AN TOÀN VÀ BẢO MẬT HỆ

THỐNG THÔNG TIN

NHÓM 13
Tìm hiểu về hệ thống phát
hiện tấn công, đột nhập
Wazuh
Thành viên nhóm 13
Đào Hải Đăng B21DCCN197

Lương Ngọc Yên B21DCCN809

Nguyễn Văn Sơn B21DCCN653

Lê Duy Khánh B21DCCN451

Đỗ Quang Huy B21DCCN432

Nội dung
1 Giới thiệu tổng quan

2 Các thành phần chính

3 Kiến trúc của Wazuh

4 Cài đặt Wazuh

5 Cấu hình, tạo luật

 Giới thiệu
tổng quan
Wazuh là dự án mã nguồn mở có chức năng
phát hiện lỗ hổng bảo mật, tăng cường khả
năng quan sát và giám sát tuân thủ các quy
định an ninh thông tin. Nó tự động thu thập
và tổng hợp dữ liệu bảo mật từ nhiều hệ điều
hành như Linux, Windows, macOS, Solaris,
và AIX, tạo nên một giải pháp SIEM toàn
diện.
 Khả năng của Wazuh

Monitoring Detection Response

• Applications • Intrusion Attempts • Prevention
• User Behavior • Malware Activity • Forensics
• File Integrity • Policy Violations • Telemetry
• Container & Cloud • Vulnerabilities • Workflows
Wazuh ban đầu được phát triển dựa trên OSSEC HIDS và
sau đó được tích hợp thêm Elastic Stack cùng với
OpenSCAP để trở thành một giải pháp an ninh toàn diện
Các thành phần
chính

WAZUH SERVER

WAZUH AGENT
 WAZUH SERVER

Là thành phần chính , có trách nhiệm phân tích dữ liệu từ các

agent và gửi cảnh báo khi phát hiện các sự kiện an ninh

• Có thể được cài đặt trên một máy chủ vật lý hoặc máy ảo
riêng biệt
• Có thể được cài đặt trên một máy trên đám mây
• Có thể chạy các agent để tự giám sát chính nó.
Các thành phần chính của WAZUH
SERVER
Agent enrollment service

Agent connection
service

Analysis engine

Wazuh RESTful
API

Wazuh cluster
daemon

Filebeat
WAZUH AGENT

Thu thập dữ liệu từ hệ thống và ứng dụng, sau đó gửi đến Wazuh
Server qua kênh truyền được mã hóa và xác thực

Wazuh agent có thể được cài đặt trên các hệ điều hành Windows,
Linux, Solaris, BSD, và Mac

Giám sát máy chủ vật lý, máy ảo, các instance trên đám mây. Các
gói cài đặt agent hiện có cho Linux, HP-UX, AIX, Solaris,
Windows và Darwin (Mac OS X).
Các thành phần chính của WAZUH
AGENT
Log collector

Command
execution

File integrity
monitoring
Security configuration
assessment

System inventory

Malware detection
Các thành phần chính của WAZUH
AGENT

Active response

Containers security
monitoring

Cloud security
monitoring
Kiến trúc của WAZUH
Giao tiếp Agent – Server
Wazuh Agent liên tục gửi các sự kiện đến máy chủ Wazuh
Server để phân tích và phát hiện mối đe dọa

để bắt đầu vận chuyển, Agent thiết lập kết nối với dịch vụ Server
thông qua cổng 1514, mặc định nhưng có thể được cấu hình

máy chủ Wazuh giải mã và kiểm tra các sự kiện đã nhận, phân
tích. Các sự kiện liên quan đến các quy tắc được bổ sung thông tin
cảnh báo
 Giao tiếp Agent – Server
Các sự kiện liên quan đến quy tắc được bổ sung thông tin cảnh
báo. Được lưu vào một hoặc cả hai tệp sau:
• /var/ossec/logs/archives/archives.json lưu trữ mọi sự kiện
• /var/ossec/logs/alerts/alerts.json lưu trữ các sự kiện vi phạm
rule

sử dụng cả hai tệp để tạo cảnh báo có thể dẫn đến việc cảnh báo bị
lặp lại. Cả hai tệp đều chứa dữ liệu đã được giải mã và sử dụng
mã hóa Blowfish 192-bit hoặc AES 128-bit.
 Giao tiếp WAZUH – Elastic
Filebeat gửi dữ liệu định dạng đến Elasticsearch (port
9200/TCP) và Kibana hiển thị dữ liệu (port 5601/TCP).

Wazuh App trên Kibana sử dụng RESTful API (port 55000/TCP)

trên Wazuh manager để truy vấn và quản lý agent, với mã hóa
TLS và xác thực username/password.
 Required ports &
Archival data storage

Một số dịch vụ được sử dụng để liên lạc với các

thành phần của Wazuh. Bên đây là danh sách
các cổng mặc định được sử dụng bởi các dịch
vụ này.

Cảnh báo và sự kiện không cảnh báo được lưu trữ

trong các tệp trên máy chủ Wazuh. Có thể ở định
dạng JSON hoặc văn bản thuần túy, được nén và ký
bằng tổng kiểm MD5, SHA1 và SHA256 hàng
ngày.
 Cài Đặt Wazuh
Wazuh Server
Cài Đặt Wazuh
Wazuh Agent
CẤU HÌNH ,TẠO LUẬT
WAZUH
1.WAZUH AGENT
Cấu hình agent đúng cách là điều cần thiết để đảm bảo
Wazuh hoạt động hiệu quả.
 Cấu hình Wazuh agent
• Mở file cấu hình agent (/etc/wazuh/agent.conf trên Linux).
• Chỉnh sửa các cài đặt sau:
⚬ Wazuh server IP: Địa chỉ IP của Wazuh server.
⚬ Wazuh server port: Cổng giao tiếp với Wazuh server.
⚬ Pre-shared key: Khóa bí mật được chia sẻ giữa agent và
Wazuh server.
2.CẤU HÌNH WAZUH
SERVER
Cấu hình Wazuh Server đúng cách giúp đảm bảo hiệu quả hoạt
động và khả năng mở rộng của hệ thống.
 Cấu hình Wazuh server
Sửa file cấu hình: /etc/wazuh/ossec.conf
• Cấu hình giao diện mạng:
⚬ bind_address: Địa chỉ IP của server
⚬ port: Cổng của server
• Cấu hình agent:
⚬ active-response: Kích hoạt chức năng phản hồi chủ động
⚬ disabled_rules: Danh sách các quy tắc bị vô hiệu hóa
3. CẤU HÌNH WAZUH
INDEXER

Cấu hình Wazuh Indexer (hay còn gọi là Wazuh-ELK) là

bước quan trọng để thiết lập hệ thống giám sát bảo mật hiệu
quả với Wazuh.
 Cấu hình Wazuh indexer
Sửa file cấu hình: /etc/wazuh-indexer.conf
• Cấu hình Elasticsearch:
• elasticsearch.url: Địa chỉ IP của Elasticsearch
• elasticsearch.port: Cổng của Elasticsearch
• Cấu hình Kibana:
• kibana.url: Địa chỉ IP của Kibana
• kibana.port: Cổng của Kibana
4.CẤU HÌNH WAZUH
DASHBOARD

Cấu hình Wazuh Dashboard đúng cách giúp bạn dễ dàng

theo dõi tình trạng bảo mật, nhận cảnh báo và thực hiện các
hành động khắc phục sự cố.
 Cấu hình Wazuh dashboard
Wazuh dashboard bao gồm một tập tin cấu hình nằm ở
/usr/share/wazuh-dashboard/data/wazuh/config/wazuh.yml,
nơi có thể định nghĩa các giá trị tùy chỉnh cho một số tùy chọn

Đây là một ví dụ về cấu hình nhiều máy chủ:

4.2 TẠO LUẬT

Tạo luật của wazuh bao gồm những quy tắc. Các quy tắc này được hệ thống sử dụng
để phát hiện tấn công, xâm nhập, sử dụng sai phần mềm, vấn đề cấu hình, lỗi ứng
dụng, phần mềm độc hại
Tạo luật Wazuh
Cấu trúc cây thư mục tạo luật
 Tạo luật Wazuh
Để thêm mới hoặc thay đổi các quy tắc và bộ giải mã thì cần
sửa file .local_decoder.xml và local_rules.xml.
Một số luật mặc định của wazuh:
Tạo luật Wazuh
Ta có thể thêm quy tắc mới vào /var/ossec/etc/rules/local_rules.xml

Luật được sử dụng để theo dõi hoạt động đăng nhập của người dùng cho
chương trình "example"
 Tạo luật Wazuh
Có thể thay đổi quy tắc Wazuh mặc định trong thư mục/var/ossec/etc/rules,

VD: Thay đổi quy tắc cho id 5710: Thay đổi mức độ từ lv5 ->lv10

Luật cũ Luật mới

VÍ DỤ CẤU HÌNH PHÒNG
CHỐNG TẤN CÔNG SQL
INJECTION:
Cấu hình phòng chống tấn
công SQL injection:
Bước 1: Ở máy agent ubuntu cập nhật các gói cục bộ:
sudo apt update
sudo apt install apache2
Bước 2: Cài đặt máy chủ web Apache:

sudo systemctl status apache2

Bước 3: Sử dụng curl lệnh hoặc mở http://<UBUNTU_IP> trong

trình duyệt để xem trang đích Apache và xác minh cài đặt:

curl
http://<UBUNTU_IP>
Cấu hình phòng chống tấn
công SQL injection:
Bước 4: Thêm các dòng sau vào tệp cấu hình /var/ossec/etc/ossec.conf của
Wazuh agent. Điều này cho phép Wazuh agent giám sát các nhật ký truy cập
của máy chủ Apache của bạn:
<localfile>
<log_format>syslog</log_format>
<location>/var/log/apache2/access.log</location>
</localfile>
Bước 5: Khởi động lại máy Agent Ubuntu để cập nhật thay đổi các cấu hình:

sudo systemctl restart wazuh-agent

 Kịch bản tấn công

1 2 3
Brute - Force SQL Injection ShellShock