iT邦幫忙

第 12 屆 iT 邦幫忙鐵人賽

DAY 26
0
Elastic Stack on Cloud

一目了然的資訊保健系列 第 26

26-與主機型入侵檢測系統合作

這章測試Elastic SIEM的朋友? Wazuh也是基於ELK架構的SIEM,不過不是Elastic公司開發的,Wazuh是OSSEC(開源的基於主機的入侵檢測系統)的分支,資料也可以傳至Elastic Cloud,不過儀表板不同,要另外架去串接。
https://groups.google.com/g/wazuh/c/yy0kSE1oN7k?pli=1

HIDS

HIDS(Host-based Intrusion Detection System) 主機型入侵偵測系統,是一種入侵檢測系統,其能夠監視和分析的計算系統的在其網絡接口的內部以及所述網絡的數據包
https://en.wikipedia.org/wiki/Host-based_intrusion_detection_system

Install

參照: https://documentation.wazuh.com/3.9/docker/docker-installation.html
Wazuh Agent比較特別安裝完後要註冊,下以為指令註冊驗證

  1. For Linux systems:
# /var/ossec/bin/agent-auth -m <MANAGER_IP_ADDRESS>
  1. For Windows systems:
# C:\Program Files (x86)\ossec-agent\agent-auth.exe -m <MANAGER_IP_ADDRESS>

https://ithelp.ithome.com.tw/upload/images/20200926/20077752EDEAw0D6ZS.png

Wazuh Dashboard,用Kibana儀表板二次開發的,有針對合規性的檢查(GDPR、PCIDSS)
https://ithelp.ithome.com.tw/upload/images/20200927/20077752nuXelCkLs9.png


上一篇
25-實作CVE-2020-1472監控-下
下一篇
27-日誌分析挖掘
系列文
一目了然的資訊保健30

尚未有邦友留言

立即登入留言