Wazuh 通過監控操作系統和應用程序層面的終端設備，增強您基礎設施的安全可見性。其核心功能涵蓋日志分析、文件完整性監控、入侵檢測以及合規性監控。

一、介紹

1. 核心功能

1.1 主機入侵檢測（HIDS）

• 文件完整性監控（FIM）：實時檢測系統關鍵文件（如配置文件、日志、二進制文件）的變更，防止未經授權的修改。
• 惡意軟件檢測：通過集成 VirusTotal、YARA 等工具掃描惡意軟件。
• 系統配置審計：檢查系統是否符合安全基線（如 CIS Benchmark），識別弱密碼、未打補丁的服務等風險。
• 行為監控：監控進程活動、用戶登錄、權限變更等可疑行為。

1.2 日志分析與 SIEM

• 集中式日志管理：收集并分析來自服務器、網絡設備、云服務等的日志。
• 實時告警：通過預定義規則或自定義規則觸發告警（例如多次登錄失敗、異常網絡連接）。
• 與 Elastic Stack 集成：利用 Elasticsearch 存儲日志，Kibana 提供可視化儀表盤。

1.3 漏洞檢測

• CVE 數據庫集成：自動掃描系統中已安裝軟件的已知漏洞（基于 CVE 數據庫）。
• 動態風險評估：結合漏洞嚴重性和資產重要性生成優先級報告。

1.4 云安全與容器監控

• AWS、Azure、GCP 集成：監控云基礎設施配置，檢測公開的存儲桶、過度權限等風險。
• Kubernetes/Docker 支持：監控容器運行時行為，檢測異常容器活動。

1.5 合規性管理

• 預定義合規模板：支持 PCI DSS、GDPR、HIPAA 等法規的合規性檢查。
• 自動化報告：生成合規性報告，輔助審計流程。

組件構成

架構圖

Wazuh 采用分布式架構，主要組件包括：

1. Wazuh Agent
   • 安裝在終端主機（服務器、PC、云實例、容器）上的輕量級代理。
   • 負責收集日志、監控文件完整性、執行安全策略。
2. Wazuh Manager
   • 中央管理服務器，處理代理發送的數據。
   • 負責規則解析、告警生成、與 Elasticsearch 集成。
3. Elastic Stack
   • Elasticsearch：存儲和索引數據。
   • Kibana：提供交互式儀表盤（Wazuh 提供預置的 Kibana 插件）。
   • Logstash（可選）：用于日志預處理。

二、安裝體驗

管理端安裝

安裝參考官方文檔

這里體驗安裝，使用虛擬機安裝管理端。

vmware 導入 ova 格式文件 wazuh-4.11.1.ova 。

虛擬機網卡默認模式為橋接模式，在開機之前設置網卡為NAT模式。

虛擬機是基于 amazon linux，可以通過命令查看操作系統版本和ip:

[wazuh-user@wazuh-server ~]$ uname -or
6.1.129-138.220.amzn2023.x86_64 GNU/Linux
[wazuh-user@wazuh-server ~]$ ip a
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1000link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00inet 127.0.0.1/8 scope host lovalid_lft forever preferred_lft foreverinet6 ::1/128 scope host noprefixroutevalid_lft forever preferred_lft forever
2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc fq_codel state UP group default qlen 1000link/ether 00:0c:29:2c:9c:d8 brd ff:ff:ff:ff:ff:ffaltname enp2s0altname ens32inet 192.168.234.143/24 metric 1024 brd 192.168.234.255 scope global dynamic eth0valid_lft 1428sec preferred_lft 1428secinet6 fe80::20c:29ff:fe2c:9cd8/64 scope link proto kernel_llvalid_lft forever preferred_lft forever
[wazuh-user@wazuh-server ~]$

windows 安裝代理客戶端

代理可執行文件下載

.\wazuh-agent-4.11.1-1.msi /q WAZUH_MANAGER="192.168.234.143"

或者通過gui設置：

在終端查看：

這里可以看到該軟件掃描出當前 win10 系統的兩個軟件存在高危漏洞，可以查詢CVE編碼查看詳情。

ubuntu 安裝代理客戶端

參考文檔

# 安裝軟件源
curl -s https://packages.wazuh.com/key/GPG-KEY-WAZUH | gpg --no-default-keyring --keyring gnupg-ring:/usr/share/keyrings/wazuh.gpg --import && chmod 644 /usr/share/keyrings/wazuh.gpgecho "deb [signed-by=/usr/share/keyrings/wazuh.gpg] https://packages.wazuh.com/4.x/apt/ stable main" | tee -a /etc/apt/sources.list.d/wazuh.listapt-get update# 安裝代理
WAZUH_MANAGER="192.168.234.143" apt-get install wazuh-agent# 代理啟動管理
systemctl daemon-reload
systemctl enable wazuh-agent
systemctl start wazuh-agent# 安裝完成后，為了保證管理端與客戶端版本一致，禁止自動升級
sed -i "s/^deb/#deb/" /etc/apt/sources.list.d/wazuh.list
apt-get update

安裝完成后，可以在管理端查看該節點的安全情況：

合規檢查：

三、部署場景

• 本地環境：監控傳統服務器和網絡設備。
• 云原生環境：通過代理或 API 集成監控 AWS S3、CloudTrail、Lambda 等。
• 混合環境：同時支持本地和云資源的統一管理。
• 容器化部署：通過 Helm Chart 在 Kubernetes 集群中快速部署。

---

四、優勢與特點

• 完全開源：代碼托管在 GitHub，遵循 GPLv2 許可證。
• 可擴展性：支持自定義規則、集成第三方工具（如 VirusTotal、Slack、PagerDuty）。
• 多平臺支持：代理支持 Windows、Linux、macOS、Solaris、AIX 等。
• 活躍社區：擁有超過 2000 萬次下載和活躍的開發者社區。
• 輕量級：代理資源占用低（CPU < 5%，內存 < 100MB）。

---

五、典型使用場景

1. 企業服務器安全監控
   檢測 SSH 暴力破解、Web 服務器攻擊、異常進程活動。
2. 合規性審計
   自動生成 PCI DSS 或 GDPR 合規報告。
3. 云安全態勢管理（CSPM）
   監控 AWS 賬戶中的公開 S3 存儲桶或過度權限的 IAM 角色。
4. 勒索軟件防御
   通過 FIM 和進程監控識別加密文件行為。
5. 物聯網設備保護
   監控嵌入式設備的異常網絡連接或固件篡改。

官方文檔