官网:Virtual Machine (OVA) - Installation alternatives
Wazuh(Wazuh · The Open Source Security Platform):是一整套基于ossec安全检测工具和EFK日志工具构成的终端安全管理工具。不管是将其分类至HIDS,还是EDR,它都是一套通过监控主机日志行为,提供安全检测、分析和完整报告的开源、免费利器。Wazuh基于C/S架构,它的Agent支持Windows、MacOS、Linux、HP-UX、AIX等主流操作系统。其服务端负责提供认证和数据收集,然后通过filebeat进行日志清洗,最后导入ElasticSearch,通过Kinbana进行展示和输出日志。它不仅可以收集主机的事件日志进行一般的入侵检测功能,还可以通过第三方提供的系统漏洞检测feed文件,来实现主机的漏洞扫描和合规检查
安装
安装跟着官方文档一步步安装 就行了
仓库安装
ova虚拟机安装
3.添加代理
我们只是安装了wazuh的服务端,我们需要让其他服务器成为wazuh的客户端,也就是添加代理,端口号为1514。
规则·
wazuh的规则在/var/ossec/ruleset/rules目录下
用户处于/var/ossec/etc/rules
可以查看检测木马的脚本
主动响应
根据官方文档
我们根据官方文档的步骤,重新查看我们的audit的规则
[root@localhost ~]# aduditctl -l
我们再查看/var/log/audit,可以发现我们添加的规则已经触发
我们在/etc/ld.so.preload中随意写入一个so文件,来手动触发这个规则。
sql 注入检测
在客户端中添加需要检测的日志
<ossec_config>
<localfile>
<log_format>apache</log_format>
<location>/var/log/httpd/access.log</location>
</localfile></ossec_config>
在写一个sql注入语句
your ip/?id=1%27%20select%201,2,3--+
在Apache上查看日志
192.168.128.1--[23/Aug/2023:19:00:01 +0800]"GE/?d=1%27%20select%2012 3""Mozilla/5.0 (windows NT 10.0; Win64; x64)ApplewebKit/537.36 (KHTML, like Gecko) Chrome/116.0.0.0 safari/537.36 Edg/116.0.1938.54" --+ HTTP/1.1" 200 79876"
然后再wazuh会看见