HIDS产品形态HIDS全称是Host-basedIntrusionDetectionSystem，即基于主机型入侵检测系统。hids组成架构一般分为：agent：本质是安装在主机上的一个软件，通过持续监控主机中数以万计的安全指标，将结果推送到管理端的分析引擎进行快速威胁检测分析。管理端：根据agent上报的事件进行

蜜罐（PC终端版）：从防守方的视角，利用欺骗伪装技术，实现主动对抗，及时诱捕、发现、处置、溯源，甚至反制攻击者。蜜罐作用一般是直接放入恶意程序，点击运行的，所以PC蜜罐需要起到的作用：1. 查看攻击者的操作行为，比如是否上传一些扫描工具、漏洞利用工具，进行攻击者画像。2.获取攻击

关于Wazhu可以通过2种方式部署安装 第一种方法为：下载镜像将镜像导入VM虚拟机里（需要电脑里有VM虚拟机软件）https://documentation.wazuh.com/current/deployment-options/virtual-machine/virtual-machine.html打开链接下载wazhu镜像 该版本为4.7.1如果想要切换版本则点

基本介绍Wazuh是一个免费的开源平台，用于威胁预防、检测和响应。它能够跨本地、虚拟化、容器化和基于云的环境保护工作负载。Wazuh解决方案由部署到受监控系统的端点安全代理和管理服务器组成，该服务器收集和分析代理收集的数据。此外，Wazuh已与ElasticStack完全集成，提供搜索引

1.wazuh环境配置及漏洞复现进入官网下载OVA启动软件:VirtualMachine(OVA)-Installationalternatives(wazuh.com)2.进入VMware像配置其他虚拟机一样进行配置即可3.上面会有提示：账号为，wazuh-user；密码，wazuh 4.将网络连接模式更改为NAT，否则不能连上网  5.重启网络，

 样本日志：IPS：Mar1017:12:34XX-Internet-IPS1-R03-25UIPS:SerialNum=23139121998GenTime="2023-03-1017:12:34"SrcIP=23.10.156.214SrcIP6=SrcIPVer=4DstIP=120.26.160.74DstIP6=DstIPVer=4Protocol=TCPSrcPort=65443DstPort=443InInterface=xge1

ALL-in-oneES账号密码位置ALL-in-one安装的账号密码其实默认就是webUI访问的账号密码。也可以用证书私钥的方式访问ES，参考wazuh-install.sh安装脚本截取的相关代码，如下第1行、18行红色标记：indexer_cert_path="/etc/wazuh-indexer/certs"functionindexer_initialize(){

使用wazuh自带的shuffle脚本实现 步骤：1.进入：/var/ossec/integrations复制shuffle、shuffle.py两个文件，并重命名为：custom-feishu、custom-feishu.py备注：一定要按这个方式命名，自定义告警前，都要加custom2.编辑custom-feishu.py，修改generate_msg函数： 3.如果想看告警

 <!--检查使用公司外部打印机打印的行为--><groupname="天擎"><ruleid="100020"level="5"><decoded_as>json</decoded_as><description>TianQing</description><fieldnam

背景：使用wazuh对接安全系统日志，根据定义的敏感日志规则，触发告警，并在wazuhdashboard上展示wazuh版本：4.4天擎版本：v6 步骤：1.开启天擎syslog功能##在测试过程中，感觉天擎支持TCP、UDP两种协议，可以抓包看下是哪种协议。##我在设置514端口时，是TCP协议；513端口时，是UDP协议。 

1、DockerCE安装参考：https://www.cnblogs.com/a120608yby/p/9883175.html2、DockerCompose安装参考：https://www.cnblogs.com/a120608yby/p/14582853.html3、主机参数优化#编辑/etc/sysctl.conf#vim/etc/sysctl.conf...vm.max_map_count=262144...#使配置

可以去申请一个商业版的试用：https://console.cloud.wazuh.com我的如下（我安装的是linux版本）：       使用hydra在kali下做暴力破解攻击。==》可以看到wazu

文件完整性配置Wazuh文件完整性监控(FIM)系统监视选定的文件并在这些文件被修改时触发警报。负责此任务的组件称为syscheck。此组件存储文件或Windows注册表项的加密

前提上一篇介绍了服务端安装，这篇记录客户端安装生成安装命令进入web界面首先点击addagent根据要安装的服务器系统配置选择复制命令在服务器中安装运行安装命令

wazuh简介Wazuh是一个免费、开源和企业级的安全监控解决方案，用于威胁检测、完整性监控、事件响应和合规性。官网地址：https://wazuh.com/对于wazuh与其他开源安全产品

一.IDS功能通过监听网卡流量并匹配规则引擎进行入侵实时检测和预警，检测手段上也与Wazuh比较类似 二.IPS功能与Wazuh的主动响应的功能不一样，IPS功能并不需要对防火墙进

一.安装Wazuh1.安装必要的库#yuminstallcurlunzipwgetlibcapnet-tools2.安装RPM源#rpm--importhttps://packages.wazuh.com/key/GPG-KEY-WAZUH3.添加Re