Abbiamo trattato e spiegato Wazuh come soluzione SIEM e IDS/IPS insieme al suo caso d'uso nell'area della sicurezza informatica e ai suoi componenti come l'indicizzatore Wazuh, il server Wazuh, il dashboard e gli agenti Wazuh. Abbiamo anche confrontato Splunk e Wazuh in relazione al loro utilizzo come SIEM, prodotti di analisi dei dati e componenti principali. Abbiamo anche trattato i componenti importanti di Wazuh, principalmente i decodificatori e le regole, utilizzati per elaborare e generare avvisi. Per dimostrarlo praticamente, abbiamo utilizzato Regole di avviso personalizzate TryHackMe in Wazuh e abbiamo anche trattato le risposte per Prova HackMe Wazuh Camera.
Il corso pratico completo sul Penetration Testing delle applicazioni Web
Punti salienti
Cos'è Wazuh?
Wazuh è una soluzione EDR (rilevamento e risposta degli endpoint) e può essere considerato un HIDS (sistema di rilevamento delle intrusioni host). Monitora l'endpoint per eventuali indicatori di minaccia o violazione delle policy oltre alla capacità di verificare alcuni framework di sicurezza informatica.
Wazuh può essere utilizzato per ottenere quanto segue:
- Controllare un dispositivo per le vulnerabilità comuni
- Monitoraggio proattivo di un dispositivo per attività sospette come accessi non autorizzati, attacchi di forza bruta o escalation di privilegi
- Visualizzazione di dati ed eventi complessi in grafici puliti e alla moda
- Registrazione del normale comportamento operativo di un dispositivo per facilitare il rilevamento di anomalie.
Componenti Wazuh
- Indicizzatore Wazuh: l'indicizzatore memorizza i vari avvisi generati per consentire la ricerca e l'analisi dei dati in tempo reale.
- Server Wazuh: Il server Wazuh riceve i log raccolti dagli agenti, confronta i log raccolti con una serie di decodificatori e regole e genera avvisi. Il server Wazuh è anche responsabile di tutti gli aspetti relativi agli agenti, inclusa la configurazione e l'implementazione.
- Pannello di controllo Wazuh: la dashboard di Wazuh funge da interfaccia utente da cui è possibile cercare, analizzare e visualizzare i dati.
- Agenti Wazuh: Responsabile della raccolta dei log dagli endpoint su cui sono installati.
Agenti Wazuh
I dispositivi che registrano gli eventi e i processi di un sistema sono chiamati agenti. Gli agenti monitorano i processi e gli eventi che si verificano sul dispositivo, come l'autenticazione e la gestione degli utenti. Gli agenti scaricheranno questi registri su un raccoglitore designato per l'elaborazione, come Wazuh.
Affinché Wazuh possa essere popolato, è necessario installare agenti sui dispositivi per registrare tali eventi. Wazuh può guidarti attraverso il processo di distribuzione dell'agente a condizione che tu compili alcuni prerequisiti come:
- Sistema operativo
- L'indirizzo del server Wazuh a cui l'agente deve inviare i log (può essere una voce DNS o un indirizzo IP)
- In quale gruppo si troverà l'agente: puoi ordinare gli agenti in gruppi all'interno di Wazuh, se lo desideri
Risposte in camera | Prova HackMe Wazuh
Quanti agenti gestisce questo server di gestione Wazuh?
2
Qual è lo stato degli agenti gestiti da questo server di gestione Wazuh?
disconnesso
Quanti avvisi di "Evento di sicurezza" sono stati generati dall'agente "AGENT-001"?
Nota: dovrai assicurarti che l'intervallo di tempo includa l'11 marzo 2022
196
Come si chiama lo strumento che possiamo utilizzare per monitorare gli eventi di sistema?
sysmon
In quale applicazione standard su Windows vengono registrati questi eventi di sistema?
visualizzatore eventi
Qual è il percorso completo del file delle regole che si trovano su un server di gestione Wazuh?
/var/ossec/ruleset/rules
Quale applicazione utilizziamo su Linux per monitorare eventi come l'esecuzione di comandi?
auditd
Qual è il percorso completo e il nome del file in cui l'applicazione sopra menzionata memorizza le regole?
/etc/audit/rules.d/audit.rules
Come si chiama lo strumento Linux standard che possiamo utilizzare per effettuare richieste al server di gestione Wazuh?
arricciare
Quale metodo HTTP utilizzeremmo per recuperare informazioni per un'API del server di gestione Wazuh?
OTTENERE
Quale metodo HTTP utilizzeremmo per eseguire un'azione su un'API del server di gestione Wazuh?
METTERE
Utilizza la console API per trovare la versione del server Wazuh.
Nota: dovrai aggiungere il "v" prefisso al numero per questa risposta. Per esempio v1.2.3
v4.2.5
Analizzare il rapporto. Qual è il nome dell'agente che ha generato più avvisi?
agente-001
Video Soluzione | Prova HackMe Wazuh
Risposte in camera | Regole di avviso personalizzate TryHackMe in Wazuh
Osservando il registro Sysmon, quale sarà il valore di sysmon.commandLine?
C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe\” \”-file\” \”C:\Users\Alberto\Desktop\test.ps1\
Quale sarebbe il valore estratto se la regex fosse impostata su "Utente: \S*"?
WIN-P57C9KN929H\Alberto
Dai risultati del test del set di regole, qual è il file ID della regola ID 184666?
T1055
Secondo la documentazione Wazuh, qual è la descrizione della regola con un livello di classificazione pari a 12?
Evento di grande importanza
Nella pagina Ruleset Test, modificare il valore di "sysmon.image" in "taskhost.exe" e premere nuovamente il pulsante "Test". Qual è l'ID della regola che verrà attivata?
184736
Nel file sysmon_rules.xml, qual è l'ID regola del genitore di 184717?
184716
Qual è il nome del campo regex utilizzato in local_rules.xml?
audit.cwd
Osservando il registro, qual è la directory di lavoro corrente (cwd) da cui è stato eseguito il comando?
/var/log/audit
Se il nome file nei log è "test.php", quale ID regola verrà attivato?
100003
Se il nome file nei log è "malware-checker.sh", qual è il livello di classificazione della regola nell'avviso generato?
12
Video Soluzione | Regole di avviso personalizzate TryhackMe in Wazuh