03
2024
07
21:34:27

Wazuh: 一款超强大的威胁预防、检测安全平台,支持虚拟化

在互联网领域,安全一直是个热点话题,而且是很重要的一个事,但是一般中小型公司,或者中小型网站系统,对安全问题一直不够重视。已有很多公司服务器被黑,有的是服务器中了勒索病毒,有的是服务器中了挖矿病毒。服务器被黑之后,影响的不只是数据安全,还有资产损失,公司名誉损失,甚至开发人员还要受到连带责任。

我们重点关注两种病毒,勒索病毒和挖矿病毒。
勒索病毒:是一种新型电脑病毒,主要以邮件、程序木马、网页挂马的形式进行传播。该病毒性质恶劣、危害极大,一旦感染将给用户带来无法估量的损失。这种病毒利用各种加密算法对文件进行加密,被感染者一般无法解密,必须拿到解密的私钥才有可能破解
挖矿病毒:该程序会偷偷利用用户电脑的运算资源进行虚拟币挖矿。电脑闲置状态时,风扇转速增快,电脑发热增加,GPU使用率达到100%,非闲置状态时恢复正常。这样会对计算机硬件造成极大的损耗。这种病毒十分顽固不易识别,目前的绝大多数安全软件对其无能为力。
今天博主分享的主题:如何打造开源的主机安全管理平台,让您的主机资产穿上“黄金甲(Wazuh 是一个免费的开源安全平台,它整合了 XDR 和 SIEM 功能。它可以保护本地、虚拟化、容器化和基于云的环境中的工作负载。)”。
Wazuh是什么
Wazuh 是一个免费的开源安全平台,它整合了 XDR 和 SIEM 功能。它可以保护本地、虚拟化、容器化和基于云的环境中的各类资产。
Wazuh平台的组成

Wazuh 平台提供 XDR 和 SIEM 功能来保护您的云、容器和服务器工作负载。这些功能包括日志数据分析、入侵和恶意软件检测、文件完整性监控、配置评估、漏洞检测以及法规遵从性支持。

Wazuh 解决方案基于部署在受监控端点上的 Wazuh 代理,以及三个核心组件:Wazuh 服务器、Wazuh 索引器和 Wazuh 仪表板。

Wazuh 索引器是一种高度可扩展的全文搜索和分析引擎。该核心组件索引并存储 Wazuh 服务器生成的告警。

Wazuh 服务器会分析从代理收到的数据。它通过解码器和规则处理数据,使用威胁情报来寻找众所周知的攻击指标 (IOC)。单个服务器可以分析来自数百或数千个代理的数据,并在设置为集群时水平扩展。这个中央组件还用于管理代理,在必要时远程配置和升级它们。

Wazuh 仪表板是用于数据可视化和分析的 Web 用户界面。它包括用于威胁搜寻、法规遵从性(例如 PCI DSS、GDPR、CIS、HIPAA、NIST 800-53)、检测到的易受攻击的应用程序、文件完整性监控数据、配置评估结果、云基础设施监控事件等的开箱即用仪表板。它还用于管理 Wazuh 配置并监控其状态。

Wazuh 代理安装在笔记本电脑、台式机、服务器、云实例或虚拟机等端点上。它们提供威胁预防、检测和响应功能。它们在 Linux、WindowsmacOS、Solaris、AIX 和 HP-UX 等操作系统上运行。

除了基于代理的监控功能外,Wazuh 平台还可以监控无代理设备,例如防火墙、交换机、路由器或网络 IDS 等。例如,可以通过 Syslog 收集系统日志数据,并通过定期探测其数据、通过 SSH 或通过 API 来监控其配置。

 Wazuh 组件架构和数据流图:

图片

下图表示 Wazuh 部署架构。它展示了解决方案组件以及如何将Wazuh 服务器和Wazuh 索引器节点配置为集群,从而提供负载平衡和高可用性。

图片

Wazuh 平台通过威胁预防、检测和响应帮助组织和个人保护其数据资产。此外,Wazuh 还用于满足监管合规性要求(例如 PCI DSS 或 HIPAA)以及配置标准(例如 CIS 强化指南)。

此外,Wazuh 也是 IaaS(Amazon AWS、Azure 或 Google Cloud)用户监控虚拟机和云实例的解决方案。这是在系统级别利用Wazuh 安全代理完成的,在基础设施级别直接从云提供商 API 提取数据。

此外,Wazuh 还用于通过提供云原生运行时安全性来保护容器化环境。此功能基于与 Docker 引擎 API 和 Kubernetes API 的集成。Wazuh 安全代理可以在 Docker 主机上运行,提供一整套威胁检测和响应功能。

Wazuh功能点:

端点安全威胁情报安全操作云安全
配置评估威胁搜寻事件响应容器安全
恶意软件检测日志数据分析监管合规性姿势管理
文件完整性监控漏洞检测IT 安全工作负载保护


配置评估(安全基线评估)

下图显示了基于 Ubuntu Linux 22.04 LTS CIS 基准的策略。您可以看到针对 Ubuntu 22.04 端点运行了 191 项检查。其中,56 项通过,87 项未通过,48 项不适用于该端点。它还显示了根据通过的测试数量计算出的 39% 的分数。

图片

恶意软件检测(常见的恶意软件类型包括病毒、蠕虫、勒索软件、僵尸网络、间谍软件、木马和 rootkit。

图片

文件完整性监控

图片

威胁搜寻

图片

日志数据分析

图片

漏洞检测

图片

监管合规性

图片

就不一一展示了,后面我将使用手册和部署方式附上,各位自我沉浸式体验吧。

安装步骤:

图片

完成上述中央组件的安装,接下来就是安装代理

图片

附上软件包列表清单:



https://documentation.wazuh.com/current/installation-guide/packages-list.html

第一步 索引器安装


Wazuh 可以安装在 64 位 Linux 操作系统上。Wazuh 支持以下操作系统版本:


推荐常用系统,其它系统支持见官网


CentOS 7、8

Ubuntu 16.04、18.04、20.04、22.04


索引器服务器单节点配置建议:


最低配置

内存:4GB

CPU:2核

最完美的配置

内存:16GB

CPU:8核

磁盘空间要求:


根据自身环境进行评估,有个参考标准



对于具有 80 个工作站、10 台服务器和 10 台网络设备的环境,Wazuh 索引器服务器上 90 天警报所需的存储空间为 230 GB。


注:网络安全法要求,日志最少留存180天,各位按照例子推算吧。


索引器安装步骤:


https://documentation.wazuh.com/current/installation-guide/wazuh-indexer/installation-assistant.html

第二步:Wazuh 服务器安装


推荐常用系统,其它系统支持见官网


CentOS 7、8

Ubuntu 16.04、18.04、20.04、22.04


服务器服务器配置建议:


最低配置

内存:2GB

CPU:2核

最完美的配置

内存:4GB

CPU:8核

磁盘空间要求:


根据自身环境进行评估,有个参考标准


对于拥有 80 个工作站、10 台服务器和 10 台网络设备的环境,Wazuh 服务器上 90 天警报所需的存储空间为 6 GB。


服务器安装步骤:


https://documentation.wazuh.com/current/installation-guide/wazuh-server/installation-assistant.html

第三步:仪表盘安装


检查 Wazuh 仪表板安装支持的操作系统和推荐的硬件要求。确保您的系统环境满足所有要求并且您拥有 root 用户权限。


推荐常用系统,其它系统支持见官网


CentOS 7、8

Ubuntu 16.04、18.04、20.04、22.04


仪表盘服务器配置建议:


最低配置

内存:4GB

CPU:2核

最完美的配置

内存:8GB

CPU:4核

浏览器兼容性

Wazuh 仪表板支持以下网络浏览器:

Chrome 95 或更高版本

Firefox 93 或更高版本

Safari 13.7 或更高版本

其他基于 Chromium 的浏览器也可能适用。不支持 Internet Explorer 11。

第四步:代理部署

如果您在具有大量服务器或端点的大型环境中部署 Wazuh,请记住,使用Puppet、Chef、SCCM 或Ansible等自动化工具可能会更容易进行部署。

您还可以按照 Wazuh 仪表板中的说明部署新代理。转到Endpoints Summary,然后单击Deploy new agent。

图片


然后 Wazuh 仪表板将向您显示部署新代理的步骤。

图片


举2个常用系统的手动安装方法:


win系统:


1、要开始安装过程,请下载Windows 安装程序。

2、选择您想要遵循的安装方法:命令行界面 (CLI) 或图形用户界面 (GUI)。

下载安装程序:

https://packages.wazuh.com/4.x/windows/wazuh-agent-4.8.0-1.msi

CMD:

wazuh-agent-4.8.0-1.msi /q WAZUH_MANAGER="10.0.0.2(自己安装的IP)"

使用 PowerShell:


.\wazuh-agent-4.8.0-1.msi /q WAZUH_MANAGER="10.0.0.2"

NET START Wazuh(启动)


图形化比较简单:


图片


其它操作系统代理安装:


https://documentation.wazuh.com/current/installation-guide/wazuh-agent/index.html



当然还有的朋友说,我能不能都配置在一台服务器上,快速部署方法那参考如下:


1-25代理  4虚拟CPU 8G内存  100G存储

25-50代理  4虚拟CPU 8G内存  100G存储

50-100代理 8虚拟CPU 8G内存  400G存储

以此类推

1、下载并运行 Wazuh 安装助手


curl -sO https://packages.wazuh.com/4.8/wazuh-install.sh && sudo bash ./wazuh-install.sh -a


一旦助手完成安装,输出将显示访问凭据和确认安装成功的消息。


INFO: --- Summary ---

INFO: You can access the web interface https://<wazuh-dashboard-ip>

    User: admin

    Password: <ADMIN_PASSWORD>

INFO: Installation finished.

2、https://使用您的凭证访问 Wazuh 网络界面:

用户名:admin

密码:自己设定的密码

首次访问 Wazuh 仪表板时,浏览器会显示一条警告消息,指出证书不是由受信任的机构颁发的。这是预料之中的,用户可以选择接受证书作为例外,或者将系统配置为使用来自受信任机构的证书。

wazuh-passwords.txt您可以在文件中找到所有 Wazuh 索引器和 Wazuh API 用户的密码wazuh-install-files.tar。要打印它们,请运行以下命令:

sudo tar -O -xvf wazuh-install-files.tar wazuh-install-files/wazuh-passwords.txt




推荐本站淘宝优惠价购买喜欢的宝贝:

image.png

本文链接:https://hqyman.cn/post/6954.html 非本站原创文章欢迎转载,原创文章需保留本站地址!

分享到:
打赏





休息一下~~


作者:hqy | 分类:技术文章 | 浏览:287 | 评论:0
« 上一篇 下一篇 »

发表评论:

◎欢迎参与讨论,请在这里发表您的看法、交流您的观点。

请先 登录 再评论,若不是会员请先 注册

您的IP地址是: