入侵检测系统HIDS_wazuh使用及部署

2023-12-18 16:12

本文主要是介绍入侵检测系统HIDS_wazuh使用及部署,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

文章目录

      • wazuh简介
      • wazuh在线文档及下载资源
        • 虚拟机默认用户是:
      • 访问页面登录,默认是用户:`admin`,密码:`admin`
      • 进入系统后页面
      • 点击代理总数
      • 选择需要添加的主机
      • 需要检测的主机测试是否ping通wazuh服务机
      • 测试访问通后,添加新代理
        • 添加分组-自动生成下面3的指令
      • 需要检测的主机执行上面生成的指令
        • 粘贴到powershell命令窗口中
        • 执行完,最后需要检测的主机启动服务执行指令
          • 检查连接状态
        • 在wazuh页面,点击箭头1,可以看到2中代理数出现一个,检查status状态是已连接
      • 使用点击监控的主机
      • 进入被监测的主机
        • 进入后点击事件,可以进行elk日志的筛选
      • 点击完整监测
        • 点击库存 --》文件和注册表
      • 基线检查
        • 进入页面后
        • 基线检查事项
      • 漏洞查看
        • 漏洞事件为0,虚拟机版的不支持,需要搭建官方版
      • att&ck面板
        • 进入att&ct面板页面
      • 尝试使用弱口令爆破是否告警
      • 登录到wazuh,查看攻击事件
        • 查看有暴力破解
        • 点击蛮力查看
        • 使用时间筛选
        • 点击蛮力
        • 弹窗详情
          • 点击下箭头,展示详情

wazuh简介

Wazuh平台提供XDR和SIEM功能来保护云、容器和服务器工作负载。是国外产品,
其中包括日志数据分析、入侵和恶意软件检测、文件完整性监控、配置评估、漏洞检测等

wazuh在线文档及下载资源

https://documentation.wazuh.com/current/deployment-options/virtual-machine/virtual-machine.html

虚拟机默认用户是:
user: wazuh-user
password: wazuh

访问页面登录,默认是用户:admin,密码:admin

页面登录:
URL: https://<wazuh_server_ip>
user: admin
password: admin

在这里插入图片描述

进入系统后页面

在这里插入图片描述

点击代理总数

在这里插入图片描述

选择需要添加的主机

在这里插入图片描述

需要检测的主机测试是否ping通wazuh服务机

代理机windows机:192.168.225.206
测试: ping 192.168.225.217

在这里插入图片描述

测试访问通后,添加新代理

在这里插入图片描述

添加分组-自动生成下面3的指令
Invoke-WebRequest -Uri https://packages.wazuh.com/4.x/windows/wazuh-agent-4.7.0-1.msi -OutFile ${env.tmp}\wazuh-agent; msiexec.exe /i ${env.tmp}\wazuh-agent /q WAZUH_MANAGER='192.168.225.217' WAZUH_AGENT_GROUP='default' WAZUH_AGENT_NAME='testgroup' WAZUH_REGISTRATION_SERVER='192.168.225.217' NET START WazuhSvc

在这里插入图片描述

需要检测的主机执行上面生成的指令

Invoke-WebRequest -Uri https://packages.wazuh.com/4.x/windows/wazuh-agent-4.7.0-1.msi -OutFile ${env.tmp}\wazuh-agent; msiexec.exe /i ${env.tmp}\wazuh-agent /q WAZUH_MANAGER='192.168.225.217' WAZUH_AGENT_GROUP='default' WAZUH_AGENT_NAME='testgroup' WAZUH_REGISTRATION_SERVER='192.168.225.217' NET START WazuhSvc

在这里插入图片描述

粘贴到powershell命令窗口中

在这里插入图片描述

执行完,最后需要检测的主机启动服务执行指令
NET START WazuhSvc

在这里插入图片描述

在这里插入图片描述

检查连接状态
netstat  -an

在这里插入图片描述

在wazuh页面,点击箭头1,可以看到2中代理数出现一个,检查status状态是已连接

在这里插入图片描述

使用点击监控的主机

在这里插入图片描述

进入被监测的主机

在这里插入图片描述

进入后点击事件,可以进行elk日志的筛选

在这里插入图片描述

点击完整监测

在这里插入图片描述

点击库存 --》文件和注册表

在这里插入图片描述

基线检查

在这里插入图片描述

进入页面后

在这里插入图片描述

基线检查事项

在这里插入图片描述

漏洞查看

在这里插入图片描述

漏洞事件为0,虚拟机版的不支持,需要搭建官方版

在这里插入图片描述

att&ck面板

在这里插入图片描述

进入att&ct面板页面

在这里插入图片描述

在这里插入图片描述

尝试使用弱口令爆破是否告警

在这里插入图片描述

在这里插入图片描述

登录到wazuh,查看攻击事件

在这里插入图片描述

查看有暴力破解

在这里插入图片描述

点击蛮力查看

在这里插入图片描述

使用时间筛选

在这里插入图片描述

点击蛮力

在这里插入图片描述

弹窗详情

在这里插入图片描述

点击下箭头,展示详情

在这里插入图片描述

这篇关于入侵检测系统HIDS_wazuh使用及部署的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!


原文地址:
本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.chinasem.cn/article/509033

相关文章

大数据spark3.5安装部署之local模式详解

《大数据spark3.5安装部署之local模式详解》本文介绍了如何在本地模式下安装和配置Spark,并展示了如何使用SparkShell进行基本的数据处理操作,同时,还介绍了如何通过Spark-su... 目录下载上传解压配置jdk解压配置环境变量启动查看交互操作命令行提交应用spark,一个数据处理框架

Java使用Mail构建邮件功能的完整指南

《Java使用Mail构建邮件功能的完整指南》JavaMailAPI是一个功能强大的工具,它可以帮助开发者轻松实现邮件的发送与接收功能,本文将介绍如何使用JavaMail发送和接收邮件,希望对大家有所... 目录1、简述2、主要特点3、发送样例3.1 发送纯文本邮件3.2 发送 html 邮件3.3 发送带

使用DeepSeek搭建个人知识库(在笔记本电脑上)

《使用DeepSeek搭建个人知识库(在笔记本电脑上)》本文介绍了如何在笔记本电脑上使用DeepSeek和开源工具搭建个人知识库,通过安装DeepSeek和RAGFlow,并使用CherryStudi... 目录部署环境软件清单安装DeepSeek安装Cherry Studio安装RAGFlow设置知识库总

Python FastAPI入门安装使用

《PythonFastAPI入门安装使用》FastAPI是一个现代、快速的PythonWeb框架,用于构建API,它基于Python3.6+的类型提示特性,使得代码更加简洁且易于绶护,这篇文章主要介... 目录第一节:FastAPI入门一、FastAPI框架介绍什么是ASGI服务(WSGI)二、FastAP

Spring-AOP-ProceedingJoinPoint的使用详解

《Spring-AOP-ProceedingJoinPoint的使用详解》:本文主要介绍Spring-AOP-ProceedingJoinPoint的使用方式,具有很好的参考价值,希望对大家有所帮... 目录ProceedingJoinPoijsnt简介获取环绕通知方法的相关信息1.proceed()2.g

Maven pom.xml文件中build,plugin标签的使用小结

《Mavenpom.xml文件中build,plugin标签的使用小结》本文主要介绍了Mavenpom.xml文件中build,plugin标签的使用小结,文中通过示例代码介绍的非常详细,对大家的学... 目录<build> 标签Plugins插件<build> 标签<build> 标签是 pom.XML

JAVA虚拟机中 -D, -X, -XX ,-server参数使用

《JAVA虚拟机中-D,-X,-XX,-server参数使用》本文主要介绍了JAVA虚拟机中-D,-X,-XX,-server参数使用,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有... 目录一、-D参数二、-X参数三、-XX参数总结:在Java开发过程中,对Java虚拟机(JVM)的启动参数进

Java中使用注解校验手机号格式的详细指南

《Java中使用注解校验手机号格式的详细指南》在现代的Web应用开发中,数据校验是一个非常重要的环节,本文将详细介绍如何在Java中使用注解对手机号格式进行校验,感兴趣的小伙伴可以了解下... 目录1. 引言2. 数据校验的重要性3. Java中的数据校验框架4. 使用注解校验手机号格式4.1 @NotBl

Python使用DeepSeek进行联网搜索功能详解

《Python使用DeepSeek进行联网搜索功能详解》Python作为一种非常流行的编程语言,结合DeepSeek这一高性能的深度学习工具包,可以方便地处理各种深度学习任务,本文将介绍一下如何使用P... 目录一、环境准备与依赖安装二、DeepSeek简介三、联网搜索与数据集准备四、实践示例:图像分类1.

Linux系统之authconfig命令的使用解读

《Linux系统之authconfig命令的使用解读》authconfig是一个用于配置Linux系统身份验证和账户管理设置的命令行工具,主要用于RedHat系列的Linux发行版,它提供了一系列选项... 目录linux authconfig命令的使用基本语法常用选项示例总结Linux authconfi