首页
/ Wazuh 4.12.0 Alpha 1版本中Shuffle与Maltiverse外部API集成测试报告

Wazuh 4.12.0 Alpha 1版本中Shuffle与Maltiverse外部API集成测试报告

2025-05-19 17:12:02作者:晏闻田Solitary

测试环境搭建

本次测试基于Wazuh 4.12.0 Alpha 1版本,构建了一个完整的分布式安全监控环境。测试集群采用多节点架构,包含以下核心组件:

  1. 索引器集群:部署了两个Wazuh Indexer节点(node-1和node-2),均运行在Amazon Linux 2023操作系统上,采用x86_64架构。

  2. 管理节点集群

    • 主节点(wazuh-1):部署在Amazon Linux 2023上,作为集群控制中心
    • 工作节点(wazuh-2):同样运行在Amazon Linux 2023上,负责处理部分工作负载
  3. 可视化组件:Wazuh Dashboard部署在主节点服务器上,提供Web管理界面。

  4. 代理节点:使用Ubuntu 20.04系统的代理进行终端安全监控测试。

环境搭建过程中,我们特别注意了证书管理、节点间通信配置以及服务的高可用性设置。通过Wazuh证书工具生成了完整的PKI基础设施,包括根CA、节点证书和管理员证书等,确保各组件间的TLS加密通信。

Shuffle集成测试

Shuffle是一个工作流自动化平台,本次测试验证了Wazuh与Shuffle的Webhook集成能力。测试过程分为三个关键步骤:

  1. Shuffle平台配置

    • 创建了专门的Webhook接收器
    • 配置了Email应用连接,特别注意使用了1.0.1版本的Shuffle Email App以确保邮件发送功能正常
    • 建立了从Webhook到Email的工作流管道
  2. Wazuh主节点配置: 在ossec.conf文件中添加了Shuffle集成配置,指定了Webhook URL、告警级别和JSON格式:

    <integration>
      <name>shuffle</name>
      <hook_url>https://shuffler.io/api/v1/hooks/webhook_XXXXX</hook_url>
      <level>3</level>
      <alert_format>json</alert_format>
    </integration>
    
  3. 测试验证

    • 通过sudo提权操作生成安全告警
    • 确认告警成功传递到Shuffle平台
    • 验证Email应用正确接收并展示了告警详情

测试结果表明,Wazuh能够实时将安全事件通过Webhook推送到Shuffle平台,并成功触发后续的邮件通知工作流。这种集成方式为安全团队提供了灵活的事件响应机制,可以将Wazuh告警无缝接入现有的自动化工作流程。

Maltiverse威胁情报集成

Maltiverse是一个威胁情报平台,本次测试重点验证了Wazuh与Maltiverse的威胁检测集成能力。测试过程如下:

  1. 环境准备

    • 将测试代理重新配置指向工作节点
    • 在代理上配置实时监控/tmp目录
    • 在工作节点添加自定义规则检测/tmp目录的文件变更
  2. Maltiverse配置

    • 获取API密钥
    • 在工作节点的ossec.conf中添加Maltiverse集成配置:
      <integration>
        <name>maltiverse</name>
        <hook_url>https://api.maltiverse.com</hook_url>
        <level>3</level>
        <api_key>XXXXX</api_key>
        <alert_format>json</alert_format>
      </integration>
      
  3. 恶意文件检测测试

    • 在代理的/tmp目录下载EICAR测试文件
    • 确认工作节点检测到文件变更并生成告警
    • 验证告警通过Maltiverse集成发送

测试结果显示,Wazuh能够有效检测可疑文件活动,并通过Maltiverse集成获取威胁情报。这种集成增强了Wazuh的威胁检测能力,特别是对于已知恶意文件的识别。

测试结论与建议

本次测试全面验证了Wazuh 4.12.0 Alpha 1版本与Shuffle和Maltiverse的外部API集成能力,得出以下结论:

  1. 集成功能稳定性:两种集成方式在测试过程中表现稳定,能够正确处理和转发安全告警。

  2. 配置灵活性:集成配置简单明了,支持灵活的告警级别过滤和格式定制。

  3. 分布式支持:验证了在多节点环境中,集成功能可以正常工作在不同类型的节点上。

基于测试结果,我们建议:

  • 在生产环境部署时,应妥善保管API密钥和Webhook URL等敏感信息
  • 对于Shuffle邮件集成,需确认使用兼容的应用版本
  • 考虑设置适当的告警级别过滤,避免信息过载

Wazuh的外部API集成功能为构建企业级安全运维平台提供了坚实基础,通过与其他安全工具的联动,可以构建更加全面和自动化的安全防护体系。

登录后查看全文
热门项目推荐
相关项目推荐

项目优选

收起
ohos_react_nativeohos_react_native
React Native鸿蒙化仓库
C++
176
261
RuoYi-Vue3RuoYi-Vue3
🎉 (RuoYi)官方仓库 基于SpringBoot,Spring Security,JWT,Vue3 & Vite、Element Plus 的前后端分离权限管理系统
Vue
860
511
ShopXO开源商城ShopXO开源商城
🔥🔥🔥ShopXO企业级免费开源商城系统,可视化DIY拖拽装修、包含PC、H5、多端小程序(微信+支付宝+百度+头条&抖音+QQ+快手)、APP、多仓库、多商户、多门店、IM客服、进销存,遵循MIT开源协议发布、基于ThinkPHP8框架研发
JavaScript
93
15
openGauss-serveropenGauss-server
openGauss kernel ~ openGauss is an open source relational database management system
C++
129
182
openHiTLSopenHiTLS
旨在打造算法先进、性能卓越、高效敏捷、安全可靠的密码套件,通过轻量级、可剪裁的软件技术架构满足各行业不同场景的多样化要求,让密码技术应用更简单,同时探索后量子等先进算法创新实践,构建密码前沿技术底座!
C
259
300
kernelkernel
deepin linux kernel
C
22
5
cherry-studiocherry-studio
🍒 Cherry Studio 是一款支持多个 LLM 提供商的桌面客户端
TypeScript
596
57
CangjieCommunityCangjieCommunity
为仓颉编程语言开发者打造活跃、开放、高质量的社区环境
Markdown
1.07 K
0
HarmonyOS-ExamplesHarmonyOS-Examples
本仓将收集和展示仓颉鸿蒙应用示例代码,欢迎大家投稿,在仓颉鸿蒙社区展现你的妙趣设计!
Cangjie
398
371
Cangjie-ExamplesCangjie-Examples
本仓将收集和展示高质量的仓颉示例代码,欢迎大家投稿,让全世界看到您的妙趣设计,也让更多人通过您的编码理解和喜爱仓颉语言。
Cangjie
332
1.08 K