Ossec و Wazuh
Signaler
Partager
•0 j'aime•101 vues
در این کتاب چه میخوانیم : • ضرورت استفاده از Siem و بخش soc , noc • بررسی عنوان IDS و IPS ها • معماری ossec • معماری wazuh • نصب ossec • نحوه مهاجرت از ossec به Wazuh • نصب آفلاین wazuh • ویژگیهای wazuh و امکانات آن
Ossec و Wazuh
•0 j'aime•101 vues
Signaler
Partager
در این کتاب چه میخوانیم : • ضرورت استفاده از Siem و بخش soc , noc • بررسی عنوان IDS و IPS ها • معماری ossec • معماری wazuh • نصب ossec • نحوه مهاجرت از ossec به Wazuh • نصب آفلاین wazuh • ویژگیهای wazuh و امکانات آن
![;; ANSWER SECTION:
vivaldi.net. 300 IN MX 10 mail.vivaldi.net.
مرحله
4
نصب :
OSSEC
نصب برای
OSSEC
: کنید باز را فایل است الزم ابتدا ،
tar xf ossec-hids-2.8.2.tar.gz
یا دهید تغییر .دهد جای خود در را برنامه نسخه و نام که گیرد می قرار ای پوشه در
cd
.شوید آن وارد
OSSEC 2.8.2
شده نصب نسخه ،
باید که ، بعدی پایدار نسخه انتشار زمان تا .شود برطرف نصب شروع از قبل باید که است جزئی اشکال یک دارای ، مقاله این برای
OSSEC
2.9
برای آن رفع .است ارشد کارشناسی شاخه در حاضر حال در تعمیر این زیرا ، نیست الزم کار این ، باشد
OSSEC 2.8.2
معنای به فقط
در که ، است پرونده یک ویرایش
active-response
است این پرونده .دارد قرار فهرست
hosts-deny.sh
:کنید باز آن از استفاده با بنابراین ،
nano active-response/hosts-deny.sh
:باشید کد بلوک این دنبال به ، پرونده انتهای در
# Deleting from hosts.deny
elif [ "x$" = "xdelete" ]; then
lock;
TMP_FILE = `mktemp /var/ossec/ossec-hosts.XXXXXXXXXX`
if [ "X$" = "X" ]; then
# Cheap fake tmpfile, but should be harder then no random data
TMP_FILE = "/var/ossec/ossec-hosts.`cat /dev/urandom | tr -dc 'a-zA-Z0-9' | fold -w 32 | head -1 `"
fi
با که خطوطی در
TMP_FILE
عالمت اطراف فضاهای ، شود می شروع
را =
پرونده از بخش آن ، ها فاصله برداشتن از پس . کنید حذف
.ببندید را فایل و کنید ذخیره .شود داده نشان زیر کد بلوک همانند باید
# Deleting from hosts.deny
elif [ "x$" = "xdelete" ]; then
lock;
TMP_FILE=`mktemp /var/ossec/ossec-hosts.XXXXXXXXXX`
if [ "X$" = "X" ]; then
# Cheap fake tmpfile, but should be harder then no random data
TMP_FILE="/var/ossec/ossec-hosts.`cat /dev/urandom | tr -dc 'a-zA-Z0-9' | fold -w 32 | head -1 `"
fi
:دهید می انجام را آن کردن تایپ با شما که ، کنیم شروع را نصب مراحل توانیم می
sudo ./install.sh](https://image.slidesharecdn.com/ossec0-220223082421/75/ossec-wazuh-22-2048.jpg?cb=1668349970)
![باید فقط شما ، موارد بیشتر در .کنید وارد را ورودی تا شود می خواسته شما از ، نصب مراحل طی در
ENTER
را
فشار
دهید
فرض پیش تا
( است انگلیسی ، فرض پیش طور به که ، کنید انتخاب را نصب زبان که شود می خواسته شما از ابتدا .بپذیرد را
en
مورد زبان این اگر .)
، شماست عالقه
ENTER
را
فشار
دهید
، صورت این غیر در .
2
دوباره ، آن از پس .کنید وارد شده پشتیبانی زبانهای لیست از را حرف
ENTER
را
فشار
دهید
.
(en/br/cn/de/el/es/fr/hu/it/jp/nl/pl/ru/sr/tr) [en]:
از بعد
، اینجا در .خواهید می را نصب نوع چه که پرسد می شما از اول سوال
را محلی
. کنید وارد
1- What kind of installation do you want (server, agent, local, hybrid or help)? Local
، بعدی سؤاالت برای
ENTER
را
فشار
دهید
سوال .بپذیرد را فرض پیش تا
3.1
از سپس و کند می ًافور شما ایمیل آدرس برای را شما
سرور
SMTP
سرور و معتبر ایمیل آدرس یک ، سوال این برای .پرسید می
SMTP
مرحله در که
3
.کنید وارد اید کرده تعیین
3- Configuring the OSSEC HIDS.
3.1- Do you want e-mail notification? (y/n) [y]:
- What's your e-mail address? you@example.com
- What's your SMTP server ip/host?
:کنید مشاهده را خروجی این باید ، باشد آمیز موفقیت نصب اگر
- Configuration finished properly.
...
شکل
1
:
نصب برای
agent
-
شما هست نیاز
agent
. کنید انتخاب را](https://image.slidesharecdn.com/ossec0-220223082421/75/ossec-wazuh-23-2048.jpg?cb=1668349970)
![(en/br/cn/de/el/es/fr/hu/it/jp/nl/pl/ru/sr/tr) [en]:
ما اینجا در
agent
. میکنیم انتخاب را
. میکنیم انتخاب را نصب مسیر
. میکنیم وارد را سامانه سرور
شدن فعال برای
integrity check daemon
گزینه
y
. میکنیم انتخاب را](https://image.slidesharecdn.com/ossec0-220223082421/75/ossec-wazuh-29-2048.jpg?cb=1668349970)
Contenu connexe
Tendances
Tendances(20)
Similaire à Ossec و Wazuh
Similaire à Ossec و Wazuh(20)
Plus de Yashar Esmaildokht
Plus de Yashar Esmaildokht(20)
Ossec و Wazuh
- 1. حق بسمه Ossec و Wazuh : نویسنده دخت اسمعیل یاشار مهندس نسخه ۰.۳
- 2. : خوانیم یم چه کتاب این در • از استفاده ضرورت Siem بخش و soc , noc • عنوان بررسی IDS و IPS ها • معماری ossec • معماری wazuh • نصب ossec • از مهاجرت نحوه ossec به Wazuh • آفالین نصب wazuh • های یویژگ wazuh آن امکانات و
- 3. : نویسنده درباره رشته آموخته دانش دخت اسمعیل یاشار بنده cyber security . هستم از بیش ۱۵ . دارم فعالیت سابقه سال مولف - مدرس - مشاور : داد شرح زیر های ساختار در میتوان را بنده های فعالیت جمله از gnu/linux system/network/security/cloud Engineer/administrator & oracle dba | Linux Trainer |devops . ): جدید دنیاهای کشف و تحقیق و مطالعه به مند عالقه . کنم اشاره استراتژی های بازی و اوتلو و شطرنج بازی به میتوانم من های سرگرمی از واقع در تبریز الگ گذاران بنیان از یکی و لینوکس/گنو و باز متن دنیای عاشق . هستم عاشق یک من : کنید پیدا و کنید دنبال را من میتوانید چطور خب Mob : 09141100257 Telegram ID Telegram channel Instagram Account Linkedin Account . بشنوم را انتقادتون یا پیشنهاد هرگونه میشم خوشحال همچنین : کنید پیدا را من از ی دیگر های کتاب میتونید چطور توی slideshare . کنید پیدا را کردم منتشر آزاد بصورت که دیگری های کتاب میتونید بگردید من اسم دنبال گوگل یا
- 4. : مشاوره . بود خواهم شما خدمت در من . فرمایید حاصل تماس . کردم اشاره قبل صفحه در که هایی کانال از میتوانید مشاوره جهت
- 6. های سیستم انواع IDS های سیستم IDS .میکنند تقسیم دسته سه به تهاجم شناسایی برای جستجو نوع نظر از را ( Network-base Intrusion Detection (NIDS ( Host-base Intrusion Detection (HIDS ( Distributed Intrusion Detection (DIDS برای شرح NIDS :
- 7. در .میگیرد قرار بررسی مورد )مختلف های میزبان روی بر عبوری (ترافیک شبکه اصلی بدنه ،ها سیستم این در HIDS سرور اتصال با IDS طریق از شبکه به Switch یا Hub بررسی و Packet های سیستم از .میدهند قرار بررسی مورد را حمالت ،ها میزبان خروجی و ورودی های از میتوان موجود افزاری نرم Snort .برد نام برای شرحی HIDS : سیستم با اساسی تفاوت دو دارای و .میپردازد میزبان یک ترافیک و ها فعالیت بررسی به سیستم ،دسته این در NIDS در اینکه بدلیل .است HIDS به نسبت بیشتری اطمینان و سرعت از میگیرد قرار بررسی مورد میزبان یک ترافیک NIDS بعدی ویژگی .است برخوردار HIDS سرویس که سروری مثال بطور ،است ان قوانین تعداد بودن کمتر DNS تهدیدات شناسایی قوانین که ندارد لزومی هیچ نمیدهد ارائه را مصرف نتیجه در بداند را سرویس این به مربوط CPU میتوان دسته این معروف های سیستم جمله از .میشود بیشتر سیستم کارایی و کمتر به OSSEC و wazuh و Tripwire .کرد اشاره
- 9. برای شرحی DIDS : از گروه این IDS چند از ها HIDS یا NIDS هر که صورت بدین .میشود تشکیل مرکزی مدیریت سیستم یک بهمراه دو این از ترکیبی یا IDS در اخطار ،ها گزارش کردن بررسی وظیفه مرکزی سیستم و میکند ارسال کزی مر مدیریت برای را خود های گزارش شبکه در موجود زیر شکل در .میباشد دارا نیز را شناسایی قوانین بانک رسانی بروز وظیفه همچنین سیستم این .دارد را الزم اقدامات دیگر و نیاز صورت یک سازی پیاده DIDS .میکنید مشاهده را
- 11. حمالت شناسایی های روش میشود استفاده اصلی روش دو از حمالت شناسایی برای ( Anomaly Base (Statically میانگین بر مبتنی روش این ،میکنند بندی تقسیم معمول غیر و معمول دسته دو به را شبکه ترافیک و ها فعالیت روش این در کلی بطور در مثال بطور .) میشود استفاده معمول بطور که هایی پورت و ها پروتکل ،ترافیک حجم (مانند است شبکه یک درون موجود های فعالیت صورت در و است طبیعی میزبان یا دهنده سرویس یک با تماس یک در ،مشخص کاربری توسط ،دستور یک از بار چند اجرای میگیرند نظر ( دستی بصورت سیستم پیکربندی روش این در.میدهد نشان العمل عکس ان مقابل در سیستم دستور بیشتر تکرار Statically به توجه با ) از تنها نمیتوان که میشوند اجرا و طراحی ،پیچیده ای گونه به حمالت امروزه.میگیرد صورت شبکه مدیر توسط و شبکه موقعییت و نیاز روش Anomaly .کرد استفاده ان از جلوگیری و شناسایی برای Signature Base از منظور Signature این مجموعه از ،میکند شناسایی را حمله یا نفوذ یک وقوع که است قواعدی مجموعه Signature الگویی نهایت در ها با را ان و میدهد قرار بررسی مورد را شبکه در موجود ترافیک سیستم روش این در .اید می بوجود حمالت شناسایی برای Data Base خود روش در.میکند اقدام ها گیری تصمیم دیگر و شبکه مدیر به اخطار به نسبت ان با تطابق یافتن صورت در و .میکند مقایسه Signature Base بصورت دستگاه بندی پیکر Dynamic مانند ،میگیرد صورت Anti Virus برای روش دو هر از استفاده که است داده نشان تجربه .ها .داشت خواهد بر در را نتیجه بهترین حمالت از جلوگیری و شناسایی
- 12. های سیستم گیری قرار محل IDS شبکه در سیستم از استفاده هنگام در که مهمی سوال ،فوق موارد بر عالوه IDS شبکه درون ها سیستم این گیری قرار محل ،میشود مطرح بین ها سیستم این گیری قرار برای مکان بهترین کلی بطور.میباشد Firewall و Router این دادن قرار صورت در ،داشت توجه باید .میباشد بین در سیستم Firewall بسمت اطالعات از زیادی حجم بیرونی شبکه و IDS امکان سیستم بازدهی کاهش بر عالوه که میشود سرازیر .میکند فراهم را بیشماری خطاهای امدن بوجود محیط دارای شبکه که صورتی در و DMZ دادن قرار برای شبکه معماری ،باشد متعدد های مجموعه زیر یا IDS .بود خواهد متفاوت نیز ها : کرد توجه زیر موارد به باید مناسب محل در ها سیستم این دادن قرار برای شبکه یک در کلی بطور یک از IDS بین Router و Firewall .شود استفاده یک از نیز شبکه از مجموعه زیر هر برای IDS .شود استفاده
- 13. .میکنید مشاهده را ان گیری قرار محل و شبکه معماری از ای نمونه زیر شکل در از استفاده های محدودیت IDS اطالعات بودن معیوب ،افزارها نرم باگ از شده تولید اطالعات ،پارازیت DNS عوامل از میزبان سیستم توسط شده تولید ناقص اطالعات و توسط مورد بی اخطارهای عمده IDS .میباشد .داشت خواهد کمتری نسبت اساس بی اخطارهای به نسبت حمالت به مربوط صحیح اخطارهای سیستم نامناسب پیکربندی صورت در .بود خواهد ناتوان جدید حمالت شناسایی در سیستم ،نشود انجام موقع به رسانی بروز که صورتی در باز متن نفوذ تشخیص های سیستم از نمونه چند AIDE گروه تهاجم شناسایی های سیستم از : DIDS عامل سیستم برروی سیستم این .میباشد Unix .میشود نصب ACARM-ng این : IDS بعنوان کارکرد های قابلیت دارای HIDS و NIDS عامل سیستم برروی ،میباشد Linux از و اجراست قابل از کمتر استفاده ،باال سرعت به میتوان ان های ویژگی جمله CPU .کرد اشاره شبکه ترافیک ای لحظه تحلیل و
- 14. Bro NIDS عامل سیستم روی بر حمالت شناسایی سیستم این: Linux گروه در است مشخص ان اسم از که همانطور و میشود اجرا NIDS .میگیرد قرار ها OSSEC NIDS این : IDS گروه از که HIDS دیگر های ویژگی از و .میباشد عامل های سیستم همه برای هایی نسخه دارای میباشد ها تحلیل به میتوان ان Log کردن چک ،ان های فعالیت بررسی ،سیستم Registry شناسایی و Rootkit .کرد اشاره ها Prelude Hybrid IDS عامل سیستم برروی تهاجم شناسایی سیستم این: Linux منتشر تازگی به نیز ان ویندوز نسخه و میشود نصب .است شده Samhain این: IDS که Host-base تحلیل و خواندن جمله از متعددی های قابلیت دارای میباشد Log و ها فایل کردن چک ،سیستم شناسایی در باال توانایی ،میزبان های فعالیت Rootkit ،ها Port Scanning که افزار نرم این .دارد سیستم پنهان های پردازش بررسی و های عامل سیستم روی بر است رایگان Windows, Linux و Unix .است اندازی راه قابل Snort که سیستم این : Network-base مورد شبکه خطرات و حمله شناسایی برای که است محبوبی افزارهای نرم جمله از ،میباشد تحلیل قابلیت دارای.میگیرد قرار استفاده Log و بافر سرریز حمالت شناسایی .میباشد ها پروتکل و Port scanning افزار نرم این توسط برای هایی نسخه دارای و میشود انجام بخوبی Windows و Linux .میباشد Suricate این : IDS .میباشد عامل سیستم نوع هر برای متعدد های نسخه دارای که است هایی سیستم جمله از
- 15. واقع در IDS با که است صورت این به کار روش.کند می شناسایی را شبکه روی وقوع حال در خرابکاریهای که است محافظتی سیستم یک می کردن هک نهایتا و کامپیوترها کنترل آوری دست به ، پورتها پویش ، اطالعات آوری جمع مراحل شامل که نفوذ تشخیص از استفاده .کند کنترل و گزارش را خرابکاریها نفوذ تواند می ، باشد ( نفوذ از جلوگیری سیستم IPS ناخواسته های ررفتا تا کرده نظارت سیستم یک یا و شبکه یک های تفعالی بر که است امنیتی وسیله یک ) .کند یم جلوگیری ها نآ فعالیت ادامه از و داده نشان العمل سعک بالفاصله ،رفتارها این شناسایی صورت در .کندشناسایی را مخرب یا شوند یم تقسیم برنامه بر مبتنی و شبکه بر مبتنی و میزبان بر مبتنی دسته سه به نفوذ از جلوگیری های مسیست IDS میزبان بر مبتنی Host-based ( کوچک سرویس یک اجرای با نفوذ شناسایی سیستمهای از اینگونه Agent مورد آنرا تحرکات کلیه توانند می )(میزبان مقصد ماشین در ) تغییر شناسایی منظور به را ممیزی قابل منابع سایر و سیستمی مهم فایلهای ،وقایع ثبت است قادر کوچک جاسوس این .دهند قرار نظارت عادی روال از خارج رخدادی هنگامیکه به ،حفاظتی سیستم این در .دهد قرار موشکافی مورد مشکوک فعالیتهای رهگیری یا و مجاز غیر طریق از بالفاصله ،دهد روی SNMP .گردد می ارسال شبکه مسئولین برای خودکار بطور هشدارهایی IDS شبکه بر مبتنی Network-based های بسته روش این در .گیرد می قرار نظارت مورد ،ارتباطی خطوط روی بر بالدرنگ بصورت ترافیک ،نفوذ شناسایی سیستم از نوع این در در گسترده حمله یک تدارک وجود عدم نظر نقطه از خود مقصد به رسیدن از قبل تا گیرد می قرار ارزیابی مورد دقت به ارسالی اطالعاتی این .گردد مطمئن ،میباشند خطرناک بسیار که کار حال در سرویسهای نمودن خارج رده از برای ترافیک زیاد حجم تدارک یا و آنها برنامه نمودن مسدود به اقدام آن متعاقب و نموده هشدار ارسال به اقدام بالفاصله ، ترافیک در مشکوک تحرک یک شناسایی هنگام به سیستم دیواره با پیوسته هم به سیستمهای از برخی در )پذیرد می صورت گرا میزبان سیستم در که (همانگونه .نماید می مشکوک های بسته مسیر .نماید ختثی آینده در را مهاجمان حمله کلی بطور تا گردد می تعریف جدیدی قواعد خودکار طور به ،آتش .دارد خود بازرسی طرح اجرای برای مستقلی سکوی به نیاز ،ماشین منابع از شدید استفاده بدلیل شبکه بر مبتنی نفوذ شناسایی سیستم نمی یابها مسیر یا و سوئیچ محدوده از خارج در کنکاش به قادر آنها زیرا دارد شناسایی سیستم یک به نیاز عملیاتی ناحیه هر همچنین .باشند IDS برنامه بر مبتنی Application-based از نوع این IDS ها برنامه این داخل دار معنی محتوای .میشوند برده بکار خاص ها برنامه از برخی " اجرایی "خوش از حفاظت منظور به .دهد کاهش را آنها نادرست / درست خطاهای میزان بتواند نفوذ شناسایی سیستم از نوع این تا میدهد اجازه محصوالت IDS قرار بازرسی مورد شرورانه تحرکات شناسایی منظور به را شبکه از عبوری های بسته محتوای تمامی ،شبکه بر مبتنی .است یاب مسیر یا و آتش دیواره توسط گرفته صورت تحلیلهای از تر عمیق بسیار بازرسی از نوع این .میدهد نظیر آشنا پرتکلهای طریق از ،ای هوشمندانه حمالت که هستند موثر هنگامی نفوذ شناسایی سیستمهای http مشگل بدون هم معموال که ، برای آتش دیواره از قویتر مراتب به پردازشی قدرت یک داشتن به نیاز تصور ، مقایسه مقام در .گیرد شکل ،میگذرند آتش دیواره درون از .ندارد تعجب جای نفوذ شناسایی سیستمهای
- 16. ابزارهای از امروزی پذیر نفوذ های شبکه IDS حفاظت و ارزیابی ،کشف آنها هدف که کنند می استفاده تالش پر امنیتی کارشناسان جای به .باشد می شرورانه حمالت مقابل در ، شبکه امر در را اصلی گاه تکیه و نقش و شوند می گسترده آتش های دیواره نظارت تحت محدوده داخل یا و خارج در محصوالت این نتیجه در .نمایند می بازی ایمن شبکه یک سازی پیاده اغلب .ندارند نظارتی سیستم بر فشار اعمال یا و شبکه سرعت بر تاثیری که آنست شبکه بر مبتنی نفوذ شناسایی سیستمهای مزایای از یکی IDS به .میکند یاری آنها شناسایی امر در را آنها که هستند حمالت به مربوط عالئم از جامع اطالعاتی بانک یک دارای شبکه بر مبتنی های جهت هر IDS ای خزنده تهدیدات با آنها .باشند نمی حمالت شناسایی به قادر خود اطالعاتی بانک بروزشدن بدون ضدویروسها مانند نیز ها .هستند ستیز در است حمله موعد دارای که تولید .رسانند می انجام به داشته قبلی یورش در آمیزی موفقیت نتیجه که خطایی و آزمون روش با را ها شبکه به حمالت اغلب هکرها نمایند می تهیه را حمله اصلی های مشخصه ، حمالت اینگونه روی بر آمده عمل به تحلیلهای به توجه با شبکه امنیتی محصوالت کنندگان با مقایسه و شبکه ترافیک در موجود اثرات به توجه با را شبکه به یورش اثر رد ،شناسایی فنون .دهند می قرار توجه مورد آنرا جزئیات و ، گرفت قرار شناسایی مورد حمله یک مشخصه آنکه محض به .میدهند قرار شناسایی مورد اطالعاتی بانک در موجود تهدیدات الگوهای شناسایی در موفقیت .نماید می ساده هشدار پیامهای ارسال به اقدام موارد اغلب در و داده نشان العمل عکس آن مقابل در امنیتی سیستم .است گردیده ذخیره ٌاسابق مربوطه اطالعاتی بانک در که است حمالتی الگوی بودن بروز میزان به بسته ،حمالت : است مشخص ٌ الکام کنند می تکیه شناسایی الگوی یا و خود به تنها که سیستمهایی اشکال فنون از فقط شبکه حفاظت برای اگر صورت این در و نمایند رهگیری هستند شناسایی الگوی دارای که را یورشهایی توانند می فقط آنها قرار شده شناخته تهدیدات اقسام و انواع معرض در کماکان شبکه ساختهای زیر یقین بطور ،گردد استفاده حمله عالئم بر مبتنی شناسایی .دارد ( نامتعارف فنون ،هستند پذیر آسیب نقاط از برداری بهره منظور به هجوم و جدید ضعف نقاط کشف بدنبال هکرها هنگامیکه به anomaly ) ویروس با حمله اینگونه از نمونه اولین .نیست کار در شناسایی عالئم یا و الگو هیچگونه زار کار این در .است نیاز مورد شناسایی CodeRed .نماید شناسایی آنرا حمله الگوی طریق از نتوانست شناسایی سیستم هیچ جائیکه ،رسید ظهور معرض به محصوالت IDS ترافیک مقایسه با میتواند اینکار .دارند نامتعارف شناسایی فنون به نیاز حمالت اینگونه اولیه ضربات شناسایی منظور به .است شده نهاده بنا متعارف غیر ترافیک آمار مشاهده اساس بر مکانیسم این .گیرد صورت اولیه ترافیک الگوی یک با شبکه سیستمهای حاضر حال در IDS نیز شناسایی متعارف غیر فنون .باشند نمی جدید هوشمندانه حمالت برخی از ممانعت و شناسایی به قادر .نیافتد موثر مواقع بعضی در است ممکن تالش تان شبکه امنیت برای و هستید گذار سرمایه شما اگر .شود دروازه وارد توپ دهید اجازه نباید و هستید بان دروازه یک کنید تصور .کنید جایگزین پیشگیرانه فناوری با را واکنشی سیستم و بگیرید تصمیم .شد خواهد تبدیل کابوس یک به شما برای موضوع این کنید می
- 17. سیستم .شوند تر خبره و ماهرتر روز به روز تا داشته برآن را نفوذگران کاربردی های الیه به حمله مقابل در اطالعاتی های سیستم مقاومت ( نفوذ شناسایی IDS بر نیستند تهدیدی حقیقت در که را عادی غیر اً رظاه های الگو شناسایی کار و کند می عمل شبکه پروتکل الیه در ) .شود می امنیتی سیستم شدن کند و سنگینی موجب کار این .دارد عهده حمالت از جدید الگوهای روی بر تغییرات اعمال با باید کار این .کند می پیشنهاد تهدیدات این خصوص در را تری موثر راه پیشگیرانه روش .بگیرد صورت دهند می گسترش را حمالتشان دامنه ًادائم که نفوذگران مختلف کنند می پیچیده آنقدر را حمالتشان آنها .آنهاست عمل سرعت و پیچیدگی ،ساخته قدرتمند زمینه این در را نفوذگران همه از بیشتر آنچه که یابند گسترش سرعتی چنان با میکنند سعی آنها .آورد نمی دوام آنها مقابل در زیادی مدت ،معمولی آتش دیواره یا ویروس ضد یک که .باشد نداشته موقع به واکنش توانایی انسان ( نفوذ از ممانعت سیستم فقط اکنون Intrusion Prevention System ) IPS در ،حمالت کردن مسدود به قادر خود مصنوعی هوش با ، .است میدهند رخ که زمانی میان تفاوت IPS و IDS چیست؟ IDS .میکند عمل دزدگیر یک شبیه بیشتر IDS سپس و کند می کشف زده صدمه آنجا به رسدکسی می نظر به که را شبکه از قسمتهایی ،صدمات از شما که رسیده آن زمان اکنون .گیرد می صورت دستگاه به آسیب حین در یا و بعد اخطار این که است بدیهی .دهد می اخطار .کنید اصالح را سیستم و نموده جلوگیری تر پیش IPS سیستم از قسمتی اینکه بر مبنی اخطار اعالم بجای و است شده طراحی دهنده سرویس یا شبکه به مجوز بدون ورود از جلوگیری برای .آورد می عمل به جلوگیری سیستم صدمه از شده مشکل دچار IPS آوری فن از جدیدی نسل IDS سیستم .است IDS کردن مسدود توانایی باید همچنین .شناسایی فقط نه دارد احتیاج توانایی به تفاوت .باشد داشته را حمالت IPS با IDS که است این در سنتی IPS تا کشد می دهنده سرویس یا و شبکه دور تا دور امنیتی سد یک های توانایی دیگر از .نگردد وارد آن به ای صدمه IPS شبکه با داخلی شبکه ارتباط وصل و قطع ، شبکه در موجود تراکم راندن بیرون .است شبکه خارج و داخل به آمدها و رفت کنترل و خارجی میان تفاوت است ممکن که حالی در .دارد است وقوع حال در که را ای حمله بازداشتن توانایی و ارتباط کنترل قابلیت تر ساده عبارت به IPS و IDS .دریافت را میانشان تفاوت توان می سادگی به آنها اسامی از آید نظر به کننده گیچ IDS گردآوری دستگاه یک از بیش ها .کنند تحلیل و ارزیابی دارد عبور قصد که را ای بسته هر قادرند تنها که نیستند شبکه اختالالت کننده آگاه و اطالعات کننده IPS تغییر ها طبیعی شکل IDS .هستند ها IPS های توانایی همه دارای ها IDS دهیم می آنها به که هایی معیار اساس بر توانند می حقیقت در آنها .باالتر سطحی در ولی هستند ها نتیجه در .بگیرند تصمیم IPS .حمله یک به واکنش فقط نه و هستند پیشگیری مکانیسم دارای ،ها تمام ذاتا IPS ها IDS اما هستند نیز IDS ها IPS وظایف تغییر با که ، است دهی پاسخ مکانیزم در تفاوت .نیستند IDS به انفعالی حالت از .پذیرد می صورت گیرنده تصمیم حالت شبکه مدیر که هنگامی IPS کند می فعال شبکه عیوب بررسی برای را ی IPS دقیق بطور خود عالئم بانک اساس بر را عبوری های بسته در و کند می بررسی شبکه به ورود از قبل نیز را آنها محتوای کل بلکه ، الکترونیکی های نامه عناوین تنها نه میان این در .کند می بررسی .آورد می عمل به جلوگیری آنها ورود از ، بودن مخرب صورت ماند نمی حفره یک از خرابکاران استفاده منتظر که است راهی امنیتی خودکارسازی
- 18. حمالت از جلوگیری در معمولی آتش های دیواره .کنند پیدا سیستم به ورود برای راهی بایست می نفوذگران و ها ویروس ،مخرب کدهای هایی ویروس شناسایی در نیز ویروس ضد های سیستم همچنین .بودند موثر مختلف های پرتکل یا باز های پورت طریق از ، شبکه به ساده به مخرب های کد های نویسنده گرچه .بودند موثر ،شوند می سیستم وارد فایل کپی و الکترونیک های نامه طریق از و شناسند می که (مانند ورودی نقاط و استاندارد های پروتکل از استفاده تازگی http پورت و 80 را شود داشته نگه باز سیستم کارهای انجام برای باید که ) .اند کرده شروع سیستم داخل به نفوذ برای حمالت به پاسخگویی به قادر و میشوند عملیاتی افت دچار مرور به هستند ثابت های مکانیسم دارای که امنیتی سیستمهای ترتیب بدین تقش که اینجاست .باشند نمی پیشرفته شده ریزی برنامه IPS .بگیرد را نفوذگران جلوی موثری ً الکام بطور تا گردد می رنگ پر ها IPS : کند می استفاده روش چند از مجاز غیر ورودهای قبیل این از جلوگیری برای IPS و کند می بازرسی دهنده هشدار سیستم از بهتر بسیار دارد را شبکه به ورود قصد که را ای بسته هر )شبکه یا میزبان بر (مبتنی ها پدافند از شد حمله نوع کردن پیدا به موفق اگر که ،حمله نوع یافتن برای اطالعاتی بانک جستجوی اول :رساند می انجام به را کار دو سپس سیستم هسته کارکرد اساس و پایه این .کند می پیدا را ها فایل به دسترسی اجازه سیستم صوررت این غیر در و کرد خواهد استفاده آن .رود می کار به عادی غیر های فعالیت جستجوی برای که است : است الزم شرط دو سیستمی چنین به دستیابی برای دهد نشان را العمل عکس بهترین تواند نمی سیستم ،نباشید برخوردار کافی اجرایی توان از اگر : باال اجرایی توان بگیرید اشتباه تصمیم نباید شما : دقت دوم و
- 19. سازی پیاده و نصب ossec
- 20. معرفی OSSEC ( باز منبع میزبان بر مبتنی نفوذی آشکارساز سیستم یک HIDS ، یکپارچگی بررسی ، سیستم به ورود تحلیل و تجزیه که است ) تشخیص ، ویندوز رجیستری بر نظارت rootkit . دهد می انجام را فعال واکنش و زمان بر مبتنی هشدار ، OSSEC چند یا یک بر نظارت برای سرور عنوان به یا ، شود نصب )محلی نصب (یک آن روی شده نصب سرور بر نظارت برای تواند می نصب نحوه ، آموزش این در .شود نصب عامل OSSEC بر نظارت برای را CentOS 7 .گرفت خواهید یاد محلی نصب یک عنوان به مرحله 1 کنید نصب را الزم های بسته : sudo yum install -y gcc inotify-tools جدیدتر های ورژن در : نکته ossec . کنیم نصب را زیر های بسته هست نیاز ما dnf install gcc make libevent-devel zlib-devel openssl-devel pcre2-devel wget tar -y
- 21. مرحله 2 - OSSEC کنید تأیید و بارگیری را OSSEC یک عنوان به فایل فایل .شود بارگیری پروژه سایت وب از باید که شود می ارائه فشرده checksum از استفاده عدم تأیید برای که نسخه آخرین ، انتشار زمان در .شود بارگیری باید نیز ، گیرد می قرار استفاده مورد ، تاربال OSSEC 2.8.2 .است بارگیری صفحه را پروژه بررسی کنید .کنید بارگیری را آن جدید نسخه و : ازسورس بارگیری برای wget -U ossec http://www.ossec.net/files/ossec-hids-2.8.2.tar.gz : سام چک پرونده برای wget -U ossec http://www.ossec.net/files/ossec-hids-2.8.2-checksum.txt های چک بررسی بعدی مرحله ، پرونده دو هر بارگیری با MD5 و SHA1 برای .است تاربل MD5sum :نوع ، md5sum -c ossec-hids-2.8.2-checksum.txt :انتظار مورد خروجی ossec-hids-2.8.2.tar.gz: OK md5sum: WARNING: 1 line is improperly formatted هش تأیید برای SHA1 :نوع ، sha1sum -c ossec-hids-2.8.2-checksum.txt :است آن انتظار مورد بازده و ossec-hids-2.8.2.tar.gz: OK sha1sum: WARNING: 1 line is improperly formatted مرحله 3 سرور : SMTP کنید تعیین را خود نصب مراحل طی در OSSEC سرور یک شود می خواسته شما از ، SMTP ، چیست دانید نمی اگر .کنید تعیین خود ایمیل آدرس برای را :)کنید آن جایگزین را جعلی ایمیل (آدرس شماست محلی دستگاه از دستور این صدور برای روش ترین ساده dig -t mx you@example.com سرور ، نمونه خروجی این در .است شده داده نشان کد بالک این در خروجی به مربوط بخش SMTP ایمیل آدرس برای شده پرسیده در - خط انتهای mail.vivaldi.net .است .است شده درج انتها در نقطه که باشید داشته توجه .
- 22. ;; ANSWER SECTION: vivaldi.net. 300 IN MX 10 mail.vivaldi.net. مرحله 4 نصب : OSSEC نصب برای OSSEC : کنید باز را فایل است الزم ابتدا ، tar xf ossec-hids-2.8.2.tar.gz یا دهید تغییر .دهد جای خود در را برنامه نسخه و نام که گیرد می قرار ای پوشه در cd .شوید آن وارد OSSEC 2.8.2 شده نصب نسخه ، باید که ، بعدی پایدار نسخه انتشار زمان تا .شود برطرف نصب شروع از قبل باید که است جزئی اشکال یک دارای ، مقاله این برای OSSEC 2.9 برای آن رفع .است ارشد کارشناسی شاخه در حاضر حال در تعمیر این زیرا ، نیست الزم کار این ، باشد OSSEC 2.8.2 معنای به فقط در که ، است پرونده یک ویرایش active-response است این پرونده .دارد قرار فهرست hosts-deny.sh :کنید باز آن از استفاده با بنابراین ، nano active-response/hosts-deny.sh :باشید کد بلوک این دنبال به ، پرونده انتهای در # Deleting from hosts.deny elif [ "x$" = "xdelete" ]; then lock; TMP_FILE = `mktemp /var/ossec/ossec-hosts.XXXXXXXXXX` if [ "X$" = "X" ]; then # Cheap fake tmpfile, but should be harder then no random data TMP_FILE = "/var/ossec/ossec-hosts.`cat /dev/urandom | tr -dc 'a-zA-Z0-9' | fold -w 32 | head -1 `" fi با که خطوطی در TMP_FILE عالمت اطراف فضاهای ، شود می شروع را = پرونده از بخش آن ، ها فاصله برداشتن از پس . کنید حذف .ببندید را فایل و کنید ذخیره .شود داده نشان زیر کد بلوک همانند باید # Deleting from hosts.deny elif [ "x$" = "xdelete" ]; then lock; TMP_FILE=`mktemp /var/ossec/ossec-hosts.XXXXXXXXXX` if [ "X$" = "X" ]; then # Cheap fake tmpfile, but should be harder then no random data TMP_FILE="/var/ossec/ossec-hosts.`cat /dev/urandom | tr -dc 'a-zA-Z0-9' | fold -w 32 | head -1 `" fi :دهید می انجام را آن کردن تایپ با شما که ، کنیم شروع را نصب مراحل توانیم می sudo ./install.sh
- 23. باید فقط شما ، موارد بیشتر در .کنید وارد را ورودی تا شود می خواسته شما از ، نصب مراحل طی در ENTER را فشار دهید فرض پیش تا ( است انگلیسی ، فرض پیش طور به که ، کنید انتخاب را نصب زبان که شود می خواسته شما از ابتدا .بپذیرد را en مورد زبان این اگر .) ، شماست عالقه ENTER را فشار دهید ، صورت این غیر در . 2 دوباره ، آن از پس .کنید وارد شده پشتیبانی زبانهای لیست از را حرف ENTER را فشار دهید . (en/br/cn/de/el/es/fr/hu/it/jp/nl/pl/ru/sr/tr) [en]: از بعد ، اینجا در .خواهید می را نصب نوع چه که پرسد می شما از اول سوال را محلی . کنید وارد 1- What kind of installation do you want (server, agent, local, hybrid or help)? Local ، بعدی سؤاالت برای ENTER را فشار دهید سوال .بپذیرد را فرض پیش تا 3.1 از سپس و کند می ًافور شما ایمیل آدرس برای را شما سرور SMTP سرور و معتبر ایمیل آدرس یک ، سوال این برای .پرسید می SMTP مرحله در که 3 .کنید وارد اید کرده تعیین 3- Configuring the OSSEC HIDS. 3.1- Do you want e-mail notification? (y/n) [y]: - What's your e-mail address? you@example.com - What's your SMTP server ip/host? :کنید مشاهده را خروجی این باید ، باشد آمیز موفقیت نصب اگر - Configuration finished properly. ... شکل 1 : نصب برای agent - شما هست نیاز agent . کنید انتخاب را
- 24. More information can be found at http://www.ossec.net --- Press ENTER to finish (maybe more information below). --- ، نصب اتمام برای ENTER را فشار دهید . مرحله 5 : OSSEC کنید شروع را OSSEC حساب به ابتدا ، آن شروع برای .است نشده شروع اما ، است شده نصب root .بروید sudo su را آن زیر دستور صدور با سپس start .کنید /var/ossec/bin/ossec-control start باید .کنید بررسی را خود ورودی صندوق ، آن از پس OSSEC ، کار این با .است کرده کار به شروع که دهد اطالع شما به هشدار یک که دانید می اکنون OSSEC .کنید می ارسال را هشدارهایی نیاز صورت در و است شده نصب :ششم مرحله OSSEC کنید سازی شخصی را فرض پیش پیکربندی OSSEC استفاده آن از خود سرور از محافظت برای توانید می که دارد وجود تنظیماتی اما ، کند می عمل خوب - است اصلی پیکربندی فایل ، سازی شخصی برای پرونده اولین .کنید ossec.conf در که / var/ossec/etc پرونده .یافت خواهید قرار فهرست :کنید باز را nano /var/ossec/etc/ossec.conf بخش در که است ایمیل تنظیمات تأیید برای مورد اولین global :کرد خواهید مشاهده پرونده <global> <email_notification>yes</email_notification> <email_to>finid@vivaldi.net</email_to> <smtp_server>mail.vivaldi.net.</smtp_server> <email_from>ossecm@vultr.guest</email_from> </global> آدرس که کنید حاصل اطمینان email_from سرورهای از برخی ، صورت این غیر در .است معتبر ایمیل یک SMTP ایمیل دهنده ارائه طرف از را هشدارهایی OSSEC عنوان به Spam اگر .کنند می گذاری عالمت FQDN روی ایمیل دامنه قسمت ، باشد نشده تنظیم سرور .باشید داشته معتبر ایمیل آدرس یک خواهید می ًاواقع شما که است تنظیماتی این بنابراین ، شود می تنظیم سرور میزبان نام
- 25. اجرای فرکانس ، سیستم آزمایش هنگام خصوص به ، کنید سازی سفارشی خواهید می که تنظیماتی از دیگر یکی OSSEC های ممیزی قسمت در تنظیمات این .است خود syscheck دارد قرار هر ، فرض پیش طور به و 22 ویژگیهای آزمایش برای .شود می اجرا بار یک ساعت دهنده هشدار OSSEC تنظیم فرض پیش صورت به را آن دوباره آن از بعد اما ، کنید تنظیم کمتری مقدار به را آن بخواهید است ممکن ، .کنید <syscheck> <!-- Frequency that syscheck is executed - default to every 22 hours --> <frequency>79200</frequency> ، فرض پیش طور به OSSEC زیر در درست جدید برچسب یک ، آن تغییر برای .دهد نمی هشدار سرور به جدید پرونده شدن اضافه هنگام برچسب کنید اضافه ><فرکانس :باشد زیر موارد حاوی باید بخش این ، اتمام از پس . <syscheck> <!-- Frequency that syscheck is executed - default to every 22 hours --> <frequency>79200</frequency> باید که است هایی فهرست لیست در تغییر برای خوب تنظیم آخرین OSSEC پیدا قبلی تنظیم از بعد درست را آنها .کند بررسی را آنها :شوند می داده نشان زیر صورت به ها دایرکتوری ، باشید فرض پیش .کرد خواهید <!-- Directories to check (perform all possible verifications) --> <directories check_all="yes">/etc,/usr/bin,/usr/sbin</directories> <directories check_all="yes">/bin,/sbin</directories> گزارش تا کنید اصالح را خط دو هر OSSEC :بخوانند باید آنها ، اتمام از پس .کند تغییر واقعی زمان در <directories report_changes="yes" realtime="yes" check_all="yes">/etc,/usr/bin,/usr/sbin</directories> <directories report_changes="yes" realtime="yes" check_all="yes">/bin,/sbin</directories> .ببندید را فایل و کنید ذخیره کنیم اصالح باید که بعدی پرونده local_rules.xml در / var/ossec/rules بنابراین .دارد قرار فهرست cd :فهرست آن به cd /var/ossec/rules قاعده های پرونده دایرکتوری این OSSEC جز به آنها از یک هیچ که ، دارد می نگه را local_rules.xml آن در . شوند اصالح نباید پرونده این .گیرد می آتش ، جدید پرونده افزودن با که است قانونی ، کنیم اضافه باید که قانونی .کنیم می اضافه را سفارشی قوانین ، پرونده شماره با ، قانون 554 صفر بر شده تنظیم سطح با قاعده یک وقتی که است این دلیل .کند نمی ایجاد را دهنده هشدار فرض پیش طور به ، ، شود شروع OSSEC .کند نمی ارسال هشدار
- 26. قانون که رسد می نظر به اینجا در 554 .رسد می نظر به فرض پیش طور به <rule id="554" level="0"> <category>ossec</category> <decoded_as>syscheck_new_entry</decoded_as> <description>File added to the system.</description> <group>syscheck,</group> </rule> در را قانون آن از شده اصالح نسخه یک باید ما local_rules.xml شده آورده زیر کد بالک در شده اصالح نسخه آن .کنیم اضافه پرونده .کنید اضافه و کرده کپی فایل پایین در را آن ، شدن بسته برچسب از قبل درست .است <rule id="554" level="7" overwrite="yes"> <category>ossec</category> <decoded_as>syscheck_new_entry</decoded_as> <description>File added to the system.</description> <group>syscheck,</group> </rule> سپس ، ببندید و کرده ذخیره را پرونده OSSEC .کنید اندازی راه ًامجدد را /var/ossec/bin/ossec-control restart منبع
- 27. نصب agent
- 28. نصب برای agent . نصب نوع انتخاب مرحله تا میرویم باال روند طبق yum install gcc make On RHEL derivatives (CentOS 7) wget http://mirror.centos.org/centos/7/os/x86_64/Packages/gcc-4.8.5-36.el7.x86_64.rpm wget http://mirror.centos.org/centos/7/os/x86_64/Packages/make-3.82-24.el7.x86_64.rpm yum localinstall gcc-4.8.5-36.el7.x86_64.rpm yum localinstall make-3.82-24.el7.x86_64.rpm / مسیر در مستقیم بصورت دانلود برای tmp : داریم wget https://github.com/ossec/ossec-hids/archive/3.1.0.tar.gz -P /tmp cd /tmp tar xzf 3.1.0.tar.gz cd ossec-hids-3.1.0 ./install.sh
- 29. (en/br/cn/de/el/es/fr/hu/it/jp/nl/pl/ru/sr/tr) [en]: ما اینجا در agent . میکنیم انتخاب را . میکنیم انتخاب را نصب مسیر . میکنیم وارد را سامانه سرور شدن فعال برای integrity check daemon گزینه y . میکنیم انتخاب را
- 30. گزینه کیت روت تشخیص امکان شدن فعال برای y . میکنیم انتخاب را مرحله این در active response . میکنیم فعال غیر را
- 31. . رسید پایان به نصب اتصال agent : سرور به که اکنون agent خاص میزبان به مربوط کلید توانید می .کنید اجرا را زیر دستور ، عامل-سرور اتصال کلید افزودن برای ، است شده نصب گزینه .کنید استخراج سرور از را I سپس .کنید تأیید را کلید افزودن و کنید پیست را کلید ، کنید وارد را Q و کرده تایپ را enter فشار را .شوید خارج تا دهید
- 33. : سامانه های الگ بررسی tail /var/ossec/logs/ossec.log میکنید مشاهده اینجا در agent . است شده متصل سامانه به
- 34. : دوم فصل پیشرفته امکانات از استفاده و تنظیمات . شد خواهد اضافه کتاب بعدی های ورژن در فصل این
- 35. سوم فصل ها سامانه سایر
- 36. با Wazuh : شویم آشنا بیشتر Wazuh پلتفرم یک Open Source قبیل از فراوانی های تقابلی که است Threat Detection ،Integrity Monitoring ،Incident Response ،Compliance .دهد یم ارائه را غیره و یک عنوان به پلتفرم این Fork پروژه از OSSEC HIDS مانند ای هشد هشناخت ابزار با ادغام و جدید های تقابلی شدن هاضاف با و آمد وجود به OpenSCAP و Elasticsearch . میباشد دارا را
- 37. Wazuh و رایگان پلتفرم یک Open Source .است تهدیدات به پاسخگویی و شناسایی ،پیشگیری نظیر مختلفی های تقابلی دارای که بوده ( شده سازی مجازی های هشبک ،داخلی های هشبک مانند مختلفی های طمحی از محافظت توانایی پلتفرم این ،دیگر بیانی به Virtualization ،) به ونسبت .دارد خود در را ابری های طمحی و داکر کانتینرهای osssec در که . میکند ساپورت را بیشتری های تقابلی osssec ها تقابلی این . است پولی بصورت
- 38. راهکار معماری همچنین wazuh و ها دستگاه روی از را نیاز مورد های داده که صورت این به است سروری کالینت معماری یک صورت به یک طریق از شبکه در موجود های ماشین Agent حتی یا و AgentLess نصب به نیاز (بدون Agent های مسیست به و کرده آوری جمع ) سرور نام با مرکزی سرور یک Management سوی از ارسالی های هداد سرور این که کند؛ می ارسال Agent .کند یم تحلیل و نگهداری را ها با کامل طور به ،که است این راهکار این مورد در اهمیت حايز و مهم نکته Elastic Stack یک دارای و شده ادغام Search Engine و Data Visualization .دهد ارائه کاربران به را امنیتی هشدارهای در جو و جست و مشاهده قابلیت ترتیب بدین تا بوده : نکته Wazuh بصورت سازی هپیاد امکان all in one بصورت یا و clustering یا Distributed . میباشد دارا را بصورت all in one
- 39. بصورت Distributed های همولف و ها تقابلی Wazuh : است شده تشریح ادامه در ،شود یم مشاهده نیز شکل در که
- 40. Wazuh ،آوری جمع برای Index و شود می استفاده امنیتی های داده تحلیل و تجزیه ، و تهدیدها ،نفوذها تا کند یم کمک ها سازمان به نیاز ،امنیتی ارزیابی و ردیابی برای ، شوند یم تر پیچیده سایبری تهدیدات هرروزه که آنجایی از .دهند تشخیص را رفتاری های ناهنجاری صورت به که است real-time دلیل همین به .شوند مانیتور ها داده Agent های Wazuh فراهم را الزم نظارت توانایی سرور در همچنین و و ها داده پایگاه و امنیتی اطالعات وجود با نیز Intelligence .سازد یم فراهم را ها هداد تحلیل و تجزیه امکان ،مختلف های Agent های Wazuh .کنند یم بررسی و جستجو مشکوک های یناهنجار و کیت روت ، بدافزار یافتن هدف با را نظارت تحت های مسیست های هشبک یا پنهان های سپراس ، پنهان های لفای توانند یم ها نآ Untrust های قابلیت بر عالوه .دهند تشخیص را … و Agent سرور، روش از نیز مرکزی Signature Base .کند یم استفاده نفوذ تشخیص برای
- 41. Agent های Wazuh مرکزی سرور سمت به را ها نآ ،کردن رمز از پس و خوانده را ها هبرنام و عامل سیستم توسط شده تولید های گال Wazuh یا و قوانین مرکزی سرور در ،اساس این بر .کند یم ارسال سازی ذخیره و تحلیل و تجزیه جهت Rule به که دارد وجود هایی از تا کند می کمک گران تحلیل ( نادرست های پیکربندی ،سیستمی خطاهای Misconfiguration و شده آگاه … و مخرب های فعالیت ،) .دهد نشان را مناسب واکنش آنها به نسبت Wazuh را های دایرکتوری های خصیصه و مالکیت ،مجوزها ،محتوا تغییرات و کرده کنترل را سیستم فایل مختلف اجزای تواند یم ، کاربران تواند یم ،این بر عالوه .کند صادر را مربوطه گزارش یا هشدار آن اساس بر و کند شناسایی Local فایلی یا دایرکتوری که کاربرانی یا .کند شناسایی را اند کرده اصالح یا ایجاد را
- 42. Agent های Wazuh ارسال سرور سمت به را اطالعات ،افزارها نرم و عامل سیستم روی بر موجود احتمالی های یپذیر بآسی شناسایی برای به ها پذیری آسیب این همچنین .دهد یم نمایش را ها پذیری آسیب و اسکن را موارد ،موجود ی هداد پایگاه به توجه با نیز سرور و کرده .شوند یم رسانی روز به مداوم طور Wazuh سخت راهنماهای یا و استانداردها ،امنیتی های سیاست با آنها مطابقت از تا کند یم کنترل را برنامه و سیستم پیکربندی تنظیمات .کند حاصل اطمینان افزاری Agent بدون ،پذیر آسیب عامل یک عنوان به که را هایی هبرنام تا دهند یم انجام اسکن ای هدور صورت هب ها سفارشی صورت به توان می را پیکربندی های بررسی ،این بر عالوه .کنند شناسایی را اند شده شناخته ناامن های پیکربندی دارای یا وصله .کرد تنظیم سازمان با متناسب را آنها و داد انجام
- 43. در شده تعیین پیش از اسکریپت تعدادی بخش این در Wazuh برای یا شده مشخص پیش از که مواردی وقوع صورت در که دارد وجود و کرد کم یا اضافه را ها تاسکریپ این توان یم همچنین .کنند اعمال را تغییراتی توانند یم و شوند یم اجرا ،است شده ریزی برنامه آنها وقوع سیاست و شرایط به توجه با .کرد سازی یشخص را ها نآ ،سازمان یک های Wazuh و پذیری مقیاس با همراه ، ها یویژگ این .کند یم بررسی مقررات و استانداردها با انطباق جهت را الزم امنیتی های لکنتر از برخی قابلیت این .سازند برآورده را فنی انطباق شرایط تا کند یم کمک ها نسازما به ،پلتفرمی چند پشتیبانی Wazuh های تشرک توسط تواند می الزامات تأمین جهت مالی موسسات و پرداخت صنعت با مرتبط PCI DSS .گیرد قرار استفاده مورد )پرداخت صنعت داده کارت (استاندارد
- 44. Wazuh دهندگان ارایه سوی از امنیتی های هداد دریافت برای مختلفی های لماژو از و کند یم کمک ابری های تزیرساخ کردن مانیتور به .کند یم استفاده احتمالی ضعف نقاط شناسایی جهت آمازون و مایکروسافت ،گوگل نظیر ابری های سرویس Wazuh ( داکر بستر روی بر را ها یناهنجار و ها یپذیر آسیب ،تهدیدات شناسایی قابلیت Docker .دارد ) Agent های Wazuh اصلی هسته با Docker تا دهد می امکان کاربران به و بوده سازگار Image و شبکه تنظیمات ،ها Container .کنند کنترل را اجرا حال در های
- 45. Security Configuration Assessment در Wazuh در پذیری بآسی کاهش منظور به مختلفی های کتکنی و ابزارها از استفاده معنی به ها مسیست سازی ممقاو application ،ها مسیست ،ها سطح کاهش و حمله بالقوه های هرا حذف با امنیتی خطرات کاهش ،ها مسیست سازی ممقاو از هدف .است فناوری نواحی دیگر و زیرساخت ،گرفت کار به توان یم حوزه این در که مناسبی ابزارهای از یکی .باشد یم ها یپذیر بآسی Wazuh از یکی کمک به راهکار این .است نام با خود های لماژو SCA (Security Configuration Assessment) .کند یم شایانی کمک ،سازی ممقاو فرآیند به ، Wazuh کشف جهت هایی اسکن ،ماژول این کمک به Misconfiguration پیکربندی وضعیت و دهد یم انجام شبکه سطح در موجود های اساس بر را ها Policy مثال عنوان به .کند یم مشخص ،است شده تعریف که هایی SCA پیکربندی است الزم آیا که کند ارزیابی تواند یم .خیر یا شوند فعال غیر یا حذف ضروری غیر های سرویس و افزارها نرم یا کند تغییر عبور رمز به مربوط Policy ماژول برای شده نوشته های SCA های فرمت با YAML توان یم ،انسان توسط آن بودن فهم قابل و سادگی دلیل به و باشند یم براین عالوه .داد گسترش موجود های نیاز و سازمان های سیاست به توجه با را آنها Wazuh از ای مجموعه با Policy تعیین پیش از های اساس بر اغلب که شده Benchmark های CIS برای را استانداردهایی ،باشد یم Hardening .است گرفته نظر در ها سیستم یک زیر مثال از نمونه Alert ویندوز یک روی بر اسکن انجام از پس شده دتولی های 10 دهد یم نشان را این Alert ممیزی به مربوط Do not allow passwords to be saved استاندارد از بخشی که CIS .باشد یم ،است
- 47. اسکن فرآیند انجام برای Host کشف و ها Misconfiguration هر ،موجود های Agent فعلی وضعیت ،است داخلی داده پایگاه یک دارای که ،شبکه در ضروری غیر ترافیک ایجاد از جلوگیری منظور به همچنین .کند یم ذخیره را شده چک موارد Agent صرفا که دارد را قابلیت این .کند ارسال را اسکن از ای خالصه ،باشد نگرفته صورت تغییری اگر و نماید ارسال را اسکن دو بین تغییرات نتیجه سه دارای ،بررسی از پس رویداد هر Failed، Passed و Not applicable روی پیکربندی که مواقعی در .باشد یم Host با شبکه های فایل Policy پیغام باشد داشته همخوانی ،موجود Passed پیغام صورت این غیر در و failed هنگام در اگر همچنین شود یم داده نمایش ،اسکن و بررسی Agent با Error هشدار ،برساند اتمام به را اسکن فرآیند نتواند و شود مواجه Not-applicable این .شد خواهد داده نمایش طریق از ها هشدار Agent راهکار Wazuh سرویس وب صفحه طریق از و شده فرستاده سرور سمت به Kibana داده نمایش کاربر به .شود یم File Integrity Monitoring در Wazuh به مختلف مسیرهای و ها فایل مداوم بررسی با و دارد را ها فایل یکپارچگی بر نظارت ی هوظیف ماژول این ،پیداست آن نام از که همانطور ،دهد رخ … و فایل یک حذف ،فایل یک محتوای تغییر از اعم سیستم یک روی بر تغییری اگر تا کند یم کمک امنیتی کارشناسان و محققان .نمایند بررسی و شناسایی آنرا راهكار Wazuh ( ها هش و تغییر آخرین زمان ،مالک ،مجوزها ،فایل سایز ،ابتدا در که کند یم عمل صورت این به MD5، SHA1، SHA256 با را ) Scan را باشد شده عوض آنها مقدار که را مواردی ،دوباره بررسی با ،دهد رخ تغییری بار هر و کند یم ذخیره خود در اولیه .دهد یم گزارش و کرده شناسایی که هایی ماژول زير FIM در Wazuh :باشد یم زیر شرح به برد یم بهره آنها از Syscheck (Integrity Checking Process) روی بر قسمت این پیشفرض طور به Wazuh تا کرد تعریف را نظر مورد مسیرهای و ها فایل توان یم آن کمک به و باشد یم فعال Wazuh را آنها Scan .کند Configuring Scheduled Scan برای توان یم بخش این کمک به Wazuh به شروع هایی زمان چه که کرد تعیین Scan .کند
- 48. Configuring Real-Time Monitoring صورت به تا نمود مشخص را مسیرهایی توان یم بخش این در Real-Time فرآیند Scanning در که هایی تغییر تا شود انجام آنها روی بر .شوند شناسایی باالتری سرعت با ،افتد یم اتفاق خاص مسیر یک Configuring Who-Data Monitoring کدام و کاربر کدام که شد متوجه توان یم قسمت این کمک به Account Name یا برنامه چه از و است داده تغییر را نظارت تحت های فایل .است کرده استفاده کار این انجام برای پراسسی Configuring Reporting New File شناسایی را آن ،شود ایجاد فایلی ،شده مشخص قبل از که نظارتی تحت مسیرهای در اگر تا کند یم کمک امنیتی متخصصین به بخش این .کنند Configuring Windows Registry در Wazuh را آنها ،ماژول این کمک به و کرد مشخص را مختلف های رجیستری مسیرهای توان یم Scan در تغییر ایجاد محض به و نمود .پرداخت آنها تحلیل به ،نظارت تحت های رجیستری Configuring Report File And Registry Value Change همچنین Wazuh .دهد ارائه و تولید را ها رجیستری یا ها فایل در گرفته صورت تغییرات از متنی های گزارش تا دارد را قابلیت این
- 49. Migrate از Ossec به Wazuh : نکته migrate : میباشد زیر های نسخه شامل کاربران ،متأسفانه OSSEC . کنند استفاده نتوانستند را جدید های ویژگی از بسیاری گذشته دهه طول در سال در که است دلیل همین به 2015 تیم ، Wazuh آسان ،تر جامع بسیار حل راه یک نتیجه .برساند پایان به را پروژه این گرفت تصمیم راه یک به تبدیل سرعت به و است داشته زیادی استقبال باز منبع جامعه میان در فورک .است پذیر مقیاس و اعتماد قابل ،استفاده برای .است شده سازمانی های محیط در پرکاربرد حل از که داریم را امکان این ما Ossec به Wazuh : داریم کار این برای . کنیم مهاجرت sudo du -h /var/ossec | tail -n1 sudo df -h /var های لفای ساختار از کپی یک سپس ossec . میکنیم نگهداری را sudo /var/ossec/bin/ossec-control stop sudo cp -rp /var/ossec /var/ossec_backup به مربوط های بسته سپس ossec . میکنیم حذف زیر ساختار از استفاده با را
- 50. سپس wazuh روش ما اینجا در . میکنیم نصب را سرور all in one را کالسترینگ بصورت نصب ادامه در . میدهیم قرار بررسی مورد را . داد خواهیم انجام نیز ریپوزیتوری نصب wazuh : ها بیس هت رد در
- 51. ریپوزیتوری نصب wazuh :ها بیس دبیان در نصب سپس wazuh manager : میدهیم انجام را : داریم ها بیس دبیان در
- 52. در ها سرویس کردن فعال systemd : در ها سرویس کردن فعال sysvinit :
- 53. بسته سپس Filebeat : میکنیم نصب را : ها بیس دبیان در : دهید انجام را زیر مراحل ادامه در پیکربندی فایل Filebeat هشدارهای ارسال برای استفاده مورد شده پیکربندی پیش از Wazuh به Elasticsearch :کنید دانلود را
- 54. curl -so /etc/filebeat/filebeat.yml https://packages.wazuh.com/resources/4.2/open-distro/filebeat/7.x/ filebeat.yml برای را هشدارها الگوی Elasticsearch :کنید بارگیری curl -so /etc/filebeat/wazuh-template.json https://raw.githubusercontent.com/wazuh/wazuh/4.2/extensions/elasticsearch/7.x/wazuh-template.json chmod go+r /etc/filebeat/wazuh-template.json ماژول دانلود Wazuh برای Filebeat : curl -s https://packages.wazuh.com/4.x/filebeat/wazuh-filebeat-0.1.tar.gz | tar -xvz -C /usr/share/filebeat/module فایل / etc/filebeat/filebeat.yml : کنید ویرایش زیر بصورت را