HQY 一个和谐有爱的空间

在互联网领域，安全一直是个热点话题，而且是很重要的一个事，但是一般中小型公司，或者中小型网站系统，对安全问题一直不够重视。已有很多公司服务器被黑，有的是服务器中了勒索病毒，有的是服务器中了挖矿病毒。服务器被黑之后，影响的不只是数据安全，还有资产损失，公司名誉损失，甚至开发人员还要受到连带责任。

我们重点关注两种病毒，勒索病毒和挖矿病毒。

勒索病毒：是一种新型电脑病毒，主要以邮件、程序木马、网页挂马的形式进行传播。该病毒性质恶劣、危害极大，一旦感染将给用户带来无法估量的损失。这种病毒利用各种加密算法对文件进行加密，被感染者一般无法解密，必须拿到解密的私钥才有可能破解。

挖矿病毒：该程序会偷偷利用用户电脑的运算资源进行虚拟币挖矿。电脑闲置状态时，风扇转速增快，电脑发热增加，GPU使用率达到100%，非闲置状态时恢复正常。这样会对计算机硬件造成极大的损耗。这种病毒十分顽固不易识别，目前的绝大多数安全软件对其无能为力。

今天博主分享的主题：如何打造开源的主机安全管理平台，让您的主机资产穿上“黄金甲（Wazuh 是一个免费的开源安全平台，它整合了 XDR 和 SIEM 功能。它可以保护本地、虚拟化、容器化和基于云的环境中的工作负载。）”。

Wazuh是什么

Wazuh 是一个免费的开源安全平台，它整合了 XDR 和 SIEM 功能。它可以保护本地、虚拟化、容器化和基于云的环境中的各类资产。

Wazuh平台的组成

Wazuh 平台提供 XDR 和 SIEM 功能来保护您的云、容器和服务器工作负载。这些功能包括日志数据分析、入侵和恶意软件检测、文件完整性监控、配置评估、漏洞检测以及法规遵从性支持。

Wazuh 解决方案基于部署在受监控端点上的 Wazuh 代理，以及三个核心组件：Wazuh 服务器、Wazuh 索引器和 Wazuh 仪表板。

Wazuh 索引器是一种高度可扩展的全文搜索和分析引擎。该核心组件索引并存储 Wazuh 服务器生成的告警。

Wazuh 服务器会分析从代理收到的数据。它通过解码器和规则处理数据，使用威胁情报来寻找众所周知的攻击指标 (IOC)。单个服务器可以分析来自数百或数千个代理的数据，并在设置为集群时水平扩展。这个中央组件还用于管理代理，在必要时远程配置和升级它们。

Wazuh 仪表板是用于数据可视化和分析的 Web 用户界面。它包括用于威胁搜寻、法规遵从性（例如 PCI DSS、GDPR、CIS、HIPAA、NIST 800-53）、检测到的易受攻击的应用程序、文件完整性监控数据、配置评估结果、云基础设施监控事件等的开箱即用仪表板。它还用于管理 Wazuh 配置并监控其状态。

Wazuh 代理安装在笔记本电脑、台式机、服务器、云实例或虚拟机等端点上。它们提供威胁预防、检测和响应功能。它们在 Linux、Windows、macOS、Solaris、AIX 和 HP-UX 等操作系统上运行。

除了基于代理的监控功能外，Wazuh 平台还可以监控无代理设备，例如防火墙、交换机、路由器或网络 IDS 等。例如，可以通过 Syslog 收集系统日志数据，并通过定期探测其数据、通过 SSH 或通过 API 来监控其配置。

 Wazuh 组件架构和数据流图：

下图表示 Wazuh 部署架构。它展示了解决方案组件以及如何将Wazuh 服务器和Wazuh 索引器节点配置为集群，从而提供负载平衡和高可用性。

Wazuh 平台通过威胁预防、检测和响应帮助组织和个人保护其数据资产。此外，Wazuh 还用于满足监管合规性要求（例如 PCI DSS 或 HIPAA）以及配置标准（例如 CIS 强化指南）。

此外，Wazuh 也是 IaaS（Amazon AWS、Azure 或 Google Cloud）用户监控虚拟机和云实例的解决方案。这是在系统级别利用Wazuh 安全代理完成的，在基础设施级别直接从云提供商 API 提取数据。

此外，Wazuh 还用于通过提供云原生运行时安全性来保护容器化环境。此功能基于与 Docker 引擎 API 和 Kubernetes API 的集成。Wazuh 安全代理可以在 Docker 主机上运行，提供一整套威胁检测和响应功能。

Wazuh功能点：

端点安全	威胁情报	安全操作	云安全
配置评估	威胁搜寻	事件响应	容器安全
恶意软件检测	日志数据分析	监管合规性	姿势管理
文件完整性监控	漏洞检测	IT 安全	工作负载保护

配置评估（安全基线评估）

下图显示了基于 Ubuntu Linux 22.04 LTS CIS 基准的策略。您可以看到针对 Ubuntu 22.04 端点运行了 191 项检查。其中，56 项通过，87 项未通过，48 项不适用于该端点。它还显示了根据通过的测试数量计算出的 39% 的分数。

恶意软件检测（常见的恶意软件类型包括病毒、蠕虫、勒索软件、僵尸网络、间谍软件、木马和 rootkit。）

文件完整性监控

威胁搜寻

日志数据分析

漏洞检测

监管合规性

就不一一展示了，后面我将使用手册和部署方式附上，各位自我沉浸式体验吧。

安装步骤：

完成上述中央组件的安装，接下来就是安装代理

附上软件包列表清单：

https://documentation.wazuh.com/current/installation-guide/packages-list.html

第一步 索引器安装

Wazuh 可以安装在 64 位 Linux 操作系统上。Wazuh 支持以下操作系统版本：

推荐常用系统，其它系统支持见官网

CentOS 7、8

Ubuntu 16.04、18.04、20.04、22.04

索引器服务器单节点配置建议：

最低配置

内存：4GB

CPU：2核

最完美的配置

内存：16GB

CPU：8核

磁盘空间要求：

根据自身环境进行评估，有个参考标准

对于具有 80 个工作站、10 台服务器和 10 台网络设备的环境，Wazuh 索引器服务器上 90 天警报所需的存储空间为 230 GB。

注：网络安全法要求，日志最少留存180天，各位按照例子推算吧。

索引器安装步骤：

https://documentation.wazuh.com/current/installation-guide/wazuh-indexer/installation-assistant.html

第二步：Wazuh 服务器安装

推荐常用系统，其它系统支持见官网

CentOS 7、8

Ubuntu 16.04、18.04、20.04、22.04

服务器服务器配置建议：

最低配置

内存：2GB

CPU：2核

最完美的配置

内存：4GB

CPU：8核

磁盘空间要求：

根据自身环境进行评估，有个参考标准

对于拥有 80 个工作站、10 台服务器和 10 台网络设备的环境，Wazuh 服务器上 90 天警报所需的存储空间为 6 GB。

服务器安装步骤：

https://documentation.wazuh.com/current/installation-guide/wazuh-server/installation-assistant.html

第三步：仪表盘安装

检查 Wazuh 仪表板安装支持的操作系统和推荐的硬件要求。确保您的系统环境满足所有要求并且您拥有 root 用户权限。

推荐常用系统，其它系统支持见官网

CentOS 7、8

Ubuntu 16.04、18.04、20.04、22.04

仪表盘服务器配置建议：

最低配置

内存：4GB

CPU：2核

最完美的配置

内存：8GB

CPU：4核

浏览器兼容性

Wazuh 仪表板支持以下网络浏览器：

Chrome 95 或更高版本

Firefox 93 或更高版本

Safari 13.7 或更高版本

其他基于 Chromium 的浏览器也可能适用。不支持 Internet Explorer 11。

第四步：代理部署

如果您在具有大量服务器或端点的大型环境中部署 Wazuh，请记住，使用Puppet、Chef、SCCM 或Ansible等自动化工具可能会更容易进行部署。

您还可以按照 Wazuh 仪表板中的说明部署新代理。转到Endpoints Summary，然后单击Deploy new agent。

图片

然后 Wazuh 仪表板将向您显示部署新代理的步骤。

图片

举2个常用系统的手动安装方法：

win系统：

1、要开始安装过程，请下载Windows 安装程序。

2、选择您想要遵循的安装方法：命令行界面 (CLI) 或图形用户界面 (GUI)。

下载安装程序：

https://packages.wazuh.com/4.x/windows/wazuh-agent-4.8.0-1.msi

CMD：

wazuh-agent-4.8.0-1.msi /q WAZUH_MANAGER="10.0.0.2（自己安装的IP）"

使用 PowerShell：

.\wazuh-agent-4.8.0-1.msi /q WAZUH_MANAGER="10.0.0.2"

NET START Wazuh（启动）

图形化比较简单：

图片

其它操作系统代理安装：

https://documentation.wazuh.com/current/installation-guide/wazuh-agent/index.html

当然还有的朋友说，我能不能都配置在一台服务器上，快速部署方法那参考如下：

1-25代理  4虚拟CPU 8G内存  100G存储

25-50代理  4虚拟CPU 8G内存  100G存储

50-100代理 8虚拟CPU 8G内存  400G存储

以此类推

1、下载并运行 Wazuh 安装助手

curl -sO https://packages.wazuh.com/4.8/wazuh-install.sh && sudo bash ./wazuh-install.sh -a

一旦助手完成安装，输出将显示访问凭据和确认安装成功的消息。

INFO: --- Summary ---

INFO: You can access the web interface https://<wazuh-dashboard-ip>

    User: admin

    Password: <ADMIN_PASSWORD>

INFO: Installation finished.

2、https://使用您的凭证访问 Wazuh 网络界面：

用户名：admin

密码：自己设定的密码

首次访问 Wazuh 仪表板时，浏览器会显示一条警告消息，指出证书不是由受信任的机构颁发的。这是预料之中的，用户可以选择接受证书作为例外，或者将系统配置为使用来自受信任机构的证书。

wazuh-passwords.txt您可以在文件中找到所有 Wazuh 索引器和 Wazuh API 用户的密码wazuh-install-files.tar。要打印它们，请运行以下命令：

sudo tar -O -xvf wazuh-install-files.tar wazuh-install-files/wazuh-passwords.txt

推荐本站淘宝优惠价购买喜欢的宝贝:

本文链接：https://hqyman.cn/post/6954.html 非本站原创文章欢迎转载，原创文章需保留本站地址！

休息一下~~