Wazuh功能检测模块对Windows版TeamCity的支持增强

Wazuh作为一款开源的安全监控平台，其功能检测功能在Windows环境下对JetBrains TeamCity产品的支持存在识别盲区。近期社区用户反馈该问题后，开发团队已快速响应并完成了软件识别规则的补充。

问题背景

在Windows系统中运行的TeamCity构建代理（Build Agent）虽然能够被Wazuh的syscollector模块正确采集到软件信息，包括：

• 软件名称："JetBrains TeamCity Build Agent 2022.10.1"
• 版本号："2022.10.1 (build 116934)"
• 供应商："JetBrains s.r.o."

但功能检测模块却无法将这些采集到的信息与已知的TeamCity功能关联起来。这导致即使系统存在已公开的TeamCity相关CVE功能，Wazuh平台也无法发出相应的安全通知。

技术原理

Wazuh的功能检测机制依赖于：

1. 系统信息采集组件（syscollector）定期扫描主机上的软件清单
2. 中央情报（CTI）服务维护的功能数据库
3. 软件识别转换规则（将采集到的原始软件信息映射为标准化的CPE标识）

在本次案例中，问题出在第三个环节——系统虽然能采集到TeamCity的安装信息，但缺乏将这些原始数据转换为标准CPE格式的转换规则，导致无法与CTI数据库中的功能记录进行匹配。

解决方案演进

开发团队采取的核心措施是：

1. 分析用户提供的软件信息样本
2. 建立Windows环境下TeamCity产品的标准化识别规则
3. 将该规则集成到Wazuh的功能检测逻辑链中

值得注意的是，在早期版本中，用户可以通过本地的cpe-helper工具自定义软件识别规则。但在当前架构下，这类规则调整统一由官方维护，用户无法自行修改，这保证了功能检测策略的一致性和可靠性。

最佳实践建议

对于企业安全团队：

1. 定期检查Wazuh控制台中的"Functions"模块
2. 关注特殊业务软件的功能覆盖情况
3. 及时通过社区渠道反馈检测盲区
4. 保持Wazuh组件更新以获取最新的检测规则

该改进已随最新规则库更新生效，Windows平台上的TeamCity产品现在可以正常参与功能扫描流程，帮助企业及时发现构建系统中的安全要素。