当前位置:网站首页 > 黑客培训 > 正文

wazuh的使用手册

freebuffreebuf 2019-11-30 599 0

本文来源:wazuh

搭建过程可以直接看官方文档,我就直接使用官方自带的虚拟机进行测试,虚拟机里面已经集成了多种服务 

server端IP:192.168.17.135

image.png我在另外一台的ubuntu的虚拟机安装agent与server端进行连接。

客户端配置服务端的IP和端口,其中端口有两种1514/udp和1515/tcp

image.png客户端就可以连接到服务端

image.png虽然上面日志看起来没有问题,不过我在服务端那边没有看到激活。因为我在一开始用systemctl启动会报错,启动不了

image.png于是我就直接进入到ossec的bin目录下进行启动

image.png服务端显示active

image.png前期工作都做好了,现在就可以看成品,虚拟机里面有kibana的wazuh插件,打开虚拟机端口443,https://IP

image.png Overview  

Security events 

安全日志的仪表台

image.png点击右上角discover,里面可以看到日志

image.png还可以使用kql查询(kibana自带的查询)

image.png Integrity monitoring

这个是文件完整性监控页面,这是默认的,没有结果

image.pngPolicy monitoring

这个是监控系统的配置文件是否合乎安全配置基线

image.pngSystem auditing

审计用户行为,监控命令执行情况和对查看机密文件进行报警

image.png Vulnerabilities

发现系统应用已知的漏洞

image.png其他功能都有说明的,就不一一说明

Management 

 Ruleset

这些都是rule检测规则

image.png规则都是基于xml来编写的

image.pngGroups

可以对客户端进行分组

image.png可以点击进去看有什么客户端

image.png可以删除客户端

image.pngConfiguration

这个选项是管理集群的配置,我就不说了,因为我用的是单机

Status

展示集群状态

image.pngLogs

各种各样的日志

image.pngCluster 

我没有开启集群

image.pngAgents 

查看主机的存活,服务器的信息

image.png

点击ubuntu机器,有着更加细化的日志展示

image.pngimage.pngimage.png信息页面展示完成了,下面咱们就来测试一下

实战演练

安全日志

使用hydra对agent机器进行ssh爆破,可以看到ossec监控到爆破日志

image.pngimage.pngimage.png文件完整性

找到了监控的位置,我们去/bin目录下用vim随便插入一些字符,看看会不会检测到

image.png启动检测

image.png过一会就可以看到修改的日志

image.pngimage.pngrootkit监控

image.pngimage.pngimage.png我原本想看看假如上传webshell进行操作,wazuh会不会检测到,答案是否定的。虽然可能是权限问题,但是我查看passwd文件都没有上报。

image.png接下来,我测试挖矿病毒,https://github.com/yingshang/Legacy-of-intrusion,这是我之前收集到的

当我执行病毒的时候,我发现这个功能没有日志,日志都在完整性监控那里

SCA

SCA检测那里,直接就有了

image.pngsystem aduiting

关于这个功能,我有点迷,我是这样测试的

我创建一个test用户,进去查看passwd,shadow文件,进去root目录,删除root目录

按照说,这个用户在搞事,应该记录他的行为,但是我在这个功能没有看到日志



Vulnerabilities

在配置文件那里启动这个功能,保存之后,重新启动服务

image.pngimage.pngimage.png

Osquery 

server端ossec.conf配置

wodle name="osquery">     disabled>no/disabled>     run_daemon>yes/run_daemon>     bin_path>/usr/bin/bin_path>     log_path>/var/log/osquery/osqueryd.results.log/log_path>     config_path>/etc/osquery/osquery.conf/config_path>     add_labels>no/add_labels>     pack name="custom_pack">/path/to/custom_pack.conf/pack> /wodle>

agent和server安装osquery

安装文档,https://documentation.wazuh.com/3.8/user-manual/capabilities/osquery.html?highlight=osquery

export OSQUERY_KEY=1484120A(c屏蔽)(4屏蔽)E9F8A1A577AEEE97A80C63C9D8B80B apt-key adv --keyserver keyserver.ubuntu.com --recv-keys $OSQUERY_KEY add-apt-repository 'deb [arch=amd64] https://pkg.osquery.io/deb deb main' apt-get update -y apt-get install -y osquery 
curl -L https://pkg.osquery.io/rpm/GPG | tee /etc/pki/rpm-gpg/RPM-GPG-KEY-osquery yum-config-manager --add-repo https://pkg.osquery.io/rpm/osquery-s3-rpm.repo yum-config-manager --enable osquery-s3-rpm yum install osquery

复制osquery配置文件

cp /usr/share/osquery/osquery.example.conf /etc/osquery/osquery.conf

启动osquery

image.pngserver和agent重新启动ossec

image.pngimage.png我以为一开始就有日志,后来才发现osquery需要自己写sql查询,具体可以参照这里 https://www.jianshu.com/p/a971cc53347a

virustotal

首先去官网注册账号,获取到api key

image.png接着ossec.conf,在最后一行添加(SERVER端),然后重启服务

ossec_config> integration>   name>virustotal/name>   api_key>API_KEY/api_key> !-- Replace with your VirusTotal API key -->   group>syscheck/group>   alert_format>json/alert_format> /integration> /ossec_config>

image.png

image.png
我将下载挖矿病毒到opt目录下(AGENT)

image.png很奇怪,收不到日志,说连接不是,但是我在官网还是可以看到已经上传的,不管了,我这边网络有问题,搞不了。

触发的警报将记录在integration.log文件中,并alerts.log与所有其他警报一起存储在文件中。

image.pngimage.png后来执行挖矿病毒之后

image.pngimage.png

转载请注明来自网盾网络安全培训,本文标题:《wazuh的使用手册》

标签:wazuh

猜你喜欢

关于我

欢迎关注微信公众号

关于我们

网络安全培训,黑客培训,渗透培训,ctf,攻防

标签列表

战略合作伙伴

网盾科技

Powered by www.plaaso.com

咨询热线:18696195380,18672920250 (微信同号)   商务合作:13260607300 QQ:3329043 QQ群:594653844

鄂ICP备2023003462号-13 ©2020-2028 plaaso.com 网盾安全培训