官网:Virtual Machine (OVA) - Installation alternatives
Wazuh(Wazuh · The Open Source Security Platform):是一整套基于ossec安全检测工具和EFK日志工具构成的终端安全管理工具。不管是将其分类至HIDS,还是EDR,它都是一套通过监控主机日志行为,提供安全检测、分析和完整报告的开源、免费利器。Wazuh基于C/S架构,它的Agent支持Windows、MacOS、Linux、HP-UX、AIX等主流操作系统。其服务端负责提供认证和数据收集,然后通过filebeat进行日志清洗,最后导入ElasticSearch,通过Kinbana进行展示和输出日志。它不仅可以收集主机的事件日志进行一般的入侵检测功能,还可以通过第三方提供的系统漏洞检测feed文件,来实现主机的漏洞扫描和合规检查
安装
安装跟着官方文档一步步安装 就行了
仓库安装
ova虚拟机安装
3.添加代理
我们只是安装了wazuh的服务端,我们需要让其他服务器成为wazuh的客户端,也就是添加代理,端口号为1514。
规则·
wazuh的规则在/var/ossec/ruleset/rules目录下
用户处于/var/ossec/etc/rules
可以查看检测木马的脚本
主动响应
根据官方文档
我们根据官方文档的步骤,重新查看我们的audit的规则
root@localhost \~\]# aduditctl -l
我们再查看/var/log/audit,可以发现我们添加的规则已经触发
我们在/etc/ld.so.preload中随意写入一个so文件,来手动触发这个规则。
### sql 注入检测
在客户端中添加需要检测的日志
> \