Wazuh详解

kuokay

已于 2025-06-17 09:29:20 修改

阅读量1.1k

点赞数 18

CC 4.0 BY-SA版权

文章标签： wazuh agent index service

于 2025-06-16 21:40:08 首次发布

本文链接：https://blog.csdn.net/qq_45066628/article/details/148699571

Wazuh 入门

简介
- 🔐 核心功能—— 终端与云工作负载防护Wazuh全面安全能力
安装组件的环境要求
- 硬件要求
- 系统要求
架构
Components组件

简介

官网：https://wazuh.com/
在这里插入图片描述

Wazuh 是一个开源的安全检测、可视化与响应平台，广泛应用于入侵检测（HIDS）、日志分析、安全合规性监控、漏洞检测和云安全监控等场景。它由 OSSEC 演化而来，扩展了功能与可用性，现已发展为一个全面的SIEM(Security Information and Event Management)与 XDR（Extended Detection and Response）解决方案组件。无论将其归类为 HIDS 还是 EDR，Wazuh 都是一套通过监控主机日志行为，实现安全检测、分析与报告的强大、免费的开源工具。

Wazuh 基于客户端-服务器架构，Agent 支持 Windows、macOS、Linux、HP-UX、AIX 等主流操作系统，服务端负责身份认证与数据采集，并通过 Filebeat 清洗日志、导入 Elasticsearch，最后由 Kibana 可视化展示。平台不仅支持主机事件日志收集与分析，实现入侵检测功能，还可结合第三方漏洞数据库实现漏洞扫描与合规性检查。此外，Wazuh 提供日志分析、恶意软件检测、文件完整性监控、配置评估与合规支持等一体化能力，能够全面保护云、容器与服务器工作负载。

🔐 核心功能—— 终端与云工作负载防护Wazuh全面安全能力

在这里插入图片描述

🛡️ 主机与终端安全

终端安全（Endpoint Security）：对 Linux、Windows、macOS 系统进行持续监控与防护。
恶意软件检测（Malware Detection）：基于特征与行为的恶意软件识别机制。
文件完整性监控（File Integrity Monitoring）：实时检测系统关键文件的变更行为。
配置评估（Configuration Assessment）：检查系统配置是否符合安全基线与最佳实践。
IT 卫生管理（IT Hygiene）：清理冗余账户、弱口令和不安全的配置，提高系统健康水平。

🔍 威胁检测与响应

威胁情报（Threat Intelligence）：集成威胁情报源，识别已知攻击者与 IOC（威胁指标）。
威胁狩猎（Threat Hunting）：基于规则、日志和行为分析进行主动威胁发现。
日志数据分析（Log Data Analysis）：收集并关联分析多源日志数据，辅助溯源与调查。
安全运营（Security Operations）：支持 SOC 运维流程，包括告警、审计与协同响应。
事件响应（Incident Response）：自动化或手动触发响应操作（如隔离主机、阻断通信等）。

🔒 云与容器安全

云安全（Cloud Security）：支持 AWS、Azure、GCP 等主流云平台的安全配置与资源监控。
容器安全（Container Security）：监控 Docker、Kubernetes 容器环境中的行为与异常。
安全态势管理（Posture Management）：评估云环境配置风险，提升整体安全态势。
工作负载保护（Workload Protection）：统一保护 VM、容器、服务器等运行中的应用工作负载。

🧩 合规与漏洞管理

漏洞检测（Vulnerability Detection）：集成漏洞扫描模块，识别系统中的已知漏洞。
法规合规（Regulatory Compliance）：内置合规规则模板，如 PCI-DSS、GDPR、HIPAA、ISO 27001 等，助力合规审计与报告。

安装组件的环境要求

硬件要求

在这里插入图片描述

系统要求

Wazuh 中央组件需要 64 位 Intel、AMD 或 ARM Linux 处理器（x86_64/AMD64 或 AARCH64/ARM64 架构）才能运行。Wazuh 推荐以下任何作系统版本：
在这里插入图片描述

架构

下图表示 Wazuh 部署架构。它展示了解决方案组件，以及如何将 Wazuh 服务器和 Wazuh 索引器节点配置为集群，从而提供负载均衡和高可用性。
在这里插入图片描述

Wazuh 架构基于在受监控端点上运行的代理，这些代理将安全数据转发到中央服务器。支持防火墙、交换机、路由器和接入点等无代理设备，并且可以通过 Syslog、SSH 或使用其 API 主动提交日志数据。中央服务器对传入的信息进行解码和分析，并将结果传递给 Wazuh 索引器进行索引和存储。
Wazuh 索引器集群是一个或多个节点的集合，这些节点相互通信以对索引执行读写作。不需要处理大量数据的小型 Wazuh 部署可以由单节点集群轻松处理。当有许多受监控的终端节点、预计会有大量数据或需要高可用性时，建议使用多节点集群。
对于生产环境，建议将 Wazuh 服务器和 Wazuh 索引器部署到不同的主机上。在这种情况下，Filebeat 用于使用 - TLS 加密将 Wazuh 警报和存档事件安全地转发到 Wazuh 索引器集群（单节点或多节点）。

Wazuh agent - Wazuh 服务器通信

Wazuh 代理持续向 Wazuh 服务器发送事件以进行分析和威胁检测。要开始传送此数据，代理将与服务器服务建立连接以进行代理连接，默认情况下，该连接侦听端口 1514（这是可配置的）。然后，Wazuh 服务器利用分析引擎对收到的事件进行解码和规则检查。触发规则的事件会通过警报数据（如规则 ID 和规则名称）进行扩充。事件可以假脱机到以下一个或两个文件，具体取决于是否触发规则：

The file /var/ossec/logs/archives/archives.json contains all events whether they tripped a rule or not.
该文件 /var/ossec/logs/archives/archives.json 包含所有事件，无论它们是否触发了规则。
The file /var/ossec/logs/alerts/alerts.json contains only events that tripped a rule with high enough priority (the threshold is configurable).
该文件 /var/ossec/logs/alerts/alerts.json 仅包含触发具有足够高优先级的规则的事件（阈值是可配置的）。

Wazuh 消息协议默认使用 AES 加密，每个块 128 位，密钥 256 位。Blowfish 加密是可选的。

Wazuh 服务器-Wazuh 索引通信

Wazuh 服务器使用 Filebeat 通过 TLS 加密将警报和事件数据安全地传输到 Wazuh 索引器。Filebeat 监控来自 Wazuh 服务器的输出数据，并将其转发到 Wazuh 索引器，默认情况下，该索引器侦听端口 9200/TCP。索引后，您可以通过 Wazuh 控制面板分析和可视化数据。
Vulnerability Detection 模块更新漏洞清单。它还会生成警报，提供对系统漏洞的见解。
Wazuh 仪表板查询 Wazuh