网络问题

前面的见邮件：

——————————————————————————————

2、办公、教工网段用户反映上网速度较慢。学生线路普遍反映速度很慢，经过观测

，在上午11点前网速较好，之后至凌晨都较慢。

回答如下：

a)寻求ISP的帮助，在这个时段检查学校外出的流量，是否已经达到最高值。并分析流量的组成.

b)网关设备检查日志，有无攻击和内部下载。

C），这个时间段内部中心交换机日志和分支交换机日志。

最好分析是病毒原因，是ISP问题，还是防火墙得到攻击，还是内部有人恶意下载。

3、有些病毒爆发不能及时定位进行处理，给网络带来严重的问题。

内部的日志检查，和对交换机检查，并且做到VLAN之间的限制，同时将服务器和终端进行相应的补丁分发，比如WSUS系统。对交换机系统进行汇聚和中心相连的方式，当一台汇聚层出现问题，将断开与中心的联系，影响最小。此外，对网关处安装防毒网关也是减少风险的因素。

4、学院网络设备和服务器众多，根据网络运维的需要，经常需要批量地改变这些设

备的配置。

使用Adventnet等第三方面软件统一管理这些设备，达到统一控制目标。

一、用例总览

Wazuh通常用于满足合规要求(如PCI DSS或HIPAA)和配置标准(CIS强化指南)。它在IaaS (eg. Amazon AWS, Azure or Google cloud) 用户中也很流行，在运行的实例中部署基于主机的IDS可以与基础设施事件分析(直接从云提供商API提取)相结合。

以下是一些常见的用例:

（1）基于签名的日志分析

（2）文件完整性监测

（3）rootkit检测

（4）安全政策监控

二、基于签名的日志分析

自动日志分析和管理加速了威胁检测。在许多情况下，攻击证据可以在设备、系统和应用程序的日志中找到。Wazuh可以用于自动聚合和分析日志数据。

运行在监控主机上的Wazuh代理通常负责读取操作系统和应用程序日志消息，并将这些消息转发到分析发生的Wazuh服务器。当没有部署代理时，服务器还可以通过syslog从网络设备或应用程序接收数据。

Wazuh使用解码器识别日志消息的源应用程序，然后使用特定于应用程序的规则分析数据。下面是一个用于检测SSH身份验证失败事件的规则示例:

规则包括一个match字段，用于定义规则将要寻找的模式。它还有一个level字段，用于指定生成的警报优先级。

每当某个代理或通过syslog收集的事件与级别大于零的规则匹配时，管理器将生成一个警报。

下面是/var/ossec/logs/alerts/alerts.json中的一个例子:

一旦由管理器生成，警报就被发送到Elastic Stack组件，在该组件中，通过存储和索引地理位置信息丰富警报。然后，Kibana可以用来搜索、分析和可视化数据。如下界面显示的警告:

Wazuh提供了一个定期更新的默认规则集，为不同的应用程序提供了超过1600条规则。

三、文件完整性监控

当操作系统和应用程序文件被修改时，文件完整性监视(FIM)组件会检测并发出警报。此功能通常用于检测对敏感数据的访问或更改。如果您的服务器在PCI DSS的范围内，那么需求11.5说明您必须安装一个文件完整性监控解决方案才能通过您的审计。

下面是在更改受监视文件时生成警告的示例。元数据包括MD5和SHA1校验和、文件大小(更改之前和之后)、文件权限、文件所有者、内容更改以及进行这些更改的用户(who-data)。文件完整性监测

FIM仪表板提供了向下钻取功能，以查看触发警报的所有细节，可以在其中找到文件更改的良好摘要。

四、rootkit检测

Wazuh代理定期扫描监控系统，以在内核和用户级别检测rootkit。这类恶意软件通常替换或改变现有的操作系统组件，以改变系统的行为。rootkit可以隐藏其他进程、文件或网络连接，就像它自己一样。

Wazuh使用不同的检测机制来查找系统异常或已知的入侵。这是由Rootcheck组件定期完成的:

下面是发现隐藏进程时生成的警报示例。在本例中，受影响的系统正在运行Linux内核级rootkit(名为 Diamorphine):

五、安全策略监控

SCAP是企业级基础设施的标准化遵从性检查解决方案。它是由美国国家标准与技术研究所(NIST)维护的一套规范，旨在维护企业系统安全。

OpenSCAP是一种审计工具，它利用了可扩展配置检查表描述格式(XCCDF)。XCCDF是一种表示检查表内容和定义安全检查表的标准方法。它还与其他规范(如CPE、CVE、CCE和OVAL)相结合，创建可由经过scap验证的产品处理的scap表示的检查列表。

Wazuh代理在内部使用OpenSCAP来验证系统是否符合CIS强化标准。下面是一个SCAP规则示例，用于检查SSH守护进程是否配置为允许空密码:

SCAP检查定期运行(默认情况是一天一次)，结果被设置到Wazuh服务器，在那里通过OpenSCAP解码器和规则进行处理。下面是一个警告的例子，当Linux审计策略(auditd)没有配置为监视用户操作时生成的警告:

此外，Wazuh WUI还可以用于可视化和分析策略监视扫描结果。例如，以下是使用服务器基线和PCI DSS v3预定义概要文件扫描CentOS系统时收集的数据的屏幕截图:

---