iT邦幫忙

2025 iThome 鐵人賽

DAY 21
0
Security

30 天 TryHackMe 實戰系列 第 21

Day 21 防禦實戰,Wazuh HIDS 部署與安全監控

  • 分享至 

  • xImage
  •  

在完成了一系列攻擊工具和理論的學習後,今天我將我的學習重心轉向防禦體系的核心:Wazuh。這不僅是一個開源的 主機入侵偵測系統(HIDS),更是我實習中接觸的 XDR/SIEM 解決方案的基礎。理解 Wazuh,就是理解現代資安防禦是如何運作的。

今天,我專注於 Wazuh 相關的部署和基礎配置學習,目標是掌握其監控原理。


Wazuh 的核心架構與價值

Wazuh 採用 Agent-Manager 架構,並與 ELK Stack(Elasticsearch, Kibana 等)深度整合,實現了對主機的全面安全監控:

  • Agent(代理程式): 部署在受保護的主機上。它是一個情報收集官,負責收集各種數據,例如系統日誌、檔案完整性狀態、配置資訊等。
  • Manager(管理器): 負責集中接收 Agent 傳來的海量數據,根據其內建的數千條規則進行即時分析(Real-time Analysis),並產生結構化的 警報(Alerts)。
  • Kibana 介面: 提供數據視覺化,讓資安分析師能夠快速追蹤警報,並進行威脅狩獵(Threat Hunting)。

Wazuh 的三大防禦核心功能

Wazuh 在實戰中扮演了三個重要的角色,有效防禦了我們前面學習的多種攻擊:

  • 日誌數據分析 (Log Data Analysis): 這是我們 Day 18/19 學習的應用。Wazuh 會將系統日誌正規化後,偵測如暴力破解、異常登入等惡意行為。
  • 檔案完整性監控 (File Integrity Monitoring, FIM): 這是防禦提權攻擊的關鍵!Wazuh 持續監控如 /etc/passwd 等關鍵系統檔案。如果駭客試圖竄改這些文件,Wazuh 會立即發出警報。
  • 配置評估與漏洞檢測: 它會檢查主機的安全配置是否符合標準,並掃描軟體版本是否有已知的漏洞,幫助我們在攻擊發生前修補防線。

今日挑戰心得:建立防禦者思維

今天的 Wazuh 學習,讓我真正將攻擊知識與防禦實務連結了起來。我現在知道,當我在攻擊機上嘗試執行某個惡意指令時,Wazuh Agent 正在目標主機上捕捉這些行為,並將其傳送到 Manager 進行分析。這種攻防兼備的思維,是我在 XDR 領域取得成功的關鍵。


上一篇
Day 20 提權基礎,Linux 核心權限提升實務
下一篇
Day 22 防禦專題,SIEM 基礎與威脅關聯分析
系列文
30 天 TryHackMe 實戰22
圖片
  熱門推薦
圖片
{{ item.channelVendor }} | {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

尚未有邦友留言

立即登入留言