wazuh运营使用

Posted 2022-09-20 煜铭2011

0x00 介绍

1.背景介绍

传统的入侵检测，主要分为网络入侵检测系统和主机入侵检测系统，分别作用于网络层面和主机（服务器、办公电脑等终端）。

随着技术发展，出现了结合传统入侵检测系统和新技术（如数据分析、威胁情报、自动化操作、主动响应等）的新产品，这类新产品可能的名称是XDR、EDR、EPP等。

2.用途介绍

Wazuh 是 以OSSEC作为引擎的基于主机的入侵检测系统，用于主机端点和云工作负载的统一XDR和SIEM保护。提供配置评估、扩展检测和响应、文件完整性监控、漏洞检测、威胁情报、日志数据分析、恶意软件检测、审计与合规、态势管理、工作负载保护、容器安全等安全解决方案，此外可以与许多外部服务和工具集成。如VirusTotal，YARA，Amazon Macie，Slack和FortiGate。

0x01 部署架构

1.系统架构

Wazuh 平台提供 XDR 和 SIEM 功能来保护您的云、容器和服务器工作负载。其中包括日志数据分析、入侵和恶意软件检测、文件完整性监控、配置评估、漏洞检测以及对法规遵从性的支持。

 2.架构组件

Wazuh 解决方案基于部署在受监控端点上的 Wazuh 代理和三个中心组件：Wazuh server、Wazuh indexer和 Wazuh dashboard。

Wazuh indexer 是一个高度可扩展的全文搜索和分析引擎。这个中央组件索引和存储由 Wazuh 服务器生成的警报。

Wazuh server分析从代理收到的数据。它通过解码器和规则对其进行处理，使用威胁情报来寻找众所周知的妥协指标 (IOC)。单个服务器可以分析来自数百或数千个代理的数据，并在设置为集群时水平扩展。该中心组件还用于管理代理，在必要时远程配置和升级它们。

Wazuh dashboard是用于数据可视化和分析的 Web 用户界面。它包括用于安全事件、法规遵从性（例如 PCI DSS、GDPR、CIS、HIPAA、NIST 800-53）、检测到的易受攻击的应用程序、文件完整性监控数据、配置评估结果、云基础设施监控的开箱即用仪表板事件等。它还用于管理 Wazuh 配置并监控其状态。

Wazuh agents安装在笔记本电脑、台式机、服务器、云实例或虚拟机等端点上。它们提供威胁预防、检测和响应能力。它们在 Linux、Windows、macOS、Solaris、AIX 和 HP-UX 等操作系统上运行。

除了基于代理的监控功能，Wazuh 平台还可以监控无代理设备，例如防火墙、交换机、路由器或网络 IDS 等。例如，可以通过 Syslog 收集系统日志数据，并且可以通过定期探测其数据、通过 SSH 或通过 API 来监控其配置。

更多详情请参考：Components - Getting started with Wazuh · Wazuh documentation

3.部署架构

Wazuh架构以运行在受监控端点上的代理为基础，将安全数据转发给中央服务器。支持无代理设备，如防火墙、交换机、路由器和接入点，它们可以通过Syslog、SSH或使用其API主动提交日志数据。中央服务器对收到的信息进行解码和分析，并将结果传递给Wazuh索引器以编制索引和存储。

Wazuh索引器集群是一个或多个节点的集合，它们相互通信，对索引进行读和写操作。小型Wazuh部署不需要处理大量数据，单节点集群就能轻松应对。当有许多被监控的终端，预计有大量数据，或需要高可用性时，建议采用多节点集群。

对于生产环境，建议将Wazuh服务器和Wazuh索引器部署在不同主机上。在这种情况下，Filebeat用于使用TLS加密将Wazuh警报和存档事件安全地转发给Wazuh索引器集群（单节点或多节点）。

重要说明：我们在这里，仅用单台服务器进行部署，其他架构不变。

0x02 安装部署

0x03 系统管理

0x04 功能配置

0x05 安全运营

1.Security events（安全报表）

所有安全事件的综合报表展示，包括各类事件的数据统计、告警级别统计、Top MITRE ATT&CKS统计、发生事件数量最多比例的前五个agent、发生事件最多的前五个agent，简要的安全事件告警等。
概要报表展示

详细事件查询 

实践应用

由于在wazuh的报表里面进行搜索后无法保存，同时在wazuh里面进行搜索响应速度慢或者界面无响应，所以需要在【Opensearch Dashboard】 【discover】 进行自定义搜索，检索可疑的行为。

 

 

 下次直接打开：

 

2.Integrity Monitoring（完整性监控）

主要用来展示系统文件是否被恶意篡改。一个稳定运行的系统里面，敏感文件如账号密码、系统命令发生变化等都暗示系统可能被攻击者入侵了，并在入侵系统后进行了一系列操作。

概要报表展示

详细事件查询

一个稳定运行的系统里面，敏感文件如账号密码、系统命令发生变化等都暗示系统可能被攻击者入侵了，并在入侵系统后进行了一系列操作。

 

3.Policy monitoring（策略监控）

主要用来监控一些自定义的安全策略，例如命令执行检查、进程异常检查、木马后门等Rootcheck、自定义的安全基线如OpenSCAP和CIS-CAT等

概要报表展示

详细事件查询 

 4.System auditing

审计用户行为，监控命令执行、访问敏感文件的预警等

概要报表展示

 详细事件查询

 5.Security Configuration Assessment（安全基线）

主要为安全配置核查，检测各种系统的配置是否符合安全基线的要求。

概要报表展示

详细事件查询 

实践应用

   当我们需要检测某个安全配置禁止root用户远程登录是否在所有机器的配置情况，从而发现那些机器是符合标准的，不需要整改的；哪些是不符标准的，需要进行整改的。

 

 6.Vulnerabilities（漏洞检测）

检测安装的每个软件包以及操作系统的漏洞

概要报表展示

详细事件查询

实践应用

在此种情况下，我们往往需要对新出的漏洞进行检测，排查服务器是否受到相关漏洞的影响。

示例：在2022 年 01 月 27 日 国外安全研究团队披露了 Linux Polkit 权限提升
漏洞（ CVE-2021-4034） 。 具有低权限的攻击者可利用此漏洞在易受攻击的主机上获得 ROOT 特权。安全研究人员已经在默认安装的 Ubuntu、 Debian、 Fedora和 CentOS 系统上成功利用此漏洞获得了完整的 ROOT 权限。

我们可以在管理界面进行检测：

 

 

7.MITRE ATT&CK攻击链分析

  一个面向美国政府提供系统工程、研究开发和信息技术支持的非盈利性组织。我们所熟知的CVE、CWE、CVSS等安全标准规范都是出自该组织之手。

ATT&CK是由MITRE创建并维护的一个对抗战术和技术的知识库，全称 Adversarial Tactics, Techniques, and Common Knowledge, 简称ATT&CK。这个知识库是由社区驱动的，并且是公开免费、全球可访问的知识库。

ATT＆CK是针对网络攻击行为的精选知识库和模型，反映了攻击者攻击生命周期以及各个攻击阶段的目标，由以下核心组件组成:

战术（Tactics）：表示攻击过程中的短期战术目标；

技术（Techniques）：描述对手实现战术目标的手段；

子技巧（Sub-Techniques）：描述对手在比技术更低的级别上实现战术目标的技术手段；

概要报表展示

 

这里可以看到每个可疑行为都被划分为不同的类型，而这些类型是攻击入侵时或者入侵后的行为分类。

例如处看到数据破坏行为，例如入侵者添加账号，就有可能破坏原来账号数据/etc/passwd或者/etc/shadow的文件完整性。

详细事件查询