HIDS入侵检测系统-Elkeid与Wazuh

admin 2025年4月27日13:38:34评论20 views字数 2253阅读7分30秒阅读模式

前言

上一篇介绍了两款开源的NIDS,这篇就介绍两款开源的HIDS

Elkeid

Elkeid 是一款可以满足 主机,容器与容器集群,Serverless 等多种工作负载安全需求的开源解决方案,源于字节跳动内部最佳实践。

服务器配置:4C8G

环境部署

Elkeid 完整部署[1]

GitHub - bytedance/Elkeid: Elkeid is an open source solution that can meet the security requirements of various workloads such as hosts, containers and K8s, and serverless. It is derived from ByteDance’s internal best practices.[2]

# 从release下载的是分卷的镜像,需要先合并镜像
wget https://github.com/bytedance/Elkeid/releases/download/v1.9.1.4/elkeidup_image_v1.9.1.tar.gz.00
wget https://github.com/bytedance/Elkeid/releases/download/v1.9.1.4/elkeidup_image_v1.9.1.tar.gz.01
wget https://github.com/bytedance/Elkeid/releases/download/v1.9.1.4/elkeidup_image_v1.9.1.tar.gz.02
wget https://github.com/bytedance/Elkeid/releases/download/v1.9.1.4/elkeidup_image_v1.9.1.tar.gz.03
cat elkeidup_image_v1.9.1.tar.gz.* > elkeidup_image_v1.9.1.tar.gz

#导入镜像
docker load -i elkeidup_image_v1.9.1.tar.gz
docker run -d --name elkeid_community 
  --restart=unless-stopped
  -v /sys/fs/cgroup:/sys/fs/cgroup:ro
  -p 8071:8071 -p 8072:8072 -p 8080:8080
  -p 8081:8081 -p 8082:8082 -p 8089:8080  -p 8090:8090
  --privileged
  elkeid/all-in-one:v1.9.1

仅可以使用局域网IP,不要使用 127.0.0.1 或者 hostname 或者公网IP

docker exec -it elkeid_community bash

cd /root/.elkeidup/

# 命令为交互式
./elkeidup public {ip}#172.25.23.117


./elkeidup agent init
./elkeidup agent build
./elkeidup agent policy create
# 查看登录密码
cat ~/.elkeidup/elkeid_passwd
HIDS入侵检测系统-Elkeid与Wazuh
HIDS入侵检测系统-Elkeid与Wazuh

主要功能

资产探针

HIDS入侵检测系统-Elkeid与Wazuh
HIDS入侵检测系统-Elkeid与Wazuh

目前好像只支持内网下载客户端去连接

稍微等待一会就会出现客户端主机成功连接上来了

HIDS入侵检测系统-Elkeid与Wazuh
HIDS入侵检测系统-Elkeid与Wazuh

基线检测

HIDS入侵检测系统-Elkeid与Wazuh
HIDS入侵检测系统-Elkeid与Wazuh
HIDS入侵检测系统-Elkeid与Wazuh

病毒扫描

HIDS入侵检测系统-Elkeid与Wazuh
HIDS入侵检测系统-Elkeid与Wazuh

入侵检测

HIDS入侵检测系统-Elkeid与Wazuh

Wazuh

Wazuh 是一个免费、开源和企业级的安全监控解决方案,用于威胁检测、完整性监控、事件响应和合规性。

Wazuh由部署到受监视系统的端点安全代理和管理服务器组成,管理服务器收集和分析代理收集的数据。此外,Wazuh已与Elastic Stack完全集成,提供了搜索引擎和数据可视化工具,使用户可以浏览其安全警报。

Wazuh提供的功能包括日志数据分析,入侵和恶意软件检测,文件完整性监视,配置评估,漏洞检测以及对法规遵从性的支持。

https://github.com/wazuh

环境部署-虚拟机直接部署

Virtual Machine (OVA) - Installation alternatives[3]

user: root
password: wazuh
HIDS入侵检测系统-Elkeid与Wazuh
timedatectl set-timezone Asia/Shanghai

参考使用

【干货】开源安全平台Wazuh的部署与体验

引用链接

[1] Elkeid 完整部署: http://elkeid.bytedance.com/docs/elkeidup/deploy-zh_CN.html
[2] GitHub - bytedance/Elkeid: Elkeid is an open source solution that can meet the security requirements of various workloads such as hosts, containers and K8s, and serverless. It is derived from ByteDance’s internal best practices.: https://github.com/bytedance/Elkeid
[3] Virtual Machine (OVA) - Installation alternatives: https://documentation.wazuh.com/current/deployment-options/virtual-machine/virtual-machine.html

原文始发于微信公众号(ElmWhite安全小记):HIDS入侵检测系统-Elkeid与Wazuh

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2025年4月27日13:38:34
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   HIDS入侵检测系统-Elkeid与Wazuhhttps://cn-sec.com/archives/4006506.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息