Title TRIỂN KHAI WAZUH SIEM & XDR.pdf ✅

TRIỂN KHAI WAZUH SIEM & XDR ITSTARVN OPENLAB
MỤC LỤC 1. Giới thiệu tổng quan về WAZUH........................................................... 4 1.1. Khái niệm:...........................................................................................4 1.1.2 OSSEC HIDS..................................................................................4 1.1.4. Elastic Stack .................................................................................5 1.2. Các thành phần của WAZUH .................................................................5 1.2.1. Wazuh Server...............................................................................5 1.2.2. Wazuh Agent................................................................................6 1.2.3. Elastic Stack .................................................................................8 1.3. Kiến trúc của WAZUH ...........................................................................9 1.3.1. Giao tiếp Agent - Server ..............................................................11 1.3.2. Giao tiếp Wazuh - Elastic .............................................................11 1.4. Các port cần thiết...............................................................................11 1.4.1. Wazuh .......................................................................................12 1.4.2. Elastic Stack ...............................................................................12 1.4.3. Lưu trữ dữ liệu............................................................................12 1.5. Luật trong WAZUH .............................................................................13 1.5.1. Tổ chức các luật .........................................................................13 1.5.2. Các thuộc tính của Rule...............................................................14 1.5.3. Các cấp độ Rule..........................................................................15 1.5.4. Cú pháp của Rule........................................................................18 1.5.5. Cú pháp của Decoders.................................................................26 2. Yêu cầu tài nguyên............................................................................. 28 3. Hướng đối tượng doanh nghiệp ......................................................... 29 4. Cài đặt Wazuh trên VMWare Workstation.......................................... 30 4.1. Mô hình cài đặt ..................................................................................30 4.2. Thực hiện cấu hình.............................................................................31 4.2.1. Cài đặt Server.............................................................................31 Bước 2: Điền thông tin theo yêu cầu......................................................32 Bước 3: Đặt tên cho máy ảo và chọn đường dẫn đến máy .......................33 4.2.2.Cài đặt Wazuh cho Server.............................................................37
TRIỂN KHAI WAZUH SIEM & XDR 1 ITSTAR.VN 4.2.3. Cài đặt Agent..............................................................................66 4.3. Wazuh DashBoard (bảng điều khiển các tác vụ)....................................69 4.4. Link YOUTUBE hướng dẫn cài đặt Wazuh-Manager và Wazuh-Agent.......71 5. Kiểm tra ứng dụng thực tế của Wazuh .............................................. 72 5.1. Mục tiêu của hệ thống giám sát cần đạt được.......................................72 5.1.1. NIDS..........................................................................................72 5.1.2. HIDS..........................................................................................73 5.2. Các mô phỏng để tìm hiểu về tính năng WAZUH...................................74 5.2.1. Wazuh phát hiện các mã độc và các lệnh thực thi độc hại ..............74 5.2.1.1. Trường hợp 1: Wazuh tích hợp VirusTotal để phát hiện và ngăn chặn các phần mềm độc hại .............................................................75 5.2.1.2. Trường hợp 2: Wazuh phát hiện phần mềm độc hại bằng tích hợp Yara ...............................................................................................91 5.2.1.3. Trường hợp 3: Wazuh giám sát việc thực thi các lệnh độc hại111 5.2.2. Wazuh phát hiện các cuộc tấn công............................................121 5.2.2.1. Trường hợp 1: Wazuh chặn một tác nhân độc hại đã biết .....123 5.2.2.2. Trường hợp 2: Wazuh phát hiện cuộc tấn công SQL .............143 5.2.2.3. Trường hợp 3: Wazuh phát hiện cuộc tấn công ShellShock ...148 5.2.2.4. Trường hợp 4: Wazuh giám sát các sự kiện Docker ..............153 5.2.2.5. Trường hợp 5: Wazuh phát hiện các cuộc tấn công Brute-Force ....................................................................................................159 5.2.3. Wazuh phát hiện các tiến trình bất thường..................................165 5.2.3.1. Trường hợp 1: Wazuh phát hiện tiến trình trái phép .............166 5.2.3.2. Trường hợp 2: Wazuh phát hiện các tiến trình ẩn.................172 5.2.4. Wazuh phát hiện các hành động liên quan đến hệ thống..............178 5.2.4.1. Trường hợp 1: Wazuh phát hiện các hành động thêm, xóa, sửa file................................................................................................179 5.2.4.2. Trường hợp 2: Wazuh phát hiện các tệp nhị phân đáng ngờ .182 5.2.5. Wazuh phát hiện các lỗ hổng .....................................................184
TRIỂN KHAI WAZUH SIEM & XDR 2 ITSTAR.VN 1. Giới thiệu tổng quan về WAZUH 1.1. Khái niệm: WAZUH là một dự án mã nguồn mở với các chức năng security detection, visibility, và compliance monitoring. Wazuh ban đầu được phát triển dựa trên OSSEC HIDS và sau đó được tích hợp thêm Elastic Stack cùng với OpenSCAP để trở thành một giải pháp an ninh toàn diện với các khả năng như: Hình 1: Tính năng của Wazuh 1.1.1 OSSEC HIDS OSSEC là một HIDS (Host-based Intrusion Detection System) với kiến trúc gồm các agent vệ tinh đa nền tảng và một hệ thống quản lý trung tâm (central manager). Các agent này sẽ forward dữ liệu hệ thống (chẳng hạn log messages, file hashes, và các hoạt động bất thường) đến cho trung tâm quản lý để được phân tích và xử lý và đưa ra các alert thích hợp. Các dữ liệu này sẽ được gửi thông qua các kênh truyền an toàn và được xác thực. Ngoài ra, OSSEC cũng có thể được triển khai với cấu hình một syslog server trung tâm cùng hệ thống giám sát phi tác nhân (agentless configuration monitoring system). Ở cấu hình này, OSSEC sẽ đưa ra các security insight từ các sự kiện và thay đổi diễn ra trên các thiết bị agentless như firewall, switch, routers, access point, network appliance, v...v..