代码编织梦想

hids wazuh 系列3-内网扫描规则-爱代码爱编程

0x00 介绍 1.背景介绍 传统的入侵检测,主要分为网络入侵检测系统和主机入侵检测系统,分别作用于网络层面和主机(服务器、办公电脑等终端)。 随着技术发展,出现了结合传统入侵检测系统和新技术(如数据分析、威胁情报、自动化操作、主动响应等)的新产品,这类新产品可能的名称是XDR、EDR、EPP等。 2.用途介绍 Wazuh 是 以

wazuh/4.2/extensions/elasticsearch/7.x/wazuh-template.json_guoguangwu的博客-爱代码爱编程

{ "order": 0, "index_patterns": [ "wazuh-alerts-4.x-*", "wazuh-archives-4.x-*" ], "settings": { "index.refresh_interval": "5s", "index.number_of_shards": "3", "index.number_of_rep

Wazuh功能梳理-爱代码爱编程

wazuh agent 功能介绍日志收集(Log Collector)> 介绍> 流程图> 配置> 输出命令执行(Command execution)> 介绍> 流程图> 配置文件完整性监控(File integrity monitoring, FIM)> 介绍> 流程图> 配置扫描位置扫

wazuh学习和部署-爱代码爱编程

##################################################### Security information management                 (安全信息管理)         Security Events                                         安全事件

wazuh与clamav 联动-爱代码爱编程

  第一步安装 clamav  本次测试使用的是Ubuntu 14.04.6 LTS 系统,直接使用二进制包安装 apt-get install clamav apt-get install clamav-daemon apt-get install libclamunrar6 注意:wazuh支持收集很多日志,比如syslog,clama

wazuh 收集 suricata eve.json日志-爱代码爱编程

安装suricata和规则 (源码或者安装包),本博客提供安装包操作方式: 切换成超级用户进行操作 yum -y install epel-release wget jq curl -O https://copr.fedorainfracloud.org/coprs/jasonish/suricata-stable/repo/epel-7/jasoni

Wazuh检测反弹shell-爱代码爱编程

Wazuh通过在agent服务器上执行指定的命令,并收集命令结果,可以在一定程度上发现反弹shell的入侵行为。 目前有2中常见的检测方法,一种是通过netstat输出网络连接中的shell进程来识别,另一种是通过ps输出进程信息中的反弹shell命令特征来识别。 1. 在agent的/var/ossec/etc/ossec.conf文件末尾增加自定义

Wazuh自定义规则-爱代码爱编程

Wazuh会产生很多不必要的报警信息,通过Wazuh-manager端的/var/ossec/etc/rules/local_rules.xml可以增加一些规则来改变默认规则的行为,从而过滤不希望看到的告警。 <!-- Local rules --> <!-- Modify it at your will. --> <!--

Wazuh的rootkit扫描性能优化-爱代码爱编程

由于Wazuh在进行rootkit扫描时,对磁盘占用比较高,如果服务器上文件过多,需要的时间也很长,可能会对业务产生影响,将不需要扫描的文件类型和目录加入白名单,可以大大降低rootkit扫描对磁盘性能的影响。 <rootcheck> <ignore type="sregex">.log$|.log.|.swp$|.out$

procps 获取进程信息-爱代码爱编程

最近在使用wazuh时,发现在收集agent端的进程信息的时候,使用了一个第三方库 procps来处理/proc下面的信息的。 使用方式  1:调用openproc进行初始化,设置需要收集的信息标志;创建PROCTAB对象; 2:调用readproc循环读取数据,每次遍历需要调用freeproc释放资源; 3:最后调用closeproc,也是释放资