许多新的功能和增强功能。Wazuh并不仅限于HIDS,它也包括其他组件,例如:ELK堆栈(Elasticsearch、Logstash和Kibana),OpenSCAP和Atomic Enterprise OSSEC。 Wazuh的开源性和文档详尽,使得该软件得到了广泛的应用,特别是在服务器和云环境的安全事件管理中,越来越多企业和机构使用Wazuh来检测和响应安全威胁。

二、Wazuh的优势

Wazuh有以下优点:

  • 免费,开源
  • 适用于云环境、容器和传统系统
  • 可扩展性和可配置性强
  • 支持多种操作系统,包括Linux、Windows、MacOS等等
  • 提供可视化分析和报告
  • 提供全栈安全保护
  • 具有丰富的社区和支持

三、Wazuh的组件和使用方法

Wazuh由多个组件组成,包括:Wazuh服务器、Wazuh代理(agent)、ELK堆栈、OpenSCAP、Atomic Enterprise OSSEC等。 以下是Wazuh的使用方法:

  • 安装Wazuh服务器和代理端(agent)
  • 配置Wazuh代理端,使其安装在需要保护的主机上
  • 配置ELK堆栈并启动它,使其可以接收Wazuh服务器传来的数据
  • 在Kibana中创建仪表板,可视化地显示数据并分析潜在的安全事件 下面是一个样例编排文件:
version: '2'
services:
  wazuh-api:
    image: wazuh/wazuh-api:latest
    ports:
      - "55000:55000"
    volumes:
      - "/var/run/docker.sock:/var/run/docker.sock"
    depends_on:
      - wazuh-manager
  wazuh-db:
    image: postgres:9.6
    volumes:
      - /opt/wazuh/data:/var/lib/postgresql/data
    environment:
      POSTGRES_USER: wazuh
      POSTGRES_PASSWORD: wazuh
      POSTGRES_DB: wazuh
    ulimits:
      nproc: 65535
  wazuh-manager:
    image: wazuh/wazuh:latest
    volumes:
      - /var/ossec/data:/var/ossec/data
      - /var/ossec/etc:/var/ossec/etc
      - /var/ossec/logs:/var/ossec/logs
    environment:
      WAZUH_RELAY: "yes"
      WAZUH_TIMEZONE: "Asia/Shanghai"
      WAZUH_SERVER: "wazuh-server"
    depends_on:
      - wazuh-db
    ports:
      - "1514:1514/udp"
      - "1515:1515/tcp"
      - "1515:1515/udp"
      - "514:514/tcp"
      - "514:514/udp"

四、Wazuh的优秀案例

Wazuh作为一个全栈安全解决方案,在行业中有很多优秀的案例。 例如:甲方公司在其生产环境中使用Wazuh,通过Wazuh成功监控并响应了一次Web应用层的SQL注入攻击。 下面是一个Wazuh探测到攻击的样例报告:

{
  "rule": {
    "level": 2,
    "description": "SQL injection attempt",
    "id": "99999",
    "category": "web-application-attack"
  },
  "rule_matched": 1,
  "alerts": [
    {
      "src_ip": "192.168.1.110",
      "connectivity": "TCP",
      "src_port": "49332",
      "date": "2018-03-28T16:28:32-03:00",
      "location": {
        "physical": {
          "name": "Unknown",
          "latitude": 0,
          "longitude": 0
        },
        "ip": {
          "country_name": "Argentina",
          "latitude": "-34.603722",
          "longitude": "-58.381592",
        }
      },
      "id": "1541596818.12440",
      "full_log": "Attempting test case 1''' or 1=1;#",
      "decoded_full_log": "Attempting test case 1''' or 1=1;#",
      "rule": {
        "level": 2,
        "description": "SQL injection attempt",
        "category": "web-application-attack",
        "id": "99999"
      },
      "location_info": {
        "ip": {
          "latitude": "-34.603722",
          "city_name": "Buenos Aires",
          "country_name": "Argentina",
          "longitude": "-58.381592",
        }
      },
      "timestamp": "2018-03-28T19:28:32.124476Z",
      "agent": {
        "name": "web-application",
        "id": "012345ab-cdef-0123-4567-89abcdef0123",
        "ip": "10.0.0.1"
      }
    }
  ]
}

五、Wazuh的社区

Wazuh的社区十分活跃,在GitHub上有17.1K+的Star和4.5K+的Fork,社区里有专业的开发者,支持英语、西班牙语、葡萄牙语和其他语言,有专门的网站和社论提供技术支持、问题解答和最新版本的更新,如Wazuh邮件列表、官方文档、Wazuh博客等。

六、总结

Wazuh是一个优秀的免费、开源的安全事件管理解决方案,具有可扩展性和可配置性,支持多种操作系统,提供全栈安全保护,并且具有广泛的社区和支持。 可以通过仔细研究官方文档和社区帖子了解更多关于Wazuh的知识,也可以在实践中不断探索Wazuh的更多用法,提高自己的安全防御能力。

推荐文章