Zapisy na kurs Proxmox i Wirtualizacji Serwerów
Naucz się praktycznego instalowania, konfigurowania i administrowania środowiskiem wirtualizacji Proxmox (tworzenia VM, sieci, klastrów, backupów oraz automatyzacji i zabezpieczeń) dzięki 12-tygodniowemu kursowi z ponad 150 lekcjami, materiałami, skryptami i wsparciem trenera, który prowadzi Cię „od zera do bohatera” w realnych wdrożeniach IT.
Promocja trwa do 17 lutego, godz. 23:59
Wazuh to platforma bezpieczeństwa open-source do monitorowania i wykrywania zagrożeń. Wyjaśnię ci dwa kluczowe moduły:
FIM (File Integrity Monitoring)
FIM to moduł monitorowania integralności plików, który:
Podstawowe funkcje:
Śledzi zmiany w plikach i katalogach w systemie
Wykrywa modyfikacje, dodanie lub usunięcie plików
Monitoruje atrybuty plików (uprawnienia, właściciel, rozmiar)
Oblicza i porównuje sumy kontrolne (MD5, SHA1, SHA256)
Jak działa:
Agent Wazuh regularnie skanuje określone lokalizacje
Porównuje aktualny stan z poprzednim snapshot’em
Generuje alerty gdy wykryje zmiany
Może działać w czasie rzeczywistym (real-time) lub według harmonogramu
Typowe zastosowania:
Wykrywanie nieautoryzowanych zmian w plikach konfiguracyjnych
Monitorowanie katalogów systemowych
Compliance (PCI-DSS, HIPAA wymagają FIM)
Wykrywanie backdoorów i rootkitów
Vulnerability Detection
To moduł wykrywania podatności, który:
Podstawowe funkcje:
Skanuje zainstalowane oprogramowanie w poszukiwaniu znanych CVE
Porównuje wersje pakietów z bazami podatności
Koreluje dane z różnych źródeł (NVD, vendorzy)
Ocenia poziom ryzyka (CVSS score)
Jak działa:
Agent zbiera informacje o zainstalowanych pakietach
Wazuh Manager porównuje je z bazami podatności
Generuje alerty z informacjami o znalezionych CVE
Aktualizuje dane o podatnościach automatycznie
Źródła danych:
National Vulnerability Database (NVD)
Red Hat, Debian, Ubuntu security feeds
Windows Update
Własne bazy danych
Korzyści:
Proaktywne wykrywanie zagrożeń
Priorytetyzacja patchowania
Raportowanie stanu bezpieczeństwa
Automatyzacja procesu zarządzania podatnościami
Oba moduły współpracują z innymi komponentami Wazuh tworząc kompleksowy system bezpieczeństwa
Konfiguracja Vulnerability Detection
W dashboard Wazuha klinamy na „hamburgera”, w lewym górnym rogu:
Przechodzimy do sekcji „Server management” / „Settings”:
Następnie klikawy w „Edit configuration”:
Szukamy „<vulnerability-detection>” i pod „<feed-update-interval>60m</feed-update-interval>, wklejamy kod:
Poniższy kod służy do ustawienia tzw. „provider’ów”. Czylielement <provider> określa źródło danych o podatnościach (CVE/OVAL), z którego korzysta moduł Vulnerability Detection:
<provider name="canonical">
<enabled>yes</enabled>
<os>trusty xenial bionic focal jammy</os>
</provider>
<provider name="debian">
<enabled>yes</enabled>
<os>stretch buster bullseye bookworm</os>
</provider>
<provider name="redhat">
<enabled>yes</enabled>
</provider>
<provider name="msu">
<enabled>yes</enabled>
</provider>
Następnie kliknij „Save”, by zapisać zmiany oraz „Restart Manager” by zmiany dokonały się na serwerze:
Potwierdź „Confirm”:
Poczekaj chwilę aż informacja o restarcie Managera dobiegnie końca:
Przejdź do wybranego agenta, klikjnij w „W.” i wybierz „Active:
Następnie wybierz swojego agenta (Windows lub Linux):
Po wybraniu agenta kliknij w „Vulnerability Detection”:
Oto główny Dashboard, skanu i podatności wybranej maszyny (w moim przypadku jest to Windows11):
W sekcji „Inventory” mamy spis podatności naszej maszyny. Wybierz interesującą Cię potatność:
Zostaniesz przekierowany na stronę podsumowania podatności wraz z numerem podatności, krótkim opisem, czego ona dotyczy. Dodatkowo mamy informacje na temat „werdyktu w skali od 1 do 10” oraz listę podatnych systemów operacyjnych:
Na samym dole strony, mamy „Metric” czyli metrykę oraz odnośnik do „References” (referencji):
Konfiguracja FIM (File Integrity Monitoring)
Windows:
W Windows gdzie mamy zainstalowanego agenta Wazuh, przechodzimy do folderu „C:\Program Files (x86)\ossec-agent”:
Szukamy programu o nazwie „win32ui” i go uruchamiamy:
Po uruchomieniu programy klikamy na „View” a następnie „View Config”:
Szukamy sekcji „<!– File integrity monitoring –>” i pod „<disabled>no</disabled> wpisujemy:
<directories check_all="yes" realtime="yes" report_changes="yes">C:\Users\Twój_Użytkownik\Downloads</directories>
WAŻNE! W kodzie, tam gdzie „Twój_Użytkownik”. Podajesz nazwę konta swojego użytkownika! Dla przykładu ustawiłem ścieżkę „\Downloads”, według potrzeb możesz zmienić miejsce docelowe, które ma być monitorowane przez Wazuh.
Po zapisaniu pliku (ja użyłem skrótu klawiszowego „ctrl + s”, kliknij „Manage” / „Restart”. Zrestartujemy agenta by zmiany zostały załadowane w agencie Wazuh:
Po chwili, wyświetli się komunikat „Agent restarted” oraz „Status: Running”:
Utwórz np. plik tekstowy w ustalonym folderze do monitorowania, możesz też coś w nim wpisać, a następnie go usunąć. Przejdź do Dashbord’a Wazuh, wybierz agenta na którym skonfigurowałeś FIM. Kliknij na „File Integrity Monitoring”:
Pojawi się Dashboard FIM, jeśli nie odczekać chwilę i odśwież stronę Wazuh’a:
Kliknij na „Events”, pojawi się historia „eventów” (podejrzanych zdarzeń), którą wykrył Wazuch:
Mamy już szczegółowy obraz, co się wydarzyło. Od lewej mamy takie informacje jak „timestamp” (czyli czas wykrycia), „agent.name” (nazwa agenta), syscheck.path (ścieżka w której wykonały się zdarzenia), „syscheck.event” (co działo się z plikiem), „rule.description (opis reguły, która wyłapała zdarzenie), „rule.level” (poziom zagrożenia od 1 do 10) oraz „rule.id” (numer indentyfikacyjny reguły). Jak widzisz sporo informacji Wazuh nam przekazuje, po wykryciu poderzanego zachowania w systemie.
Linux
W serwerze Linuxa. Po zalogowaniu się do systemu edytujemy plik „ossec.conf”:
nano /var/ossec/etc/ossec.confPonownie szukamy sekcji <!– File integrity monitoring –>” i pod „<disabled>no</disabled> wpisujemy:
<directories check_all="yes" report_changes="yes" realtime="yes">/root</directories>
<directories check_all="yes" report_changes="yes" realtime="yes">/code/config</directories>
<directories check_all="yes" report_changes="yes" realtime="yes">/usr/</directories>
<directories check_all="yes" report_changes="yes" realtime="yes">/home/ubuntu</directories>
Zapisujemy plik i restartujemy agenta Wazuh, komendą:
systemctl restart wazuh-agent
Analogicznie utwórz np. plik tekstowy w wyżej wskazanych folderach na systemie i go usuń. Przejdź do agenta Linuksa gdzie skonfigurowałeś FIM i sprawdź wyniki w „Events”:
Skonfigurowanie FIM w Wazuh umożliwia wykrywanie nieautoryzowanych zmian w plikach i konfiguracjach systemowych w czasie zbliżonym do rzeczywistego, co pozwala szybko identyfikować incydenty i naruszenia integralności.
Vulnerability Detection uzupełnia to podejście, identyfikując znane podatności (CVE) w systemach i oprogramowaniu, dzięki czemu możliwa jest priorytetyzacja aktualizacji i proaktywne ograniczanie ryzyka bezpieczeństwa.
Zapisy na kurs Proxmox i Wirtualizacji Serwerów
Naucz się praktycznego instalowania, konfigurowania i administrowania środowiskiem wirtualizacji Proxmox (tworzenia VM, sieci, klastrów, backupów oraz automatyzacji i zabezpieczeń) dzięki 12-tygodniowemu kursowi z ponad 150 lekcjami, materiałami, skryptami i wsparciem trenera, który prowadzi Cię „od zera do bohatera” w realnych wdrożeniach IT.
Promocja trwa do 17 lutego, godz. 23:59