mshoaib001/It-Solera-Internship-task-1
GitHub: mshoaib001/It-Solera-Internship-task-1
Stars: 0 | Forks: 0
# It-Solera-Internship-task-1
在虚拟实验室中使用 Ubuntu Server 作为 Manager,Kali Linux 作为 Agent,部署了 Wazuh SIEM。配置了文件完整性监控 (FIM) 以实时跟踪关键目录,并检测文件创建、修改和删除事件。通过 Wazuh Dashboard 验证了警报,并解决了配置和同步问题。
# Wazuh 安装与文件完整性监控 (FIM)
## 📌 项目概述
本项目演示了在虚拟实验室环境中部署 Wazuh SIEM 以及实施文件完整性监控 (FIM)。
Ubuntu Server 被配置为 Wazuh Manager,Kali Linux 机器被部署为 Wazuh Agent。实时监控关键目录以检测未经授权的文件更改。
## 🎯 目标
- 在 Ubuntu Server 上部署 Wazuh Manager
- 将 Kali Linux 连接为 Wazuh Agent
- 配置文件完整性监控 (FIM)
- 实时监控关键目录
- 生成并验证安全警报
## 🖥️ 实验环境
### Wazuh Manager (服务器)
- **OS:** Ubuntu Server 22.04 LTS
- **RAM:** 4 GB
- **CPU:** 2 vCPUs
- **Network:** NAT
### Wazuh Agent
- **OS:** Kali Linux
- **RAM:** 2 GB
- **CPU:** 2 vCPUs
- **Network:** NAT
### 使用的工具
- VMware Workstation
- Wazuh 4.x
- Ubuntu Server ISO
- Kali Linux ISO
## ⚙️ Wazuh Manager 安装
```
curl -sO https://packages.wazuh.com/4.14/wazuh-install.sh && sudo bash ./wazuh-install.sh -a
```
此命令安装:
- Wazuh Manager
- Wazuh Indexer
- Wazuh Dashboard
## 🔗 Wazuh Agent 部署
下载 Agent 包后,执行了以下命令:
```
sudo systemctl daemon-reload
sudo systemctl enable wazuh-agent
sudo systemctl start wazuh-agent
```
Agent 连接已通过 Wazuh Dashboard 验证。
## 🔐 文件完整性监控 (FIM) 配置
### 编辑配置文件
```
sudo nano /var/ossec/etc/ossec.conf
```
### 在 `` 部分中添加以下内容
```
/home/shadow-null/Desktop/r
```
### 重启服务
```
sudo service wazuh-agent restart
sudo service wazuh-manager restart
```
## 🧪 测试与验证
在受监控目录内执行了以下操作:
- 创建了测试文件
- 修改了文件内容
- 删除了文件
所有操作均在 **Wazuh Dashboard → File Integrity Monitoring (FIM)** 模块中成功生成了警报。
## ⚠️ 挑战与解决方案
### 1️⃣ XML 配置错误
- **问题:** Wazuh Manager 由于 XML 语法错误无法重启。
- **解决方案:** 检查 `ossec.log`,修正语法错误,并重启服务。
### 2️⃣ 时间同步问题
- **问题:** 警报没有立即显示。
- **解决方案:** 将 Dashboard 时间过滤器调整为 "Last 24 Hours"。
### 3️⃣ 权限拒绝错误
- **问题:** 某些命令由于权限不足而失败。
- **解决方案:** 使用 `sudo` 执行管理命令。
## 📊 关键学习成果
- 理解 Wazuh 架构
- FIM 配置的实践经验
- 实时安全监控
- 日志分析与故障排除
- Linux 系统管理技能
## ✅ 结论
本实验成功演示了使用 Wazuh 进行实时文件完整性监控。
系统准确检测了文件创建、修改和删除事件,增强了实用的 SOC 监控和事件响应技能。
标签:AMSI绕过, BurpSuite集成, DevSecOps, PB级数据处理, Ubuntu Server, Wazuh, x64dbg, 上游代理, 威胁检测, 安全信息与事件管理, 安全运维, 实验室环境, 搜索引擎爬取, 系统加固, 虚拟化安全