VIGHNESH329/wazuh-tool-practical

# 使用 Wazuh 进行文件完整性监控 (FIM) ## 概述 本实验演示了 Wazuh 的文件完整性监控 (FIM) 功能如何检测对关键系统文件的未经授权的修改。 目的是了解 Syscheck 模块如何监控文件、比对 hash，并在检测到文件完整性发生变化时生成警报。 ## 环境 * 操作系统：Ubuntu * 安全平台：Wazuh * 使用模块：Syscheck (文件完整性监控) ## 初始观察 Syscheck 模块已启用，但未能立即检测到文件更改。 配置： ``` 43200 ``` 这意味着 Wazuh 每 12 小时执行一次扫描。 ## 问题 在修改受监控的文件后，由于未启用实时监控，因此没有立即生成警报。 ## 解决方案 为 `/etc` 目录启用了实时监控。 配置： ``` /etc /usr/bin,/usr/sbin /bin,/sbin,/boot ``` 更新配置后，重启了 Wazuh Manager。 ``` sudo systemctl restart wazuh-manager ``` ## 攻击模拟 修改受监控的文件： ``` sudo nano /etc/hosts ``` 添加： ``` 127.0.0.1 WAZUH_REALTIME_TEST ``` ## 检测 Wazuh 生成了以下警报： ``` Integrity checksum changed ``` 警报严重级别： ``` Level 7 ``` ## 检测原理 ``` File Modified ↓ Syscheck Recalculates Hash ↓ Hash Mismatch Detected ↓ Wazuh Generates Alert ``` 生成警报的原因是文件在修改后其 checksum 发生了改变。 ## 学到的关键概念 * 文件完整性监控 (FIM) * Syscheck 模块 * 实时监控 * 基于 Hash 的检测 * 警报调查 * 安全监控 ## 结论 通过启用实时监控、修改受保护的系统文件，并验证 Wazuh 通过完整性 checksum 警报检测到了更改，成功配置并测试了 Wazuh 文件完整性监控。 本实验演示了安全团队如何识别对关键文件的未经授权的修改，并调查潜在的安全事件。

标签：Redis利用, Wazuh, x64dbg, 安全运营中心, 网络映射