Skip to content

Wazuh主机入侵检测系统

Centos7安装与配置Wazuh

Wazuh下载地址

Wazuh Manager安装

# Server IP:10.10.10.24

# 安装manager
rpm -ivh wazuh-manager-3.9.2-1.x86_64.rpm

# 安装完成后默认设置为开机自启并且已经启动该服务
systemctl status wazuh-manager.service

Wazuh API安装

# Server IP:10.10.10.24

# 安装nodejs10
curl -sL https://rpm.nodesource.com/setup_10.x | bash -
yum install nodejs.x86_64 nodejs-devel.x86_64 -y

# 安装wazuh api
rpm -ivh wazuh-api-3.9.2-1.x86_64.rpm

# 安装完成后默认设置为开机自启并且已经启动该服务
systemctl status wazuh-api.service

配置Wazuh API用户

# 配置端口账户等信息
cd /var/ossec/api/scripts
./configure_api.sh

# 查看用户信息
cat /var/ossec/api/configuration/auth/user

ELK+Filebeat安装

Kibana安装Wazuh插件

官网地址

# 这里是使用的root,真实环境最好不用,截止2019年06月28日,wazuh还不支持kibana7.2所以,我们要使用kibana7.1
/usr/share/kibana/bin/kibana-plugin install https://packages.wazuh.com/wazuhapp/wazuhapp-3.9.2_7.1.1.zip

# 重启kibana,重启会花费较长的时间
systemctl restart kibana.service

wazuh-kibana-app-1

Kibana Wazuh插件配置Wazuh API账号密码

默认的账号密码是:foo/bar,ip地址就是你服务器的地址,端口是55000。官方链接

wazuh-kibana-app-2

此时,在Kibana的Wazuh插件是没有数据的,因为还没有配置日志解析。

配置采集日志模版

  • 下载模版文件
# 下载filebeat配置文件
curl -so /etc/filebeat/filebeat.yml https://raw.githubusercontent.com/wazuh/wazuh/v3.9.2/extensions/filebeat/7.x/filebeat.yml
chmod go+r /etc/filebeat/filebeat.yml

# 下载elasticsearch的模版文件
curl -so /etc/filebeat/wazuh-template.json https://raw.githubusercontent.com/wazuh/wazuh/v3.9.2/extensions/elasticsearch/7.x/wazuh-template.json
chmod go+r /etc/filebeat/wazuh-template.json
  • 配置Filebeat
output.elasticsearch:
  hosts: ['http://YOUR_ELASTIC_SERVER_IP:9200']

# 修改为
output.elasticsearch:
  hosts: ['http://10.10.10.24:9200']

配置完成以后,重启服务,就可以在Kibana Wazuh插件中看到数据了。

wazuh-kibana-app-3

wazuh client安装与配置

# Client IP:10.10.10.25

# 安装agent
rpm -ivh wazuh-agent-3.9.2-1.x86_64.rpm

# 此时wazuh-agent的服务是启动失败的,因为没有认证文件
  • 首先在服务端生成密钥:

wazuh-add-agent-1

wazuh-add-agent-2

  • 客户端导入文件

wazuh-add-agent-3

  • 客户端修改配置文件:vim /var/ossec/etc/ossec.conf 
# 配置服务端IP地址与端口
<server>
    <address>10.10.10.24</address>
    <port>1514</port>
    <protocol>udp</protocol>
</server>
  • 重启wazuh-agent,在Kibana上查看数据
/var/ossec/bin/ossec-control restart

wazuh-kibana-app-4

客户端自动化部署

主要是为了在系统初始化的时候就做好客户端安装。

官网地址

官方脚本实现

在系统初始化的时候把wazuh的脚本串到系统初始化的脚本中。


# 在开头添加如下信息
# 安装客户端
rpm -qa|grep wazuh-agent-3.9.3-1.x86_64
if [ $? -eq 0 ];then
        echo "file exists"
        exit
fi

wget https://packages.wazuh.com/3.x/yum/wazuh-agent-3.9.3-1.x86_64.rpm
rpm -ivh wazuh-agent-3.9.3-1.x86_64.rpm
sed -i '10c <address>server_ip</address>' /var/ossec/etc/ossec.conf

wazuh规则学习

规则文件解读

SSH相关规则文件

ls /var/ossec/ruleset/rules | grep ssh
# 0095-sshd_rules.xml
# sshd: Possible attack on the ssh server
# sshd: insecure connection attempt (scan). 如果是阿里云的主机,会有很多此类型的日志,是阿里云自己的扫描

ls /var/ossec/ruleset/rules | grep pam
# 0085-pam_rules.xml