AdityaBhatt3010/Wazuh-Deployment-Vulnerability-Monitoring-PoC

GitHub: AdityaBhatt3010/Wazuh-Deployment-Vulnerability-Monitoring-PoC

Wazuh部署与漏洞监控PoC,实现集中式安全监控和漏洞检测。

Stars: 1 | Forks: 0

# 🛡️ Wazuh 部署与漏洞监控 PoC ## 概述 本概念验证(PoC)演示了部署新的 Wazuh 管理器实例,将新的端点作为 Wazuh 代理加入,并利用 Wazuh 内置的漏洞检测功能来识别监控系统中存在的安全问题。 目标是建立集中的安全监控,验证代理通信,并审查平台生成的漏洞洞察。 ## 第 1 步:部署 Wazuh 管理器 为此设置,Wazuh 管理器部署在 Kali Linux 机器(基于 Debian)上。 运行以下命令: ``` curl -sO https://packages.wazuh.com/4.14/wazuh-install.sh && bash ./wazuh-install.sh -a ``` 此自动化安装脚本部署完整的 Wazuh 堆栈,包括管理器、索引器和仪表板组件,使环境在最小手动配置的情况下即可运行。 一旦安装完成: * 使用显示的 IP 地址打开 Wazuh 仪表板。 * 保存生成的用户名和密码以供将来访问。 在某些环境中,防火墙规则可能阻止对仪表板的访问。如果需要,允许 HTTP 和 HTTPS 流量: ``` ufw allow 443/tcp ufw allow 80/tcp ``` ## 第 2 步:部署新的代理 要开始监控端点,请转到 Wazuh 仪表板中的 **代理 → 部署新代理** 并根据您的目标系统配置部署设置。 在本演示中,监控的端点是另一台使用 **DEB ARM64** 包格式的 Kali Linux 机器。 ![1](https://static.pigsec.cn/wp-content/uploads/repos/2026/06/1a836b6eec074152.png) 选择适当的选项后,Wazuh 将自动生成针对端点定制的安装命令。 生成的命令包含: * Wazuh 管理器 IP 地址 * 代理名称 * 为所选操作系统选择的正确安装包 示例: ``` wget https://packages.wazuh.com/4.x/apt/pool/main/w/wazuh-agent/wazuh-agent_4.14.5-1_arm64.deb && sudo WAZUH_MANAGER='192.168.136.130' WAZUH_AGENT_NAME='NewAgent' dpkg -i ./wazuh-agent_4.14.5-1_arm64.deb ``` `WAZUH_MANAGER` 变量告诉代理将日志和安全事件发送到何处,而 `WAZUH_AGENT_NAME` 识别 Wazuh 仪表板中的端点。 ![2](https://static.pigsec.cn/wp-content/uploads/repos/2026/06/a9b09d15a8074154.png) ## 第 3 步:启动代理服务 一旦包安装完成,启用并启动 Wazuh 代理服务。 ``` sudo systemctl daemon-reload sudo systemctl enable wazuh-agent sudo systemctl start wazuh-agent ``` 这些命令: * 重新加载 systemd 配置 * 在启动时启用服务 * 立即启动代理 几分钟后,端点应成功注册到管理器。 ## 第 4 步:验证代理连接性 如果一切配置正确,新代理将显示为 Wazuh 仪表板中的 **活动**。 这确认了: * 代理注册成功 * 与管理器的通信正常 * 安全遥测正在收集和处理 ![3](https://static.pigsec.cn/wp-content/uploads/repos/2026/06/4840d6c474074155.png) ## 第 5 步:审查漏洞检测结果 Wazuh 最有用的功能之一是其内置的漏洞检测引擎。它持续将安装的软件与已知的 CVE 数据库进行比较,并在检测到有漏洞的包时生成警报。 对于此测试系统,结果出人意料地干净: 🗿 仅 **1 个高** 和 **1 个中** 严重程度的漏洞被识别。 ![4](https://static.pigsec.cn/wp-content/uploads/repos/2026/06/87d393117d074158.png) 仪表板提供了对检测到的漏洞、严重程度分布和受影响资产的快速概述。 ## 第 6 步:探索安全仪表板 仪表板提供了以下集中视图: * 安全警报 * 漏洞发现 * 代理健康 * 合规信息 * 威胁监控统计 这提供了对监控环境中当前安全状况的高级理解。 ![5](https://static.pigsec.cn/wp-content/uploads/repos/2026/06/57ce9c57c4074159.png) ## 第 7 步:调查有漏洞的包 库存部分提供了有关检测到的漏洞和受影响软件包的详细信息。 对于此端点,Wazuh 识别到: * 影响 **weasyprint** 的 CVE-2025-68616 * 影响 **mitmproxy** 的 CVE-2026-40606 库存视图使识别有漏洞的组件和优先处理修复活动变得容易。 修复它们可以留到另一天。 😎 ![6](https://static.pigsec.cn/wp-content/uploads/repos/2026/06/e675899165074200.png) ## 结论 本 PoC 成功演示了: ✅ 新 Wazuh 管理器的部署 ✅ 代理加入和注册 ✅ 端点监控 ✅ 漏洞检测和库存分析 ✅ 基于仪表板的安全可见性 Wazuh 为安全监控、漏洞管理、合规跟踪和威胁检测提供了一个强大的开源平台,使其成为家庭实验室和企业环境中的优秀选择。 ## 最后的想法 本 PoC 展示了 Wazuh 如何快速部署以在端点之间建立集中的安全可见性。从代理加入和资产库存收集到自动漏洞检测,Wazuh 为监控和改进组织的网络安全状况提供了一个强大的开源平台。 尽管本说明侧重于简单的实验室环境,但相同的流程可以直接扩展到企业环境,其中安全团队持续监控资产、调查警报、跟踪漏洞并维护合规要求。 与 Wazuh 等平台进行动手实践对任何对以下感兴趣的人来说都很有价值: * SOC 分析 * 安全工程 * 威胁狩猎 * 漏洞管理 * 安全监控 * 事件响应 随着环境的增长,对系统和漏洞的集中可见性变得越来越重要——Wazuh 有效地弥合了这一差距。
标签:Claude, CVE检测, Dashboard, Debian, GPT, Wazuh, 安全防护, 漏洞洞察, 漏洞管理, 特权提升, 终端安全, 自动化部署, 请求拦截, 资产清单, 防火墙配置, 集中式监控