Wazuh文件完整性监控

1.1 功能简介

Wazuh有一个内置的FIM模块，可以监控文件系统更改以检测文件的创建、修改和删除。使用Wazuh FIM模块来检测Ubuntu和Windows端点上受监控目录中的更改

1.2 测试环境

2.环境配置

2.1Ubuntu配置

1）配置监控路径

如下配置主要监控/root目录下文件变动，可以按照自己想法配置其他路径

<directories check_all="yes" report_changes="yes" realtime="yes">/root</directories>

2）重启wazuh代理服务

sudo systemctl restart wazuh-agent

2.2Windows配置

1）配置监控路径

测试环境存在用户为admin，配置为当前账号

<directories check_all="yes" report_changes="yes" realtime="yes">C:UsersadminDesktop</directories>

2）重启wazuh代理服务

Restart-Service -Name wazuh

3.功能测试

3.1Ubuntu测试

1）测试文件

通过创建文件、写入文件、删除文件进行功能测试

touch test
echo "111" >> test
rm -rf test

2）基于规则ID查询

通过查询规则，可以看到文件监控详情，查询语法：rule.id: (550 OR 553 OR 554)

查看日志详情，可以看到记录文件删除详情

3.2Windows测试

1）测试文件

2）查询事件

通过查询规则，可以看到文件监控详情，查询语法：rule.id: (550 OR 553 OR 554)