前往小程序,Get更优阅读体验!
立即前往
首页
学习
活动
专区
工具
TVP
发布
社区首页 >专栏 >开源安全平台 wazuh 架构介绍

开源安全平台 wazuh 架构介绍

作者头像
信安之路
发布2019-07-05 10:00:09
5.7K0
发布2019-07-05 10:00:09
举报
文章被收录于专栏:信安之路

安全圈的大事刚刚结束,安全圈的小伙伴也从加班的阴影中走了出来,这期间,学习写文章投稿的人很少,估计还是忙吧,大考结束之后,大家可以放松一下,然后继续学习新知识,打基础,为了迎接下一次的挑战而做准备。做安全防御,入侵检测是必不可少的,而入侵检测通常分为网络层面和主机层面,今天就来看一个带有主机入侵检测功能的安全平台,他不止包含主机入侵检测的功能,还包含其他的一些功能,比如:基线漏洞监控、合规性扫描,能力强的还可以根据检测的结果自动响应。

这个项目的名称是 WAZUH,官网地址:

https://wazuh.com/

作为一个优秀的开源产品,详细的文档是必不可少的,大家可以前往人家官网查看:

https://documentation.wazuh.com/current/index.html

整个项目的内容非常多,这一篇文章是讲不完的,所以只是聊一下他的内部架构是如何实现他的功能的。下图是他的整体架构:

收集信息是通过 agent 的方式,信息处理在服务端,展示和存储数据用的是 ELK,agent 与 server 之间的通信是通过 AES 加密后传输,服务端分析完成之后通过 Filebeat 将数据打入 es。详细的介绍请看:

https://documentation.wazuh.com/current/getting-started/architecture.html

日志数据收集

安全平台基本上就是一个日志收集、分析处理、报表展示、时间报警和处理的综合体,日志收集是每一个主机入侵检测系统的核心功能,下图是 wazuh 中关于日志收集的架构图:

从上图可以看到,wazuh 的 agent 上包含一个 Logcollector 模块,在 Linux 下可以读日志文件、在 Windows 下可以读 事件日志文件的方式将日志收集起来发送到 wazuh 的 server 端,除了 agent 这种模式之外,还可以通过 rsylog 的方式将日志送到 wazuh 的 server 端,wazuh 的 server 上其实自带了 agent 的功能,也算是对自己服务端的日志收集。

收集到日志之后,服务器端的分析模块,可以将日志进行一系列的操作后与 wazuh 的规则集进行匹配,从而输出报警和一些其他信息,这些信息会被送往 es 集群中, 通过 Kibana 进行可视化展示。

详细的配置请看:

https://documentation.wazuh.com/current/user-manual/capabilities/log-data-collection/how-it-works.html

文件监控

这个功能主要是为了监控一些关键的文件是否被查看或者修改,比如 linux 下的密码文件:passwd、shadow 等,windows 下的注册表文件,这在入侵检测的阶段非常有用,黑客在拿到系统权限之后,对这些文件是非常感兴趣的,下图就是 wazuh 下 syscheckd 模块的架构图:

服务器端基本上与 日志收集模块差不多,就是在 agent 上使用的模块名称不同。详情请看:

https://documentation.wazuh.com/current/user-manual/capabilities/file-integrity/how-it-works.html

恶意软件检查

这个模块主要包含的功能有:文件监控(恶意软件可能会替换文件)、检测运行的进程(恶意软件可能隐藏自己进程,根据 getsid 和 getpgid 的方式检测所有进程 ID)、检测隐藏的端口(恶意软件可能会隐藏自己端口,使用 bind 函数检测被占用的端口与 netstat 列出的端口列表进行对比,来识别隐藏端口)、检测权限异常的文件(比如 suid 文件、隐藏目录或文件等)、检测是否使用了混杂模式、rootkit 检查等。这个功能使用了两个模块,分别为 rootcheck 和 syscheckd,架构如图:

架构差不多,也没啥新的东西,详情请看:

https://documentation.wazuh.com/current/user-manual/capabilities/anomalies-detection/how-it-works.html

漏洞检测

这里主要是针对 Linux,通过获取远程漏洞库,通过比较本地系统内所有软件包的版本信息,如果版本低于漏洞库里所记录的最低版本信息,则认为该组件或者软件包存在漏洞,然后做提醒,配置的话可以通过离线和在线两种方式,主要是为了满足,服务端无法上外网的情况,可以通过手动更新漏洞库的方式来使用这个功能。支持的系统版本如下:

详情请看:

https://documentation.wazuh.com/current/user-manual/capabilities/vulnerability-detection.html#compatibility-matrix

总结

这里挑了几个比较重要的功能做了一些解释,其功能的强大只有自己去挖掘了,还有一点比较好的是,之前遇到问题,在 github 上提 issue,很快能得到解决,而且更新的频率很快,自己还没玩好这个版本,去看文档的时候,已经更新了好几个大版本,又得重新安装, 其中的坑只有自己淌过才更加的深刻。之前在搞的时候翻译过两个文档,用的版本是 3.61,现在都更新到 3.9 版本了,欢迎大家试用,我在圈子里等你一起交流,厚颜无耻的打个广告,请见谅,希望对大家有用。只有打好基础才能在战时不至于手忙脚乱,共勉!

本文参与 腾讯云自媒体同步曝光计划,分享自微信公众号。
原始发表:2019-06-29,如有侵权请联系 cloudcommunity@tencent.com 删除

本文分享自 信安之路 微信公众号,前往查看

如有侵权,请联系 cloudcommunity@tencent.com 删除。

本文参与 腾讯云自媒体同步曝光计划  ,欢迎热爱写作的你一起参与!

评论
登录后参与评论
0 条评论
热度
最新
推荐阅读
目录
  • 日志数据收集
  • 文件监控
  • 恶意软件检查
  • 漏洞检测
  • 总结
相关产品与服务
主机安全
主机安全(Cloud Workload Protection,CWP)基于腾讯安全积累的海量威胁数据,利用机器学习为用户提供资产管理、木马文件查杀、黑客入侵防御、漏洞风险预警及安全基线等安全防护服务,帮助企业构建服务器安全防护体系。现支持用户非腾讯云服务器统一进行安全防护,轻松共享腾讯云端安全情报,让私有数据中心拥有云上同等级别的安全体验。
领券
问题归档专栏文章快讯文章归档关键词归档开发者手册归档开发者手册 Section 归档