PCI-DSS Compliant Content by Deploying Wazuh
Wazuh是作為HIDS的身份被需要
HIDS(Host-based Intrusion Detection System)
主機入侵檢測系統:
- 功能:在單個主機上監控和分析系統活動,檢測潛在的入侵行為。
- 方式:通過監控系統日誌、文件完整性、配置變化、進程活動等,檢測異常行為和已知威脅。
- 反應:通常生成警報,但不自動採取防禦行動。
- 優點:能夠深入分析主機內部的活動,識別細粒度的攻擊行為。
而Wazuh主要著重在於幾點:
- 日誌記錄
- 文件完整性監控(FIM)
- 安全策略與告警規則
懶人包
部署步驟參考上一篇
也可以參考官方說明
配置文件放在config/wazuh_cluster/wazuh_manager.conf
核實這個規則集是否包含PCI-DSS
https://github.com/wazuh/wazuh-ruleset/blob/master/rules/0215-policy_rules.xml
已包含PCI-DSS在內,若在非工作時間或週末登入時觸發規則
其他規則集也可以在同層目錄下找到
登入wazuh的後台之後,向下拉可以找到PCI-DSS
直接就會呈現PCI-DSS所需的dashboard
點擊controls分頁也有總結命中的條文
點擊events分頁可以直接看到log內容與細節
其他示例
點擊rule.id也可以看到命中的規則詳情
右上角能產生報告
FIM的部分可以找到命中規則
再將它展開查看
剩下的就是自己翻閱法規的時候了
可以下載法規(有中文版)
Wazuh的官網上都有示例,這裡就不一一說明法規了
一些hit案例展示
- rootcheck
- netstat listening port
還有附hit到哪個條文整個就很貼
關於配置文件
- IPS的入侵偵測功能
- FIM的文件完整性檢查
- FIM監控的文件詳情
- 配置告警
