XieJava的博客

开源安全管理平台wazuh-文件完整性监控FIM

Wazuh是一个功能强大的开源安全平台,它集成了安全信息与事件管理(SIEM)和扩展检测与响应(XDR)的能力,旨在为本地、虚拟化、容器化及云环境中的工作负载提供统一的威胁预防、检测和响应解决方案。 文件完整性监控(File integrity monitoring FIM)有助于审计敏感文件和满足合规性要求。Wazuh内置了一个FIM模块,用于监控文件系统变化,以检测文件的创建、修改和删除。 本文通过POC来验证Wazuh的FIM功能,使用Wazuh FIM模块来检测Ubuntu和Windows端点上监控目录的变化。Wazuh FIM模块通过使用who-data审计获取有关更改用户和进程的信息来丰富告警数据。

一、环境准备

POC环境如下图所示: POC环境拓扑图

主机 描述
安全管理平台wazuh-server
(192.168.0.40)		 All in one安装wazuh,监控wazuh-agent上报的告警信息进行文件完整性监控(FIM)
被监控Windows 11机器
(192.168.0.16)		 安装wazuh-agent,通过Wazuh FIM模块在此端点监控一个目录,以检测文件创建、更改和删除。
被监控Ubuntu主机
(192.168.0.41)		 安装wazuh-agent,通过Wazuh FIM模块在此端点监控一个目录,以检测文件创建、更改和删除。

二、wazuh配置

1、window机器安装wazuh并配置

1)安装wazuh-agent

在wazuh的管理端找到部署agent界面,选择window的agent安装包

wazuh部署agent界面

wazuh会自动生成部署agent的脚本

自动生成部署agent的脚本

在window11(192.168.0.16)机器上以管理员权限运行powershell,在powershell中运行agent安装脚本

Invoke-WebRequest -Uri https://packages.wazuh.com/4.x/windows/wazuh-agent-4.13.0-1.msi -OutFile $env:tmp\wazuh-agent; msiexec.exe /i $env:tmp\wazuh-agent /q WAZUH_MANAGER='192.168.0.40' WAZUH_AGENT_NAME='Lenovo-L13-agent'

运行agent安装脚本

运行NET START Wazuh启动wazuh-agent,过一会就可以在wazuh服务端的dashboard中看到window 11的wazuh-agent注册上来了。

注册agent

2) 配置window端点的wazuh-agent

按照以下步骤配置Wazuh代理以监控以下目录的文件系统更改。如监控C:\Users\xiejava\Desktop的文件更改。 在受监控的Windows端点上编辑C:\Program Files (x86)\ossec-agent\ossec.conf配置文件。在<syscheck>块内添加监控目录。配置Wazuh监控C:\Users\xiejava\Desktop目录。

<directories check_all="yes" report_changes="yes" realtime="yes">C:\Users\xiejava\Desktop</directories>

配置FIM监控

使用具有管理员权限的PowerShell重新启动Wazuh代理以使配置更改生效。

Restart-Service -Name wazuh

2、ubuntu主机的wazuh-agent配置

由于ubuntu主机(192.168.0.41)已经安装了wazuh-agent,只需要对wazuh-agent进行配置就可以了。 执行以下步骤以配置Wazuh代理以监控/root目录中的文件系统更改。 编辑Wazuh代理的/var/ossec/etc/ossec.conf配置文件。在<syscheck>块中添加监控的目录。配置Wazuh监控/root目录。

<directories check_all="yes" report_changes="yes" realtime="yes">/root</directories>

配置ubuntu端点的FIM监控

重新启动Wazuh代理以使配置生效

sudo systemctl restart wazuh-agent

三、效果验证

1、windows端点文件完整性监控

1)文件增、删、改

在window 11(192.168.0.16)的机器的桌面上新建一个.txt文件,然后重命名为test-win11.txt,再修改test-win11.txt的内容。

2)可视化告警监控

在wazuh的dashboard中可以看到window 11机器的完整性监控告警。 win11的FIM告警

在详情中可以看到window11机器c:\users\xiejava\desktop\下文件变更的详情。 win11的FIM告警详情

2、ubuntu主机文件完整性监控

1)文件增、删、改

在ubuntu(192.168.0.41)的机器的/root新建一个test.txt文件,然后重命名为test-ubuntu.txt,再修改test-ubuntu.txt的内容。

2)可视化告警监控

在wazuh的dashboard中可以看到ubuntu(192.168.0.41)主机的文件完整性监控告警。 ubuntu端点的FIM告警事件

在Dashboard中可以看到FIM的统计信息包括对文件的新增、删除、修改等。 ubuntu端点的FIMDashboard

在Events中可以看到文件被修改触发的事件 ubuntu端点的FIM告警列表

可以查看具体的事件详情 ubuntu端点的FIM告警详情

至此,我们通过POC实例来验证了Wazuh的文件完整性监控FIM功能,使用Wazuh FIM模块来检测Ubuntu和Windows端点上监控目录的变化。

作者博客:http://xiejava.ishareread.com/


“fullbug”微信公众号

关注:微信公众号,一起学习成长!