当前位置:网站首页>Introduction et expérience de wazuh open source host Security Solution
Introduction et expérience de wazuh open source host Security Solution
2022-07-05 05:37:00 【O & M pastèque】
L'importance croissante de la gestion de la sécurité des hôtes
Avec le développement de toutes sortes de pièces numériques,À l'origine pour fonctionnerLinuxSystème dominant、La gestion de la sécurité des hôtes d'entreprise avec moins de virus ou de Troyens devient de plus en plus difficile,Pour obtenir“Gratuit”Le pouvoir de calcul de l'entreprise,L'idée d'un serveur d'entreprise s'est répandue.La gestion de la sécurité de l'information pour les applications d'entreprise ne se contente plus de quelques“Sécurité des réseaux”L'équipement est là.,Si c'est le cas,Je crains que même les normes actuelles de protection de niveau 3 ne soient pas respectées.
À l'heure actuelle, certaines grandes usines puissantes ont leurs propres recherchesLinuxOutils de gestion de la sécurité des hôtes,Plusieurs entreprises spécialisées dans les produits de sécurité ont également lancé des produits commerciaux,Les produits de sécurité des hôtes et les pare - feu Cloud sont également disponibles dans les magasins d'applications Cloud de plusieurs grands fournisseurs publics de Cloud、DDosL'emballage de protection est fourni au client.
Par rapport aux produits de cybersécurité,Le coût des produits de sécurité de l'hôte sera plus élevé,Parce que ça doit être installé sur chaque hôteagentNoeud,La facturation est essentiellement basée sur le nombre de noeuds.Pour les entreprises d'une certaine taille,Avec des centaines de machines physiques、Les machines virtuelles ou les machines virtuelles sont courantes,Le coût du déploiement complet des produits de sécurité des hôtes commerciaux est très élevé.
Ce produit de sécurité d'hôte open source que nous vous présentons aujourd'hui——Wazuh,Est un logiciel libre et Open Source.Ses composants sont conformes àGNULicence publique générale2Editions etApachePermis2.0Édition(ALv2).WazuhDisponible sur la plateformeXDREtSIEMFonctionnalité pour protéger le nuage、Charge de travail du conteneur et du serveur. Cela comprend l'analyse des données du Journal 、 Détection des intrusions et des logiciels malveillants 、 Surveillance de l'intégrité des documents 、 Évaluation de la configuration 、Détection des vulnérabilités, Et soutenir la vérification de la conformité .
Quelques noms professionnels de la sécurité :
- XDR( Détection et réponse à travers les couches )
- EDR( Détection et réponse des paramètres )
- NTA(Analyse du trafic réseau)
- SIEM( Information sur la sécurité et gestion des incidents )
WazuhScénarios d'utilisation pour
- Analyse des données du Journal
- RootkitsDétection
- Évaluation de la configuration
- Détection de vulnérabilité
- Sécurité du Service des conteneurs
- Surveillance de l'intégrité des documents
- Réagir activement et étouffer
- Gestion de l'inventaire des ressources du système
- Sécurité des services Cloud
- Conformité
WazuhPrincipaux éléments
Wazuh La solution est basée sur Wazuh agent, Et trois composants de base :WazuhServeur、Wazuh Indexeur et WazuhTableau de bord.
- Wazuh indexer: Un moteur de recherche et d'analyse en texte intégral très extensible
- Wazuh server:Pour la configuration et la gestionagents,Réceptionagents Données envoyées et analysées , Le déploiement d'une seule instance peut prendre en charge des centaines à des milliers de agents, Prise en charge du mode Cluster pour une plus grande puissance de traitement .
- Wazuh dashboard:Web UI, Principalement pour les incidents de sécurité 、 Conformité 、Détection d'intrusion、 Surveillance de l'intégrité des documents et visualisation des résultats de l'évaluation de la configuration ,Aussi pourWazuh Configuration du service et surveillance de l'état pour .
- Wazuh agents: Logiciels installés sur différents types de terminaux ,SoutienLinux, Windows, macOS, Solaris, AIX, and HP-UX. Prévenir les menaces 、Détection et réactivité.
À l'exception de la baseagent En dehors de la fonction de surveillance de ,Wazuh La plateforme peut également surveiller agentlessMatériel,Comme un pare - feu、Commutateur、Routeur ouIDSAttendez..Par exemple,Peut passerSyslog Collecte des données du Journal du système ,Et peut passer parSSHOuAPI Sonder régulièrement ses données pour surveiller sa configuration .
WazuhArchitecture de déploiement
Pour les scénarios à forte charge de travail ,RecommandationsserverAvecindexer Déployé séparément sur différents noeuds hôtes , En fonction de la taille de la charge server/indexer Déploiement en mode Singleton ou Cluster pour .
Wazuh La communication entre les composants et les ports communs
Wazuh agentAvecWazuh serverCommunication de
Wazuh serverÉcouter par défaut1514Port,Pour le traitement etagentsCommunication de,Utilisation par défautAESTransmission cryptée.
Les données reçues sont sauvegardées sur le chemin par défaut suivant :
- /var/ossec/logs/archives/archives.json,Enregistrer à partir deagents Tous les messages d'événements reçus ,Déploiement recommandécron Programmer les tâches pour ne conserver que les données récentes , Évitez les défaillances avec un stockage complet
- /var/ossec/logs/alerts/alerts.json, Enregistrer le message de l'événement qui identifie la règle sur la correspondance
Wazuh serverAvecWazuh indexerCommunication de
Wazuh serverAdoptionTLSCryptage,UtiliserFilebeat Envoyer les données d'alerte et d'événement à Wazuh indexer.FilebeatLireWazuh server Exporter les données et les envoyer à Wazuh indexer(Par défaut,Port d'écoute9200/TCP). Une fois les données Wazuh indexerIndex,Wazuh ..Le tableau de bord sera utilisé pour l'exploration de l'information et la visualisation .
Wazuh Requête du tableau de bord Wazuh RESTful API( Écouter par défaut Wazuh serverOui.55000/TCPPort),Pour afficherWazuh serverEtagent Informations sur la configuration et l'état de .
Wazuh Port de service utilisé avec les valeurs par défaut
Wazuh Déploiement et expérience d'une seule instance de
Pour l'expérienceWazuhLa fonction de, Nous pouvons rapidement déployer un service à une seule instance dans un environnement de test ,C'est - à - dire:Wazuh server, Wazuh indexer Et Wazuh dashboard Tous déployés sur un seul hôte .
Recommandations du système d'exploitation hôte :CentOS7/8,Ubuntu 16.04/18.04/20.04/22.04
InstallationWazuh:
$ curl -sO https://packages.wazuh.com/4.3/wazuh-install.sh && sudo bash ./wazuh-install.sh -a
Déploiement sur un hôte terminal nécessitant une surveillance Wazuh agentLogiciels,Méthode de référence:https://documentation.wazuh.com/current/installation-guide/wazuh-agent/index.html
InstallationLinux Wazuh agnet:
rpm --import https://packages.wazuh.com/key/GPG-KEY-WAZUH
cat > /etc/yum.repos.d/wazuh.repo << EOF [wazuh] gpgcheck=1 gpgkey=https://packages.wazuh.com/key/GPG-KEY-WAZUH enabled=1 name=EL-\$releasever - Wazuh baseurl=https://packages.wazuh.com/4.x/yum/ protect=1 EOF
WAZUH_MANAGER="10.0.0.2" yum install wazuh-agent
systemctl daemon-reload
systemctl enable wazuh-agent
systemctl start wazuh-agent
Plus de déploiement agent Pour les options disponibles, voir Deployment variables for Linux
À propos deWazuh agent Pour les méthodes d'enregistrement, voir Wazuh agent enrollment
DésactiverWazuh agentMise à jour de,Pour éviteragent La version de a été mise à jour par inadvertance au - dessus de serverVersion de:
sed -i "s/^enabled=1/enabled=0/" /etc/yum.repos.d/wazuh.repo
Comment supprimer supprimer WazuhServices:
$ sudo bash ./wazuh-install.sh --uninstall
Note:: Si les conditions du réseau sont mauvaises ,yumErreur d'installation, Vous pouvez essayer de télécharger les rpmPaquet pour l'installation https://documentation.wazuh.com/current/installation-guide/packages-list.html
Déploiement intégréWazuh Avec Elastic Stack basic license
C'est fait.WazuhAvecElastic StackIntégration fonctionnelle de, Les données du message sont stockées dans ElasticEt basé surElastic Stack Effectuer la recherche et la présentation graphique des données .
Il y a deux façons de déployer:
- All-in-one deployment , Déploiement autonome tout , Pour les essais ou les environnements à petite échelle .
- Distributed deployment
Ici, En déployant un ensemble de All-in-oneL'environnement de, Faites une démonstration à tout le monde .
Note::Les tests suivants,Nous sommes tous basés surcentos7 Système étendu .
Installer plusieurs kits
yum install zip unzip curl
InstallationElasticsearch
rpm --import https://artifacts.elastic.co/GPG-KEY-elasticsearch
cat > /etc/yum.repos.d/elastic.repo << EOF [elasticsearch-7.x] name=Elasticsearch repository for 7.x packages baseurl=https://artifacts.elastic.co/packages/7.x/yum gpgcheck=1 gpgkey=https://artifacts.elastic.co/GPG-KEY-elasticsearch enabled=1 autorefresh=1 type=rpm-md EOF
yum install elasticsearch-7.10.2
elasticProfil:
curl -so /etc/elasticsearch/elasticsearch.yml https://packages.wazuh.com/4.3/tpl/elastic-basic/elasticsearch_all_in_one.yml
Installer un certificat numérique:
curl -so /usr/share/elasticsearch/instances.yml https://packages.wazuh.com/4.3/tpl/elastic-basic/instances_aio.yml
/usr/share/elasticsearch/bin/elasticsearch-certutil cert ca --pem --in instances.yml --keep-ca-key --out ~/certs.zip
unzip ~/certs.zip -d ~/certs
mkdir /etc/elasticsearch/certs/ca -p
cp -R ~/certs/ca/ ~/certs/elasticsearch/* /etc/elasticsearch/certs/
chown -R elasticsearch: /etc/elasticsearch/certs
chmod -R 500 /etc/elasticsearch/certs
chmod 400 /etc/elasticsearch/certs/ca/ca.* /etc/elasticsearch/certs/elasticsearch.*
rm -rf ~/certs/ ~/certs.zip
chown -R elasticsearch.elasticsearch /etc/elasticsearch/
Notez qu'il est nécessaire d'utiliserjdk8
Définir le mode de démarrage du service :
systemctl daemon-reload
systemctl enable elasticsearch
systemctl start elasticsearch
CréationElastic Stack pre-built roles and users:
/usr/share/elasticsearch/bin/elasticsearch-setup-passwords auto
Vérifier les résultats de l'installation inférieure :
curl -XGET https://localhost:9200 -u elastic:<elastic_password> -k
InstallationWazuh server
Wazuh serverResponsable deagentsCollecte et analyse des données,PrincipalementWazuh manager、Wazuh APIEtFilebeatTrois composantes.
rpm --import https://packages.wazuh.com/key/GPG-KEY-WAZUH
cat > /etc/yum.repos.d/wazuh.repo << EOF [wazuh] gpgcheck=1 gpgkey=https://packages.wazuh.com/key/GPG-KEY-WAZUH enabled=1 name=EL-\$releasever - Wazuh baseurl=https://packages.wazuh.com/4.x/yum/ protect=1 EOF
Installationwazuh-manager:
yum install wazuh-manager
systemctl daemon-reload
systemctl enable wazuh-manager
systemctl start wazuh-manager
InstallationFilebeat:
Utilisé pour transmettre les événements d'alarme et les messages d'archive à ElasticsearchStockage.
yum install filebeat-7.10.2
filebeatProfil pour:
curl -so /etc/filebeat/filebeat.yml https://packages.wazuh.com/4.3/tpl/elastic-basic/filebeat_all_in_one.yml
Wazuh Modèle de configuration de l'alarme :
curl -so /etc/filebeat/wazuh-template.json https://raw.githubusercontent.com/wazuh/wazuh/4.3/extensions/elasticsearch/7.x/wazuh-template.json
chmod go+r /etc/filebeat/wazuh-template.json
TéléchargerFilebeatUtilisationWazuhModule:
curl -s https://packages.wazuh.com/4.x/filebeat/wazuh-filebeat-0.2.tar.gz | tar -xvz -C /usr/share/filebeat/module
Mise à jour/etc/filebeat/filebeat.yml Informations sur le mot de passe dans le profil :
output.elasticsearch.password: <elasticsearch_password>
Mets - le là - haut.passwordLa valeur du paramètre est définie àelasticMot de passe de l'utilisateur
Certificat de déploiement:
cp -r /etc/elasticsearch/certs/ca/ /etc/filebeat/certs/
cp /etc/elasticsearch/certs/elasticsearch.crt /etc/filebeat/certs/filebeat.crt
cp /etc/elasticsearch/certs/elasticsearch.key /etc/filebeat/certs/filebeat.key
DémarrageFilebeat:
systemctl daemon-reload
systemctl enable filebeat
systemctl start filebeat
Résultats de l'installation d'essai:
filebeat test output
InstallationKibana:
yum install kibana-7.10.2
Certificat de déploiement:
mkdir /etc/kibana/certs/ca -p
cp -R /etc/elasticsearch/certs/ca/ /etc/kibana/certs/
cp /etc/elasticsearch/certs/elasticsearch.key /etc/kibana/certs/kibana.key
cp /etc/elasticsearch/certs/elasticsearch.crt /etc/kibana/certs/kibana.crt
chown -R kibana:kibana /etc/kibana/
chmod -R 500 /etc/kibana/certs
chmod 440 /etc/kibana/certs/ca/ca.* /etc/kibana/certs/kibana.*
curl -so /etc/kibana/kibana.yml https://packages.wazuh.com/4.3/tpl/elastic-basic/kibana_all_in_one.yml
Édition/etc/kibana/kibana.yml,Mettre à jour le mot de passe:
elasticsearch.password: <elasticsearch_password>
passwordLa valeur du paramètre est définie àelasticMot de passe de l'utilisateur
mkdir /usr/share/kibana/data
chown -R kibana:kibana /usr/share/kibana
InstallationWazuh kibanaPlug - in:
cd /usr/share/kibana
sudo -u kibana /usr/share/kibana/bin/kibana-plugin install https://packages.wazuh.com/4.x/ui/kibana/wazuh_kibana-4.3.5_7.10.2-1.zip
AllowkibanaUtilisation par l'utilisateur443Port:
setcap 'cap_net_bind_service=+ep' /usr/share/kibana/node/bin/node
ConnexionwebPlate - forme:
URL: https://<wazuh_server_ip>
user: elastic
password: <PASSWORD_elastic>
Désactiverwazuh,elasticDeyumSource d'installation, Pour éviter les problèmes de compatibilité dus à la mise à jour automatique de certains paquets :
sed -i "s/^enabled=1/enabled=0/" /etc/yum.repos.d/wazuh.repo
sed -i "s/^enabled=1/enabled=0/" /etc/yum.repos.d/elastic.repo
InstallationWazuh agent
Trouver un testeur ,InstallationWazuh agent, Pour vérifier les fonctions liées aux essais .
https://documentation.wazuh.com/current/installation-guide/wazuh-agent/index.html
rpm --import https://packages.wazuh.com/key/GPG-KEY-WAZUH
cat > /etc/yum.repos.d/wazuh.repo << EOF [wazuh] gpgcheck=1 gpgkey=https://packages.wazuh.com/key/GPG-KEY-WAZUH enabled=1 name=EL-\$releasever - Wazuh baseurl=https://packages.wazuh.com/4.x/yum/ protect=1 EOF
WAZUH_MANAGER="IP-OF-WAZUH-MANAGER" yum install wazuh-agent
S'il vous plaît.WAZUH_MANAGER La valeur du paramètre est remplacée par Wazuh-managerL'hôteIPAdresse
systemctl daemon-reload
systemctl enable wazuh-agent
systemctl start wazuh-agent
sed -i "s/^enabled=1/enabled=0/" /etc/yum.repos.d/wazuh.repo
Connexionkibana web Plate - forme pour voir les résultats de la configuration
La capture d'écran ci - dessous montre ,Wazuh Les fonctions de gestion de la sécurité sont très riches , Il y a beaucoup de dimensions et de niveaux , L'expérience d'utilisation de l'affichage de l'interface graphique est également très bonne .
Et puis..., Nous continuerons également à partager dans les articles suivants Wazuh Environnement de production solutions et pratiques de déploiement distribuées pour , Conception et mise en oeuvre d'un modèle de configuration personnalisé pour la gestion de la sécurité de l'information .
边栏推荐
- 剑指 Offer 09. 用两个栈实现队列
- Zheng Qing 21 ACM is fun. (3) part of the problem solution and summary
- Detailed explanation of expression (csp-j 2021 expr) topic
- [article de jailhouse] jailhouse hypervisor
- 数仓项目的集群脚本
- A new micro ORM open source framework
- A misunderstanding about the console window
- Add level control and logger level control of Solon logging plug-in
- 使用Electron开发桌面应用
- Mysql database (I)
猜你喜欢
全国中职网络安全B模块之国赛题远程代码执行渗透测试 //PHPstudy的后门漏洞分析
剑指 Offer 06.从头到尾打印链表
Sword finger offer 35 Replication of complex linked list
【Jailhouse 文章】Jailhouse Hypervisor
Graduation project of game mall
AtCoder Grand Contest 013 E - Placing Squares
Talking about JVM (frequent interview)
智慧工地“水电能耗在线监测系统”
sync. Interpretation of mutex source code
Little known skills of Task Manager
随机推荐
Use of room database
【Jailhouse 文章】Look Mum, no VM Exits
[jailhouse article] jailhouse hypervisor
In this indifferent world, light crying
Haut OJ 1347: addition of choice -- high progress addition
Reflection summary of Haut OJ freshmen on Wednesday
搭建完数据库和网站后.打开app测试时候显示服务器正在维护.
Chapter 6 data flow modeling - after class exercises
【Jailhouse 文章】Jailhouse Hypervisor
2020ccpc Qinhuangdao J - Kingdom's power
Sword finger offer 58 - ii Rotate string left
Demonstration of using Solon auth authentication framework (simpler authentication framework)
kubeadm系列-02-kubelet的配置和启动
常见的最优化方法
A preliminary study of sdei - see the essence through transactions
Codeforces Round #732 (Div. 2) D. AquaMoon and Chess
剑指 Offer 06.从头到尾打印链表
Hang wait lock vs spin lock (where both are used)
Fried chicken nuggets and fifa22
lxml.etree.XMLSyntaxError: Opening and ending tag mismatch: meta line 6 and head, line 8, column 8