Wazuh 通过监控操作系统和应用程序层面的终端设备,增强您基础设施的安全可见性。其核心功能涵盖日志分析、文件完整性监控、入侵检测以及合规性监控。
一、介绍
1. 核心功能
1.1 主机入侵检测(HIDS)
- 文件完整性监控(FIM):实时检测系统关键文件(如配置文件、日志、二进制文件)的变更,防止未经授权的修改。
- 恶意软件检测:通过集成 VirusTotal、YARA 等工具扫描恶意软件。
- 系统配置审计:检查系统是否符合安全基线(如 CIS Benchmark),识别弱密码、未打补丁的服务等风险。
- 行为监控:监控进程活动、用户登录、权限变更等可疑行为。
1.2 日志分析与 SIEM
- 集中式日志管理:收集并分析来自服务器、网络设备、云服务等的日志。
- 实时告警:通过预定义规则或自定义规则触发告警(例如多次登录失败、异常网络连接)。
- 与 Elastic Stack 集成:利用 Elasticsearch 存储日志,Kibana 提供可视化仪表盘。
1.3 漏洞检测
- CVE 数据库集成:自动扫描系统中已安装软件的已知漏洞(基于 CVE 数据库)。
- 动态风险评估:结合漏洞严重性和资产重要性生成优先级报告。
1.4 云安全与容器监控
- AWS、Azure、GCP 集成:监控云基础设施配置,检测公开的存储桶、过度权限等风险。
- Kubernetes/Docker 支持:监控容器运行时行为,检测异常容器活动。
1.5 合规性管理
- 预定义合规模板:支持 PCI DSS、GDPR、HIPAA 等法规的合规性检查。
- 自动化报告:生成合规性报告,辅助审计流程。
组件构成
架构图
Wazuh 采用分布式架构,主要组件包括:
- Wazuh Agent
- 安装在终端主机(服务器、PC、云实例、容器)上的轻量级代理。
- 负责收集日志、监控文件完整性、执行安全策略。
- Wazuh Manager
- 中央管理服务器,处理代理发送的数据。
- 负责规则解析、告警生成、与 Elasticsearch 集成。
- Elastic Stack
- Elasticsearch:存储和索引数据。
- Kibana:提供交互式仪表盘(Wazuh 提供预置的 Kibana 插件)。
- Logstash(可选):用于日志预处理。
二、安装体验
管理端安装
安装参考官方文档
这里体验安装,使用虚拟机安装管理端。
vmware 导入 ova 格式文件 wazuh-4.11.1.ova 。
虚拟机网卡默认模式为桥接模式,在开机之前设置网卡为NAT模式。
虚拟机是基于 amazon linux,可以通过命令查看操作系统版本和ip:
[wazuh-user@wazuh-server ~]$ uname -or
6.1.129-138.220.amzn2023.x86_64 GNU/Linux
[wazuh-user@wazuh-server ~]$ ip a
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1000link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00inet 127.0.0.1/8 scope host lovalid_lft forever preferred_lft foreverinet6 ::1/128 scope host noprefixroutevalid_lft forever preferred_lft forever
2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc fq_codel state UP group default qlen 1000link/ether 00:0c:29:2c:9c:d8 brd ff:ff:ff:ff:ff:ffaltname enp2s0altname ens32inet 192.168.234.143/24 metric 1024 brd 192.168.234.255 scope global dynamic eth0valid_lft 1428sec preferred_lft 1428secinet6 fe80::20c:29ff:fe2c:9cd8/64 scope link proto kernel_llvalid_lft forever preferred_lft forever
[wazuh-user@wazuh-server ~]$
windows 安装代理客户端
代理可执行文件下载
.\wazuh-agent-4.11.1-1.msi /q WAZUH_MANAGER="192.168.234.143"
或者通过gui设置:
在终端查看:
这里可以看到该软件扫描出当前 win10 系统的两个软件存在高危漏洞,可以查询CVE编码查看详情。
ubuntu 安装代理客户端
参考文档
# 安装软件源
curl -s https://packages.wazuh.com/key/GPG-KEY-WAZUH | gpg --no-default-keyring --keyring gnupg-ring:/usr/share/keyrings/wazuh.gpg --import && chmod 644 /usr/share/keyrings/wazuh.gpgecho "deb [signed-by=/usr/share/keyrings/wazuh.gpg] https://packages.wazuh.com/4.x/apt/ stable main" | tee -a /etc/apt/sources.list.d/wazuh.listapt-get update# 安装代理
WAZUH_MANAGER="192.168.234.143" apt-get install wazuh-agent# 代理启动管理
systemctl daemon-reload
systemctl enable wazuh-agent
systemctl start wazuh-agent# 安装完成后,为了保证管理端与客户端版本一致,禁止自动升级
sed -i "s/^deb/#deb/" /etc/apt/sources.list.d/wazuh.list
apt-get update
安装完成后,可以在管理端查看该节点的安全情况:
合规检查:
三、部署场景
- 本地环境:监控传统服务器和网络设备。
- 云原生环境:通过代理或 API 集成监控 AWS S3、CloudTrail、Lambda 等。
- 混合环境:同时支持本地和云资源的统一管理。
- 容器化部署:通过 Helm Chart 在 Kubernetes 集群中快速部署。
四、优势与特点
- 完全开源:代码托管在 GitHub,遵循 GPLv2 许可证。
- 可扩展性:支持自定义规则、集成第三方工具(如 VirusTotal、Slack、PagerDuty)。
- 多平台支持:代理支持 Windows、Linux、macOS、Solaris、AIX 等。
- 活跃社区:拥有超过 2000 万次下载和活跃的开发者社区。
- 轻量级:代理资源占用低(CPU < 5%,内存 < 100MB)。
五、典型使用场景
- 企业服务器安全监控
检测 SSH 暴力破解、Web 服务器攻击、异常进程活动。 - 合规性审计
自动生成 PCI DSS 或 GDPR 合规报告。 - 云安全态势管理(CSPM)
监控 AWS 账户中的公开 S3 存储桶或过度权限的 IAM 角色。 - 勒索软件防御
通过 FIM 和进程监控识别加密文件行为。 - 物联网设备保护
监控嵌入式设备的异常网络连接或固件篡改。
官方文档
