Wazuh 是一款综合的开源安全平台，提供了从威胁预防、检测到响应的全方位安全解决方案。它是在 OSSEC（Open Source Security）的基础上进行扩展和改进的，以适应现代企业环境的需求。作为一个免费的开源系统，Wazuh 能够在各种环境中保护企业的工作负载，包括内部网络、虚拟化、容器化以及云平台。

Wazuh 集成了多种安全功能，包括端点防护、云工作负载安全、威胁检测、系统完整性监控、事件响应和合规性审核。这些功能共同构成了一个统一的 XDR（扩展检测和响应）和 SIEM（安全信息和事件管理）系统，帮助企业有效地识别、防御并响应各种安全威胁。

GitHub开源地址：https://github.com/wazuh/wazuh

DockerHub地址：https://hub.docker.com/u/opennix

官网链接：https://wazuh.com/

功能特点入侵检测：检测未授权的应用更改、恶意软件、rootkits、可疑行为等。支持多种操作系统，包括 Linux、Windows、macOS 和 Solaris。日志数据分析：自动收集、分析和存储来自操作系统和应用程序的日志数据。支持自定义规则来增强事件分析和警报触发。完整性监控：检测文件系统中的变更，如未授权的修改。基于时间戳、文件哈希等属性检测更改。漏洞检测：帮助识别和评估系统中的已知漏洞。利用公共漏洞数据库，如 CVE，自动检测系统中的潜在漏洞。配置评估：根据如 CIS (Center for Internet Security)、PCI DSS 等标准自动检查系统配置的合规性。生成详细的合规性报告。事件响应：支持自动响应配置，能够在检测到事件时自动采取行动。可以配置响应措施，如阻断IP、修改系统配置等。集中管理：Wazuh管理器负责收集各种代理的数据并分析。提供一个中央管理仪表板，通过 Wazuh Kibana 插件，基于 Elastic Stack 提供可视化。容器安全：支持 Docker 和 Kubernetes，可监控和保护容器化环境。云安全：可以在云平台上部署，支持AWS、Azure等环境的监控和合规性评估。适用场景企业安全监控与防御：入侵检测系统（IDS）：监测潜在的恶意活动和安全政策违规，如未授权的系统更改、可疑的登录尝试等。内部威胁检测：分析员工活动，识别可能的内部安全威胁或数据泄露。合规性管理：自动化合规报告：根据如 PCI DSS、HIPAA、GDPR 等标准自动生成合规性报告，帮助企业应对审计和监管要求。配置评估：定期检查系统配置，确保符合最佳安全实践和行业标准。漏洞管理：漏洞检测与评估：定期扫描和识别系统中的已知漏洞，评估风险并推荐修复措施。事件响应和处理：自动化事件响应：在检测到安全事件时自动执行预定义的响应措施，如隔离受感染的系统、修改防火墙规则等。安全事故调查：提供详细的日志和事件数据，帮助安全团队追踪和分析安全事件。云安全和容器监控：云平台安全：监控云环境中的资源使用和活动，确保云基础设施的安全性。容器和微服务安全：监控 Docker 和 Kubernetes 等容器环境，提供容器安全和配置的实时见解。端点保护：恶意软件和rootkit检测：在终端设备上检测和响应恶意软件和 rootkits 的活动。系统完整性验证：定期检查关键系统文件和注册表的完整性，确保没有被未授权的更改。部署与访问

Wazuh 由一个通用代理和三个中心组件组成（Wazuh服务器、Wazuh索引器和Wazuh仪表板）。

//安装Wazuh索引器curl -sO https://packages.wazuh.com/4.7/wazuh-certs-tool.shcurl -sO https://packages.wazuh.com/4.7/config.yml  //下载wazuh-certs-tool.sh脚本和config.yml配置文件。这创建了加密Wazuh中央组件之间通信的证书。//编辑./config.yml，并将节点名称和IP值替换为相应的名称和IP地址。您需要对所有Wazuh服务器、Wazuh索引器和Wazuh仪表板节点执行此操作。根据需要添加尽可能多的节点字段。nodes:# Wazuh indexer nodesindexer:- name: node-1ip: "<indexer-node-ip>"#- name: node-2# ip: "<indexer-node-ip>"#- name: node-3# ip: "<indexer-node-ip>"# Wazuh server nodes# If there is more than one Wazuh server# node, each one must have a node_typeserver:- name: wazuh-1ip: "<wazuh-manager-ip>"# node_type: master#- name: wazuh-2# ip: "<wazuh-manager-ip>"# node_type: worker#- name: wazuh-3# ip: "<wazuh-manager-ip>"# node_type: worker# Wazuh dashboard nodesdashboard:- name: dashboardip: "<dashboard-node-ip>"//安装Wazuh服务器curl -sO https://packages.wazuh.com/4.7/wazuh-install.sh  //下载Wazuh安装助理bash wazuh-install.sh --wazuh-server wazuh-1  //运行Wazuh安装助理，选项为--wazuh-server，后跟节点名称来安装Wazuh服务器。节点名称必须与初始配置中使用的节点名称相同，例如wazuh-1。//安装Wazuh仪表板curl -sO https://packages.wazuh.com/4.7/wazuh-install.sh  //下载Wazuh安装助理。如果您已经在同一服务器上安装了Wazuh索引器，您可以跳过此步骤。bash wazuh-install.sh --wazuh-dashboard dashboard  //使用选项--wazuh-dashboard和节点名称运行Wazuh安装助理来安装和配置Wazuh仪表板。节点名称必须与config.yml中用于初始配置的节点名称相同，例如dashboard。//Wazuh 网络用户界面默认端口为 443，由 Wazuh 面板使用。您可以使用可选参数 -p|--port <port_number> 更改端口。推荐使用的端口有 8443、8444、8080、8888 和 9000。//Wazuh安装完成后，输出显示访问凭据和确认安装成功的消息。INFO: --- Summary ---INFO: You can access the web interface https://<wazuh-dashboard-ip>User: adminPassword: <ADMIN_PASSWORD>INFO: Installation finished.  //使用您的凭据访问Wazuh Web界面网址：https://<wazuh-dashboard-ip>用户名：admin密码：<ADMIN_PASSWORD>

注意：由于安装多个组件服务，安装过程详解，请参见官方技术指导手册https://documentation.wazuh.com/current/installation-guide/index.html

使用

！！！【点赞】、【关注】不走丢^_^

！！！【点赞】、【关注】不走丢^_^