Wazuh简介

前端时间调研了一些HIDS的开源系统：

https://github.com/Neo23x0/Fenrir更加方便（不需要安装代理或者软件包）使用的IOC扫描工具

https://github.com/ysrc/yulong-hids由 Agent， Daemon， Server 和 Web 四个部分组成的服务器入侵检测系统

https://github.com/InQuest/awesome-yara基于yara（一款识别和分类恶意软件样本的开源工具）所写的安全核查规则

https://github.com/grayddq/GScan：基于checklist的Linux主机安全扫描

https://documentation.wazuh.com/3.10/index.html：数据收集基于ELK并集合了威胁检测、安全监控、事件响应等的开源OSSEC系统

从完整度来看，Wauzh无疑是企业快速化部署HIDS的有利工具，现成的agent-server-web框架节省了大量的开发时间，可以把精力专注在规则的撰写上。

Wauzh 服务端docker部署

官网：https://documentation.wazuh.com/3.10/docker/docker-installation.html

curl安装

curl -L "https://github.com/docker/compose/releases/download/1.24.1/docker-compose-$(uname -s)-$(uname -m)" -o /usr/local/bin/docker-compose

chmod +x /usr/local/bin/docker-compose

或者pip安装

pip install docker-compose

验证是否安装成功

docker-compose –version

配置服务器参数max_map_count

sysctl -w vm.max_map_count=262144

创建安装路径

mkdir /data/wazuh && cd /data/wazuh

下载docker配置文件

curl -so docker-compose.yml https://raw.githubusercontent.com/wazuh/wazuh-docker/3.9.5_7.2.1/docker-compose.yml

可以修改docker-compose.yml，加上密码

vi docker-compose.yml

拉取容器创建并且启动Wazuh

docker-compose up -d

进入容器时需要注意一下默认名字是简化的，不能使用容器的name

访问web页面（kibana）

wazuh agent安装

Linux

需要安装audit：

yum install audit

https://documentation.wazuh.com/3.10/installation-guide/installing-wazuh-agent/linux/centos6-or-greater/wazuh_agent_package_centos6_or_greater.html#wazuh-agent-package-centos6-or-greater

官网提供了yum安装（需要加入wazuh的仓库地址）和源码安装（整包下载，选择agent部署）

在此选择下载客户端的RPM包安装：

https://documentation.wazuh.com/3.10/installation-guide/packages-list/index.html

wget https://packages.wazuh.com/3.x/yum/wazuh-agent-3.10.2-1.x86_64.rpm

rpm -ivh wazuh-agent-3.10.2-1.x86_64.rpm

手动注册agent

回到wazuh服务端，进入到wazuh的容器中

docker-compose exec wazuh /bin/bash

/var/ossec/bin/manage_agents

JDB（新agent的命名，这之后需要从CMDB上获取IP的主机名称）

1.1.1.1（新agent的IP地址）

添加好以后显示：

Agent added with ID 001.

E（给agent创建key）

001（输入需要创建key的agent ID）

Agent key information for '001' is:

MDAxIEpEQiAxMDAuNzMuMjAuNDcgNzRjNTM0NTU2MTRjNTU2OWYyYmFmODM2NzI1ZGMyOTk4MDM4Njk3NTA1NTE4YWRkMWI0MzM1ZjE2MzY0NzUwNw==

回到agent端上，

使用key注册agent

/var/ossec/bin/manage_agents -i MDAxIEpEQiAxMDAuNzMuMjAuNDcgNzRjNTM0NTU2MTRjNTU2OWYyYmFmODM2NzI1ZGMyOTk4MDM4Njk3NTA1NTE4YWRkMWI0MzM1ZjE2MzY0NzUwNw==

vi /var/ossec/etc/ossec.conf

添加服务端的IP

<address>serverIP</address>

启动agent

service wazuh-agent start

显示

Starting Wazuh: [ OK ]

进入服务端页面https://服务端IP/app/wazuh#/overview/?_g=()&tabView=panels&tab=welcome&_a=(columns:!(_source),index:'wazuh-alerts-3.x-*',interval:auto,query:(language:kuery,query:''),sort:!(timestamp,desc))

可以看到已经有agent显示了

自动注册agent

其实就是在agent上操作，在agent端

/var/ossec/bin/agent-auth -m 服务端IP

此时agent的name即为主机名：

vi /var/ossec/etc/ossec.conf

添加服务端IP

启动

service wazuh-agent start

Windows

agent部署服务器

下载安装包https://packages.wazuh.com/3.x/windows/wazuh-agent-3.10.2-1.msi

双击运行，默认文件保存在C:\Program Files (x86)\ossec-agent

注册agent

https://documentation.wazuh.com/3.10/user-manual/registering/windows-simple-registration.html

开源HIDS-Wauzh测试使用