目录

安装wazuh

常用内容

检测sql注入       

主动响应       

---

安装wazuh

本地测试的话建议用ova文件，直接导入虚拟机就能用了

官网：Virtual Machine (OVA) - Installation alternatives

常用内容

目录位置：/etc/ossec

配置文件：/var/ossec/etc/ossec.conf

告警信息：/var/ossec/logs/alerts/alerts.log，有两个格式，json格式是给计算机看的

规则：/var/ossec/ruleset/rules，不建议修改

快速查找一条规则：

[root@wazuh-server rules]# find . -type f -name "*.xml" -print0 | xargs -0 grep -r -i "5557"
./0085-pam_rules.xml:  <rule id="5557" level="5">

添加代理

直接按照wazuh的选项来就可以：      

 

查找代理：

路径：/var/ossec/bin

这个工具可以找到我们的代理，如下：

 

检测sql注入
       

先在客户端配置文件中/var/ossec/etc/ossec.conf添加要监控的日志

<ossec_config> 

<localfile>
    <log_format>apache</log_format>
    <location>/var/log/httpd/access.log</location>
  </localfile>

</ossec_config>

在服务端不用操作，因为相关规则都写好了的

然后在客户端模拟下攻击：

 

 日志明显已经记录下来了：

 

看wazuh的监控：

 

 发现提示

主动响应
       

要在服务端的配置文件上配置：

这是主动响应的位置，这些命令就是要执行的内容，不调用是无法使用的，所以我们自己写的主动响应规则需要按需求来调用这些命令

 

 模板：

<ossec_config>
  <active-response>
    <disabled>no</disabled>
    <command>host-deny</command>
    <location>defined-agent</location>
    <agent_id>001</agent_id>
    <level>10</level>
    <timeout>180</timeout>
  </active-response>
</ossec_config>

这里使用的是level触发，能管到所有达到这个等级的代理客户端

如果用<rules_id></rules_id>来触发的话可以更精确

这里用rules_id写然后添加进去

这个31103和31171是在提示告警的时候触发的，这样就能精确匹配上了

重启服务然后再测试改成的sql注入，发现无法访问了

再去看iptables就能发现IP已经被加进去了（后面会根据timeout把ip放出来）

如果手动操作的话，就得看日志，再手动添加进防火墙，效率低下、繁琐

注：
原文链接：https://blog.csdn.net/vt_yjx/article/details/132416509