目錄

一、wazuh配置

1進(jìn)入官網(wǎng)下載OVA啟動(dòng)軟件

2.虛擬機(jī)OVA安裝

二、wazuh案例復(fù)現(xiàn)

1.wazuh初體驗(yàn)

2.這里我們以SQL注入為例，在我們的代理服務(wù)器上進(jìn)行SQL注入，看wazuh如何檢測(cè)和響應(yīng)

---

一、wazuh配置

1進(jìn)入官網(wǎng)下載OVA啟動(dòng)軟件

Virtual Machine (OVA) - Installation alternatives (wazuh.com)

2.虛擬機(jī)OVA安裝

在官方上下載OVA文件，可能比較大，幾個(gè)g左右

下載完成后，可以在Vmware中直接導(dǎo)入虛擬機(jī)

右上角--->文件--->打開--->選擇下載好的OVA文件

之后選擇安裝路徑，跟著引導(dǎo)程序一步步走

二、wazuh案例復(fù)現(xiàn)

1.wazuh初體驗(yàn)

當(dāng)我們使用本地的cmd通過ssh一直連接wazuh的時(shí)候便會(huì)出現(xiàn)十級(jí)報(bào)錯(cuò)，此次在后臺(tái)可以明顯的看到有爆破的提示掃描，通過分析其具體的數(shù)據(jù)包以及對(duì)應(yīng)的規(guī)則理解到wuzuh在外來訪問的時(shí)候，會(huì)觸發(fā)到解碼器，其作用是用來抓取關(guān)鍵信息，其中核心便是正則表達(dá)式進(jìn)行正則匹配，當(dāng)數(shù)據(jù)來了之后，wazuh程序會(huì)分析我們的日志，把這些日志信息發(fā)到相對(duì)應(yīng)的解碼器去，通過解碼器去進(jìn)行解碼，解碼完后，再發(fā)送到相應(yīng)的規(guī)則，然后把解碼完的數(shù)據(jù)通過規(guī)則，再次進(jìn)行匹配，最終展示到儀表盤的Modules里的Security events里

2.這里我們以SQL注入為例，在我們的代理服務(wù)器上進(jìn)行SQL注入，看wazuh如何檢測(cè)和響應(yīng)

首先要把Nginx的日志路徑加載到client端的配置文件里面去，wazuh默認(rèn)加載好了的

如果路徑不同，修改即可?

然后我們隨便寫一些注入語句

?

已經(jīng)出現(xiàn)了告警，顯示嘗試SQL注入

那既然已經(jīng)出現(xiàn)了告警，我們?cè)趺慈シ烙?#xff0c;wazuh有它自身的Active-response

如何配置，官方文檔也給出了步驟

How to configure active response - Active response

wazuh有兩種封堵方式：

根據(jù)告警等級(jí)來封堵，比如說當(dāng)告警等級(jí)大于7時(shí)，自動(dòng)進(jìn)行封堵，但這也容易造成誤判，范圍太大
根據(jù)規(guī)則ID來封堵，當(dāng)觸發(fā)了某條規(guī)則時(shí)，自動(dòng)進(jìn)行封堵，但這范圍太小，面對(duì)多條規(guī)則不便于寫配置文件
所以這兩種方式要根據(jù)項(xiàng)目中的實(shí)際情況來判斷

這里我們使用規(guī)則ID封堵IP方式來演示

官方文檔：

File integrity monitoring and YARA - Malware detection

在wazuh服務(wù)器，也就是manager的配置文件里寫入如下內(nèi)容

當(dāng)觸發(fā)31103和31171這兩條規(guī)則時(shí)，執(zhí)行firewall-drop命令,600秒后恢復(fù)

<active-response><command>firewall-drop</command><location>local</location><rules_id>31103,31171</rules_id><timeout>600</timeout>
</active-response>

?

之后隨便測(cè)試一些注入語句，然后再刷新，發(fā)現(xiàn)已經(jīng)被防火墻攔截了

?查看iptables，發(fā)現(xiàn)已經(jīng)被封堵了，恢復(fù)時(shí)間600秒

?