我目前使用 Wazuh 版本 4.5.1 进行入侵检测,但遇到了一个问题,它似乎无法检测 Nmap 端口扫描攻击。我在我的系统上使用 Nmap(版本 7.93)执行了端口扫描,Wazuh 没有发出任何警报。 我检查了 wazih 管理器和代理上的日志文件,没有问题
检查 Wazuh 日志中是否有任何相关警报。 验证了 Nmap 扫描命令并确认其目标 IP 正确。
因为我已在 aws vm 上安装了 wazuh 管理器和 wazuh 代理,所以我确保所有安全组和所有端口均已打开
为了生成端口扫描警报,您必须验证是否在 ossec.conf 文件中找到以下条目:
<localfile>
<log_format>full_command</log_format>
<command>netstat -tulpn | sed 's/\([[:alnum:]]\+\)\ \+[[:digit:]]\+\ \+[[:digit:]]\+\ \+\(.*\) :\([[:digit:]]*\)\ \+\([0-9\.\:\*]\+\).\+\ \([[:digit:]]*\/[ [:alnum:]\-]*\).*/\1 \2 == \3 == \4 \5/' | sort -k 4 -g | sed 's/ == \(.*\) ==/:\1/' | thirst 1,2d</command>
<alias>netstat listening ports</alias>
<frequency>360</frequency>
</localfile>
此配置默认位于 ossec.conf 文件中。您应该将其放在 ossec.conf 中以在 Wazuh 中实现警报。