Wazuh¶
在这篇文章中
备注
Wazuh 是一个全面的开源平台,用于安全监控和威胁检测。它提供集中式的安全分析解决方案,包括入侵检测、文件完整性监控以及符合监管要求。该平台基于模块化架构构建,支持可扩展性,能够为小型组织和大型企业提供保护。
Wazuh 主要功能¶
- 入侵检测 - 监控系统和网络事件,以识别可疑活动和网络攻击。
- 文件完整性监控 - 跟踪关键文件和目录的更改,以防止未经授权的修改。
- 事件日志分析 - 使用关联规则集中收集和分析来自各种来源的日志,以检测威胁。
- 恶意软件检测 - 使用基于签名和行为分析的方法扫描系统中的恶意软件。
- 漏洞评估 - 持续分析已安装软件中的已知漏洞。
- 合规性控制 - 检查系统是否符合安全标准(PCI DSS、GDPR、HIPAA、NIST 等)。
- 云安全 - 监控和保护公共云环境(AWS、Azure、Google Cloud)中的资源。
- 集成与响应 - 与外部安全系统交互并自动化事件响应流程。
部署功能¶
| ID | 软件名称 | 兼容操作系统 | 虚拟机 | 物理机 | vGPU | GPU | 最低CPU(核) | 最低内存(GB) | 最低硬盘(GB) | 自定义域名 | 是否启用 |
|---|---|---|---|---|---|---|---|---|---|---|---|
| 283 | Wazuh | Ubuntu 22.04 | + | + | + | + | 2 | 4 | 10 | 否 | 订购 |
- 支持在 Ubuntu 22.04 上安装;
- 设置时间为 30-60 分钟(包括操作系统安装);
- 完整安装 Wazuh Server + Indexer + Dashboard;
- Wazuh Dashboard 可通过端口 8080 访问,并提供安全的 HTTPS 连接;
- 安装后自动进行集群健康检查;
- 管理员凭据在安装过程中自动生成;
- Wazuh 配置文件存储在
/var/ossec目录中; - Wazuh Dashboard 组件位于
/usr/share/wazuh-dashboard; - 安装脚本文件位于
/opt/wazuh目录中; - 管理员密码存储在文件
/opt/wazuh/password中,格式为admin:password; - 安装归档文件路径:
/opt/wazuh/wazuh-install-files.tar。
为了使 Wazuh 正常运行,需要以下最低系统资源:
- 处理器: 至少 2 个 CPU 核心;
- 内存: 至少 4 GB;
- 磁盘空间: 建议至少 50 GB SSD/HDD:
- 容量可能会根据代理数量和事件强度而增加;
- 对于拥有大量代理的生产环境,建议拥有 100 GB 或更多空间。
备注
这些要求适用于具有少量代理的基本 Wazuh 安装。较大的环境可能需要更强大的硬件。
备注
除非另有说明,我们默认从开发者网站或操作系统存储库安装软件的最新发布版本。
部署 Wazuh 后的入门指南¶
订单付款后,将向注册时指定的电子邮件地址发送服务器准备就绪的通知。该通知将包含 VPS 的 IP 地址以及连接所需的登录名和密码。我们的客户可以通过 服务器控制面板和 API - Invapi 管理设备。
您还可以在此处找到凭据,这些凭据可以在服务器控制面板的 Configuration >> Tags 选项卡中找到,也可以在发送给您的电子邮件中找到:
- 访问 Wazuh Web 面板的链接:位于 webpanel 标签中;
- 登录名:
root- 用于管理服务器,admin- 用于登录 Wazuh Web 界面; - 服务器管理密码:在软件部署完成后,服务器准备就绪时会发送到您的电子邮件地址。
获取凭据并登录 Web 面板¶
要访问 Wazuh Web 控制面板,您需要获取在安装过程中自动生成的管理员凭据。这些详细信息不是手动设置的,也无法提前获知;要检索它们,请按照以下步骤操作:
- 以管理员身份通过 SSH 连接到服务器:
- 检查保存凭据的文件: 数据格式为
admin:password:
更改凭据¶
首次登录后,建议更改管理员的默认密码以增强安全性:
-
点击界面右上角的个人资料图标 "a"。
-
在下拉菜单中,选择 Reset password:
-
在打开的页面上,您需要:
- 在 Current password 字段中输入当前密码;
- 在 New password 字段中输入新密码,并遵守安全要求:
- 至少 8 个字符;
- 至少一个大写字母;
- 至少一个小写字母;
- 至少一个数字;
- 至少一个特殊字符。
- 在 Re-enter new password 字段中重新输入新密码。
-
点击
Reset按钮以保存更改。
备注
通过 Web 界面更改密码后,新凭据不会自动更新到文件 /opt/wazuh/password 中。
Wazuh Dashboard 启动屏幕¶
成功登录后,您将进入 Wazuh Dashboard 启动屏幕,提供安全系统状态的概览:
成功登录后,您将到达 Wazuh Dashboard 启动屏幕,提供安全系统状态的视图。主要界面元素包括:
- Agent Summary — 显示已注册的 Wazuh 代理数量。首次登录时,它会显示消息 "This instance has no agents registered" 和一个按钮
Deploy new agent以添加新的监控对象。 - Last 24 Hours Alerts — 显示四个类别中的警报数量:严重级别(15+ 级)、高级别(12-14 级)、中级别(7-11 级)和低级别(0-6 级)。
- Endpoint Security — 包括用于配置审计的配置评估模块、用于识别恶意软件的恶意软件检测模块以及用于跟踪文件更改的文件完整性监控模块。
- Threat Intelligence — 提供用于分析安全警报的威胁狩猎工具、用于发现漏洞的漏洞检测工具以及用于将事件与已知对手战术匹配的 MITRE ATT&CK 框架。
- Security Operations — 包含符合各种安全标准的模块,包括 PCI DSS、GDPR、HIPAA、NIST 800-53 和 TSC。
- Cloud Security — 允许监控各种云服务和容器,包括 Docker、Amazon Web Services、Google Cloud、GitHub 和 Office 365。