目录

一、wazuh配置

1进入官网下载OVA启动软件

2.虚拟机OVA安装

二、wazuh案例复现

1.wazuh初体验

2.这里我们以SQL注入为例，在我们的代理服务器上进行SQL注入，看wazuh如何检测和响应

---

一、wazuh配置

1进入官网下载OVA启动软件

Virtual Machine (OVA) - Installation alternatives (wazuh.com)

2.虚拟机OVA安装

在官方上下载OVA文件，可能比较大，几个g左右

下载完成后，可以在Vmware中直接导入虚拟机

右上角--->文件--->打开--->选择下载好的OVA文件

之后选择安装路径，跟着引导程序一步步走

二、wazuh案例复现

1.wazuh初体验

当我们使用本地的cmd通过ssh一直连接wazuh的时候便会出现十级报错，此次在后台可以明显的看到有爆破的提示扫描，通过分析其具体的数据包以及对应的规则理解到wuzuh在外来访问的时候，会触发到解码器，其作用是用来抓取关键信息，其中核心便是正则表达式进行正则匹配，当数据来了之后，wazuh程序会分析我们的日志，把这些日志信息发到相对应的解码器去，通过解码器去进行解码，解码完后，再发送到相应的规则，然后把解码完的数据通过规则，再次进行匹配，最终展示到仪表盘的Modules里的Security events里

2.这里我们以SQL注入为例，在我们的代理服务器上进行SQL注入，看wazuh如何检测和响应

首先要把Nginx的日志路径加载到client端的配置文件里面去，wazuh默认加载好了的

如果路径不同，修改即可 

然后我们随便写一些注入语句

 

已经出现了告警，显示尝试SQL注入

那既然已经出现了告警，我们怎么去防御呢，wazuh有它自身的Active-response

如何配置，官方文档也给出了步骤

How to configure active response - Active response

wazuh有两种封堵方式：

根据告警等级来封堵，比如说当告警等级大于7时，自动进行封堵，但这也容易造成误判，范围太大
根据规则ID来封堵，当触发了某条规则时，自动进行封堵，但这范围太小，面对多条规则不便于写配置文件
所以这两种方式要根据项目中的实际情况来判断

这里我们使用规则ID封堵IP方式来演示

官方文档：

File integrity monitoring and YARA - Malware detection

在wazuh服务器，也就是manager的配置文件里写入如下内容

当触发31103和31171这两条规则时，执行firewall-drop命令,600秒后恢复

<active-response><command>firewall-drop</command><location>local</location><rules_id>31103,31171</rules_id><timeout>600</timeout>
</active-response>

 

之后随便测试一些注入语句，然后再刷新，发现已经被防火墙拦截了

 查看iptables，发现已经被封堵了，恢复时间600秒