clamav检测
wazuh集成了virustotal进行异常检测,但是我想直接检测文件特征状态,又不想将文件泄露出去,所以有了一个新的解决方案。
clamav是一个开源病毒扫描软件,针对于Linux木马病毒进行本地化扫描,发现木马,并生成告警日志,那么可以将clamav日志发送到wazuh管理端进行日志处理,生成告警信息。
在centos代理端使用yum命令安装clamav。
#安装epel扩展仓库
yum install epel-release -y
#安装clamav
yum -y install clamav-server clamav-data clamav-update \
clamav-filesystem clamav clamav-scanner-systemd clamav-devel \
clamav-lib clamav-server-systemd安装完成之后,需要更新clamav的病毒特征库,使用freshclam命令进行更新。
我这边提供两种思路:一种是直接扫描,另外一种就是配置好文件再扫描,前者简单直接,后者日志数据会丰富一点,配置麻烦。
直接扫描
clamscan命令是扫描命令,-r参数是递归扫描目录参数后面接扫描目录,-l参数则是生成扫描日志的位置。为了可以周期性扫描,可以使用crontab命令制定计划任务。
配置文件扫描
新建clamav日志文件,因为clamav是以clamscan启动的,没有在/var/log目录有创建权限,所以需要先创建授权。
修改配置文件/etc/clamd.d/scan.conf。
启动clamav服务。
虽然wazuh有对clamav的日志做了规则和告警处理,但是实际使用发现无法触发规则和告警,需要自定义规则。自定义规则具体内容在后面章节说明。
日志规则解码,根据自己需要提取日志字段。
编写告警规则,设置告警信息和告警等级
收集代理端clamav的日志。
配置完成之后,扫描木马病毒就可以生成告警日志。
最后更新于
这有帮助吗?