Security
Wazuh – Pro-active response – Examples
In questo post vedremo come Wazuh possa reagire in maniera pro-attiva (nel momento in cui l’evento accade) ad un tentativo di attacco di tipo brute-force. Analizzeremo due casi:
- come bloccare un attacco di tipo brute force tramite script win_route-null;
- come bloccare un attacco di tipo brute-force verso la pagina di login di un CMS (WordPress/Joomla), tramite un firewall perimetrale. (more…)
Security
Wazuh – Pro-active response
Una parte molto importante del lavoro svolto da Wazuh è quello di reagire immediatamente all’attivazione di un alert, un livello di alert o un gruppo di regole; questa reazione viene chiamata active response.
Security
Wazuh – Regole
In questo post familizzieremo con le regole di Wazuh; le regole sono mantenute da Wazuh Inc. e, essendo Wazuh un progetto open-source, ad esse contribuisce la community di Wazuh.
Le regole vengono utilizzate per rilevare attacchi, intrusioni, uso improprio del software, problemi di configurazione, errori di applicazioni, malware, rootkit, anomalie di sistema o violazioni delle security policy.
Security
Vulnerability Assessment – GCE/GSM – Report analysis
Analizziamo il report prodotto dalla fase di scansione alla ricerca di vulnerabilità. Abbiamo effettuato una scansione utilizzando come macchina target, una macchina con SO CentOS 6 senza nessuna patch installata. (more…)
Security
Wazuh – FIM (File Alteration Monitor)
Vediamo come utilizzare Wazuh per intercettare delle modifiche non autorizzate al nostro file system; nel caso di macchine Windows, possiamo anche controllare alterazione del registry.
Questa caratteristica viene identificata in genere come FIM (File Alteration Monitor).
Security
Wazuh – RDP brute-force attack
Come già visto per l’ attacco SSH di tipo brute-force, vediamo come evidenziare un attacco di tipo RDP su un server Windows su cui è aperto/installato il servizio Terminal Server.
Security
Vulnerability Assessment – GCE/GSM – Prima scansione
Utilizziamo GCE/GSM per effettuare la nostra prima scansione alla ricerca di vulnerabilità; come target imposteremo una macchina “datata” (su internet si trovano anche installazioni molto più obsolete), sia come SO che come servizi, per vedere come si comporta il nostro scanner. (more…)
Security
Wazuh – SSH brute-force attack
Vediamo come scovare tramite Wazuh un attacco SSH di tipo brute-force.
Security
Wazuh – Vulnerability detection
Grazie all’integrazione dei feed di vulnerabilità delle maggiori distribuzioni Linux (Canonical/Ubuntu, Debian, RedHat/CentOS e NVD – National Vulnerability Database), Wazuh è in grado di rilevare vulnerabilità nelle applicazioni installate negli agenti utilizzando il modulo Vulnerability Detection. Wazuh è anche in grado di riconoscere le vulnerabilità di Windows (indicizzate come CVE) rilevando gli hotfix installati.