Wazuh 4.12.0 Alpha 1版本外部集成模块测试报告

Wazuh作为一款开源的安全监控平台，在4.12.0 Alpha 1版本中对多个外部集成模块进行了重要更新和功能增强。本文将详细介绍本次版本中关键模块的测试情况，帮助用户了解新版本的功能表现和潜在问题。

AWS模块测试

AWS模块在4.12.0 Alpha 1版本中引入了安全湖(Security Lake)作为订阅者的新集成功能。测试团队对AWS模块进行了全面的集成测试，所有基础功能测试用例均顺利通过，包括：

• 基础功能测试
• 自定义存储桶测试
• 日志丢弃正则测试
• 日志组测试
• 时间过滤测试
• 解析器测试
• 路径测试
• 区域测试
• 存储桶清理测试

然而，在安全湖作为订阅者的集成测试中，发现了一个关键问题：当配置文件中指定了AWS凭证文件中的区域(region)参数时，模块无法正确识别该区域设置，导致集成失败并返回"必须指定区域"的错误信息。这个问题特别出现在使用<aws_profile>标签配置凭证的情况下。

测试表明，该问题不会影响不使用凭证文件配置的情况。开发团队已经针对此问题创建了修复任务，预计将在后续版本中解决。

Maltiverse威胁情报集成测试

Maltiverse威胁情报集成模块在本次测试中表现稳定。测试团队在管理节点上配置了Maltiverse集成，验证了其与Maltiverse API的正常交互能力。

测试配置包括：

• API端点URL
• 有效的API密钥
• JSON格式的告警输出

日志分析显示，集成模块能够正确：

1. 初始化与Maltiverse的连接
2. 处理安全告警事件
3. 将格式化后的数据发送至Maltiverse平台

测试过程中，模块稳定运行，未发现任何功能异常或性能问题。所有预期的日志输出均出现在系统日志和集成专用日志文件中，证实了该模块在当前版本的可靠性。

其他模块状态

除AWS和Maltiverse外，测试团队还评估了多个集成模块的状态：

• Azure云集成：未发现变更，功能保持稳定
• GCP云集成：未发现变更，功能保持稳定
• Docker监听器：未发现变更，功能保持稳定
• Shuffle集成：未发现变更，功能保持稳定
• Slack集成：未发现变更，功能保持稳定
• Virustotal集成：未发现变更，功能保持稳定
• Pagerduty集成：未发现变更，功能保持稳定

这些模块在4.11.2版本至4.12.0 Alpha 1版本之间没有代码变更，因此测试团队确认它们的功能与前一版本保持一致。

结论与建议

Wazuh 4.12.0 Alpha 1版本在外部集成方面主要聚焦于AWS安全湖订阅者功能的引入。虽然基础功能表现良好，但用户在使用新安全湖集成时应注意区域识别的已知问题。对于生产环境部署，建议：

1. 暂缓部署AWS安全湖集成功能，等待修复版本发布
2. Maltiverse及其他集成模块可以安全升级
3. 关注后续版本发布说明，获取问题修复进展

测试结果表明，除AWS安全湖集成外，4.12.0 Alpha 1版本的外部集成功能整体稳定，能够满足企业安全监控的基本需求。用户可以根据自身业务需求，选择性部署已验证稳定的功能模块。