hids wazuh 系列3-自定义内网扫描规则

Posted 煜铭2011

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了hids wazuh 系列3-自定义内网扫描规则相关的知识,希望对你有一定的参考价值。

0x00 介绍

1.背景介绍

传统的入侵检测,主要分为网络入侵检测系统和主机入侵检测系统,分别作用于网络层面和主机(服务器、办公电脑等终端)。

随着技术发展,出现了结合传统入侵检测系统和新技术(如数据分析、威胁情报、自动化操作、主动响应等)的新产品,这类新产品可能的名称是XDR、EDR、EPP等。

2.用途介绍

Wazuh 是 以OSSEC作为引擎的基于主机的入侵检测系统,用于主机端点和云工作负载的统一XDR和SIEM保护。提供配置评估、扩展检测和响应、文件完整性监控、漏洞检测、威胁情报、日志数据分析、恶意软件检测、审计与合规、态势管理、工作负载保护、容器安全等安全解决方案,此外可以与许多外部服务和工具集成。如VirusTotal,YARA,Amazon Macie,Slack和FortiGate。

0x01 部署架构

1.系统架构

Wazuh 平台提供 XDR 和 SIEM 功能来保护您的云、容器和服务器工作负载。其中包括日志数据分析、入侵和恶意软件检测、文件完整性监控、配置评估、漏洞检测以及对法规遵从性的支持。

以上是关于hids wazuh 系列3-自定义内网扫描规则的主要内容,如果未能解决你的问题,请参考以下文章

wazuh自定义规则-检测内网扫描行为

wazuh自定义规则-检测内网扫描行为

hids wazuh 系列2- 规则管理

hids wazuh 系列5-常规代理检测规则

hids wazuh 系列4-反弹shell规则

hids wazuh 系列5-常规代理检测规则