1.简介
1.1 功能简介
Docker 在软件容器内自动部署不同的应用程序。适用于 Docker 的 Wazuh 模块可实时识别跨容器的安全事件和警报。在此用例中,将 Wazuh 配置为监视托管 Docker 容器的 Ubuntu 端点上的 Docker 事件。
1.2 测试环境
|
端点 |
描述 |
|
Ubuntu 22.04 |
用于创建和删除容器的 Docker 主机。 |
2.环境配置
2.1Ubuntu配置
1)安装python和pip
sudo apt install python3 python3-pip
sudo ln -s /usr/bin/python3 /usr/bin/python2)升级PIP
pip3 install -i https://pypi.tuna.tsinghua.edu.cn/simple --upgrade pip3)安装docker和python的docker库
sudo apt-get install
apt-transport-https
ca-certificates
curl
gnupg-agent
software-properties-common
curl -fsSL https://mirrors.ustc.edu.cn/docker-ce/linux/ubuntu/gpg | sudo apt-key add -
sudo add-apt-repository
"deb [arch=amd64] https://mirrors.ustc.edu.cn/docker-ce/linux/ubuntu/
$(lsb_release -cs)
stable"
sudo apt-get update
sudo apt-get install docker-ce docker-ce-cli containerd.io
sudo systemctl start docker
sudo systemctl enable dockersudo pip3 install -i https://pypi.tuna.tsinghua.edu.cn/simple docker==4.2.0 urllib3==1.26.184)配置docker监听服务
<ossec_config>
<wodle name="docker-listener">
<interval>10m</interval>
<attempts>5</attempts>
<run_on_start>yes</run_on_start>
<disabled>no</disabled>
</wodle>
</ossec_config>
5)重启wazuh-agent服务
sudo systemctl restart wazuh-agent2.2测试配置
执行多个Docker活动,例如拉取Docker映像、启动实例、运行一些其他Docker命令,然后删除容器。
1)拉取镜像并运行
sudo docker pull nginx
sudo docker run -d -P --name nginx_container nginx
sudo docker exec -it nginx_container cat /etc/passwd
sudo docker exec -it nginx_container /bin/bash
exit
2)关闭并删除容器
sudo docker stop nginx_container
sudo docker rm nginx_container
2.3告警分析
1)查看告警分析
查询语法:rule.groups: "docker"
2)搜索查询语法
使用“按类型筛选”搜索字段,应用筛选器以显示执行了哪些操作,查询语法:data.docker.Action
原文始发于微信公众号(安全孺子牛):Wazuh监控Docker事件
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论