服務(wù)器開源安全檢測 開源服務(wù)器監(jiān)控系統(tǒng)

怎么檢測應(yīng)用系統(tǒng)中使用的第三方開源軟件是帶有安全漏洞？

檢測應(yīng)用中使用的第三方開源軟件有安全漏洞檢測方法有兩種，一種滲透的方式，寫漏洞的POC腳本，對應(yīng)用系統(tǒng)進(jìn)行POC腳本攻擊性驗證，一旦能成功就是有漏洞，像Struts這個樣的框架的漏洞都有很多POC腳本和POC腳本工具。另外一種就是采用開源安全漏洞掃描工具，有專業(yè)掃描工具來直接對應(yīng)用系統(tǒng)中的組件包進(jìn)行掃描的，可以很快知道是不是有安全漏洞，思客云公司的找八哥系統(tǒng)聽說就可以支持對應(yīng)用系統(tǒng)中使用的第三方開源軟件進(jìn)行安全漏洞掃描，聽說速度很快，可用于多個系統(tǒng)和多種檢測應(yīng)用場景。

成都創(chuàng)新互聯(lián)專注為客戶提供全方位的互聯(lián)網(wǎng)綜合服務(wù)，包含不限于成都網(wǎng)站制作、成都網(wǎng)站建設(shè)、左貢網(wǎng)絡(luò)推廣、微信小程序開發(fā)、左貢網(wǎng)絡(luò)營銷、左貢企業(yè)策劃、左貢品牌公關(guān)、搜索引擎seo、人物專訪、企業(yè)宣傳片、企業(yè)代運營等，從售前售中售后，我們都將竭誠為您服務(wù)，您的肯定，是我們最大的嘉獎；成都創(chuàng)新互聯(lián)為所有大學(xué)生創(chuàng)業(yè)者提供左貢建站搭建服務(wù)，24小時服務(wù)熱線：18980820575，官方網(wǎng)址：muchs.cn

Wazuh簡介

Wazuh是一個安全檢測、可視化和安全合規(guī)開源項目。它最初是OSSEC HIDS的一個分支，后來與Elastic Stack和OpenSCAP集成在一起，發(fā)展成為一個更全面的解決方案。下面是這些工具的簡要描述以及它們的作用:

1.1OSSEC HIDS

OSSEC HIDS是一種基于主機(jī)的入侵檢測系統(tǒng)(HIDS)，用于安全檢測、可見性和遵從性監(jiān)控。它基于一個多平臺代理，將系統(tǒng)數(shù)據(jù)(如：日志消息、文件散列和檢測到的異常)轉(zhuǎn)發(fā)給一個中央管理器，并在其中對其進(jìn)行進(jìn)一步分析和處理，從而產(chǎn)生安全警報。代理將事件數(shù)據(jù)通過安全且經(jīng)過身份驗證的通道傳遞給中央管理器，以便進(jìn)行分析。

此外，OSSEC HIDS提供了一個集中的syslog服務(wù)器和一個無代理的配置監(jiān)視系統(tǒng)，該系統(tǒng)提供了對防火墻、交換機(jī)、路由器、接入點、網(wǎng)絡(luò)設(shè)備等無代理設(shè)備上的事件和更改的安全洞察。

1.2OpenSCAP

OpenSCAP是一種OVAL(開放漏洞評估語言)和XCCDF(可擴(kuò)展配置檢查表描述格式)解釋器，用于檢查系統(tǒng)配置和檢測脆弱應(yīng)用程序。

這是一種眾所周知的工具，用于檢查安全合規(guī)性和使用工業(yè)標(biāo)準(zhǔn)安全基線對企業(yè)環(huán)境的加固。

1.3Elastic Stack

Elastic Stack是一個軟件套件(Filebeat、Logstash、Elasticsearch、Kibana)，用于收集、解析、索引、存儲、搜索和顯示日志數(shù)據(jù)。它提供了一個web前端，該前端提供事件的高級儀表板視圖，支持深入到事件數(shù)據(jù)存儲的高級分析和數(shù)據(jù)挖掘。

二、組件

Wazuh的主要組件是運行在每個受監(jiān)控主機(jī)上的代理，以及分析從代理和syslog等無代理源接收到的數(shù)據(jù)的服務(wù)器。此外，服務(wù)器將事件數(shù)據(jù)轉(zhuǎn)發(fā)到一個Elasticsearch集群，在這里對信息進(jìn)行索引和存儲。

2.1Wazuh agent

Wazuh代理運行在Windows、Linux、Solaris、BSD和Mac操作系統(tǒng)上。它用于收集不同類型的系統(tǒng)和應(yīng)用程序數(shù)據(jù)，這些數(shù)據(jù)通過加密和經(jīng)過身份驗證的通道轉(zhuǎn)發(fā)給Wazuh服務(wù)器。為了建立這個安全通道，使用了一個包含唯一預(yù)共享密鑰的注冊過程。

代理可以用來監(jiān)視物理服務(wù)器、虛擬機(jī)和云實例(例如Amazon AWS、Azure或谷歌云)。預(yù)編譯的代理安裝包可用于Linux、HP-UX、AIX、Solaris、Windows和Darwin (Mac OS X)。

在基于Unix的操作系統(tǒng)上，代理運行多個進(jìn)程，這些進(jìn)程通過本地Unix域套接字相互通信。其中一個進(jìn)程負(fù)責(zé)向Wazuh服務(wù)器發(fā)送通信和數(shù)據(jù)。在Windows系統(tǒng)上，只有一個代理進(jìn)程使用互斥對象運行多個任務(wù)。

不同的代理任務(wù)或過程以不同的方式監(jiān)視系統(tǒng)(例如，監(jiān)視文件完整性、讀取系統(tǒng)日志消息和掃描系統(tǒng)配置)。

下圖表示在代理級別上發(fā)生的內(nèi)部任務(wù)和流程:

所有代理進(jìn)程都有不同的目的和設(shè)置。以下是他們的簡要說明:

Rootcheck:這個過程執(zhí)行多個與檢測rootkit、惡意軟件和系統(tǒng)異常相關(guān)的任務(wù)。它還對系統(tǒng)配置文件運行某些基本的安全檢查。

日志收集器 Log Collector :此代理組件用于讀取操作系統(tǒng)和應(yīng)用程序日志消息，包括平面日志文件、標(biāo)準(zhǔn)Windows事件日志甚至Windows事件通道。還可以將其配置為定期運行并捕獲特定命令的輸出。

Syscheck:這個過程執(zhí)行文件完整性監(jiān)視(FIM)，也可以監(jiān)視Windows系統(tǒng)上的注冊表項。它能夠檢測文件的內(nèi)容、所有權(quán)和其他屬性的變化，以及記錄文件的創(chuàng)建和刪除。雖然它在默認(rèn)情況下執(zhí)行定期的FIM掃描，但它也可以配置為與操作系統(tǒng)內(nèi)核通信，以便實時檢測文件更改并生成文本文件的詳細(xì)更改報告(diffs)。

OpenSCAP:該模塊使用已發(fā)布的OVAL(開放漏洞評估語言)和XCCDF(可擴(kuò)展配置檢查表描述格式)基線安全概要。通過定期掃描系統(tǒng)，它可以找到不符合眾所周知的標(biāo)準(zhǔn)的脆弱的應(yīng)用程序或配置，例如在CIS(互聯(lián)網(wǎng)安全中心)基準(zhǔn)測試中定義的那些。

代理守護(hù)進(jìn)程 Agent Daemon :這個進(jìn)程接收所有其他代理組件生成或收集的數(shù)據(jù)。它通過經(jīng)過身份驗證的通道將數(shù)據(jù)壓縮、加密并交付給服務(wù)器。這個進(jìn)程運行在一個獨立的“chroot”(更改根)環(huán)境中，這意味著它對被監(jiān)視系統(tǒng)的訪問是有限的。這提高了代理的整體安全性，因為它是連接到網(wǎng)絡(luò)的唯一進(jìn)程。

2.2Wazuh server

服務(wù)器組件負(fù)責(zé)分析從代理接收的數(shù)據(jù)，并在事件匹配規(guī)則時觸發(fā)警報(例如檢測到入侵、文件更改、配置不符合策略、可能的rootkit等)。

服務(wù)器通常運行在獨立的物理機(jī)器、虛擬機(jī)或云實例上，并運行代理組件，其目的是監(jiān)視服務(wù)器本身。以下是主要服務(wù)器組件列表:

注冊服務(wù) Registration service :通過提供和分發(fā)每個代理特有的預(yù)共享身份驗證密鑰來注冊新代理。此流程作為網(wǎng)絡(luò)服務(wù)運行，支持通過TLS/SSL和/或通過固定密碼進(jìn)行身份驗證。

遠(yuǎn)程守護(hù)進(jìn)程服務(wù) Remote daemon service :這是從代理接收數(shù)據(jù)的服務(wù)。它使用預(yù)共享密鑰來驗證每個代理的身份，并加密代理和管理器之間的通信。

分析守護(hù)進(jìn)程 Analysis daemon :這是執(zhí)行數(shù)據(jù)分析的進(jìn)程。它利用解碼器識別正在處理的信息類型(如Windows事件、SSHD日志、web服務(wù)器日志等)，然后從日志消息(如源ip、事件id、用戶等)中提取相關(guān)數(shù)據(jù)元素。接下來，通過使用規(guī)則，它可以識別解碼后的日志記錄中的特定模式，這些模式可能觸發(fā)警報，甚至可能調(diào)用自動對策(主動響應(yīng))，比如防火墻上的IP禁令。

RESTful API RESTful API :這提供了一個接口來管理和監(jiān)視代理的配置和部署狀態(tài)。它也被一個Kibana應(yīng)用程序Wazuh web界面所使用。

2.3Elastic Stack

Elastic Stack是一個流行的用于日志管理的開源項目的統(tǒng)一套件，包括Elasticsearch、Logstash、Kibana、Filebeat等。與Wazuh解決方案特別相關(guān)的項目有:

Elasticsearch :一個高度可伸縮，全文搜索和分析引擎。彈性搜索被分配，意味著數(shù)據(jù)(索引)被分成shard，并且每個shard可以具有零個或更多個副本。

Logstash:收集和解析要保存到存儲系統(tǒng)中的日志的工具(例如，Elasticsearch)。收集到的事件還可以使用輸入、過濾和輸出插件進(jìn)行豐富和轉(zhuǎn)換。

Kibana:一個靈活和直觀的web界面，用于挖掘、分析和可視化數(shù)據(jù)。它運行在一個Elasticsearch集群上索引的內(nèi)容之上。

Filebeat:一種輕量級轉(zhuǎn)發(fā)器，用于在網(wǎng)絡(luò)中傳送日志，通常用于Logstash或Elasticsearch。

Wazuh與Elastic Stack集成，提供已解碼的日志消息提要，這些日志消息將由Elasticsearch索引，以及用于警報和日志數(shù)據(jù)分析的實時web控制臺。此外，Wazuh用戶界面(運行在Kibana之上)可用于管理和監(jiān)視您的Wazuh基礎(chǔ)設(shè)施。

Elasticsearch索引是具有某些相似特征(如某些公共字段和共享數(shù)據(jù)保留需求)的文檔集合。Wazuh每天使用多達(dá)三種不同的索引來存儲不同的事件類型:

Wazuh -alerts:每當(dāng)事件觸發(fā)規(guī)則時，Wazuh服務(wù)器生成警報的索引。

wazuh-events:從代理接收的所有事件(歸檔數(shù)據(jù))的索引，無論它們是否觸發(fā)規(guī)則。

wazuh-monitoring:索引與代理狀態(tài)相關(guān)的數(shù)據(jù)。web接口使用它表示單個代理處于或已經(jīng)處于“活動”、“斷開”或“從未連接”的情況。

索引是由文檔組成的。對于上面的索引，文檔是單個警報、歸檔事件或狀態(tài)事件。

將Elasticsearch索引分成一個或多個shard，并且每個shard可以選擇性地具有一個或多個副本。每一主和副本shard是單個的Lucene索引。因此，一個Elasticsearch索引是由許多Lucene索引組成的。當(dāng)搜索在Elasticsearch索引上運行時，將并行地對所有shard執(zhí)行搜索，并合并結(jié)果。將Elasticsearch索引分成多個shard和復(fù)制品用于多節(jié)點的彈性搜索集群，目的是縮小搜索和獲得高可用性。單節(jié)點Elasticsearch集群通常每個索引只有一個shard，沒有副本。

三、體系結(jié)構(gòu)

Wazuh架構(gòu)基于運行在受監(jiān)視主機(jī)上的代理，這些主機(jī)將日志數(shù)據(jù)轉(zhuǎn)發(fā)到中央服務(wù)器。此外，還支持無代理設(shè)備(如防火墻、交換機(jī)、路由器、接入點等)，并可以通過syslog和/或其配置更改的定期探針主動提交日志數(shù)據(jù)，以便稍后將數(shù)據(jù)轉(zhuǎn)發(fā)到中央服務(wù)器。中央服務(wù)器對輸入的信息進(jìn)行解碼和分析，并將結(jié)果傳遞給一個Elasticsearch集群進(jìn)行索引和存儲。

一個Elasticsearch集群是一個或多個節(jié)點(服務(wù)器)的集合，這些節(jié)點(服務(wù)器)相互通信，對索引執(zhí)行讀寫操作。小型Wazuh部署(50個代理)可以由單節(jié)點集群輕松處理。當(dāng)存在大量受監(jiān)控系統(tǒng)、預(yù)期會有大量數(shù)據(jù)和/或需要高可用性時，建議使用多節(jié)點集群。

當(dāng)Wazuh服務(wù)器和Elasticsearch集群在不同的主機(jī)上時，F(xiàn)ilebeat可使用TLS加密將Wazuh警報和/或存檔事件安全地轉(zhuǎn)發(fā)到Elasticsearch服務(wù)器。

下圖說明了Wazuh服務(wù)器和Elasticsearch集群在不同主機(jī)上運行時組件是如何分布的。注意，對于多節(jié)點集群，將有多個Elastic堆棧服務(wù)器，F(xiàn)ilebeat可以將數(shù)據(jù)轉(zhuǎn)發(fā)到這些服務(wù)器:

在較小的Wazuh部署中，使用單節(jié)點Elasticsearch實例的Wazuh和Elastic堆棧都可以部署在單個服務(wù)器上。在這個場景中，Logstash可以直接從本地文件系統(tǒng)讀取Wazuh警報和/或歸檔事件，并將它們提供給本地Elasticsearch實例。

四、通信與數(shù)據(jù)流

4.1代理-服務(wù)器通信

Wazuh代理使用OSSEC消息協(xié)議通過端口1514 (UDP或TCP)將收集到的事件發(fā)送到Wazuh服務(wù)器。然后，Wazuh服務(wù)器解碼并使用分析引擎對接收到的事件進(jìn)行規(guī)則檢查。觸發(fā)規(guī)則的事件會被添加警告數(shù)據(jù)，如規(guī)則id和規(guī)則名稱。根據(jù)規(guī)則是否觸發(fā)，可以將事件存儲到以下一個或兩個文件:

文件/var/ossec/logs/archives/archives.json包含所有事件，不管它們是否觸發(fā)了規(guī)則。

文件/var/ossec/logs/alerts/alerts.json只包含觸發(fā)規(guī)則的事件。

Wazuh消息協(xié)議使用的是192位Blowfish加密，完全實現(xiàn)了16輪，或者AES加密，每塊128位，密鑰256位。

4.2Wazuh-Elastic通信

在大型部署中，Wazuh服務(wù)器使用Filebeat使用TLS加密將警報和事件數(shù)據(jù)發(fā)送到彈性堆棧服務(wù)器上的loghide (5000/TCP)。對于單主機(jī)架構(gòu)，Logstash可以直接從本地文件系統(tǒng)讀取事件/警報，而無需使用Filebeat。

Logstash對輸入的數(shù)據(jù)進(jìn)行格式化，并可選擇在將數(shù)據(jù)發(fā)送到Elasticsearch(端口9200/TCP)之前豐富GeoIP信息。一旦數(shù)據(jù)被索引到Elasticsearch，就會使用Kibana(端口5601/TCP)來挖掘和可視化信息。

Wazuh APP運行在Kibana內(nèi)部，不斷查詢RESTful API (Wazuh管理器上的端口55000/TCP)，以便顯示服務(wù)器和代理的配置和狀態(tài)相關(guān)信息，并在需要時重新啟動代理。此通信使用TLS加密，并使用用戶名和密碼進(jìn)行身份驗證。

五、所需端口

對于安裝Wazuh和Elastic堆棧，必須有幾個網(wǎng)絡(luò)端口可用并打開，以便不同組件之間能夠正確通信。

六、檔案數(shù)據(jù)存儲

除了發(fā)送到Elasticsearch之外，警報和非警報事件都存儲在Wazuh服務(wù)器上的文件中。這些文件可以是JSON格式(. JSON)和/或純文本格式(日志-沒有解碼字段，但更緊湊)。這些文件每天使用MD5和SHA1校驗和進(jìn)行壓縮和簽名。目錄和文件名結(jié)構(gòu)如下:

建議根據(jù)Wazuh Manager服務(wù)器的存儲容量對歸檔文件進(jìn)行輪換和備份。通過使用cron作業(yè)，您可以很容易地安排只在管理器上保留一個特定的存檔文件時間窗口(例如，去年或過去三個月)。

另一方面，您可以選擇完全不存儲歸檔文件，而僅僅依賴于Elasticsearch來存儲歸檔文件，特別是在運行定期的Elasticsearch快照備份和/或具有碎片副本的多節(jié)點Elasticsearch集群以獲得高可用性時。您甚至可以使用cron作業(yè)將快照索引移動到最終的數(shù)據(jù)存儲服務(wù)器，并使用MD5和SHA1算法對其進(jìn)行簽名。

免費Windows服務(wù)器監(jiān)控工具有哪些

1.?Performance Co-Pilot

Performance Co-Pilot，簡稱 PCP，是一個系統(tǒng)性能和分析框架。它從多個主機(jī)整理數(shù)據(jù)并實時的分析，幫你識別不正常的表現(xiàn)模式。它也提供 API 讓你設(shè)計自己的監(jiān)控和報告解決方案。

2.?Anturis

Anturis 是一個監(jiān)控你的服務(wù)器、網(wǎng)站、IT基礎(chǔ)設(shè)置的基于云計算的SaaS平臺。它有一個全面的監(jiān)控解決方案列表，非常值得一看。

3.?SeaLion

SeaLion 是一個基于云計算的Linux服務(wù)器監(jiān)控工具。它可以用一個面板簡單的監(jiān)控所有的服務(wù)器并且診斷問題。它只需要幾分鐘就可以安裝好，具有及時提醒功能，當(dāng)發(fā)生問題時你可以及時的收到提醒，還具有日常數(shù)據(jù)匯總等功能。

4.?Icinga

Icinga 是一個免費開源的服務(wù)器監(jiān)控工具，可以檢測服務(wù)器資源的可用性。它可以記錄服務(wù)器問題并且通知你。

5.?Munin

Munin 是一個網(wǎng)路和系統(tǒng)監(jiān)控工具，可以幫你分析服務(wù)器資源趨勢。它是一個即插即用的解決方案。默認(rèn)的安裝方式提供了很多的報告。

本文標(biāo)題：服務(wù)器開源安全檢測 開源服務(wù)器監(jiān)控系統(tǒng)
轉(zhuǎn)載源于：http://muchs.cn/article34/dohdcse.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供建站公司、網(wǎng)站維護(hù)、ChatGPT、網(wǎng)站制作、自適應(yīng)網(wǎng)站、商城網(wǎng)站

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請盡快告知，我們將會在第一時間刪除。文章觀點不代表本網(wǎng)站立場，如需處理請聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時需注明來源： 創(chuàng)新互聯(lián)