1.wazuh的作用

Wazuh 是一个免费的开源安全平台，统一了 XDR 和 SIEM 功能。它可以保护本地、虚拟化、容器化和基于云的环境中的工作负载。Wazuh 帮助组织和个人保护其数据资产免受安全威胁。它被全球数千个组织广泛使用，从小型企业到大型企业。

Wazuh的使用场景有：

• 入侵检测
• 日志数据分析
• 完整性检查
• 漏洞检测
• 配置评估
• 应急响应
• 云、容器安全等

此外，Wazuh 已经与 Elastic Stack 完全集成，提供了一个搜索引擎和数据可视化工具，允许用户通过他们的安全警报进行导航。

2.wazuh的安装

①仓库安装

添加wazuh的官方仓库来安装wazuh的安装包

②虚拟机OVA安装

在官方上下载OVA文件，可能比较大，几个g左右下载完成后，可以在Vmware中直接导入虚拟机

右上角--->文件--->打开--->选择下载好的OVA文件之后选择安装路径

③.其他安装方式

可以选择镜像下载、部署在docker、k8s上、使用ES安装、使用ansible安装等等

3.wazuh的规则

1.主动响应

主动响应的主要作用是检测到危险或者是告警之后，在一定条件下(比如告警等级大于7或者触发了某条或多条规则)，可以做出一系列反应来禁止入侵者访问或登录你的系统

主动响应的脚本在/var/ossec/active-response/bin目录下

2.告警信息

当入侵者或正常用户执行了某些命令、做了某些操作，触发了wazuh的规则，那么wazuh就会在日志中记录并告警

这个日志的目录是在/var/ossec/logs/alerts目录下

分为有日期的告警日志和总告警日志

以.json结尾的文件是json格式的日志，主要用于ELK分析展示

以.log结尾的文件是我们查看起来比较方便的格式

3.规则以及解码器

wazuh的规则在/var/ossec/ruleset/rules目录下

 而用户的自定义规则是在/var/ossec/etc/rules目录下

因为wazuh的规则是在实时更新的，如果用户自定义的规则放在wazuh的规则目录下，有可能在更新的时候删除掉用户自定义的规则说完目录后

 

Wazuh中的解码器就是从特定类型的事件中提取相关数据。解码分为预解码阶段和解码阶段。

预解码阶段：从已知字段(如syslog记录头中的字段)提取静态信息。这通常包括时间戳、主机名和程序名，这些值通常在所有syslog消息中都能找到，而不管哪个应用程序生成它们。
解码阶段：将从事件中提取更多的动态信息，如源IP地址、用户名、URL等等。一个或多个解码器专门用于从许多不同的应用程序和日志源中提取字段数据。
一旦日志事件被解码，Wazuh就可以根据其规则集对其进行评估，以确定是否应该生成警报。如果日志没有解码，Wazuh规则将被限制在寻找出现在日志事件中任何地方的通用子字符串，从而大大降低了生成告警的质量。

4.配置文件ossec.conf

wazuh的配置文件路径在/var/ossec/etc/ossec.conf

son_output：是否以json格式输出

alerts_log：是否输出告警日志

email_notification：是否邮箱认证

忽略检查的文件目录