Professional Documents
Culture Documents
WAZUH SERVER
WAZUH AGENT
WAZUH SERVER
• Có thể được cài đặt trên một máy chủ vật lý hoặc máy ảo
riêng biệt
• Có thể được cài đặt trên một máy trên đám mây
• Có thể chạy các agent để tự giám sát chính nó.
Các thành phần chính của WAZUH
SERVER
Agent enrollment service
Agent connection
service
Analysis engine
Wazuh RESTful
API
Wazuh cluster
daemon
Filebeat
WAZUH AGENT
Thu thập dữ liệu từ hệ thống và ứng dụng, sau đó gửi đến Wazuh
Server qua kênh truyền được mã hóa và xác thực
Wazuh agent có thể được cài đặt trên các hệ điều hành Windows,
Linux, Solaris, BSD, và Mac
Giám sát máy chủ vật lý, máy ảo, các instance trên đám mây. Các
gói cài đặt agent hiện có cho Linux, HP-UX, AIX, Solaris,
Windows và Darwin (Mac OS X).
Các thành phần chính của WAZUH
AGENT
Log collector
Command
execution
File integrity
monitoring
Security configuration
assessment
System inventory
Malware detection
Các thành phần chính của WAZUH
AGENT
Active response
Containers security
monitoring
Cloud security
monitoring
Kiến trúc của WAZUH
Giao tiếp Agent – Server
Wazuh Agent liên tục gửi các sự kiện đến máy chủ Wazuh
Server để phân tích và phát hiện mối đe dọa
để bắt đầu vận chuyển, Agent thiết lập kết nối với dịch vụ Server
thông qua cổng 1514, mặc định nhưng có thể được cấu hình
máy chủ Wazuh giải mã và kiểm tra các sự kiện đã nhận, phân
tích. Các sự kiện liên quan đến các quy tắc được bổ sung thông tin
cảnh báo
Giao tiếp Agent – Server
Các sự kiện liên quan đến quy tắc được bổ sung thông tin cảnh
báo. Được lưu vào một hoặc cả hai tệp sau:
• /var/ossec/logs/archives/archives.json lưu trữ mọi sự kiện
• /var/ossec/logs/alerts/alerts.json lưu trữ các sự kiện vi phạm
rule
sử dụng cả hai tệp để tạo cảnh báo có thể dẫn đến việc cảnh báo bị
lặp lại. Cả hai tệp đều chứa dữ liệu đã được giải mã và sử dụng
mã hóa Blowfish 192-bit hoặc AES 128-bit.
Giao tiếp WAZUH – Elastic
Filebeat gửi dữ liệu định dạng đến Elasticsearch (port
9200/TCP) và Kibana hiển thị dữ liệu (port 5601/TCP).
Tạo luật của wazuh bao gồm những quy tắc. Các quy tắc này được hệ thống sử dụng
để phát hiện tấn công, xâm nhập, sử dụng sai phần mềm, vấn đề cấu hình, lỗi ứng
dụng, phần mềm độc hại
Tạo luật Wazuh
Cấu trúc cây thư mục tạo luật
Tạo luật Wazuh
Để thêm mới hoặc thay đổi các quy tắc và bộ giải mã thì cần
sửa file .local_decoder.xml và local_rules.xml.
Một số luật mặc định của wazuh:
Tạo luật Wazuh
Ta có thể thêm quy tắc mới vào /var/ossec/etc/rules/local_rules.xml
Luật được sử dụng để theo dõi hoạt động đăng nhập của người dùng cho
chương trình "example"
Tạo luật Wazuh
Có thể thay đổi quy tắc Wazuh mặc định trong thư mục/var/ossec/etc/rules,
VD: Thay đổi quy tắc cho id 5710: Thay đổi mức độ từ lv5 ->lv10
curl
http://<UBUNTU_IP>
Cấu hình phòng chống tấn
công SQL injection:
Bước 4: Thêm các dòng sau vào tệp cấu hình /var/ossec/etc/ossec.conf của
Wazuh agent. Điều này cho phép Wazuh agent giám sát các nhật ký truy cập
của máy chủ Apache của bạn:
<localfile>
<log_format>syslog</log_format>
<location>/var/log/apache2/access.log</location>
</localfile>
Bước 5: Khởi động lại máy Agent Ubuntu để cập nhật thay đổi các cấu hình:
1 2 3
Brute - Force SQL Injection ShellShock