教育网站制作视频,网站开发的关系图和e-r图,太原免费网站建站模板,个人博客网页设计html代码目录 一、wazuh配置
1进入官网下载OVA启动软件
2.虚拟机OVA安装
二、wazuh案例复现
1.wazuh初体验
2.这里我们以SQL注入为例#xff0c;在我们的代理服务器上进行SQL注入#xff0c;看wazuh如何检测和响应 一、wazuh配置
1进入官网下载OVA启动软件
Virtual Machine (O…目录 一、wazuh配置
1进入官网下载OVA启动软件
2.虚拟机OVA安装
二、wazuh案例复现
1.wazuh初体验
2.这里我们以SQL注入为例在我们的代理服务器上进行SQL注入看wazuh如何检测和响应 一、wazuh配置
1进入官网下载OVA启动软件
Virtual Machine (OVA) - Installation alternatives (wazuh.com)
2.虚拟机OVA安装
在官方上下载OVA文件可能比较大几个g左右
下载完成后可以在Vmware中直接导入虚拟机
右上角---文件---打开---选择下载好的OVA文件
之后选择安装路径跟着引导程序一步步走
二、wazuh案例复现
1.wazuh初体验
当我们使用本地的cmd通过ssh一直连接wazuh的时候便会出现十级报错此次在后台可以明显的看到有爆破的提示扫描通过分析其具体的数据包以及对应的规则理解到wuzuh在外来访问的时候会触发到解码器其作用是用来抓取关键信息其中核心便是正则表达式进行正则匹配当数据来了之后wazuh程序会分析我们的日志把这些日志信息发到相对应的解码器去通过解码器去进行解码解码完后再发送到相应的规则然后把解码完的数据通过规则再次进行匹配最终展示到仪表盘的Modules里的Security events里
2.这里我们以SQL注入为例在我们的代理服务器上进行SQL注入看wazuh如何检测和响应
首先要把Nginx的日志路径加载到client端的配置文件里面去wazuh默认加载好了的
如果路径不同修改即可 然后我们随便写一些注入语句 已经出现了告警显示尝试SQL注入
那既然已经出现了告警我们怎么去防御呢wazuh有它自身的Active-response
如何配置官方文档也给出了步骤
How to configure active response - Active response wazuh有两种封堵方式
根据告警等级来封堵比如说当告警等级大于7时自动进行封堵但这也容易造成误判范围太大 根据规则ID来封堵当触发了某条规则时自动进行封堵但这范围太小面对多条规则不便于写配置文件 所以这两种方式要根据项目中的实际情况来判断
这里我们使用规则ID封堵IP方式来演示
官方文档
File integrity monitoring and YARA - Malware detection
在wazuh服务器也就是manager的配置文件里写入如下内容
当触发31103和31171这两条规则时执行firewall-drop命令,600秒后恢复
active-responsecommandfirewall-drop/commandlocationlocal/locationrules_id31103,31171/rules_idtimeout600/timeout
/active-response 之后随便测试一些注入语句然后再刷新发现已经被防火墙拦截了 查看iptables发现已经被封堵了恢复时间600秒
