开源安全管理平台wazuh-文件完整性监控FIM
文章目录
- 一、环境准备
- 二、wazuh配置
- 1、window机器安装wazuh并配置
- 1)安装wazuh-agent
- 2) 配置window端点的wazuh-agent
- 2、ubuntu主机的wazuh-agent配置
- 三、效果验证
- 1、windows端点文件完整性监控
- 1)文件增、删、改
- 2)可视化告警监控
- 2、ubuntu主机文件完整性监控
- 1)文件增、删、改
- 2)可视化告警监控
Wazuh是一个功能强大的开源安全平台,它集成了安全信息与事件管理(SIEM)和扩展检测与响应(XDR)的能力,旨在为本地、虚拟化、容器化及云环境中的工作负载提供统一的威胁预防、检测和响应解决方案。
文件完整性监控(File integrity monitoring FIM)有助于审计敏感文件和满足合规性要求。Wazuh内置了一个FIM模块,用于监控文件系统变化,以检测文件的创建、修改和删除。
本文通过POC来验证Wazuh的FIM功能,使用Wazuh FIM模块来检测Ubuntu和Windows端点上监控目录的变化。Wazuh FIM模块通过使用who-data审计获取有关更改用户和进程的信息来丰富告警数据。
一、环境准备
POC环境如下图所示:
| 主机 | 描述 |
|---|---|
| 安全管理平台wazuh-server (192.168.0.40) | All in one安装wazuh,监控wazuh-agent上报的告警信息进行文件完整性监控(FIM) |
| 被监控Windows 11机器 (192.168.0.16) | 安装wazuh-agent,通过Wazuh FIM模块在此端点监控一个目录,以检测文件创建、更改和删除。 |
| 被监控Ubuntu主机 (192.168.0.41) | 安装wazuh-agent,通过Wazuh FIM模块在此端点监控一个目录,以检测文件创建、更改和删除。 |
二、wazuh配置
1、window机器安装wazuh并配置
1)安装wazuh-agent
在wazuh的管理端找到部署agent界面,选择window的agent安装包
wazuh会自动生成部署agent的脚本
在window11(192.168.0.16)机器上以管理员权限运行powershell,在powershell中运行agent安装脚本
Invoke-WebRequest -Uri https://packages.wazuh.com/4.x/windows/wazuh-agent-4.13.0-1.msi -OutFile $env:tmp\wazuh-agent; msiexec.exe /i $env:tmp\wazuh-agent /q WAZUH_MANAGER='192.168.0.40' WAZUH_AGENT_NAME='Lenovo-L13-agent'
运行NET START Wazuh启动wazuh-agent,过一会就可以在wazuh服务端的dashboard中看到window 11的wazuh-agent注册上来了。
2) 配置window端点的wazuh-agent
按照以下步骤配置Wazuh代理以监控以下目录的文件系统更改。如监控C:\Users\xiejava\Desktop的文件更改。
在受监控的Windows端点上编辑C:\Program Files (x86)\ossec-agent\ossec.conf配置文件。在<syscheck>块内添加监控目录。配置Wazuh监控C:\Users\xiejava\Desktop目录。
<directories check_all="yes" report_changes="yes" realtime="yes">C:\Users\xiejava\Desktop</directories>
使用具有管理员权限的PowerShell重新启动Wazuh代理以使配置更改生效。
Restart-Service -Name wazuh
2、ubuntu主机的wazuh-agent配置
由于ubuntu主机(192.168.0.41)已经安装了wazuh-agent,只需要对wazuh-agent进行配置就可以了。
执行以下步骤以配置Wazuh代理以监控/root目录中的文件系统更改。
编辑Wazuh代理的/var/ossec/etc/ossec.conf配置文件。在<syscheck>块中添加监控的目录。配置Wazuh监控/root目录。
<directories check_all="yes" report_changes="yes" realtime="yes">/root</directories>
重新启动Wazuh代理以使配置生效
sudo systemctl restart wazuh-agent
三、效果验证
1、windows端点文件完整性监控
1)文件增、删、改
在window 11(192.168.0.16)的机器的桌面上新建一个.txt文件,然后重命名为test-win11.txt,再修改test-win11.txt的内容。
2)可视化告警监控
在wazuh的dashboard中可以看到window 11机器的完整性监控告警。
在详情中可以看到window11机器c:\users\xiejava\desktop\下文件变更的详情。
2、ubuntu主机文件完整性监控
1)文件增、删、改
在ubuntu(192.168.0.41)的机器的/root新建一个test.txt文件,然后重命名为test-ubuntu.txt,再修改test-ubuntu.txt的内容。
2)可视化告警监控
在wazuh的dashboard中可以看到ubuntu(192.168.0.41)主机的文件完整性监控告警。
在Dashboard中可以看到FIM的统计信息包括对文件的新增、删除、修改等。
在Events中可以看到文件被修改触发的事件
可以查看具体的事件详情
至此,我们通过POC实例来验证了Wazuh的文件完整性监控FIM功能,使用Wazuh FIM模块来检测Ubuntu和Windows端点上监控目录的变化。
作者博客:http://xiejava.ishareread.com/