1.简介
1.1 功能简介
Wazuh使用漏洞检测器模块来识别端点上运行的应用程序和操作系统中的漏洞,Wazuh在受监控的端点中检测未修补的常见漏洞和披露(CVE)。
1.2 测试环境
|
端点 |
描述 |
|
Ubuntu 22.04 |
漏洞检测模块扫描此 Linux端点,以查找其操作系统和已安装应用程序中的漏洞。 |
|
windows 10 |
漏洞检测模块扫描此 Windows终点,以查找其操作系统和已安装应用程序中的漏洞。 |
2.环境配置
2.1Wazuh服务器配置
1)启用漏洞检测模块
把各个操作系统漏洞检测模块设置为yes,<enabled>yes</enabled>
<ossec_config>
<vulnerability-detector>
<enabled>yes</enabled>
<interval>5m</interval>
<min_full_scan_interval>6h</min_full_scan_interval>
<run_on_start>yes</run_on_start>
<provider name="canonical">
<enabled>yes</enabled>
<os>trusty</os>
<os>xenial</os>
<os>bionic</os>
<os>focal</os>
<os>jammy</os>
<update_interval>1h</update_interval>
</provider>
<provider name="debian">
<enabled>yes</enabled>
<os>buster</os>
<os>bullseye</os>
<os>bookworm</os>
<update_interval>1h</update_interval>
</provider>
<provider name="redhat">
<enabled>yes</enabled>
<os>5</os>
<os>6</os>
<os>7</os>
<os>8</os>
<os allow="CentOS Linux-8">8</os>
<os>9</os>
<update_interval>1h</update_interval>
</provider>
<provider name="msu">
<enabled>yes</enabled>
<update_interval>1h</update_interval>
</provider>
<provider name="nvd">
<enabled>yes</enabled>
<update_interval>1h</update_interval>
</provider>
</vulnerability-detector>
</ossec_config>2)重启wazuh服务器
sudo systemctl restart wazuh-manager2.2测试配置
无需执行任何操作。Wazuh服务器会下载并维护一个CVE数据库。它定期对每个受监控端点上的应用程序和操作系统执行漏洞检测扫描。漏洞库保存位置:/var/ossec/queue/vulnerabilities/cve.db
2.3告警测试
在Wazuh仪表板中查看可视化警报数据。操作方法:转到漏洞检测器模块,选择一个代理,然后单击任何漏洞。
原文始发于微信公众号(安全孺子牛):Wazuh检测系统漏洞
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论