Wazuh 4.12.0 Alpha 1版本中Shuffle与Maltiverse外部API集成测试报告
测试环境搭建
本次测试基于Wazuh 4.12.0 Alpha 1版本,构建了一个完整的分布式安全监控环境。测试集群采用多节点架构,包含以下核心组件:
-
索引器集群:部署了两个Wazuh Indexer节点(node-1和node-2),均运行在Amazon Linux 2023操作系统上,采用x86_64架构。
-
管理节点集群:
- 主节点(wazuh-1):部署在Amazon Linux 2023上,作为集群控制中心
- 工作节点(wazuh-2):同样运行在Amazon Linux 2023上,负责处理部分工作负载
-
可视化组件:Wazuh Dashboard部署在主节点服务器上,提供Web管理界面。
-
代理节点:使用Ubuntu 20.04系统的代理进行终端安全监控测试。
环境搭建过程中,我们特别注意了证书管理、节点间通信配置以及服务的高可用性设置。通过Wazuh证书工具生成了完整的PKI基础设施,包括根CA、节点证书和管理员证书等,确保各组件间的TLS加密通信。
Shuffle集成测试
Shuffle是一个工作流自动化平台,本次测试验证了Wazuh与Shuffle的Webhook集成能力。测试过程分为三个关键步骤:
-
Shuffle平台配置:
- 创建了专门的Webhook接收器
- 配置了Email应用连接,特别注意使用了1.0.1版本的Shuffle Email App以确保邮件发送功能正常
- 建立了从Webhook到Email的工作流管道
-
Wazuh主节点配置: 在ossec.conf文件中添加了Shuffle集成配置,指定了Webhook URL、告警级别和JSON格式:
<integration> <name>shuffle</name> <hook_url>https://shuffler.io/api/v1/hooks/webhook_XXXXX</hook_url> <level>3</level> <alert_format>json</alert_format> </integration> -
测试验证:
- 通过sudo提权操作生成安全告警
- 确认告警成功传递到Shuffle平台
- 验证Email应用正确接收并展示了告警详情
测试结果表明,Wazuh能够实时将安全事件通过Webhook推送到Shuffle平台,并成功触发后续的邮件通知工作流。这种集成方式为安全团队提供了灵活的事件响应机制,可以将Wazuh告警无缝接入现有的自动化工作流程。
Maltiverse威胁情报集成
Maltiverse是一个威胁情报平台,本次测试重点验证了Wazuh与Maltiverse的威胁检测集成能力。测试过程如下:
-
环境准备:
- 将测试代理重新配置指向工作节点
- 在代理上配置实时监控/tmp目录
- 在工作节点添加自定义规则检测/tmp目录的文件变更
-
Maltiverse配置:
- 获取API密钥
- 在工作节点的ossec.conf中添加Maltiverse集成配置:
<integration> <name>maltiverse</name> <hook_url>https://api.maltiverse.com</hook_url> <level>3</level> <api_key>XXXXX</api_key> <alert_format>json</alert_format> </integration>
-
恶意文件检测测试:
- 在代理的/tmp目录下载EICAR测试文件
- 确认工作节点检测到文件变更并生成告警
- 验证告警通过Maltiverse集成发送
测试结果显示,Wazuh能够有效检测可疑文件活动,并通过Maltiverse集成获取威胁情报。这种集成增强了Wazuh的威胁检测能力,特别是对于已知恶意文件的识别。
测试结论与建议
本次测试全面验证了Wazuh 4.12.0 Alpha 1版本与Shuffle和Maltiverse的外部API集成能力,得出以下结论:
-
集成功能稳定性:两种集成方式在测试过程中表现稳定,能够正确处理和转发安全告警。
-
配置灵活性:集成配置简单明了,支持灵活的告警级别过滤和格式定制。
-
分布式支持:验证了在多节点环境中,集成功能可以正常工作在不同类型的节点上。
基于测试结果,我们建议:
- 在生产环境部署时,应妥善保管API密钥和Webhook URL等敏感信息
- 对于Shuffle邮件集成,需确认使用兼容的应用版本
- 考虑设置适当的告警级别过滤,避免信息过载
Wazuh的外部API集成功能为构建企业级安全运维平台提供了坚实基础,通过与其他安全工具的联动,可以构建更加全面和自动化的安全防护体系。
相关内容推荐
PaddleOCR-VLPaddleOCR-VL 是一款顶尖且资源高效的文档解析专用模型。其核心组件为 PaddleOCR-VL-0.9B,这是一款精简却功能强大的视觉语言模型(VLM)。该模型融合了 NaViT 风格的动态分辨率视觉编码器与 ERNIE-4.5-0.3B 语言模型,可实现精准的元素识别。Python00- DDeepSeek-OCRDeepSeek-OCR是一款以大语言模型为核心的开源工具,从LLM视角出发,探索视觉文本压缩的极限。Python00
MiniCPM-V-4_5MiniCPM-V 4.5 是 MiniCPM-V 系列中最新且功能最强的模型。该模型基于 Qwen3-8B 和 SigLIP2-400M 构建,总参数量为 80 亿。与之前的 MiniCPM-V 和 MiniCPM-o 模型相比,它在性能上有显著提升,并引入了新的实用功能Python00
HunyuanWorld-Mirror混元3D世界重建模型,支持多模态先验注入和多任务统一输出Python00
MiniMax-M2MiniMax-M2是MiniMaxAI开源的高效MoE模型,2300亿总参数中仅激活100亿,却在编码和智能体任务上表现卓越。它支持多文件编辑、终端操作和复杂工具链调用Jinja00
Spark-Scilit-X1-13B科大讯飞Spark Scilit-X1-13B基于最新一代科大讯飞基础模型,并针对源自科学文献的多项核心任务进行了训练。作为一款专为学术研究场景打造的大型语言模型,它在论文辅助阅读、学术翻译、英语润色和评论生成等方面均表现出色,旨在为研究人员、教师和学生提供高效、精准的智能辅助。Python00
GOT-OCR-2.0-hf阶跃星辰StepFun推出的GOT-OCR-2.0-hf是一款强大的多语言OCR开源模型,支持从普通文档到复杂场景的文字识别。它能精准处理表格、图表、数学公式、几何图形甚至乐谱等特殊内容,输出结果可通过第三方工具渲染成多种格式。模型支持1024×1024高分辨率输入,具备多页批量处理、动态分块识别和交互式区域选择等创新功能,用户可通过坐标或颜色指定识别区域。基于Apache 2.0协议开源,提供Hugging Face演示和完整代码,适用于学术研究到工业应用的广泛场景,为OCR领域带来突破性解决方案。00- HHowToCook程序员在家做饭方法指南。Programmer's guide about how to cook at home (Chinese only).Dockerfile014
- Spark-Chemistry-X1-13B科大讯飞星火化学-X1-13B (iFLYTEK Spark Chemistry-X1-13B) 是一款专为化学领域优化的大语言模型。它由星火-X1 (Spark-X1) 基础模型微调而来,在化学知识问答、分子性质预测、化学名称转换和科学推理方面展现出强大的能力,同时保持了强大的通用语言理解与生成能力。Python00
- PpathwayPathway is an open framework for high-throughput and low-latency real-time data processing.Python00
最新内容推荐
项目优选
kernel
docs
flutter_flutter
fountain
nop-entropy
cangjie_runtimeCangjie-Examples
openHiTLS
RuoYi-Vue3
cherry-studio