😛
安全运营指南
  • 序言
  • 1 序言
    • 1.1 简介
  • 10 主动防御
    • 10 主动防御
  • 11 安全审计
    • audit
    • osquery
    • sysmon
  • 12 告警手段
    • ESalert告警
    • wazuh邮件告警
    • 自定义告警
  • 13 指标可视化
    • grafana
    • kibana
    • splunk
  • 14 SIEM框架
    • clickhouse
    • splunk
  • 15 nids
    • suricata
  • 16 SIEM集成虚拟机
    • misp
    • ossim
    • selks
    • siemonster
    • wazuh
  • 2 wazuh安装配置
    • 2.1 系统架构
    • 2.2 wazuh管理端安装
      • 2.2.1 Centos 7安装
      • 2.2.2 Ubuntu 18.04安装
    • 2.3 wazuh代理端安装
      • 2.3.3 Windows安装
      • 2.3.1 Centos 7安装
      • 2.3.2 Ubuntu 18.04安装
    • 2.4 管理端与代理端通信
      • 2.4.1 LINUX系统通信
      • 2.4.2 Windows系统通信
    • 2.5 puppet批量部署
      • 2.5.1 puppet server安装
      • 2.5.2 wazuh管理端安装
      • 2.5.3 Ubuntu代理端安装
      • 2.5.4 Windows代理端安装
      • 2.5.5 wazuh参数
    • 2.6 ansible批量部署
      • 2.6.1 ansible Linux 安装
      • 2.6.2 ansible windows安装
      • 2.6.3 wazuh参数
    • 2.7 无状态代理
  • 3 日志收集安装配置
    • 3.1 代理端收集日志
      • Linux日志收集
      • windows日志收集
      • 日志收集安装配置
      • 远程日志收集
    • 3.2 EL(F)K安装配置
      • 3.2.4 Logstash
      • 3.2.5 es集群
      • elasticsearch
      • filebeat
      • kibana
    • 3.3 EL(F)K安装配置(开源)
    • 3.4 splunk安装配置
      • 3.3.1 splunk server
      • 3.3.2 splunk wazuh app
      • 3.3.3 splunk forward
    • 3.5 ELK鉴权机制
      • 3.5.1 HTTP认证
      • 3.5.2 HTTPS认证
    • 3.6 wazuh鉴权机制
      • 3.6.1 管理端与代理端通信
      • 3.6.2 wazuhAPI认证
    • 3.7 syslog导出
  • 4 wazuh共享和集群
    • 4.1 wazuh共享
    • 4.2 wazuh集群
  • 5 文件完整性监控
    • 5.1 功能描述
    • 5.2 实战操作
  • 6 异常和恶意软件检测
    • clamav检测
    • VirusTotal检测
    • 本地规则检测
  • 7 安全基线检测
    • 7.1 安全基线简介
    • 7.2 SCA
    • 7.3 openscap
  • 8 命令内容监控
    • 8.1 命令内容监控
  • 9 主机安全漏洞检测
    • 9.1 配置漏洞扫描
由 GitBook 提供支持
在本页
  • 直接扫描
  • 配置文件扫描

这有帮助吗?

  1. 6 异常和恶意软件检测

clamav检测

上一页5.2 实战操作下一页VirusTotal检测

最后更新于1年前

这有帮助吗?

wazuh集成了virustotal进行异常检测,但是我想直接检测文件特征状态,又不想将文件泄露出去,所以有了一个新的解决方案。

clamav是一个开源病毒扫描软件,针对于Linux木马病毒进行本地化扫描,发现木马,并生成告警日志,那么可以将clamav日志发送到wazuh管理端进行日志处理,生成告警信息。

在centos代理端使用yum命令安装clamav。

 #安装epel扩展仓库
 yum install epel-release -y
 #安装clamav
 yum -y install clamav-server clamav-data clamav-update  \
 clamav-filesystem clamav clamav-scanner-systemd clamav-devel \ 
 clamav-lib clamav-server-systemd

安装完成之后,需要更新clamav的病毒特征库,使用freshclam命令进行更新。

我这边提供两种思路:一种是直接扫描,另外一种就是配置好文件再扫描,前者简单直接,后者日志数据会丰富一点,配置麻烦。

直接扫描

clamscan命令是扫描命令,-r参数是递归扫描目录参数后面接扫描目录,-l参数则是生成扫描日志的位置。为了可以周期性扫描,可以使用crontab命令制定计划任务。

配置文件扫描

新建clamav日志文件,因为clamav是以clamscan启动的,没有在/var/log目录有创建权限,所以需要先创建授权。

[root@wazuh-centos-agent opt]# touch /var/log/clamd.log
[root@wazuh-centos-agent opt]# chmod 666 /var/log/clamd.log

修改配置文件/etc/clamd.d/scan.conf。

[root@wazuh-centos-agent opt]# cat /etc/clamd.d/scan.conf 
LogFile /var/log/clamd.log #clamav文件扫描日志
LogTime yes  #记录时间
LogSyslog yes  #记录到syslog
LogVerbose yes  #记录详细信息
ExtendedDetectionInfo yes  #记录扩展检测信息
LocalSocket /run/clamd.scan/clamd.sock   #本地sock监听
LogRotate yes   #轮转日志记录
LogFileMaxSize 20M  #最大轮转容量记录为20M

启动clamav服务。

[root@wazuh-centos-agent opt]# /usr/sbin/clamd

虽然wazuh有对clamav的日志做了规则和告警处理,但是实际使用发现无法触发规则和告警,需要自定义规则。自定义规则具体内容在后面章节说明。

日志规则解码,根据自己需要提取日志字段。

[root@wazuh-manager ~]# cat /var/ossec/etc/decoders/local_decoder.xml 
<decoder name="virusFound">
   <prematch>FOUND</prematch>
   <regex>-> (\S+): (\S+)\((\S+)\)</regex>
   <order>url, extra_data, id</order>
</decoder>

编写告警规则,设置告警信息和告警等级

[root@wazuh-manager ~]# cat /var/ossec/etc/rules/local_rules.xml
<group name="clamd">

  <rule id="111001" level="0" noalert="1">
    <decoded_as>virusFound</decoded_as>
    <description>Clamd messages grouped.</description>
  </rule>
  <rule id="111002" level="8">
    <if_sid>111001</if_sid>
    <match>FOUND</match>
    <description>ClamAV: Virus detected</description>
    <group>virus</group>
  </rule>

</group>

收集代理端clamav的日志。

[root@wazuh-manager ~]# cat /var/ossec/etc/shared/default/agent.conf 
<agent_config>
 <localfile>
    <log_format>syslog</log_format>
    <location>/var/log/clamd.log</location>
  </localfile>
</agent_config>

配置完成之后,扫描木马病毒就可以生成告警日志。