开源主机入侵检测系统Wazuh 安装及测试

　　Wazuh是一个开源的主机入侵检测系统（HIDS），其核心是轻量级的端点代理，可部署在需要监控的系统上实时收集关键安全数据，并传输到中央管理服务器。该服务器具备深入的分析能力，能通过规则引擎识别潜在安全威胁和异常行为，还可与Elastic Stack无缝集成，提供强大的搜索和数据可视化功能，可用于入侵检测、日志数据分析、文件完整性监控、漏洞检测等多种安全监控场景，官网 https://wazuh.com  。

入门部署的推荐硬件

2、操作系统要求

需要 64 位 Intel 或 AMD Linux 处理器（x86_64/AMD64 架构）才能运行

3、Centos7上安装Server端

curl -sO https://packages.wazuh.com/4.10/wazuh-install.sh && sudo bash ./wazuh-install.sh -a
#详细安装方法 https://documentation.wazuh.com/current/quickstart.html

You can access the web interface https://<wazuh-dashboard-ip>:443
User: admin
Password: daFeMsv8V4g0uB9?DrJ7Vhy0Q6mqVLf.
systemctl restart wazuh-manager #重启服务

4、登录控制台

https://<wazuh-dashboard-ip>:443

TCP 443： Web控制台访问
TCP 1514：Wazuh 代理（Agent）与 Wazuh 管理器（Manager）之间的常规数据传输
TCP 1515：Wazuh 代理（Agent）注册，当新的Agent加入 Wazuh 系统时，会通过这个端口向请求身份验证和获取的密钥
TCP 55000：Wazuh API 使用的端口
详细见：https://documentation.wazuh.com/4.10/user-manual/manager/wazuh-manager.html

三、安装Agent

1、在Debian上安装Agent

wget https://packages.wazuh.com/4.x/apt/pool/main/w/wazuh-agent/wazuh-agent_4.10.1-1_amd64.deb && sudo WAZUH_MANAGER='192.168.25.219' WAZUH_AGENT_NAME='kali-20.236' dpkg -i ./wazuh-agent_4.10.1-1_amd64.deb

sudo systemctl daemon-reload
sudo systemctl enable wazuh-agent
sudo systemctl start wazuh-agent
yum remove wazuh-agent && rm -rf /var/ossec  #卸载并删除命令

Agent成功运行后，会显示在左上角

安装Windows agent时，需使用管理员权限启动PowerShell
如果未安装成功，NET START WazuhSvc  命令会提示未找到服务

C:\Program Files (x86)\ossec-agent  #Windows下安装后的目录
NET START WazuhSvc                  #启动服务
win32ui.exe                         #查看状态、重启等
ossec.log                           #查看日志

第三步，端口状态查看（排查故障时使用）

netstat -an|findstr 1514

四、安全功能测试

1、Threat Hunting 安全威胁

2、MITRE ATT&CK

3、Vulnerability Detection 漏洞检测

安装 Reptile-rootkit 和mafix  rootkit程序测试，已经检测到