入侵检测系统HIDS_wazuh使用及部署

wazuh简介

Wazuh平台提供XDR和SIEM功能来保护云、容器和服务器工作负载。是国外产品，
其中包括日志数据分析、入侵和恶意软件检测、文件完整性监控、配置评估、漏洞检测等

wazuh在线文档及下载资源

https://documentation.wazuh.com/current/deployment-options/virtual-machine/virtual-machine.html

虚拟机默认用户是：

user: wazuh-user
password: wazuh

访问页面登录，默认是用户：admin，密码：admin

页面登录：
URL: https://<wazuh_server_ip>
user: admin
password: admin

进入系统后页面

点击代理总数

选择需要添加的主机

需要检测的主机测试是否ping通wazuh服务机

代理机windows机：192.168.225.206
测试： ping 192.168.225.217

测试访问通后，添加新代理

添加分组-自动生成下面3的指令

Invoke-WebRequest -Uri https://packages.wazuh.com/4.x/windows/wazuh-agent-4.7.0-1.msi -OutFile ${env.tmp}\wazuh-agent; msiexec.exe /i ${env.tmp}\wazuh-agent /q WAZUH_MANAGER='192.168.225.217' WAZUH_AGENT_GROUP='default' WAZUH_AGENT_NAME='testgroup' WAZUH_REGISTRATION_SERVER='192.168.225.217' 

NET START WazuhSvc

需要检测的主机执行上面生成的指令

Invoke-WebRequest -Uri https://packages.wazuh.com/4.x/windows/wazuh-agent-4.7.0-1.msi -OutFile ${env.tmp}\wazuh-agent; msiexec.exe /i ${env.tmp}\wazuh-agent /q WAZUH_MANAGER='192.168.225.217' WAZUH_AGENT_GROUP='default' WAZUH_AGENT_NAME='testgroup' WAZUH_REGISTRATION_SERVER='192.168.225.217' 

NET START WazuhSvc

粘贴到powershell命令窗口中

执行完，最后需要检测的主机启动服务执行指令

NET START WazuhSvc

检查连接状态

netstat  -an

在wazuh页面，点击箭头1，可以看到2中代理数出现一个，检查status状态是已连接

使用点击监控的主机

进入被监测的主机

进入后点击事件，可以进行elk日志的筛选

点击完整监测

点击库存 --》文件和注册表

基线检查

进入页面后

基线检查事项

漏洞查看

漏洞事件为0，虚拟机版的不支持，需要搭建官方版

att&ck面板

进入att&ct面板页面

尝试使用弱口令爆破是否告警

登录到wazuh，查看攻击事件

查看有暴力破解

点击蛮力查看

使用时间筛选

点击蛮力

弹窗详情

点击下箭头，展示详情