Debian 12 部署 HIDS Wazuh 指南

Wazuh 是一款 开源的 SIEM(安全信息和事件管理)HIDS(主机入侵检测系统) 解决方案,能够实时监控系统日志、检测安全威胁、执行合规性审计,并提供可视化安全分析。
Wazuh可用于入侵检测、日志分析、文件完整性监控、恶意软件检测、漏洞扫描等场景。Wazuh 适用于企业安全运营中心(SOC)、服务器与终端安全、DevSecOps 以及合规性管理,帮助企业和个人提升 IT 环境的安全性。

1. 单节点部署 Wazuh

首先,克隆 Wazuh 官方 Docker 仓库,并切换到指定版本:

git clone https://github.com/wazuh/wazuh-docker.git -b v4.11.1

进入 单节点部署目录

cd wazuh-docker/single-node

2. 配置 Wazuh

Wazuh 由 管理器(Manager)索引器(Indexer)仪表板(Dashboard) 组成。

2.1 调整内核参数

在主机(Linux)上,提升 vm.max_map_count 以支持 Wazuh 索引器(需要 root 权限):

sysctl -w vm.max_map_count=262144

2.2 生成 SSL 证书

运行以下命令,生成用于组件间通信的证书:

docker compose -f generate-indexer-certs.yml run --rm generator

2.3 启动 Wazuh

完成配置后,启动 Wazuh 服务:

docker compose up -d

2.4 访问 Wazuh 仪表板

部署完成后,在浏览器中访问:

https://<Wazuh_IP>

默认的登录凭据为:

  • 用户名admin
  • 密码SecretPassword

3. 添加 Wazuh Agent

要将受监控的主机接入 Wazuh,请在 Web 仪表板中进行操作:

在 Wazuh 仪表板中添加 Agent

  1. 登录 Wazuh 仪表板。
  2. 导航到 HOME — OVERVIEW — Deploy new agent。
  3. 选择要监控的操作系统。
  4. 输入要监控的服务器地址、Agent 名称和分组。
  5. 复制生成的 Agent 安装命令,并粘贴到要监控的主机中执行。

验证 Agent 连接
返回到 HOME — OVERVIEW 页面,您应该能够看到新添加的 Agent。


评论

发表回复

您的邮箱地址不会被公开。 必填项已用 * 标注