‫‪Wazuh‬‬ ‫و‬ ‫‪Ossec‬‬ ‫‪Wazuh‬‬ ‫به‬ ‫‪ossec‬‬ ‫از‬ ‫مهاجرت‬ ‫نحوه‬ ‫همچنین‬

1. ‫حق‬ ‫بسمه‬
Ossec
‫و‬
Wazuh
‫از‬ ‫مهاجرت‬ ‫نحوه‬ ‫همچنین‬
ossec
‫به‬
Wazuh
: ‫نویسنده‬
‫دخت‬ ‫اسمعیل‬ ‫یاشار‬ ‫مهندس‬
‫نسخه‬
۰.۲

2. : ‫نویسنده‬ ‫درباره‬
‫رشته‬ ‫آموخته‬ ‫دانش‬ ‫دخت‬ ‫اسمعیل‬ ‫یاشار‬ ‫بنده‬
cyber security
. ‫هستم‬
‫از‬ ‫بیش‬
۱۵
. ‫دارم‬ ‫فعالیت‬ ‫سابقه‬ ‫سال‬
‫مولف‬ - ‫مدرس‬ - ‫مشاور‬ : ‫داد‬ ‫شرح‬ ‫زیر‬ ‫های‬ ‫ساختار‬ ‫در‬ ‫میتوان‬ ‫را‬ ‫بنده‬ ‫های‬ ‫فعالیت‬ ‫جمله‬ ‫از‬
gnu/linux system/network/security/cloud Engineer/administrator & oracle dba | Linux Trainer |devops
. ): ‫جدید‬ ‫دنیاهای‬ ‫کشف‬ ‫و‬ ‫تحقیق‬ ‫و‬ ‫مطالعه‬ ‫به‬ ‫مند‬ ‫عالقه‬
. ‫کنم‬ ‫اشاره‬ ‫استراتژی‬ ‫های‬ ‫بازی‬ ‫و‬ ‫اوتلو‬ ‫و‬ ‫شطرنج‬ ‫بازی‬ ‫به‬ ‫میتوانم‬ ‫من‬ ‫های‬ ‫سرگرمی‬ ‫از‬ ‫واقع‬ ‫در‬
‫تبریز‬ ‫الگ‬ ‫گذاران‬ ‫بنیان‬ ‫از‬ ‫یکی‬ ‫و‬ ‫لینوکس‬/‫گنو‬ ‫و‬ ‫باز‬ ‫متن‬ ‫دنیای‬ ‫عاشق‬ . ‫هستم‬ ‫عاشق‬ ‫یک‬ ‫من‬
: ‫کنید‬ ‫پیدا‬ ‫و‬ ‫کنید‬ ‫دنبال‬ ‫را‬ ‫من‬ ‫میتوانید‬ ‫چطور‬ ‫خب‬
Mob : 09141100257
Telegram ID
Telegram channel
Instagram Account
Linkedin Account
. ‫بشنوم‬ ‫را‬ ‫انتقادتون‬ ‫یا‬ ‫پیشنهاد‬ ‫هرگونه‬ ‫میشم‬ ‫خوشحال‬ ‫همچنین‬
: ‫کنید‬ ‫پیدا‬ ‫را‬ ‫من‬ ‫از‬ ‫ی‬ ‫دیگر‬ ‫های‬ ‫کتاب‬ ‫میتونید‬ ‫چطور‬
‫توی‬
slideshare
. ‫کنید‬ ‫پیدا‬ ‫را‬ ‫کردم‬ ‫منتشر‬ ‫آزاد‬ ‫بصورت‬ ‫که‬ ‫دیگری‬ ‫های‬ ‫کتاب‬ ‫میتونید‬ ‫بگردید‬ ‫من‬ ‫اسم‬ ‫دنبال‬ ‫گوگل‬ ‫یا‬

3. : ‫مشاوره‬
. ‫بود‬ ‫خواهم‬ ‫شما‬ ‫خدمت‬ ‫در‬ ‫من‬ . ‫فرمایید‬ ‫حاصل‬ ‫تماس‬ . ‫کردم‬ ‫اشاره‬ ‫قبل‬ ‫صفحه‬ ‫در‬ ‫که‬ ‫هایی‬ ‫کانال‬ ‫از‬ ‫میتوانید‬ ‫مشاوره‬ ‫جهت‬

5. ‫های‬ ‫سیستم‬ ‫انواع‬
IDS
‫های‬ ‫سیستم‬
IDS
.‫میکنند‬ ‫تقسیم‬ ‫دسته‬ ‫سه‬ ‫به‬ ‫تهاجم‬ ‫شناسایی‬ ‫برای‬ ‫جستجو‬ ‫نوع‬ ‫نظر‬ ‫از‬ ‫را‬
(
Network-base Intrusion Detection (NIDS
(
Host-base Intrusion Detection (HIDS
(
Distributed Intrusion Detection (DIDS
‫برای‬ ‫شرح‬
NIDS
:

6. ‫در‬ .‫میگیرد‬ ‫قرار‬ ‫بررسی‬ ‫مورد‬ )‫مختلف‬ ‫های‬ ‫میزبان‬ ‫روی‬ ‫بر‬ ‫عبوری‬ ‫(ترافیک‬ ‫شبکه‬ ‫اصلی‬ ‫بدنه‬ ،‫ها‬ ‫سیستم‬ ‫این‬ ‫در‬
HIDS
‫سرور‬ ‫اتصال‬ ‫با‬
IDS
‫طریق‬ ‫از‬ ‫شبکه‬ ‫به‬
Switch
‫یا‬
Hub
‫بررسی‬ ‫و‬
Packet
‫های‬ ‫سیستم‬ ‫از‬ .‫میدهند‬ ‫قرار‬ ‫بررسی‬ ‫مورد‬ ‫را‬ ‫حمالت‬ ،‫ها‬ ‫میزبان‬ ‫خروجی‬ ‫و‬ ‫ورودی‬ ‫های‬
‫از‬ ‫میتوان‬ ‫موجود‬ ‫افزاری‬ ‫نرم‬
Snort
.‫برد‬ ‫نام‬
‫برای‬ ‫شرحی‬
HIDS
:
‫سیستم‬ ‫با‬ ‫اساسی‬ ‫تفاوت‬ ‫دو‬ ‫دارای‬ ‫و‬ .‫میپردازد‬ ‫میزبان‬ ‫یک‬ ‫ترافیک‬ ‫و‬ ‫ها‬ ‫فعالیت‬ ‫بررسی‬ ‫به‬ ‫سیستم‬ ،‫دسته‬ ‫این‬ ‫در‬
NIDS
‫در‬ ‫اینکه‬ ‫بدلیل‬ .‫است‬
HIDS
‫به‬ ‫نسبت‬ ‫بیشتری‬ ‫اطمینان‬ ‫و‬ ‫سرعت‬ ‫از‬ ‫میگیرد‬ ‫قرار‬ ‫بررسی‬ ‫مورد‬ ‫میزبان‬ ‫یک‬ ‫ترافیک‬
NIDS
‫بعدی‬ ‫ویژگی‬ .‫است‬ ‫برخوردار‬
HIDS
‫سرویس‬ ‫که‬ ‫سروری‬ ‫مثال‬ ‫بطور‬ ،‫است‬ ‫ان‬ ‫قوانین‬ ‫تعداد‬ ‫بودن‬ ‫کمتر‬
DNS
‫تهدیدات‬ ‫شناسایی‬ ‫قوانین‬ ‫که‬ ‫ندارد‬ ‫لزومی‬ ‫هیچ‬ ‫نمیدهد‬ ‫ارائه‬ ‫را‬
‫مصرف‬ ‫نتیجه‬ ‫در‬ ‫بداند‬ ‫را‬ ‫سرویس‬ ‫این‬ ‫به‬ ‫مربوط‬
CPU
‫میتوان‬ ‫دسته‬ ‫این‬ ‫معروف‬ ‫های‬ ‫سیستم‬ ‫جمله‬ ‫از‬ .‫میشود‬ ‫بیشتر‬ ‫سیستم‬ ‫کارایی‬ ‫و‬ ‫کمتر‬
‫به‬
OSSEC
‫و‬
wazuh
‫و‬
Tripwire
.‫کرد‬ ‫اشاره‬

8. ‫برای‬ ‫شرحی‬
DIDS
:
‫از‬ ‫گروه‬ ‫این‬
IDS
‫چند‬ ‫از‬ ‫ها‬
HIDS
‫یا‬
NIDS
‫هر‬ ‫که‬ ‫صورت‬ ‫بدین‬ .‫میشود‬ ‫تشکیل‬ ‫مرکزی‬ ‫مدیریت‬ ‫سیستم‬ ‫یک‬ ‫بهمراه‬ ‫دو‬ ‫این‬ ‫از‬ ‫ترکیبی‬ ‫یا‬
IDS
‫در‬ ‫اخطار‬ ،‫ها‬ ‫گزارش‬ ‫کردن‬ ‫بررسی‬ ‫وظیفه‬ ‫مرکزی‬ ‫سیستم‬ ‫و‬ ‫میکند‬ ‫ارسال‬ ‫کزی‬ ‫مر‬ ‫مدیریت‬ ‫برای‬ ‫را‬ ‫خود‬ ‫های‬ ‫گزارش‬ ‫شبکه‬ ‫در‬ ‫موجود‬
‫زیر‬ ‫شکل‬ ‫در‬ .‫میباشد‬ ‫دارا‬ ‫نیز‬ ‫را‬ ‫شناسایی‬ ‫قوانین‬ ‫بانک‬ ‫رسانی‬ ‫بروز‬ ‫وظیفه‬ ‫همچنین‬ ‫سیستم‬ ‫این‬ .‫دارد‬ ‫را‬ ‫الزم‬ ‫اقدامات‬ ‫دیگر‬ ‫و‬ ‫نیاز‬ ‫صورت‬
‫یک‬ ‫سازی‬ ‫پیاده‬
DIDS
.‫میکنید‬ ‫مشاهده‬ ‫را‬

10. ‫حمالت‬ ‫شناسایی‬ ‫های‬ ‫روش‬
‫میشود‬ ‫استفاده‬ ‫اصلی‬ ‫روش‬ ‫دو‬ ‫از‬ ‫حمالت‬ ‫شناسایی‬ ‫برای‬
(
Anomaly Base (Statically
‫میانگین‬ ‫بر‬ ‫مبتنی‬ ‫روش‬ ‫این‬ ،‫میکنند‬ ‫بندی‬ ‫تقسیم‬ ‫معمول‬ ‫غیر‬ ‫و‬ ‫معمول‬ ‫دسته‬ ‫دو‬ ‫به‬ ‫را‬ ‫شبکه‬ ‫ترافیک‬ ‫و‬ ‫ها‬ ‫فعالیت‬ ‫روش‬ ‫این‬ ‫در‬ ‫کلی‬ ‫بطور‬
‫در‬ ‫مثال‬ ‫بطور‬ .) ‫میشود‬ ‫استفاده‬ ‫معمول‬ ‫بطور‬ ‫که‬ ‫هایی‬ ‫پورت‬ ‫و‬ ‫ها‬ ‫پروتکل‬ ،‫ترافیک‬ ‫حجم‬ ‫(مانند‬ ‫است‬ ‫شبکه‬ ‫یک‬ ‫درون‬ ‫موجود‬ ‫های‬ ‫فعالیت‬
‫صورت‬ ‫در‬ ‫و‬ ‫است‬ ‫طبیعی‬ ‫میزبان‬ ‫یا‬ ‫دهنده‬ ‫سرویس‬ ‫یک‬ ‫با‬ ‫تماس‬ ‫یک‬ ‫در‬ ،‫مشخص‬ ‫کاربری‬ ‫توسط‬ ،‫دستور‬ ‫یک‬ ‫از‬ ‫بار‬ ‫چند‬ ‫اجرای‬ ‫میگیرند‬ ‫نظر‬
( ‫دستی‬ ‫بصورت‬ ‫سیستم‬ ‫پیکربندی‬ ‫روش‬ ‫این‬ ‫در‬.‫میدهد‬ ‫نشان‬ ‫العمل‬ ‫عکس‬ ‫ان‬ ‫مقابل‬ ‫در‬ ‫سیستم‬ ‫دستور‬ ‫بیشتر‬ ‫تکرار‬
Statically
‫به‬ ‫توجه‬ ‫با‬ )
‫از‬ ‫تنها‬ ‫نمیتوان‬ ‫که‬ ‫میشوند‬ ‫اجرا‬ ‫و‬ ‫طراحی‬ ،‫پیچیده‬ ‫ای‬ ‫گونه‬ ‫به‬ ‫حمالت‬ ‫امروزه‬.‫میگیرد‬ ‫صورت‬ ‫شبکه‬ ‫مدیر‬ ‫توسط‬ ‫و‬ ‫شبکه‬ ‫موقعییت‬ ‫و‬ ‫نیاز‬
‫روش‬
Anomaly
.‫کرد‬ ‫استفاده‬ ‫ان‬ ‫از‬ ‫جلوگیری‬ ‫و‬ ‫شناسایی‬ ‫برای‬
Signature Base
‫از‬ ‫منظور‬
Signature
‫این‬ ‫مجموعه‬ ‫از‬ ،‫میکند‬ ‫شناسایی‬ ‫را‬ ‫حمله‬ ‫یا‬ ‫نفوذ‬ ‫یک‬ ‫وقوع‬ ‫که‬ ‫است‬ ‫قواعدی‬ ‫مجموعه‬
Signature
‫الگویی‬ ‫نهایت‬ ‫در‬ ‫ها‬
‫با‬ ‫را‬ ‫ان‬ ‫و‬ ‫میدهد‬ ‫قرار‬ ‫بررسی‬ ‫مورد‬ ‫را‬ ‫شبکه‬ ‫در‬ ‫موجود‬ ‫ترافیک‬ ‫سیستم‬ ‫روش‬ ‫این‬ ‫در‬ .‫اید‬ ‫می‬ ‫بوجود‬ ‫حمالت‬ ‫شناسایی‬ ‫برای‬
Data Base
‫خود‬
‫روش‬ ‫در‬.‫میکند‬ ‫اقدام‬ ‫ها‬ ‫گیری‬ ‫تصمیم‬ ‫دیگر‬ ‫و‬ ‫شبکه‬ ‫مدیر‬ ‫به‬ ‫اخطار‬ ‫به‬ ‫نسبت‬ ‫ان‬ ‫با‬ ‫تطابق‬ ‫یافتن‬ ‫صورت‬ ‫در‬ ‫و‬ .‫میکند‬ ‫مقایسه‬
Signature
Base
‫بصورت‬ ‫دستگاه‬ ‫بندی‬ ‫پیکر‬
Dynamic
‫مانند‬ ،‫میگیرد‬ ‫صورت‬
Anti Virus
‫برای‬ ‫روش‬ ‫دو‬ ‫هر‬ ‫از‬ ‫استفاده‬ ‫که‬ ‫است‬ ‫داده‬ ‫نشان‬ ‫تجربه‬ .‫ها‬
.‫داشت‬ ‫خواهد‬ ‫بر‬ ‫در‬ ‫را‬ ‫نتیجه‬ ‫بهترین‬ ‫حمالت‬ ‫از‬ ‫جلوگیری‬ ‫و‬ ‫شناسایی‬

11. ‫های‬ ‫سیستم‬ ‫گیری‬ ‫قرار‬ ‫محل‬
IDS
‫شبکه‬ ‫در‬
‫سیستم‬ ‫از‬ ‫استفاده‬ ‫هنگام‬ ‫در‬ ‫که‬ ‫مهمی‬ ‫سوال‬ ،‫فوق‬ ‫موارد‬ ‫بر‬ ‫عالوه‬
IDS
‫شبکه‬ ‫درون‬ ‫ها‬ ‫سیستم‬ ‫این‬ ‫گیری‬ ‫قرار‬ ‫محل‬ ،‫میشود‬ ‫مطرح‬
‫بین‬ ‫ها‬ ‫سیستم‬ ‫این‬ ‫گیری‬ ‫قرار‬ ‫برای‬ ‫مکان‬ ‫بهترین‬ ‫کلی‬ ‫بطور‬.‫میباشد‬
Firewall
‫و‬
Router
‫این‬ ‫دادن‬ ‫قرار‬ ‫صورت‬ ‫در‬ ،‫داشت‬ ‫توجه‬ ‫باید‬ .‫میباشد‬
‫بین‬ ‫در‬ ‫سیستم‬
Firewall
‫بسمت‬ ‫اطالعات‬ ‫از‬ ‫زیادی‬ ‫حجم‬ ‫بیرونی‬ ‫شبکه‬ ‫و‬
IDS
‫امکان‬ ‫سیستم‬ ‫بازدهی‬ ‫کاهش‬ ‫بر‬ ‫عالوه‬ ‫که‬ ‫میشود‬ ‫سرازیر‬
.‫میکند‬ ‫فراهم‬ ‫را‬ ‫بیشماری‬ ‫خطاهای‬ ‫امدن‬ ‫بوجود‬
‫محیط‬ ‫دارای‬ ‫شبکه‬ ‫که‬ ‫صورتی‬ ‫در‬ ‫و‬
DMZ
‫دادن‬ ‫قرار‬ ‫برای‬ ‫شبکه‬ ‫معماری‬ ،‫باشد‬ ‫متعدد‬ ‫های‬ ‫مجموعه‬ ‫زیر‬ ‫یا‬
IDS
.‫بود‬ ‫خواهد‬ ‫متفاوت‬ ‫نیز‬ ‫ها‬
: ‫کرد‬ ‫توجه‬ ‫زیر‬ ‫موارد‬ ‫به‬ ‫باید‬ ‫مناسب‬ ‫محل‬ ‫در‬ ‫ها‬ ‫سیستم‬ ‫این‬ ‫دادن‬ ‫قرار‬ ‫برای‬ ‫شبکه‬ ‫یک‬ ‫در‬ ‫کلی‬ ‫بطور‬
‫یک‬ ‫از‬
IDS
‫بین‬
Router
‫و‬
Firewall
.‫شود‬ ‫استفاده‬
‫یک‬ ‫از‬ ‫نیز‬ ‫شبکه‬ ‫از‬ ‫مجموعه‬ ‫زیر‬ ‫هر‬ ‫برای‬
IDS
.‫شود‬ ‫استفاده‬

12. .‫میکنید‬ ‫مشاهده‬ ‫را‬ ‫ان‬ ‫گیری‬ ‫قرار‬ ‫محل‬ ‫و‬ ‫شبکه‬ ‫معماری‬ ‫از‬ ‫ای‬ ‫نمونه‬ ‫زیر‬ ‫شکل‬ ‫در‬
‫از‬ ‫استفاده‬ ‫های‬ ‫محدودیت‬
IDS
‫اطالعات‬ ‫بودن‬ ‫معیوب‬ ،‫افزارها‬ ‫نرم‬ ‫باگ‬ ‫از‬ ‫شده‬ ‫تولید‬ ‫اطالعات‬ ،‫پارازیت‬
DNS
‫عوامل‬ ‫از‬ ‫میزبان‬ ‫سیستم‬ ‫توسط‬ ‫شده‬ ‫تولید‬ ‫ناقص‬ ‫اطالعات‬ ‫و‬
‫توسط‬ ‫مورد‬ ‫بی‬ ‫اخطارهای‬ ‫عمده‬
IDS
.‫میباشد‬
.‫داشت‬ ‫خواهد‬ ‫کمتری‬ ‫نسبت‬ ‫اساس‬ ‫بی‬ ‫اخطارهای‬ ‫به‬ ‫نسبت‬ ‫حمالت‬ ‫به‬ ‫مربوط‬ ‫صحیح‬ ‫اخطارهای‬ ‫سیستم‬ ‫نامناسب‬ ‫پیکربندی‬ ‫صورت‬ ‫در‬
.‫بود‬ ‫خواهد‬ ‫ناتوان‬ ‫جدید‬ ‫حمالت‬ ‫شناسایی‬ ‫در‬ ‫سیستم‬ ،‫نشود‬ ‫انجام‬ ‫موقع‬ ‫به‬ ‫رسانی‬ ‫بروز‬ ‫که‬ ‫صورتی‬ ‫در‬
‫باز‬ ‫متن‬ ‫نفوذ‬ ‫تشخیص‬ ‫های‬ ‫سیستم‬ ‫از‬ ‫نمونه‬ ‫چند‬
AIDE
‫گروه‬ ‫تهاجم‬ ‫شناسایی‬ ‫های‬ ‫سیستم‬ ‫از‬ :
DIDS
‫عامل‬ ‫سیستم‬ ‫برروی‬ ‫سیستم‬ ‫این‬ .‫میباشد‬
Unix
.‫میشود‬ ‫نصب‬
ACARM-ng
‫این‬ :
IDS
‫بعنوان‬ ‫کارکرد‬ ‫های‬ ‫قابلیت‬ ‫دارای‬
HIDS
‫و‬
NIDS
‫عامل‬ ‫سیستم‬ ‫برروی‬ ،‫میباشد‬
Linux
‫از‬ ‫و‬ ‫اجراست‬ ‫قابل‬
‫از‬ ‫کمتر‬ ‫استفاده‬ ،‫باال‬ ‫سرعت‬ ‫به‬ ‫میتوان‬ ‫ان‬ ‫های‬ ‫ویژگی‬ ‫جمله‬
CPU
.‫کرد‬ ‫اشاره‬ ‫شبکه‬ ‫ترافیک‬ ‫ای‬ ‫لحظه‬ ‫تحلیل‬ ‫و‬

13. Bro NIDS
‫عامل‬ ‫سیستم‬ ‫روی‬ ‫بر‬ ‫حمالت‬ ‫شناسایی‬ ‫سیستم‬ ‫این‬:
Linux
‫گروه‬ ‫در‬ ‫است‬ ‫مشخص‬ ‫ان‬ ‫اسم‬ ‫از‬ ‫که‬ ‫همانطور‬ ‫و‬ ‫میشود‬ ‫اجرا‬
NIDS
.‫میگیرد‬ ‫قرار‬ ‫ها‬
OSSEC NIDS
‫این‬ :
IDS
‫گروه‬ ‫از‬ ‫که‬
HIDS
‫دیگر‬ ‫های‬ ‫ویژگی‬ ‫از‬ ‫و‬ .‫میباشد‬ ‫عامل‬ ‫های‬ ‫سیستم‬ ‫همه‬ ‫برای‬ ‫هایی‬ ‫نسخه‬ ‫دارای‬ ‫میباشد‬ ‫ها‬
‫تحلیل‬ ‫به‬ ‫میتوان‬ ‫ان‬
Log
‫کردن‬ ‫چک‬ ،‫ان‬ ‫های‬ ‫فعالیت‬ ‫بررسی‬ ،‫سیستم‬
Registry
‫شناسایی‬ ‫و‬
Rootkit
.‫کرد‬ ‫اشاره‬ ‫ها‬
Prelude Hybrid IDS
‫عامل‬ ‫سیستم‬ ‫برروی‬ ‫تهاجم‬ ‫شناسایی‬ ‫سیستم‬ ‫این‬:
Linux
‫منتشر‬ ‫تازگی‬ ‫به‬ ‫نیز‬ ‫ان‬ ‫ویندوز‬ ‫نسخه‬ ‫و‬ ‫میشود‬ ‫نصب‬
.‫است‬ ‫شده‬
Samhain
‫این‬:
IDS
‫که‬
Host-base
‫تحلیل‬ ‫و‬ ‫خواندن‬ ‫جمله‬ ‫از‬ ‫متعددی‬ ‫های‬ ‫قابلیت‬ ‫دارای‬ ‫میباشد‬
Log
‫و‬ ‫ها‬ ‫فایل‬ ‫کردن‬ ‫چک‬ ،‫سیستم‬
‫شناسایی‬ ‫در‬ ‫باال‬ ‫توانایی‬ ،‫میزبان‬ ‫های‬ ‫فعالیت‬
Rootkit
،‫ها‬
Port Scanning
‫که‬ ‫افزار‬ ‫نرم‬ ‫این‬ .‫دارد‬ ‫سیستم‬ ‫پنهان‬ ‫های‬ ‫پردازش‬ ‫بررسی‬ ‫و‬
‫های‬ ‫عامل‬ ‫سیستم‬ ‫روی‬ ‫بر‬ ‫است‬ ‫رایگان‬
Windows, Linux
‫و‬
Unix
.‫است‬ ‫اندازی‬ ‫راه‬ ‫قابل‬
Snort
‫که‬ ‫سیستم‬ ‫این‬ :
Network-base
‫مورد‬ ‫شبکه‬ ‫خطرات‬ ‫و‬ ‫حمله‬ ‫شناسایی‬ ‫برای‬ ‫که‬ ‫است‬ ‫محبوبی‬ ‫افزارهای‬ ‫نرم‬ ‫جمله‬ ‫از‬ ،‫میباشد‬
‫تحلیل‬ ‫قابلیت‬ ‫دارای‬.‫میگیرد‬ ‫قرار‬ ‫استفاده‬
Log
‫و‬ ‫بافر‬ ‫سرریز‬ ‫حمالت‬ ‫شناسایی‬ .‫میباشد‬ ‫ها‬ ‫پروتکل‬ ‫و‬
Port scanning
‫افزار‬ ‫نرم‬ ‫این‬ ‫توسط‬
‫برای‬ ‫هایی‬ ‫نسخه‬ ‫دارای‬ ‫و‬ ‫میشود‬ ‫انجام‬ ‫بخوبی‬
Windows
‫و‬
Linux
.‫میباشد‬
Suricate
‫این‬ :
IDS
.‫میباشد‬ ‫عامل‬ ‫سیستم‬ ‫نوع‬ ‫هر‬ ‫برای‬ ‫متعدد‬ ‫های‬ ‫نسخه‬ ‫دارای‬ ‫که‬ ‫است‬ ‫هایی‬ ‫سیستم‬ ‫جمله‬ ‫از‬

14. ‫واقع‬ ‫در‬
IDS
‫با‬ ‫که‬ ‫است‬ ‫صورت‬ ‫این‬ ‫به‬ ‫کار‬ ‫روش‬.‫کند‬ ‫می‬ ‫شناسایی‬ ‫را‬ ‫شبکه‬ ‫روی‬ ‫وقوع‬ ‫حال‬ ‫در‬ ‫خرابکاریهای‬ ‫که‬ ‫است‬ ‫محافظتی‬ ‫سیستم‬ ‫یک‬
‫می‬ ‫کردن‬ ‫هک‬ ‫نهایتا‬ ‫و‬ ‫کامپیوترها‬ ‫کنترل‬ ‫آوری‬ ‫دست‬ ‫به‬ ، ‫پورتها‬ ‫پویش‬ ، ‫اطالعات‬ ‫آوری‬ ‫جمع‬ ‫مراحل‬ ‫شامل‬ ‫که‬ ‫نفوذ‬ ‫تشخیص‬ ‫از‬ ‫استفاده‬
.‫کند‬ ‫کنترل‬ ‫و‬ ‫گزارش‬ ‫را‬ ‫خرابکاریها‬ ‫نفوذ‬ ‫تواند‬ ‫می‬ ، ‫باشد‬
( ‫نفوذ‬ ‫از‬ ‫جلوگیری‬ ‫سیستم‬
IPS
‫ناخواسته‬ ‫‌های‬
‫ر‬‫رفتا‬ ‫تا‬ ‫کرده‬ ‫نظارت‬ ‫سیستم‬ ‫یک‬ ‫یا‬ ‫و‬ ‫شبکه‬ ‫یک‬ ‫های‬ ‌
‫ت‬‫فعالی‬ ‫بر‬ ‫که‬ ‫است‬ ‫امنیتی‬ ‫وسیله‬ ‫یک‬ )
.‫‌کند‬
‫ی‬‫م‬ ‫جلوگیری‬ ‫‌ها‬
‫ن‬‫آ‬ ‫فعالیت‬ ‫ادامه‬ ‫از‬ ‫و‬ ‫داده‬ ‫نشان‬ ‫‌العمل‬
‫س‬‫عک‬ ‫بالفاصله‬ ،‫رفتارها‬ ‫این‬ ‫شناسایی‬ ‫صورت‬ ‫در‬ .‫‌کند‬‫شناسایی‬ ‫را‬ ‫مخرب‬ ‫یا‬
‫‌شوند‬
‫ی‬‫م‬ ‫تقسیم‬ ‫برنامه‬ ‫بر‬ ‫مبتنی‬ ‫و‬ ‫شبکه‬ ‫بر‬ ‫مبتنی‬ ‫و‬ ‫میزبان‬ ‫بر‬ ‫مبتنی‬ ‫دسته‬ ‫سه‬ ‫به‬ ‫نفوذ‬ ‫از‬ ‫جلوگیری‬ ‫‌های‬
‫م‬‫سیست‬
IDS
‫میزبان‬ ‫بر‬ ‫مبتنی‬
Host-based
( ‫کوچک‬ ‫سرویس‬ ‫یک‬ ‫اجرای‬ ‫با‬ ‫نفوذ‬ ‫شناسایی‬ ‫سیستمهای‬ ‫از‬ ‫اینگونه‬
Agent
‫مورد‬ ‫آنرا‬ ‫تحرکات‬ ‫کلیه‬ ‫توانند‬ ‫می‬ )‫(میزبان‬ ‫مقصد‬ ‫ماشین‬ ‫در‬ )
‫تغییر‬ ‫شناسایی‬ ‫منظور‬ ‫به‬ ‫را‬ ‫ممیزی‬ ‫قابل‬ ‫منابع‬ ‫سایر‬ ‫و‬ ‫سیستمی‬ ‫مهم‬ ‫فایلهای‬ ،‫وقایع‬ ‫ثبت‬ ‫است‬ ‫قادر‬ ‫کوچک‬ ‫جاسوس‬ ‫این‬ .‫دهند‬ ‫قرار‬ ‫نظارت‬
‫عادی‬ ‫روال‬ ‫از‬ ‫خارج‬ ‫رخدادی‬ ‫هنگامیکه‬ ‫به‬ ،‫حفاظتی‬ ‫سیستم‬ ‫این‬ ‫در‬ .‫دهد‬ ‫قرار‬ ‫موشکافی‬ ‫مورد‬ ‫مشکوک‬ ‫فعالیتهای‬ ‫رهگیری‬ ‫یا‬ ‫و‬ ‫مجاز‬ ‫غیر‬
‫طریق‬ ‫از‬ ‫بالفاصله‬ ،‫دهد‬ ‫روی‬
SNMP
.‫گردد‬ ‫می‬ ‫ارسال‬ ‫شبکه‬ ‫مسئولین‬ ‫برای‬ ‫خودکار‬ ‫بطور‬ ‫هشدارهایی‬
IDS
‫شبکه‬ ‫بر‬ ‫مبتنی‬
Network-based
‫های‬ ‫بسته‬ ‫روش‬ ‫این‬ ‫در‬ .‫گیرد‬ ‫می‬ ‫قرار‬ ‫نظارت‬ ‫مورد‬ ،‫ارتباطی‬ ‫خطوط‬ ‫روی‬ ‫بر‬ ‫بالدرنگ‬ ‫بصورت‬ ‫ترافیک‬ ،‫نفوذ‬ ‫شناسایی‬ ‫سیستم‬ ‫از‬ ‫نوع‬ ‫این‬ ‫در‬
‫در‬ ‫گسترده‬ ‫حمله‬ ‫یک‬ ‫تدارک‬ ‫وجود‬ ‫عدم‬ ‫نظر‬ ‫نقطه‬ ‫از‬ ‫خود‬ ‫مقصد‬ ‫به‬ ‫رسیدن‬ ‫از‬ ‫قبل‬ ‫تا‬ ‫گیرد‬ ‫می‬ ‫قرار‬ ‫ارزیابی‬ ‫مورد‬ ‫دقت‬ ‫به‬ ‫ارسالی‬ ‫اطالعاتی‬
‫این‬ .‫گردد‬ ‫مطمئن‬ ،‫میباشند‬ ‫خطرناک‬ ‫بسیار‬ ‫که‬ ‫کار‬ ‫حال‬ ‫در‬ ‫سرویسهای‬ ‫نمودن‬ ‫خارج‬ ‫رده‬ ‫از‬ ‫برای‬ ‫ترافیک‬ ‫زیاد‬ ‫حجم‬ ‫تدارک‬ ‫یا‬ ‫و‬ ‫آنها‬ ‫برنامه‬
‫نمودن‬ ‫مسدود‬ ‫به‬ ‫اقدام‬ ‫آن‬ ‫متعاقب‬ ‫و‬ ‫نموده‬ ‫هشدار‬ ‫ارسال‬ ‫به‬ ‫اقدام‬ ‫بالفاصله‬ ، ‫ترافیک‬ ‫در‬ ‫مشکوک‬ ‫تحرک‬ ‫یک‬ ‫شناسایی‬ ‫هنگام‬ ‫به‬ ‫سیستم‬
‫دیواره‬ ‫با‬ ‫پیوسته‬ ‫هم‬ ‫به‬ ‫سیستمهای‬ ‫از‬ ‫برخی‬ ‫در‬ )‫پذیرد‬ ‫می‬ ‫صورت‬ ‫گرا‬ ‫میزبان‬ ‫سیستم‬ ‫در‬ ‫که‬ ‫(همانگونه‬ .‫نماید‬ ‫می‬ ‫مشکوک‬ ‫های‬ ‫بسته‬ ‫مسیر‬
.‫نماید‬ ‫ختثی‬ ‫آینده‬ ‫در‬ ‫را‬ ‫مهاجمان‬ ‫حمله‬ ‫کلی‬ ‫بطور‬ ‫تا‬ ‫گردد‬ ‫می‬ ‫تعریف‬ ‫جدیدی‬ ‫قواعد‬ ‫خودکار‬ ‫طور‬ ‫به‬ ،‫آتش‬
.‫دارد‬ ‫خود‬ ‫بازرسی‬ ‫طرح‬ ‫اجرای‬ ‫برای‬ ‫مستقلی‬ ‫سکوی‬ ‫به‬ ‫نیاز‬ ،‫ماشین‬ ‫منابع‬ ‫از‬ ‫شدید‬ ‫استفاده‬ ‫بدلیل‬ ‫شبکه‬ ‫بر‬ ‫مبتنی‬ ‫نفوذ‬ ‫شناسایی‬ ‫سیستم‬
‫نمی‬ ‫یابها‬ ‫مسیر‬ ‫یا‬ ‫و‬ ‫سوئیچ‬ ‫محدوده‬ ‫از‬ ‫خارج‬ ‫در‬ ‫کنکاش‬ ‫به‬ ‫قادر‬ ‫آنها‬ ‫زیرا‬ ‫دارد‬ ‫شناسایی‬ ‫سیستم‬ ‫یک‬ ‫به‬ ‫نیاز‬ ‫عملیاتی‬ ‫ناحیه‬ ‫هر‬ ‫همچنین‬
.‫باشند‬
IDS
‫برنامه‬ ‫بر‬ ‫مبتنی‬
Application-based
‫از‬ ‫نوع‬ ‫این‬
IDS
‫ها‬ ‫برنامه‬ ‫این‬ ‫داخل‬ ‫دار‬ ‫معنی‬ ‫محتوای‬ .‫میشوند‬ ‫برده‬ ‫بکار‬ ‫خاص‬ ‫ها‬ ‫برنامه‬ ‫از‬ ‫برخی‬ " ‫اجرایی‬ ‫"خوش‬ ‫از‬ ‫حفاظت‬ ‫منظور‬ ‫به‬
.‫دهد‬ ‫کاهش‬ ‫را‬ ‫آنها‬ ‫نادرست‬ / ‫درست‬ ‫خطاهای‬ ‫میزان‬ ‫بتواند‬ ‫نفوذ‬ ‫شناسایی‬ ‫سیستم‬ ‫از‬ ‫نوع‬ ‫این‬ ‫تا‬ ‫میدهد‬ ‫اجازه‬
‫محصوالت‬
IDS
‫قرار‬ ‫بازرسی‬ ‫مورد‬ ‫شرورانه‬ ‫تحرکات‬ ‫شناسایی‬ ‫منظور‬ ‫به‬ ‫را‬ ‫شبکه‬ ‫از‬ ‫عبوری‬ ‫های‬ ‫بسته‬ ‫محتوای‬ ‫تمامی‬ ،‫شبکه‬ ‫بر‬ ‫مبتنی‬
.‫است‬ ‫یاب‬ ‫مسیر‬ ‫یا‬ ‫و‬ ‫آتش‬ ‫دیواره‬ ‫توسط‬ ‫گرفته‬ ‫صورت‬ ‫تحلیلهای‬ ‫از‬ ‫تر‬ ‫عمیق‬ ‫بسیار‬ ‫بازرسی‬ ‫از‬ ‫نوع‬ ‫این‬ .‫میدهد‬
‫نظیر‬ ‫آشنا‬ ‫پرتکلهای‬ ‫طریق‬ ‫از‬ ،‫ای‬ ‫هوشمندانه‬ ‫حمالت‬ ‫که‬ ‫هستند‬ ‫موثر‬ ‫هنگامی‬ ‫نفوذ‬ ‫شناسایی‬ ‫سیستمهای‬
http
‫مشگل‬ ‫بدون‬ ‫هم‬ ‫معموال‬ ‫که‬ ،
‫برای‬ ‫آتش‬ ‫دیواره‬ ‫از‬ ‫قویتر‬ ‫مراتب‬ ‫به‬ ‫پردازشی‬ ‫قدرت‬ ‫یک‬ ‫داشتن‬ ‫به‬ ‫نیاز‬ ‫تصور‬ ، ‫مقایسه‬ ‫مقام‬ ‫در‬ .‫گیرد‬ ‫شکل‬ ،‫میگذرند‬ ‫آتش‬ ‫دیواره‬ ‫درون‬ ‫از‬
.‫ندارد‬ ‫تعجب‬ ‫جای‬ ‫نفوذ‬ ‫شناسایی‬ ‫سیستمهای‬

15. ‫ابزارهای‬ ‫از‬ ‫امروزی‬ ‫پذیر‬ ‫نفوذ‬ ‫های‬ ‫شبکه‬
IDS
‫حفاظت‬ ‫و‬ ‫ارزیابی‬ ،‫کشف‬ ‫آنها‬ ‫هدف‬ ‫که‬ ‫کنند‬ ‫می‬ ‫استفاده‬ ‫تالش‬ ‫پر‬ ‫امنیتی‬ ‫کارشناسان‬ ‫جای‬ ‫به‬
.‫باشد‬ ‫می‬ ‫شرورانه‬ ‫حمالت‬ ‫مقابل‬ ‫در‬ ، ‫شبکه‬
‫امر‬ ‫در‬ ‫را‬ ‫اصلی‬ ‫گاه‬ ‫تکیه‬ ‫و‬ ‫نقش‬ ‫و‬ ‫شوند‬ ‫می‬ ‫گسترده‬ ‫آتش‬ ‫های‬ ‫دیواره‬ ‫نظارت‬ ‫تحت‬ ‫محدوده‬ ‫داخل‬ ‫یا‬ ‫و‬ ‫خارج‬ ‫در‬ ‫محصوالت‬ ‫این‬ ‫نتیجه‬ ‫در‬
.‫نمایند‬ ‫می‬ ‫بازی‬ ‫ایمن‬ ‫شبکه‬ ‫یک‬ ‫سازی‬ ‫پیاده‬
‫اغلب‬ .‫ندارند‬ ‫نظارتی‬ ‫سیستم‬ ‫بر‬ ‫فشار‬ ‫اعمال‬ ‫یا‬ ‫و‬ ‫شبکه‬ ‫سرعت‬ ‫بر‬ ‫تاثیری‬ ‫که‬ ‫آنست‬ ‫شبکه‬ ‫بر‬ ‫مبتنی‬ ‫نفوذ‬ ‫شناسایی‬ ‫سیستمهای‬ ‫مزایای‬ ‫از‬ ‫یکی‬
IDS
‫به‬ .‫میکند‬ ‫یاری‬ ‫آنها‬ ‫شناسایی‬ ‫امر‬ ‫در‬ ‫را‬ ‫آنها‬ ‫که‬ ‫هستند‬ ‫حمالت‬ ‫به‬ ‫مربوط‬ ‫عالئم‬ ‫از‬ ‫جامع‬ ‫اطالعاتی‬ ‫بانک‬ ‫یک‬ ‫دارای‬ ‫شبکه‬ ‫بر‬ ‫مبتنی‬ ‫های‬
‫جهت‬ ‫هر‬
IDS
‫ای‬ ‫خزنده‬ ‫تهدیدات‬ ‫با‬ ‫آنها‬ .‫باشند‬ ‫نمی‬ ‫حمالت‬ ‫شناسایی‬ ‫به‬ ‫قادر‬ ‫خود‬ ‫اطالعاتی‬ ‫بانک‬ ‫بروزشدن‬ ‫بدون‬ ‫ضدویروسها‬ ‫مانند‬ ‫نیز‬ ‫ها‬
.‫هستند‬ ‫ستیز‬ ‫در‬ ‫است‬ ‫حمله‬ ‫موعد‬ ‫دارای‬ ‫که‬
‫تولید‬ .‫رسانند‬ ‫می‬ ‫انجام‬ ‫به‬ ‫داشته‬ ‫قبلی‬ ‫یورش‬ ‫در‬ ‫آمیزی‬ ‫موفقیت‬ ‫نتیجه‬ ‫که‬ ‫خطایی‬ ‫و‬ ‫آزمون‬ ‫روش‬ ‫با‬ ‫را‬ ‫ها‬ ‫شبکه‬ ‫به‬ ‫حمالت‬ ‫اغلب‬ ‫هکرها‬
‫نمایند‬ ‫می‬ ‫تهیه‬ ‫را‬ ‫حمله‬ ‫اصلی‬ ‫های‬ ‫مشخصه‬ ، ‫حمالت‬ ‫اینگونه‬ ‫روی‬ ‫بر‬ ‫آمده‬ ‫عمل‬ ‫به‬ ‫تحلیلهای‬ ‫به‬ ‫توجه‬ ‫با‬ ‫شبکه‬ ‫امنیتی‬ ‫محصوالت‬ ‫کنندگان‬
‫با‬ ‫مقایسه‬ ‫و‬ ‫شبکه‬ ‫ترافیک‬ ‫در‬ ‫موجود‬ ‫اثرات‬ ‫به‬ ‫توجه‬ ‫با‬ ‫را‬ ‫شبکه‬ ‫به‬ ‫یورش‬ ‫اثر‬ ‫رد‬ ،‫شناسایی‬ ‫فنون‬ .‫دهند‬ ‫می‬ ‫قرار‬ ‫توجه‬ ‫مورد‬ ‫آنرا‬ ‫جزئیات‬ ‫و‬
، ‫گرفت‬ ‫قرار‬ ‫شناسایی‬ ‫مورد‬ ‫حمله‬ ‫یک‬ ‫مشخصه‬ ‫آنکه‬ ‫محض‬ ‫به‬ .‫میدهند‬ ‫قرار‬ ‫شناسایی‬ ‫مورد‬ ‫اطالعاتی‬ ‫بانک‬ ‫در‬ ‫موجود‬ ‫تهدیدات‬ ‫الگوهای‬
‫شناسایی‬ ‫در‬ ‫موفقیت‬ .‫نماید‬ ‫می‬ ‫ساده‬ ‫هشدار‬ ‫پیامهای‬ ‫ارسال‬ ‫به‬ ‫اقدام‬ ‫موارد‬ ‫اغلب‬ ‫در‬ ‫و‬ ‫داده‬ ‫نشان‬ ‫العمل‬ ‫عکس‬ ‫آن‬ ‫مقابل‬ ‫در‬ ‫امنیتی‬ ‫سیستم‬
.‫است‬ ‫گردیده‬ ‫ذخیره‬ ٌ‫ا‬‫سابق‬ ‫مربوطه‬ ‫اطالعاتی‬ ‫بانک‬ ‫در‬ ‫که‬ ‫است‬ ‫حمالتی‬ ‫الگوی‬ ‫بودن‬ ‫بروز‬ ‫میزان‬ ‫به‬ ‫بسته‬ ،‫حمالت‬
: ‫است‬ ‫مشخص‬ ٌ
‫ال‬‫کام‬ ‫کنند‬ ‫می‬ ‫تکیه‬ ‫شناسایی‬ ‫الگوی‬ ‫یا‬ ‫و‬ ‫خود‬ ‫به‬ ‫تنها‬ ‫که‬ ‫سیستمهایی‬ ‫اشکال‬
‫فنون‬ ‫از‬ ‫فقط‬ ‫شبکه‬ ‫حفاظت‬ ‫برای‬ ‫اگر‬ ‫صورت‬ ‫این‬ ‫در‬ ‫و‬ ‫نمایند‬ ‫رهگیری‬ ‫هستند‬ ‫شناسایی‬ ‫الگوی‬ ‫دارای‬ ‫که‬ ‫را‬ ‫یورشهایی‬ ‫توانند‬ ‫می‬ ‫فقط‬ ‫آنها‬
‫قرار‬ ‫شده‬ ‫شناخته‬ ‫تهدیدات‬ ‫اقسام‬ ‫و‬ ‫انواع‬ ‫معرض‬ ‫در‬ ‫کماکان‬ ‫شبکه‬ ‫ساختهای‬ ‫زیر‬ ‫یقین‬ ‫بطور‬ ،‫گردد‬ ‫استفاده‬ ‫حمله‬ ‫عالئم‬ ‫بر‬ ‫مبتنی‬ ‫شناسایی‬
.‫دارد‬
( ‫نامتعارف‬ ‫فنون‬ ،‫هستند‬ ‫پذیر‬ ‫آسیب‬ ‫نقاط‬ ‫از‬ ‫برداری‬ ‫بهره‬ ‫منظور‬ ‫به‬ ‫هجوم‬ ‫و‬ ‫جدید‬ ‫ضعف‬ ‫نقاط‬ ‫کشف‬ ‫بدنبال‬ ‫هکرها‬ ‫هنگامیکه‬ ‫به‬
anomaly
)
‫ویروس‬ ‫با‬ ‫حمله‬ ‫اینگونه‬ ‫از‬ ‫نمونه‬ ‫اولین‬ .‫نیست‬ ‫کار‬ ‫در‬ ‫شناسایی‬ ‫عالئم‬ ‫یا‬ ‫و‬ ‫الگو‬ ‫هیچگونه‬ ‫زار‬ ‫کار‬ ‫این‬ ‫در‬ .‫است‬ ‫نیاز‬ ‫مورد‬ ‫شناسایی‬
CodeRed
.‫نماید‬ ‫شناسایی‬ ‫آنرا‬ ‫حمله‬ ‫الگوی‬ ‫طریق‬ ‫از‬ ‫نتوانست‬ ‫شناسایی‬ ‫سیستم‬ ‫هیچ‬ ‫جائیکه‬ ،‫رسید‬ ‫ظهور‬ ‫معرض‬ ‫به‬
‫محصوالت‬
IDS
‫ترافیک‬ ‫مقایسه‬ ‫با‬ ‫میتواند‬ ‫اینکار‬ .‫دارند‬ ‫نامتعارف‬ ‫شناسایی‬ ‫فنون‬ ‫به‬ ‫نیاز‬ ‫حمالت‬ ‫اینگونه‬ ‫اولیه‬ ‫ضربات‬ ‫شناسایی‬ ‫منظور‬ ‫به‬
.‫است‬ ‫شده‬ ‫نهاده‬ ‫بنا‬ ‫متعارف‬ ‫غیر‬ ‫ترافیک‬ ‫آمار‬ ‫مشاهده‬ ‫اساس‬ ‫بر‬ ‫مکانیسم‬ ‫این‬ .‫گیرد‬ ‫صورت‬ ‫اولیه‬ ‫ترافیک‬ ‫الگوی‬ ‫یک‬ ‫با‬ ‫شبکه‬
‫سیستمهای‬ ‫حاضر‬ ‫حال‬ ‫در‬
IDS
‫نیز‬ ‫شناسایی‬ ‫متعارف‬ ‫غیر‬ ‫فنون‬ .‫باشند‬ ‫نمی‬ ‫جدید‬ ‫هوشمندانه‬ ‫حمالت‬ ‫برخی‬ ‫از‬ ‫ممانعت‬ ‫و‬ ‫شناسایی‬ ‫به‬ ‫قادر‬
.‫نیافتد‬ ‫موثر‬ ‫مواقع‬ ‫بعضی‬ ‫در‬ ‫است‬ ‫ممکن‬
‫تالش‬ ‫تان‬ ‫شبکه‬ ‫امنیت‬ ‫برای‬ ‫و‬ ‫هستید‬ ‫گذار‬ ‫سرمایه‬ ‫شما‬ ‫اگر‬ .‫شود‬ ‫دروازه‬ ‫وارد‬ ‫توپ‬ ‫دهید‬ ‫اجازه‬ ‫نباید‬ ‫و‬ ‫هستید‬ ‫بان‬ ‫دروازه‬ ‫یک‬ ‫کنید‬ ‫تصور‬
.‫کنید‬ ‫جایگزین‬ ‫پیشگیرانه‬ ‫فناوری‬ ‫با‬ ‫را‬ ‫واکنشی‬ ‫سیستم‬ ‫و‬ ‫بگیرید‬ ‫تصمیم‬ .‫شد‬ ‫خواهد‬ ‫تبدیل‬ ‫کابوس‬ ‫یک‬ ‫به‬ ‫شما‬ ‫برای‬ ‫موضوع‬ ‫این‬ ‫کنید‬ ‫می‬

16. ‫سیستم‬ .‫شوند‬ ‫تر‬ ‫خبره‬ ‫و‬ ‫ماهرتر‬ ‫روز‬ ‫به‬ ‫روز‬ ‫تا‬ ‫داشته‬ ‫برآن‬ ‫را‬ ‫نفوذگران‬ ‫کاربردی‬ ‫های‬ ‫الیه‬ ‫به‬ ‫حمله‬ ‫مقابل‬ ‫در‬ ‫اطالعاتی‬ ‫های‬ ‫سیستم‬ ‫مقاومت‬
( ‫نفوذ‬ ‫شناسایی‬
IDS
‫بر‬ ‫نیستند‬ ‫تهدیدی‬ ‫حقیقت‬ ‫در‬ ‫که‬ ‫را‬ ‫عادی‬ ‫غیر‬ ‫ا‬ً
‫ر‬‫ظاه‬ ‫های‬ ‫الگو‬ ‫شناسایی‬ ‫کار‬ ‫و‬ ‫کند‬ ‫می‬ ‫عمل‬ ‫شبکه‬ ‫پروتکل‬ ‫الیه‬ ‫در‬ )
.‫شود‬ ‫می‬ ‫امنیتی‬ ‫سیستم‬ ‫شدن‬ ‫کند‬ ‫و‬ ‫سنگینی‬ ‫موجب‬ ‫کار‬ ‫این‬ .‫دارد‬ ‫عهده‬
‫حمالت‬ ‫از‬ ‫جدید‬ ‫الگوهای‬ ‫روی‬ ‫بر‬ ‫تغییرات‬ ‫اعمال‬ ‫با‬ ‫باید‬ ‫کار‬ ‫این‬ .‫کند‬ ‫می‬ ‫پیشنهاد‬ ‫تهدیدات‬ ‫این‬ ‫خصوص‬ ‫در‬ ‫را‬ ‫تری‬ ‫موثر‬ ‫راه‬ ‫پیشگیرانه‬ ‫روش‬
.‫بگیرد‬ ‫صورت‬ ‫دهند‬ ‫می‬ ‫گسترش‬ ‫را‬ ‫حمالتشان‬ ‫دامنه‬ ً‫ا‬‫دائم‬ ‫که‬ ‫نفوذگران‬ ‫مختلف‬
‫کنند‬ ‫می‬ ‫پیچیده‬ ‫آنقدر‬ ‫را‬ ‫حمالتشان‬ ‫آنها‬ .‫آنهاست‬ ‫عمل‬ ‫سرعت‬ ‫و‬ ‫پیچیدگی‬ ،‫ساخته‬ ‫قدرتمند‬ ‫زمینه‬ ‫این‬ ‫در‬ ‫را‬ ‫نفوذگران‬ ‫همه‬ ‫از‬ ‫بیشتر‬ ‫آنچه‬
‫که‬ ‫یابند‬ ‫گسترش‬ ‫سرعتی‬ ‫چنان‬ ‫با‬ ‫میکنند‬ ‫سعی‬ ‫آنها‬ .‫آورد‬ ‫نمی‬ ‫دوام‬ ‫آنها‬ ‫مقابل‬ ‫در‬ ‫زیادی‬ ‫مدت‬ ،‫معمولی‬ ‫آتش‬ ‫دیواره‬ ‫یا‬ ‫ویروس‬ ‫ضد‬ ‫یک‬ ‫که‬
.‫باشد‬ ‫نداشته‬ ‫موقع‬ ‫به‬ ‫واکنش‬ ‫توانایی‬ ‫انسان‬
( ‫نفوذ‬ ‫از‬ ‫ممانعت‬ ‫سیستم‬ ‫فقط‬ ‫اکنون‬
Intrusion Prevention System
)
IPS
‫در‬ ،‫حمالت‬ ‫کردن‬ ‫مسدود‬ ‫به‬ ‫قادر‬ ‫خود‬ ‫مصنوعی‬ ‫هوش‬ ‫با‬ ،
.‫است‬ ‫میدهند‬ ‫رخ‬ ‫که‬ ‫زمانی‬
‫میان‬ ‫تفاوت‬
IPS
‫و‬
IDS
‫چیست؟‬
IDS
.‫میکند‬ ‫عمل‬ ‫دزدگیر‬ ‫یک‬ ‫شبیه‬ ‫بیشتر‬
IDS
‫سپس‬ ‫و‬ ‫کند‬ ‫می‬ ‫کشف‬ ‫زده‬ ‫صدمه‬ ‫آنجا‬ ‫به‬ ‫رسدکسی‬ ‫می‬ ‫نظر‬ ‫به‬ ‫که‬ ‫را‬ ‫شبکه‬ ‫از‬ ‫قسمتهایی‬
،‫صدمات‬ ‫از‬ ‫شما‬ ‫که‬ ‫رسیده‬ ‫آن‬ ‫زمان‬ ‫اکنون‬ .‫گیرد‬ ‫می‬ ‫صورت‬ ‫دستگاه‬ ‫به‬ ‫آسیب‬ ‫حین‬ ‫در‬ ‫یا‬ ‫و‬ ‫بعد‬ ‫اخطار‬ ‫این‬ ‫که‬ ‫است‬ ‫بدیهی‬ .‫دهد‬ ‫می‬ ‫اخطار‬
.‫کنید‬ ‫اصالح‬ ‫را‬ ‫سیستم‬ ‫و‬ ‫نموده‬ ‫جلوگیری‬ ‫تر‬ ‫پیش‬
IPS
‫سیستم‬ ‫از‬ ‫قسمتی‬ ‫اینکه‬ ‫بر‬ ‫مبنی‬ ‫اخطار‬ ‫اعالم‬ ‫بجای‬ ‫و‬ ‫است‬ ‫شده‬ ‫طراحی‬ ‫دهنده‬ ‫سرویس‬ ‫یا‬ ‫شبکه‬ ‫به‬ ‫مجوز‬ ‫بدون‬ ‫ورود‬ ‫از‬ ‫جلوگیری‬ ‫برای‬
.‫آورد‬ ‫می‬ ‫عمل‬ ‫به‬ ‫جلوگیری‬ ‫سیستم‬ ‫صدمه‬ ‫از‬ ‫شده‬ ‫مشکل‬ ‫دچار‬
IPS
‫آوری‬ ‫فن‬ ‫از‬ ‫جدیدی‬ ‫نسل‬
IDS
‫سیستم‬ .‫است‬
IDS
‫کردن‬ ‫مسدود‬ ‫توانایی‬ ‫باید‬ ‫همچنین‬ .‫شناسایی‬ ‫فقط‬ ‫نه‬ ‫دارد‬ ‫احتیاج‬ ‫توانایی‬ ‫به‬
‫تفاوت‬ .‫باشد‬ ‫داشته‬ ‫را‬ ‫حمالت‬
IPS
‫با‬
IDS
‫که‬ ‫است‬ ‫این‬ ‫در‬ ‫سنتی‬
IPS
‫تا‬ ‫کشد‬ ‫می‬ ‫دهنده‬ ‫سرویس‬ ‫یا‬ ‫و‬ ‫شبکه‬ ‫دور‬ ‫تا‬ ‫دور‬ ‫امنیتی‬ ‫سد‬ ‫یک‬
‫های‬ ‫توانایی‬ ‫دیگر‬ ‫از‬ .‫نگردد‬ ‫وارد‬ ‫آن‬ ‫به‬ ‫ای‬ ‫صدمه‬
IPS
‫شبکه‬ ‫با‬ ‫داخلی‬ ‫شبکه‬ ‫ارتباط‬ ‫وصل‬ ‫و‬ ‫قطع‬ ، ‫شبکه‬ ‫در‬ ‫موجود‬ ‫تراکم‬ ‫راندن‬ ‫بیرون‬
.‫است‬ ‫شبکه‬ ‫خارج‬ ‫و‬ ‫داخل‬ ‫به‬ ‫آمدها‬ ‫و‬ ‫رفت‬ ‫کنترل‬ ‫و‬ ‫خارجی‬
‫میان‬ ‫تفاوت‬ ‫است‬ ‫ممکن‬ ‫که‬ ‫حالی‬ ‫در‬ .‫دارد‬ ‫است‬ ‫وقوع‬ ‫حال‬ ‫در‬ ‫که‬ ‫را‬ ‫ای‬ ‫حمله‬ ‫بازداشتن‬ ‫توانایی‬ ‫و‬ ‫ارتباط‬ ‫کنترل‬ ‫قابلیت‬ ‫تر‬ ‫ساده‬ ‫عبارت‬ ‫به‬
IPS
‫و‬
IDS
.‫دریافت‬ ‫را‬ ‫میانشان‬ ‫تفاوت‬ ‫توان‬ ‫می‬ ‫سادگی‬ ‫به‬ ‫آنها‬ ‫اسامی‬ ‫از‬ ‫آید‬ ‫نظر‬ ‫به‬ ‫کننده‬ ‫گیچ‬
IDS
‫گردآوری‬ ‫دستگاه‬ ‫یک‬ ‫از‬ ‫بیش‬ ‫ها‬
.‫کنند‬ ‫تحلیل‬ ‫و‬ ‫ارزیابی‬ ‫دارد‬ ‫عبور‬ ‫قصد‬ ‫که‬ ‫را‬ ‫ای‬ ‫بسته‬ ‫هر‬ ‫قادرند‬ ‫تنها‬ ‫که‬ ‫نیستند‬ ‫شبکه‬ ‫اختالالت‬ ‫کننده‬ ‫آگاه‬ ‫و‬ ‫اطالعات‬ ‫کننده‬
IPS
‫تغییر‬ ‫ها‬
‫طبیعی‬ ‫شکل‬
IDS
.‫هستند‬ ‫ها‬
IPS
‫های‬ ‫توانایی‬ ‫همه‬ ‫دارای‬ ‫ها‬
IDS
‫دهیم‬ ‫می‬ ‫آنها‬ ‫به‬ ‫که‬ ‫هایی‬ ‫معیار‬ ‫اساس‬ ‫بر‬ ‫توانند‬ ‫می‬ ‫حقیقت‬ ‫در‬ ‫آنها‬ .‫باالتر‬ ‫سطحی‬ ‫در‬ ‫ولی‬ ‫هستند‬ ‫ها‬
‫نتیجه‬ ‫در‬ .‫بگیرند‬ ‫تصمیم‬
IPS
.‫حمله‬ ‫یک‬ ‫به‬ ‫واکنش‬ ‫فقط‬ ‫نه‬ ‫و‬ ‫هستند‬ ‫پیشگیری‬ ‫مکانیسم‬ ‫دارای‬ ،‫ها‬
‫تمام‬ ‫ذاتا‬
IPS
‫ها‬
IDS
‫اما‬ ‫هستند‬ ‫نیز‬
IDS
‫ها‬
IPS
‫وظایف‬ ‫تغییر‬ ‫با‬ ‫که‬ ، ‫است‬ ‫دهی‬ ‫پاسخ‬ ‫مکانیزم‬ ‫در‬ ‫تفاوت‬ .‫نیستند‬
IDS
‫به‬ ‫انفعالی‬ ‫حالت‬ ‫از‬
.‫پذیرد‬ ‫می‬ ‫صورت‬ ‫گیرنده‬ ‫تصمیم‬ ‫حالت‬
‫شبکه‬ ‫مدیر‬ ‫که‬ ‫هنگامی‬
IPS
‫کند‬ ‫می‬ ‫فعال‬ ‫شبکه‬ ‫عیوب‬ ‫بررسی‬ ‫برای‬ ‫را‬ ‫ی‬
IPS
‫دقیق‬ ‫بطور‬ ‫خود‬ ‫عالئم‬ ‫بانک‬ ‫اساس‬ ‫بر‬ ‫را‬ ‫عبوری‬ ‫های‬ ‫بسته‬
‫در‬ ‫و‬ ‫کند‬ ‫می‬ ‫بررسی‬ ‫شبکه‬ ‫به‬ ‫ورود‬ ‫از‬ ‫قبل‬ ‫نیز‬ ‫را‬ ‫آنها‬ ‫محتوای‬ ‫کل‬ ‫بلکه‬ ، ‫الکترونیکی‬ ‫های‬ ‫نامه‬ ‫عناوین‬ ‫تنها‬ ‫نه‬ ‫میان‬ ‫این‬ ‫در‬ .‫کند‬ ‫می‬ ‫بررسی‬
.‫آورد‬ ‫می‬ ‫عمل‬ ‫به‬ ‫جلوگیری‬ ‫آنها‬ ‫ورود‬ ‫از‬ ، ‫بودن‬ ‫مخرب‬ ‫صورت‬
‫ماند‬ ‫نمی‬ ‫حفره‬ ‫یک‬ ‫از‬ ‫خرابکاران‬ ‫استفاده‬ ‫منتظر‬ ‫که‬ ‫است‬ ‫راهی‬ ‫امنیتی‬ ‫خودکارسازی‬

17. ‫حمالت‬ ‫از‬ ‫جلوگیری‬ ‫در‬ ‫معمولی‬ ‫آتش‬ ‫های‬ ‫دیواره‬ .‫کنند‬ ‫پیدا‬ ‫سیستم‬ ‫به‬ ‫ورود‬ ‫برای‬ ‫راهی‬ ‫بایست‬ ‫می‬ ‫نفوذگران‬ ‫و‬ ‫ها‬ ‫ویروس‬ ،‫مخرب‬ ‫کدهای‬
‫هایی‬ ‫ویروس‬ ‫شناسایی‬ ‫در‬ ‫نیز‬ ‫ویروس‬ ‫ضد‬ ‫های‬ ‫سیستم‬ ‫همچنین‬ .‫بودند‬ ‫موثر‬ ‫مختلف‬ ‫های‬ ‫پرتکل‬ ‫یا‬ ‫باز‬ ‫های‬ ‫پورت‬ ‫طریق‬ ‫از‬ ، ‫شبکه‬ ‫به‬ ‫ساده‬
‫به‬ ‫مخرب‬ ‫های‬ ‫کد‬ ‫های‬ ‫نویسنده‬ ‫گرچه‬ .‫بودند‬ ‫موثر‬ ،‫شوند‬ ‫می‬ ‫سیستم‬ ‫وارد‬ ‫فایل‬ ‫کپی‬ ‫و‬ ‫الکترونیک‬ ‫های‬ ‫نامه‬ ‫طریق‬ ‫از‬ ‫و‬ ‫شناسند‬ ‫می‬ ‫که‬
‫(مانند‬ ‫ورودی‬ ‫نقاط‬ ‫و‬ ‫استاندارد‬ ‫های‬ ‫پروتکل‬ ‫از‬ ‫استفاده‬ ‫تازگی‬
http
‫پورت‬ ‫و‬
80
‫را‬ ‫شود‬ ‫داشته‬ ‫نگه‬ ‫باز‬ ‫سیستم‬ ‫کارهای‬ ‫انجام‬ ‫برای‬ ‫باید‬ ‫که‬ )
.‫اند‬ ‫کرده‬ ‫شروع‬ ‫سیستم‬ ‫داخل‬ ‫به‬ ‫نفوذ‬ ‫برای‬
‫حمالت‬ ‫به‬ ‫پاسخگویی‬ ‫به‬ ‫قادر‬ ‫و‬ ‫میشوند‬ ‫عملیاتی‬ ‫افت‬ ‫دچار‬ ‫مرور‬ ‫به‬ ‫هستند‬ ‫ثابت‬ ‫های‬ ‫مکانیسم‬ ‫دارای‬ ‫که‬ ‫امنیتی‬ ‫سیستمهای‬ ‫ترتیب‬ ‫بدین‬
‫تقش‬ ‫که‬ ‫اینجاست‬ .‫باشند‬ ‫نمی‬ ‫پیشرفته‬ ‫شده‬ ‫ریزی‬ ‫برنامه‬
IPS
.‫بگیرد‬ ‫را‬ ‫نفوذگران‬ ‫جلوی‬ ‫موثری‬ ً
‫ال‬‫کام‬ ‫بطور‬ ‫تا‬ ‫گردد‬ ‫می‬ ‫رنگ‬ ‫پر‬ ‫ها‬
IPS
: ‫کند‬ ‫می‬ ‫استفاده‬ ‫روش‬ ‫چند‬ ‫از‬ ‫مجاز‬ ‫غیر‬ ‫ورودهای‬ ‫قبیل‬ ‫این‬ ‫از‬ ‫جلوگیری‬ ‫برای‬
IPS
‫و‬ ‫کند‬ ‫می‬ ‫بازرسی‬ ‫دهنده‬ ‫هشدار‬ ‫سیستم‬ ‫از‬ ‫بهتر‬ ‫بسیار‬ ‫دارد‬ ‫را‬ ‫شبکه‬ ‫به‬ ‫ورود‬ ‫قصد‬ ‫که‬ ‫را‬ ‫ای‬ ‫بسته‬ ‫هر‬ )‫شبکه‬ ‫یا‬ ‫میزبان‬ ‫بر‬ ‫(مبتنی‬ ‫ها‬
‫پدافند‬ ‫از‬ ‫شد‬ ‫حمله‬ ‫نوع‬ ‫کردن‬ ‫پیدا‬ ‫به‬ ‫موفق‬ ‫اگر‬ ‫که‬ ،‫حمله‬ ‫نوع‬ ‫یافتن‬ ‫برای‬ ‫اطالعاتی‬ ‫بانک‬ ‫جستجوی‬ ‫اول‬ :‫رساند‬ ‫می‬ ‫انجام‬ ‫به‬ ‫را‬ ‫کار‬ ‫دو‬ ‫سپس‬
‫سیستم‬ ‫هسته‬ ‫کارکرد‬ ‫اساس‬ ‫و‬ ‫پایه‬ ‫این‬ .‫کند‬ ‫می‬ ‫پیدا‬ ‫را‬ ‫ها‬ ‫فایل‬ ‫به‬ ‫دسترسی‬ ‫اجازه‬ ‫سیستم‬ ‫صوررت‬ ‫این‬ ‫غیر‬ ‫در‬ ‫و‬ ‫کرد‬ ‫خواهد‬ ‫استفاده‬ ‫آن‬
.‫رود‬ ‫می‬ ‫کار‬ ‫به‬ ‫عادی‬ ‫غیر‬ ‫های‬ ‫فعالیت‬ ‫جستجوی‬ ‫برای‬ ‫که‬ ‫است‬
: ‫است‬ ‫الزم‬ ‫شرط‬ ‫دو‬ ‫سیستمی‬ ‫چنین‬ ‫به‬ ‫دستیابی‬ ‫برای‬
‫دهد‬ ‫نشان‬ ‫را‬ ‫العمل‬ ‫عکس‬ ‫بهترین‬ ‫تواند‬ ‫نمی‬ ‫سیستم‬ ،‫نباشید‬ ‫برخوردار‬ ‫کافی‬ ‫اجرایی‬ ‫توان‬ ‫از‬ ‫اگر‬ : ‫باال‬ ‫اجرایی‬ ‫توان‬
‫بگیرید‬ ‫اشتباه‬ ‫تصمیم‬ ‫نباید‬ ‫شما‬ : ‫دقت‬ ‫دوم‬ ‫و‬

18. ‫سازی‬ ‫پیاده‬ ‫و‬ ‫نصب‬
ossec

19. ‫معرفی‬
OSSEC
( ‫باز‬ ‫منبع‬ ‫میزبان‬ ‫بر‬ ‫مبتنی‬ ‫نفوذی‬ ‫آشکارساز‬ ‫سیستم‬ ‫یک‬
HIDS
، ‫یکپارچگی‬ ‫بررسی‬ ، ‫سیستم‬ ‫به‬ ‫ورود‬ ‫تحلیل‬ ‫و‬ ‫تجزیه‬ ‫که‬ ‫است‬ )
‫تشخیص‬ ، ‫ویندوز‬ ‫رجیستری‬ ‫بر‬ ‫نظارت‬
rootkit
. ‫دهد‬ ‫می‬ ‫انجام‬ ‫را‬ ‫فعال‬ ‫واکنش‬ ‫و‬ ‫زمان‬ ‫بر‬ ‫مبتنی‬ ‫هشدار‬ ،
OSSEC
‫چند‬ ‫یا‬ ‫یک‬ ‫بر‬ ‫نظارت‬ ‫برای‬ ‫سرور‬ ‫عنوان‬ ‫به‬ ‫یا‬ ، ‫شود‬ ‫نصب‬ )‫محلی‬ ‫نصب‬ ‫(یک‬ ‫آن‬ ‫روی‬ ‫شده‬ ‫نصب‬ ‫سرور‬ ‫بر‬ ‫نظارت‬ ‫برای‬ ‫تواند‬ ‫می‬
‫نصب‬ ‫نحوه‬ ، ‫آموزش‬ ‫این‬ ‫در‬ .‫شود‬ ‫نصب‬ ‫عامل‬
OSSEC
‫بر‬ ‫نظارت‬ ‫برای‬ ‫را‬
CentOS 7
.‫گرفت‬ ‫خواهید‬ ‫یاد‬ ‫محلی‬ ‫نصب‬ ‫یک‬ ‫عنوان‬ ‫به‬
‫مرحله‬
1
‫کنید‬ ‫نصب‬ ‫را‬ ‫الزم‬ ‫های‬ ‫بسته‬ :
sudo yum install -y gcc inotify-tools
‫جدیدتر‬ ‫های‬ ‫ورژن‬ ‫در‬ : ‫نکته‬
ossec
. ‫کنیم‬ ‫نصب‬ ‫را‬ ‫زیر‬ ‫های‬ ‫بسته‬ ‫هست‬ ‫نیاز‬ ‫ما‬
dnf install gcc make libevent-devel zlib-devel openssl-devel pcre2-devel wget tar -y

20. ‫مرحله‬
2
-
OSSEC
‫کنید‬ ‫تأیید‬ ‫و‬ ‫بارگیری‬ ‫را‬
OSSEC
‫یک‬ ‫عنوان‬ ‫به‬
‫فایل‬
‫فایل‬ .‫شود‬ ‫بارگیری‬ ‫پروژه‬ ‫سایت‬ ‫وب‬ ‫از‬ ‫باید‬ ‫که‬ ‫شود‬ ‫می‬ ‫ارائه‬ ‫فشرده‬
checksum
‫از‬ ‫استفاده‬ ‫عدم‬ ‫تأیید‬ ‫برای‬ ‫که‬
‫نسخه‬ ‫آخرین‬ ، ‫انتشار‬ ‫زمان‬ ‫در‬ .‫شود‬ ‫بارگیری‬ ‫باید‬ ‫نیز‬ ، ‫گیرد‬ ‫می‬ ‫قرار‬ ‫استفاده‬ ‫مورد‬ ، ‫تاربال‬
OSSEC 2.8.2
.‫است‬
‫بارگیری‬ ‫صفحه‬
‫را‬ ‫پروژه‬
‫بررسی‬
‫کنید‬
.‫کنید‬ ‫بارگیری‬ ‫را‬ ‫آن‬ ‫جدید‬ ‫نسخه‬ ‫و‬
: ‫ازسورس‬ ‫بارگیری‬ ‫برای‬
wget -U ossec http://www.ossec.net/files/ossec-hids-2.8.2.tar.gz
: ‫سام‬ ‫چک‬ ‫پرونده‬ ‫برای‬
wget -U ossec http://www.ossec.net/files/ossec-hids-2.8.2-checksum.txt
‫های‬ ‫چک‬ ‫بررسی‬ ‫بعدی‬ ‫مرحله‬ ، ‫پرونده‬ ‫دو‬ ‫هر‬ ‫بارگیری‬ ‫با‬
MD5
‫و‬
SHA1
‫برای‬ .‫است‬ ‫تاربل‬
MD5sum
:‫نوع‬ ،
md5sum -c ossec-hids-2.8.2-checksum.txt
:‫انتظار‬ ‫مورد‬ ‫خروجی‬
ossec-hids-2.8.2.tar.gz: OK
md5sum: WARNING: 1 line is improperly formatted
‫هش‬ ‫تأیید‬ ‫برای‬
SHA1
:‫نوع‬ ،
sha1sum -c ossec-hids-2.8.2-checksum.txt
:‫است‬ ‫آن‬ ‫انتظار‬ ‫مورد‬ ‫بازده‬ ‫و‬
ossec-hids-2.8.2.tar.gz: OK
sha1sum: WARNING: 1 line is improperly formatted
‫مرحله‬
3
‫سرور‬ :
SMTP
‫کنید‬ ‫تعیین‬ ‫را‬ ‫خود‬
‫نصب‬ ‫مراحل‬ ‫طی‬ ‫در‬
OSSEC
‫سرور‬ ‫یک‬ ‫شود‬ ‫می‬ ‫خواسته‬ ‫شما‬ ‫از‬ ،
SMTP
، ‫چیست‬ ‫دانید‬ ‫نمی‬ ‫اگر‬ .‫کنید‬ ‫تعیین‬ ‫خود‬ ‫ایمیل‬ ‫آدرس‬ ‫برای‬ ‫را‬
:)‫کنید‬ ‫آن‬ ‫جایگزین‬ ‫را‬ ‫جعلی‬ ‫ایمیل‬ ‫(آدرس‬ ‫شماست‬ ‫محلی‬ ‫دستگاه‬ ‫از‬ ‫دستور‬ ‫این‬ ‫صدور‬ ‫برای‬ ‫روش‬ ‫ترین‬ ‫ساده‬
dig -t mx you@example.com
‫سرور‬ ، ‫نمونه‬ ‫خروجی‬ ‫این‬ ‫در‬ .‫است‬ ‫شده‬ ‫داده‬ ‫نشان‬ ‫کد‬ ‫بالک‬ ‫این‬ ‫در‬ ‫خروجی‬ ‫به‬ ‫مربوط‬ ‫بخش‬
SMTP
‫ایمیل‬ ‫آدرس‬ ‫برای‬
‫شده‬ ‫پرسیده‬
‫در‬
- ‫خط‬ ‫انتهای‬
mail.vivaldi.net
.‫است‬
.‫است‬ ‫شده‬ ‫درج‬ ‫انتها‬ ‫در‬ ‫نقطه‬ ‫که‬ ‫باشید‬ ‫داشته‬ ‫توجه‬ .

21. ;; ANSWER SECTION:
vivaldi.net. 300 IN MX 10 mail.vivaldi.net.
‫مرحله‬
4
‫نصب‬ :
OSSEC
‫نصب‬ ‫برای‬
OSSEC
: ‫کنید‬ ‫باز‬ ‫را‬ ‫فایل‬ ‫است‬ ‫الزم‬ ‫ابتدا‬ ،
tar xf ossec-hids-2.8.2.tar.gz
‫یا‬ ‫دهید‬ ‫تغییر‬ .‫دهد‬ ‫جای‬ ‫خود‬ ‫در‬ ‫را‬ ‫برنامه‬ ‫نسخه‬ ‫و‬ ‫نام‬ ‫که‬ ‫گیرد‬ ‫می‬ ‫قرار‬ ‫ای‬ ‫پوشه‬ ‫در‬
cd
.‫شوید‬ ‫آن‬ ‫وارد‬
OSSEC 2.8.2
‫شده‬ ‫نصب‬ ‫نسخه‬ ،
‫باید‬ ‫که‬ ، ‫بعدی‬ ‫پایدار‬ ‫نسخه‬ ‫انتشار‬ ‫زمان‬ ‫تا‬ .‫شود‬ ‫برطرف‬ ‫نصب‬ ‫شروع‬ ‫از‬ ‫قبل‬ ‫باید‬ ‫که‬ ‫است‬ ‫جزئی‬ ‫اشکال‬ ‫یک‬ ‫دارای‬ ، ‫مقاله‬ ‫این‬ ‫برای‬
OSSEC
2.9
‫برای‬ ‫آن‬ ‫رفع‬ .‫است‬ ‫ارشد‬ ‫کارشناسی‬ ‫شاخه‬ ‫در‬ ‫حاضر‬ ‫حال‬ ‫در‬ ‫تعمیر‬ ‫این‬ ‫زیرا‬ ، ‫نیست‬ ‫الزم‬ ‫کار‬ ‫این‬ ، ‫باشد‬
OSSEC 2.8.2
‫معنای‬ ‫به‬ ‫فقط‬
‫در‬ ‫که‬ ، ‫است‬ ‫پرونده‬ ‫یک‬ ‫ویرایش‬
active-response
‫است‬ ‫این‬ ‫پرونده‬ .‫دارد‬ ‫قرار‬ ‫فهرست‬
hosts-deny.sh
:‫کنید‬ ‫باز‬ ‫آن‬ ‫از‬ ‫استفاده‬ ‫با‬ ‫بنابراین‬ ،
nano active-response/hosts-deny.sh
:‫باشید‬ ‫کد‬ ‫بلوک‬ ‫این‬ ‫دنبال‬ ‫به‬ ، ‫پرونده‬ ‫انتهای‬ ‫در‬
# Deleting from hosts.deny
elif [ "x$" = "xdelete" ]; then
lock;
TMP_FILE = `mktemp /var/ossec/ossec-hosts.XXXXXXXXXX`
if [ "X$" = "X" ]; then
# Cheap fake tmpfile, but should be harder then no random data
TMP_FILE = "/var/ossec/ossec-hosts.`cat /dev/urandom | tr -dc 'a-zA-Z0-9' | fold -w 32 | head -1 `"
fi
‫با‬ ‫که‬ ‫خطوطی‬ ‫در‬
TMP_FILE
‫عالمت‬ ‫اطراف‬ ‫فضاهای‬ ، ‫شود‬ ‫می‬ ‫شروع‬
‫را‬ =
‫پرونده‬ ‫از‬ ‫بخش‬ ‫آن‬ ، ‫ها‬ ‫فاصله‬ ‫برداشتن‬ ‫از‬ ‫پس‬ . ‫کنید‬ ‫حذف‬
.‫ببندید‬ ‫را‬ ‫فایل‬ ‫و‬ ‫کنید‬ ‫ذخیره‬ .‫شود‬ ‫داده‬ ‫نشان‬ ‫زیر‬ ‫کد‬ ‫بلوک‬ ‫همانند‬ ‫باید‬
# Deleting from hosts.deny
elif [ "x$" = "xdelete" ]; then
lock;
TMP_FILE=`mktemp /var/ossec/ossec-hosts.XXXXXXXXXX`
if [ "X$" = "X" ]; then
# Cheap fake tmpfile, but should be harder then no random data
TMP_FILE="/var/ossec/ossec-hosts.`cat /dev/urandom | tr -dc 'a-zA-Z0-9' | fold -w 32 | head -1 `"
fi
:‫دهید‬ ‫می‬ ‫انجام‬ ‫را‬ ‫آن‬ ‫کردن‬ ‫تایپ‬ ‫با‬ ‫شما‬ ‫که‬ ، ‫کنیم‬ ‫شروع‬ ‫را‬ ‫نصب‬ ‫مراحل‬ ‫توانیم‬ ‫می‬
sudo ./install.sh

22. ‫باید‬ ‫فقط‬ ‫شما‬ ، ‫موارد‬ ‫بیشتر‬ ‫در‬ .‫کنید‬ ‫وارد‬ ‫را‬ ‫ورودی‬ ‫تا‬ ‫شود‬ ‫می‬ ‫خواسته‬ ‫شما‬ ‫از‬ ، ‫نصب‬ ‫مراحل‬ ‫طی‬ ‫در‬
ENTER
‫را‬
‫فشار‬
‫دهید‬
‫فرض‬ ‫پیش‬ ‫تا‬
( ‫است‬ ‫انگلیسی‬ ، ‫فرض‬ ‫پیش‬ ‫طور‬ ‫به‬ ‫که‬ ، ‫کنید‬ ‫انتخاب‬ ‫را‬ ‫نصب‬ ‫زبان‬ ‫که‬ ‫شود‬ ‫می‬ ‫خواسته‬ ‫شما‬ ‫از‬ ‫ابتدا‬ .‫بپذیرد‬ ‫را‬
en
‫مورد‬ ‫زبان‬ ‫این‬ ‫اگر‬ .)
، ‫شماست‬ ‫عالقه‬
ENTER
‫را‬
‫فشار‬
‫دهید‬
، ‫صورت‬ ‫این‬ ‫غیر‬ ‫در‬ .
2
‫دوباره‬ ، ‫آن‬ ‫از‬ ‫پس‬ .‫کنید‬ ‫وارد‬ ‫شده‬ ‫پشتیبانی‬ ‫زبانهای‬ ‫لیست‬ ‫از‬ ‫را‬ ‫حرف‬
ENTER
‫را‬
‫فشار‬
‫دهید‬
.
(en/br/cn/de/el/es/fr/hu/it/jp/nl/pl/ru/sr/tr) [en]:
‫از‬ ‫بعد‬
، ‫اینجا‬ ‫در‬ .‫خواهید‬ ‫می‬ ‫را‬ ‫نصب‬ ‫نوع‬ ‫چه‬ ‫که‬ ‫پرسد‬ ‫می‬ ‫شما‬ ‫از‬ ‫اول‬ ‫سوال‬
‫را‬ ‫محلی‬
. ‫کنید‬ ‫وارد‬
1- What kind of installation do you want (server, agent, local, hybrid or help)? Local
، ‫بعدی‬ ‫سؤاالت‬ ‫برای‬
ENTER
‫را‬
‫فشار‬
‫دهید‬
‫سوال‬ .‫بپذیرد‬ ‫را‬ ‫فرض‬ ‫پیش‬ ‫تا‬
3.1
‫از‬ ‫سپس‬ ‫و‬ ‫کند‬ ‫می‬ ً‫ا‬‫فور‬ ‫شما‬ ‫ایمیل‬ ‫آدرس‬ ‫برای‬ ‫را‬ ‫شما‬
‫سرور‬
SMTP
‫سرور‬ ‫و‬ ‫معتبر‬ ‫ایمیل‬ ‫آدرس‬ ‫یک‬ ، ‫سوال‬ ‫این‬ ‫برای‬ .‫پرسید‬ ‫می‬
SMTP
‫مرحله‬ ‫در‬ ‫که‬
3
.‫کنید‬ ‫وارد‬ ‫اید‬ ‫کرده‬ ‫تعیین‬
3- Configuring the OSSEC HIDS.
3.1- Do you want e-mail notification? (y/n) [y]:
- What's your e-mail address? you@example.com
- What's your SMTP server ip/host?
:‫کنید‬ ‫مشاهده‬ ‫را‬ ‫خروجی‬ ‫این‬ ‫باید‬ ، ‫باشد‬ ‫آمیز‬ ‫موفقیت‬ ‫نصب‬ ‫اگر‬
- Configuration finished properly.
...
‫شکل‬
1
:
‫نصب‬ ‫برای‬
agent
-
‫شما‬ ‫هست‬ ‫نیاز‬
agent
. ‫کنید‬ ‫انتخاب‬ ‫را‬

23. More information can be found at http://www.ossec.net
--- Press ENTER to finish (maybe more information below). ---
، ‫نصب‬ ‫اتمام‬ ‫برای‬
ENTER
‫را‬
‫فشار‬
‫دهید‬
.
‫مرحله‬
5
:
OSSEC
‫کنید‬ ‫شروع‬ ‫را‬
OSSEC
‫حساب‬ ‫به‬ ‫ابتدا‬ ، ‫آن‬ ‫شروع‬ ‫برای‬ .‫است‬ ‫نشده‬ ‫شروع‬ ‫اما‬ ، ‫است‬ ‫شده‬ ‫نصب‬
root
.‫بروید‬
sudo su
‫را‬ ‫آن‬ ‫زیر‬ ‫دستور‬ ‫صدور‬ ‫با‬ ‫سپس‬
start
.‫کنید‬
/var/ossec/bin/ossec-control start
‫باید‬ .‫کنید‬ ‫بررسی‬ ‫را‬ ‫خود‬ ‫ورودی‬ ‫صندوق‬ ، ‫آن‬ ‫از‬ ‫پس‬
OSSEC
، ‫کار‬ ‫این‬ ‫با‬ .‫است‬ ‫کرده‬ ‫کار‬ ‫به‬ ‫شروع‬ ‫که‬ ‫دهد‬ ‫اطالع‬ ‫شما‬ ‫به‬ ‫هشدار‬ ‫یک‬
‫که‬ ‫دانید‬ ‫می‬ ‫اکنون‬
OSSEC
.‫کنید‬ ‫می‬ ‫ارسال‬ ‫را‬ ‫هشدارهایی‬ ‫نیاز‬ ‫صورت‬ ‫در‬ ‫و‬ ‫است‬ ‫شده‬ ‫نصب‬
:‫ششم‬ ‫مرحله‬
OSSEC
‫کنید‬ ‫سازی‬ ‫شخصی‬ ‫را‬
‫فرض‬ ‫پیش‬ ‫پیکربندی‬
OSSEC
‫استفاده‬ ‫آن‬ ‫از‬ ‫خود‬ ‫سرور‬ ‫از‬ ‫محافظت‬ ‫برای‬ ‫توانید‬ ‫می‬ ‫که‬ ‫دارد‬ ‫وجود‬ ‫تنظیماتی‬ ‫اما‬ ، ‫کند‬ ‫می‬ ‫عمل‬ ‫خوب‬
- ‫است‬ ‫اصلی‬ ‫پیکربندی‬ ‫فایل‬ ، ‫سازی‬ ‫شخصی‬ ‫برای‬ ‫پرونده‬ ‫اولین‬ .‫کنید‬
ossec.conf
‫در‬ ‫که‬
/
var/ossec/etc
‫پرونده‬ .‫یافت‬ ‫خواهید‬ ‫قرار‬ ‫فهرست‬
:‫کنید‬ ‫باز‬ ‫را‬
nano /var/ossec/etc/ossec.conf
‫بخش‬ ‫در‬ ‫که‬ ‫است‬ ‫ایمیل‬ ‫تنظیمات‬ ‫تأیید‬ ‫برای‬ ‫مورد‬ ‫اولین‬
global
:‫کرد‬ ‫خواهید‬ ‫مشاهده‬ ‫پرونده‬
<global>
<email_notification>yes</email_notification>
<email_to>finid@vivaldi.net</email_to>
<smtp_server>mail.vivaldi.net.</smtp_server>
<email_from>ossecm@vultr.guest</email_from>
</global>
‫آدرس‬ ‫که‬ ‫کنید‬ ‫حاصل‬ ‫اطمینان‬
email_from
‫سرورهای‬ ‫از‬ ‫برخی‬ ، ‫صورت‬ ‫این‬ ‫غیر‬ ‫در‬ .‫است‬ ‫معتبر‬ ‫ایمیل‬ ‫یک‬
SMTP
‫ایمیل‬ ‫دهنده‬ ‫ارائه‬
‫طرف‬ ‫از‬ ‫را‬ ‫هشدارهایی‬
OSSEC
‫عنوان‬ ‫به‬
Spam
‫اگر‬ .‫کنند‬ ‫می‬ ‫گذاری‬ ‫عالمت‬
FQDN
‫روی‬ ‫ایمیل‬ ‫دامنه‬ ‫قسمت‬ ، ‫باشد‬ ‫نشده‬ ‫تنظیم‬ ‫سرور‬
.‫باشید‬ ‫داشته‬ ‫معتبر‬ ‫ایمیل‬ ‫آدرس‬ ‫یک‬ ‫خواهید‬ ‫می‬ ً‫ا‬‫واقع‬ ‫شما‬ ‫که‬ ‫است‬ ‫تنظیماتی‬ ‫این‬ ‫بنابراین‬ ، ‫شود‬ ‫می‬ ‫تنظیم‬ ‫سرور‬ ‫میزبان‬ ‫نام‬

24. ‫اجرای‬ ‫فرکانس‬ ، ‫سیستم‬ ‫آزمایش‬ ‫هنگام‬ ‫خصوص‬ ‫به‬ ، ‫کنید‬ ‫سازی‬ ‫سفارشی‬ ‫خواهید‬ ‫می‬ ‫که‬ ‫تنظیماتی‬ ‫از‬ ‫دیگر‬ ‫یکی‬
OSSEC
‫های‬ ‫ممیزی‬
‫قسمت‬ ‫در‬ ‫تنظیمات‬ ‫این‬ .‫است‬ ‫خود‬
syscheck
‫دارد‬ ‫قرار‬
‫هر‬ ، ‫فرض‬ ‫پیش‬ ‫طور‬ ‫به‬ ‫و‬
22
‫ویژگیهای‬ ‫آزمایش‬ ‫برای‬ .‫شود‬ ‫می‬ ‫اجرا‬ ‫بار‬ ‫یک‬ ‫ساعت‬
‫دهنده‬ ‫هشدار‬
OSSEC
‫تنظیم‬ ‫فرض‬ ‫پیش‬ ‫صورت‬ ‫به‬ ‫را‬ ‫آن‬ ‫دوباره‬ ‫آن‬ ‫از‬ ‫بعد‬ ‫اما‬ ، ‫کنید‬ ‫تنظیم‬ ‫کمتری‬ ‫مقدار‬ ‫به‬ ‫را‬ ‫آن‬ ‫بخواهید‬ ‫است‬ ‫ممکن‬ ،
.‫کنید‬
<syscheck>
<!-- Frequency that syscheck is executed - default to every 22 hours -->
<frequency>79200</frequency>
، ‫فرض‬ ‫پیش‬ ‫طور‬ ‫به‬
OSSEC
‫زیر‬ ‫در‬ ‫درست‬ ‫جدید‬ ‫برچسب‬ ‫یک‬ ، ‫آن‬ ‫تغییر‬ ‫برای‬ .‫دهد‬ ‫نمی‬ ‫هشدار‬ ‫سرور‬ ‫به‬ ‫جدید‬ ‫پرونده‬ ‫شدن‬ ‫اضافه‬ ‫هنگام‬
‫برچسب‬
‫کنید‬ ‫اضافه‬ >‫<فرکانس‬
:‫باشد‬ ‫زیر‬ ‫موارد‬ ‫حاوی‬ ‫باید‬ ‫بخش‬ ‫این‬ ، ‫اتمام‬ ‫از‬ ‫پس‬ .
<syscheck>
<!-- Frequency that syscheck is executed - default to every 22 hours -->
<frequency>79200</frequency>
‫باید‬ ‫که‬ ‫است‬ ‫هایی‬ ‫فهرست‬ ‫لیست‬ ‫در‬ ‫تغییر‬ ‫برای‬ ‫خوب‬ ‫تنظیم‬ ‫آخرین‬
OSSEC
‫پیدا‬ ‫قبلی‬ ‫تنظیم‬ ‫از‬ ‫بعد‬ ‫درست‬ ‫را‬ ‫آنها‬ .‫کند‬ ‫بررسی‬ ‫را‬ ‫آنها‬
:‫شوند‬ ‫می‬ ‫داده‬ ‫نشان‬ ‫زیر‬ ‫صورت‬ ‫به‬ ‫ها‬ ‫دایرکتوری‬ ، ‫باشید‬ ‫فرض‬ ‫پیش‬ .‫کرد‬ ‫خواهید‬
<!-- Directories to check (perform all possible verifications) -->
<directories check_all="yes">/etc,/usr/bin,/usr/sbin</directories>
<directories check_all="yes">/bin,/sbin</directories>
‫گزارش‬ ‫تا‬ ‫کنید‬ ‫اصالح‬ ‫را‬ ‫خط‬ ‫دو‬ ‫هر‬
OSSEC
:‫بخوانند‬ ‫باید‬ ‫آنها‬ ، ‫اتمام‬ ‫از‬ ‫پس‬ .‫کند‬ ‫تغییر‬ ‫واقعی‬ ‫زمان‬ ‫در‬
<directories report_changes="yes" realtime="yes" check_all="yes">/etc,/usr/bin,/usr/sbin</directories>
<directories report_changes="yes" realtime="yes" check_all="yes">/bin,/sbin</directories>
.‫ببندید‬ ‫را‬ ‫فایل‬ ‫و‬ ‫کنید‬ ‫ذخیره‬
‫کنیم‬ ‫اصالح‬ ‫باید‬ ‫که‬ ‫بعدی‬ ‫پرونده‬
local_rules.xml
‫در‬
/
var/ossec/rules
‫بنابراین‬ .‫دارد‬ ‫قرار‬ ‫فهرست‬
cd
:‫فهرست‬ ‫آن‬ ‫به‬
cd /var/ossec/rules
‫قاعده‬ ‫های‬ ‫پرونده‬ ‫دایرکتوری‬ ‫این‬
OSSEC
‫جز‬ ‫به‬ ‫آنها‬ ‫از‬ ‫یک‬ ‫هیچ‬ ‫که‬ ، ‫دارد‬ ‫می‬ ‫نگه‬ ‫را‬
local_rules.xml
‫آن‬ ‫در‬ . ‫شوند‬ ‫اصالح‬ ‫نباید‬ ‫پرونده‬
‫این‬ .‫گیرد‬ ‫می‬ ‫آتش‬ ، ‫جدید‬ ‫پرونده‬ ‫افزودن‬ ‫با‬ ‫که‬ ‫است‬ ‫قانونی‬ ، ‫کنیم‬ ‫اضافه‬ ‫باید‬ ‫که‬ ‫قانونی‬ .‫کنیم‬ ‫می‬ ‫اضافه‬ ‫را‬ ‫سفارشی‬ ‫قوانین‬ ، ‫پرونده‬
‫شماره‬ ‫با‬ ، ‫قانون‬
554
‫صفر‬ ‫بر‬ ‫شده‬ ‫تنظیم‬ ‫سطح‬ ‫با‬ ‫قاعده‬ ‫یک‬ ‫وقتی‬ ‫که‬ ‫است‬ ‫این‬ ‫دلیل‬ .‫کند‬ ‫نمی‬ ‫ایجاد‬ ‫را‬ ‫دهنده‬ ‫هشدار‬ ‫فرض‬ ‫پیش‬ ‫طور‬ ‫به‬ ،
، ‫شود‬ ‫شروع‬
OSSEC
.‫کند‬ ‫نمی‬ ‫ارسال‬ ‫هشدار‬

25. ‫قانون‬ ‫که‬ ‫رسد‬ ‫می‬ ‫نظر‬ ‫به‬ ‫اینجا‬ ‫در‬
554
.‫رسد‬ ‫می‬ ‫نظر‬ ‫به‬ ‫فرض‬ ‫پیش‬ ‫طور‬ ‫به‬
<rule id="554" level="0">
<category>ossec</category>
<decoded_as>syscheck_new_entry</decoded_as>
<description>File added to the system.</description>
<group>syscheck,</group>
</rule>
‫در‬ ‫را‬ ‫قانون‬ ‫آن‬ ‫از‬ ‫شده‬ ‫اصالح‬ ‫نسخه‬ ‫یک‬ ‫باید‬ ‫ما‬
local_rules.xml
‫شده‬ ‫آورده‬ ‫زیر‬ ‫کد‬ ‫بالک‬ ‫در‬ ‫شده‬ ‫اصالح‬ ‫نسخه‬ ‫آن‬ .‫کنیم‬ ‫اضافه‬ ‫پرونده‬
.‫کنید‬ ‫اضافه‬ ‫و‬ ‫کرده‬ ‫کپی‬ ‫فایل‬ ‫پایین‬ ‫در‬ ‫را‬ ‫آن‬ ، ‫شدن‬ ‫بسته‬ ‫برچسب‬ ‫از‬ ‫قبل‬ ‫درست‬ .‫است‬
<rule id="554" level="7" overwrite="yes">
<category>ossec</category>
<decoded_as>syscheck_new_entry</decoded_as>
<description>File added to the system.</description>
<group>syscheck,</group>
</rule>
‫سپس‬ ، ‫ببندید‬ ‫و‬ ‫کرده‬ ‫ذخیره‬ ‫را‬ ‫پرونده‬
OSSEC
.‫کنید‬ ‫اندازی‬ ‫راه‬ ً‫ا‬‫مجدد‬ ‫را‬
/var/ossec/bin/ossec-control restart
‫منبع‬

26. ‫نصب‬
agent

27. ‫نصب‬ ‫برای‬
agent
. ‫نصب‬ ‫نوع‬ ‫انتخاب‬ ‫مرحله‬ ‫تا‬ ‫میرویم‬ ‫باال‬ ‫روند‬ ‫طبق‬
yum install gcc make
On RHEL derivatives (CentOS 7)
wget http://mirror.centos.org/centos/7/os/x86_64/Packages/gcc-4.8.5-36.el7.x86_64.rpm
wget http://mirror.centos.org/centos/7/os/x86_64/Packages/make-3.82-24.el7.x86_64.rpm
yum localinstall gcc-4.8.5-36.el7.x86_64.rpm
yum localinstall make-3.82-24.el7.x86_64.rpm
/ ‫مسیر‬ ‫در‬ ‫مستقیم‬ ‫بصورت‬ ‫دانلود‬ ‫برای‬
tmp
: ‫داریم‬
wget https://github.com/ossec/ossec-hids/archive/3.1.0.tar.gz -P /tmp
cd /tmp
tar xzf 3.1.0.tar.gz
cd ossec-hids-3.1.0
./install.sh

28. (en/br/cn/de/el/es/fr/hu/it/jp/nl/pl/ru/sr/tr) [en]:
‫ما‬ ‫اینجا‬ ‫در‬
agent
. ‫میکنیم‬ ‫انتخاب‬ ‫را‬
. ‫میکنیم‬ ‫انتخاب‬ ‫را‬ ‫نصب‬ ‫مسیر‬
. ‫میکنیم‬ ‫وارد‬ ‫را‬ ‫سامانه‬ ‫سرور‬
‫شدن‬ ‫فعال‬ ‫برای‬
integrity check daemon
‫گزینه‬
y
. ‫میکنیم‬ ‫انتخاب‬ ‫را‬

29. ‫گزینه‬ ‫کیت‬ ‫روت‬ ‫تشخیص‬ ‫امکان‬ ‫شدن‬ ‫فعال‬ ‫برای‬
y
. ‫میکنیم‬ ‫انتخاب‬ ‫را‬
‫مرحله‬ ‫این‬ ‫در‬
active response
. ‫میکنیم‬ ‫فعال‬ ‫غیر‬ ‫را‬

30. . ‫رسید‬ ‫پایان‬ ‫به‬ ‫نصب‬
‫اتصال‬
agent
: ‫سرور‬ ‫به‬
‫که‬ ‫اکنون‬
agent
‫خاص‬ ‫میزبان‬ ‫به‬ ‫مربوط‬ ‫کلید‬ ‫توانید‬ ‫می‬ .‫کنید‬ ‫اجرا‬ ‫را‬ ‫زیر‬ ‫دستور‬ ، ‫عامل‬-‫سرور‬ ‫اتصال‬ ‫کلید‬ ‫افزودن‬ ‫برای‬ ، ‫است‬ ‫شده‬ ‫نصب‬
‫گزینه‬ .‫کنید‬ ‫استخراج‬ ‫سرور‬ ‫از‬ ‫را‬
I
‫سپس‬ .‫کنید‬ ‫تأیید‬ ‫را‬ ‫کلید‬ ‫افزودن‬ ‫و‬ ‫کنید‬ ‫پیست‬ ‫را‬ ‫کلید‬ ، ‫کنید‬ ‫وارد‬ ‫را‬
Q
‫و‬ ‫کرده‬ ‫تایپ‬ ‫را‬
enter
‫فشار‬ ‫را‬
.‫شوید‬ ‫خارج‬ ‫تا‬ ‫دهید‬

31. /var/ossec/bin/manage_agents
‫کردن‬ ‫استارت‬
agent
:
/var/ossec/bin/ossec-control start

32. : ‫سامانه‬ ‫های‬ ‫الگ‬ ‫بررسی‬
tail /var/ossec/logs/ossec.log
‫میکنید‬ ‫مشاهده‬ ‫اینجا‬ ‫در‬
agent
. ‫است‬ ‫شده‬ ‫متصل‬ ‫سامانه‬ ‫به‬

33. : ‫دوم‬ ‫فصل‬
‫پیشرفته‬ ‫امکانات‬ ‫از‬ ‫استفاده‬ ‫و‬ ‫تنظیمات‬
. ‫شد‬ ‫خواهد‬ ‫اضافه‬ ‫کتاب‬ ‫بعدی‬ ‫های‬ ‫ورژن‬ ‫در‬ ‫فصل‬ ‫این‬

34. ‫سوم‬ ‫فصل‬
‫ها‬ ‫سامانه‬ ‫سایر‬

35. ‫با‬
Wazuh
: ‫شویم‬ ‫آشنا‬ ‫بیشتر‬
Wazuh
‫پلتفرم‬ ‫یک‬
Open Source
‫قبیل‬ ‫از‬ ‫فراوانی‬ ‫‌های‬
‫ت‬‫قابلی‬ ‫که‬ ‫است‬
Threat Detection ،Integrity Monitoring ،Incident
Response ،Compliance
.‫‌دهد‬
‫ی‬‫م‬ ‫ارائه‬ ‫را‬ ‫غیره‬ ‫و‬
‫یک‬ ‫عنوان‬ ‫به‬ ‫پلتفرم‬ ‫این‬
Fork
‫پروژه‬ ‫از‬
OSSEC HIDS
‫مانند‬ ‫‌ای‬
‫ه‬‫‌شد‬
‫ه‬‫شناخت‬ ‫ابزار‬ ‫با‬ ‫ادغام‬ ‫و‬ ‫جدید‬ ‫‌های‬
‫ت‬‫قابلی‬ ‫‌شدن‬
‫ه‬‫اضاف‬ ‫با‬ ‫و‬ ‫آمد‬ ‫وجود‬ ‫به‬
OpenSCAP
‫و‬
Elasticsearch
. ‫میباشد‬ ‫دارا‬ ‫را‬

36. Wazuh
‫و‬ ‫رایگان‬ ‫پلتفرم‬ ‫یک‬
Open Source
.‫است‬ ‫تهدیدات‬ ‫به‬ ‫پاسخگویی‬ ‫و‬ ‫شناسایی‬ ،‫پیشگیری‬ ‫نظیر‬ ‫مختلفی‬ ‫‌های‬
‌
‫ت‬‫قابلی‬ ‫دارای‬ ‫که‬ ‫بوده‬
( ‫شده‬ ‫سازی‬ ‫مجازی‬ ‫‌های‬
‫ه‬‫شبک‬ ،‫داخلی‬ ‫‌های‬
‫ه‬‫شبک‬ ‫مانند‬ ‫مختلفی‬ ‫‌های‬
‫ط‬‫محی‬ ‫از‬ ‫محافظت‬ ‫توانایی‬ ‫پلتفرم‬ ‫این‬ ،‫دیگر‬ ‫بیانی‬ ‫به‬
Virtualization
،)
‫به‬ ‫ونسبت‬ .‫دارد‬ ‫خود‬ ‫در‬ ‫را‬ ‫ابری‬ ‫‌های‬
‫ط‬‫محی‬ ‫و‬ ‫داکر‬ ‫کانتینرهای‬
osssec
‫در‬ ‫که‬ . ‫میکند‬ ‫ساپورت‬ ‫را‬ ‫بیشتری‬ ‫‌های‬
‫ت‬‫قابلی‬
osssec
‫‌ها‬
‫ت‬‫قابلی‬ ‫این‬
. ‫است‬ ‫پولی‬ ‫بصورت‬

37. ‫راهکار‬ ‫معماری‬ ‫همچنین‬
wazuh
‫و‬ ‫ها‬ ‫دستگاه‬ ‫روی‬ ‫از‬ ‫را‬ ‫نیاز‬ ‫مورد‬ ‫های‬ ‫داده‬ ‫که‬ ‫صورت‬ ‫این‬ ‫به‬ ‫است‬ ‫سروری‬ ‫کالینت‬ ‫معماری‬ ‫یک‬ ‫صورت‬ ‫به‬
‫یک‬ ‫طریق‬ ‫از‬ ‫شبکه‬ ‫در‬ ‫موجود‬ ‫های‬ ‫ماشین‬
Agent
‫حتی‬ ‫یا‬ ‫و‬
AgentLess
‫نصب‬ ‫به‬ ‫نیاز‬ ‫(بدون‬
Agent
‫‌های‬
‫م‬‫سیست‬ ‫به‬ ‫و‬ ‫کرده‬ ‫آوری‬ ‫جمع‬ )
‫سرور‬ ‫نام‬ ‫با‬ ‫مرکزی‬ ‫سرور‬ ‫یک‬
Management
‫سوی‬ ‫از‬ ‫ارسالی‬ ‫‌های‬
‫ه‬‫داد‬ ‫سرور‬ ‫این‬ ‫که‬ ‫کند؛‬ ‫می‬ ‫ارسال‬
Agent
.‫‌کند‬
‫ی‬‫م‬ ‫تحلیل‬ ‫و‬ ‫نگهداری‬ ‫را‬ ‫ها‬
‫با‬ ‫کامل‬ ‫طور‬ ‫به‬ ،‫که‬ ‫است‬ ‫این‬ ‫راهکار‬ ‫این‬ ‫مورد‬ ‫در‬ ‫اهمیت‬ ‫حايز‬ ‫و‬ ‫مهم‬ ‫نکته‬
Elastic Stack
‫یک‬ ‫دارای‬ ‫و‬ ‫شده‬ ‫ادغام‬
Search Engine
‫و‬
Data
Visualization
.‫دهد‬ ‫ارائه‬ ‫کاربران‬ ‫به‬ ‫را‬ ‫امنیتی‬ ‫هشدارهای‬ ‫در‬ ‫جو‬ ‫و‬ ‫جست‬ ‫و‬ ‫مشاهده‬ ‫قابلیت‬ ‫ترتیب‬ ‫بدین‬ ‫تا‬ ‫بوده‬
: ‫نکته‬
Wazuh
‫بصورت‬ ‫‌سازی‬
‫ه‬‫پیاد‬ ‫امکان‬
all in one
‫بصورت‬ ‫یا‬ ‫و‬
clustering
‫یا‬
Distributed
. ‫میباشد‬ ‫دارا‬ ‫را‬
‫بصورت‬
all in one

38. ‫بصورت‬
Distributed
‫‌های‬
‫ه‬‫مولف‬ ‫و‬ ‫‌ها‬
‫ت‬‫قابلی‬
Wazuh
: ‫است‬ ‫شده‬ ‫تشریح‬ ‫ادامه‬ ‫در‬ ،‫‌شود‬
‫ی‬‫م‬ ‫مشاهده‬ ‫نیز‬ ‫شکل‬ ‫در‬ ‫که‬

39. Wazuh
،‫آوری‬ ‫جمع‬ ‫برای‬
Index
‫و‬ ‫شود‬ ‫می‬ ‫استفاده‬ ‫امنیتی‬ ‫های‬ ‫داده‬ ‫تحلیل‬ ‫و‬ ‫تجزیه‬ ،
‫و‬ ‫تهدیدها‬ ،‫نفوذها‬ ‫تا‬ ‫‌کند‬
‫ی‬‫م‬ ‫کمک‬ ‫ها‬ ‫سازمان‬ ‫به‬
‫نیاز‬ ،‫امنیتی‬ ‫ارزیابی‬ ‫و‬ ‫ردیابی‬ ‫برای‬ ، ‫‌شوند‬
‫ی‬‫م‬ ‫تر‬ ‫پیچیده‬ ‫سایبری‬ ‫تهدیدات‬ ‫هرروزه‬ ‫که‬ ‫آنجایی‬ ‫از‬ .‫دهند‬ ‫تشخیص‬ ‫را‬ ‫رفتاری‬ ‫های‬ ‫ناهنجاری‬
‫صورت‬ ‫به‬ ‫که‬ ‫است‬
real-time
‫دلیل‬ ‫همین‬ ‫به‬ .‫شوند‬ ‫مانیتور‬ ‫ها‬ ‫داده‬
Agent
‫های‬
Wazuh
‫فراهم‬ ‫را‬ ‫الزم‬ ‫نظارت‬ ‫توانایی‬
‫سرور‬ ‫در‬ ‫همچنین‬ ‫و‬
‫و‬ ‫ها‬ ‫داده‬ ‫پایگاه‬ ‫و‬ ‫امنیتی‬ ‫اطالعات‬ ‫وجود‬ ‫با‬ ‫نیز‬
Intelligence
.‫‌سازد‬
‫ی‬‫م‬ ‫فراهم‬ ‫را‬ ‫‌ها‬
‫ه‬‫داد‬ ‫تحلیل‬ ‫و‬ ‫تجزیه‬ ‫امکان‬ ،‫مختلف‬ ‫های‬
Agent
‫های‬
Wazuh
.‫‌کنند‬
‫ی‬‫م‬ ‫بررسی‬ ‫و‬ ‫جستجو‬ ‫مشکوک‬ ‫‌های‬
‫ی‬‫ناهنجار‬ ‫و‬ ‫کیت‬ ‫روت‬ ، ‫بدافزار‬ ‫یافتن‬ ‫هدف‬ ‫با‬ ‫را‬ ‫نظارت‬ ‫تحت‬ ‫‌های‬
‫م‬‫سیست‬
‫‌های‬
‫ه‬‫شبک‬ ‫یا‬ ‫پنهان‬ ‫‌های‬
‫س‬‫پراس‬ ، ‫پنهان‬ ‫‌های‬
‫ل‬‫فای‬ ‫‌توانند‬
‫ی‬‫م‬ ‫‌ها‬
‫ن‬‫آ‬
Untrust
‫های‬ ‫قابلیت‬ ‫بر‬ ‫عالوه‬ .‫دهند‬ ‫تشخیص‬ ‫را‬ … ‫و‬
Agent
‫سرور‬،
‫روش‬ ‫از‬ ‫نیز‬ ‫مرکزی‬
Signature Base
.‫‌کند‬
‫ی‬‫م‬ ‫استفاده‬ ‫نفوذ‬ ‫تشخیص‬ ‫برای‬

40. Agent
‫های‬
Wazuh
‫مرکزی‬ ‫سرور‬ ‫سمت‬ ‫به‬ ‫را‬ ‫‌ها‬
‫ن‬‫آ‬ ،‫کردن‬ ‫رمز‬ ‫از‬ ‫پس‬ ‫و‬ ‫خوانده‬ ‫را‬ ‫‌ها‬
‫ه‬‫برنام‬ ‫و‬ ‫عامل‬ ‫سیستم‬ ‫توسط‬ ‫شده‬ ‫تولید‬ ‫‌های‬
‫گ‬‫ال‬
Wazuh
‫یا‬ ‫و‬ ‫قوانین‬ ‫مرکزی‬ ‫سرور‬ ‫در‬ ،‫اساس‬ ‫این‬ ‫بر‬ .‫‌کند‬
‫ی‬‫م‬ ‫ارسال‬ ‫سازی‬ ‫ذخیره‬ ‫و‬ ‫تحلیل‬ ‫و‬ ‫تجزیه‬ ‫جهت‬
Rule
‫به‬ ‫که‬ ‫دارد‬ ‫وجود‬ ‫هایی‬
‫از‬ ‫تا‬ ‫کند‬ ‫می‬ ‫کمک‬ ‫گران‬ ‫تحلیل‬
( ‫نادرست‬ ‫های‬ ‫پیکربندی‬ ،‫سیستمی‬ ‫خطاهای‬
Misconfiguration
‫و‬ ‫شده‬ ‫آگاه‬ … ‫و‬ ‫مخرب‬ ‫های‬ ‫فعالیت‬ ،)
.‫دهد‬ ‫نشان‬ ‫را‬ ‫مناسب‬ ‫واکنش‬ ‫آنها‬ ‫به‬ ‫نسبت‬
Wazuh
‫را‬ ‫های‬ ‫دایرکتوری‬ ‫های‬ ‫خصیصه‬ ‫و‬ ‫مالکیت‬ ،‫مجوزها‬ ،‫محتوا‬ ‫تغییرات‬ ‫و‬ ‫کرده‬ ‫کنترل‬ ‫را‬ ‫سیستم‬ ‫فایل‬ ‫مختلف‬ ‫اجزای‬ ‫‌تواند‬
‫ی‬‫م‬ ،
‫کاربران‬ ‫‌تواند‬
‫ی‬‫م‬ ،‫این‬ ‫بر‬ ‫عالوه‬ .‫کند‬ ‫صادر‬ ‫را‬ ‫مربوطه‬ ‫گزارش‬ ‫یا‬ ‫هشدار‬ ‫آن‬ ‫اساس‬ ‫بر‬ ‫و‬ ‫کند‬ ‫شناسایی‬
Local
‫فایلی‬ ‫یا‬ ‫دایرکتوری‬ ‫که‬ ‫کاربرانی‬ ‫یا‬
.‫کند‬ ‫شناسایی‬ ‫را‬ ‫اند‬ ‫کرده‬ ‫اصالح‬ ‫یا‬ ‫ایجاد‬ ‫را‬

41. Agent
‫های‬
Wazuh
‫ارسال‬ ‫سرور‬ ‫سمت‬ ‫به‬ ‫را‬ ‫اطالعات‬ ،‫افزارها‬ ‫نرم‬ ‫و‬ ‫عامل‬ ‫سیستم‬ ‫روی‬ ‫بر‬ ‫موجود‬ ‫احتمالی‬ ‫‌های‬
‫ی‬‫‌پذیر‬
‫ب‬‫آسی‬ ‫شناسایی‬ ‫برای‬
‫به‬ ‫ها‬ ‫پذیری‬ ‫آسیب‬ ‫این‬ ‫همچنین‬ .‫‌دهد‬
‫ی‬‫م‬ ‫نمایش‬ ‫را‬ ‫ها‬ ‫پذیری‬ ‫آسیب‬ ‫و‬ ‫اسکن‬ ‫را‬ ‫موارد‬ ،‫موجود‬ ‫‌ی‬
‫ه‬‫داد‬ ‫پایگاه‬ ‫به‬ ‫توجه‬ ‫با‬ ‫نیز‬ ‫سرور‬ ‫و‬ ‫کرده‬
.‫‌شوند‬
‫ی‬‫م‬ ‫رسانی‬ ‫روز‬ ‫به‬ ‫مداوم‬ ‫طور‬
Wazuh
‫سخت‬ ‫راهنماهای‬ ‫یا‬ ‫و‬ ‫استانداردها‬ ،‫امنیتی‬ ‫های‬ ‫سیاست‬ ‫با‬ ‫آنها‬ ‫مطابقت‬ ‫از‬ ‫تا‬ ‫‌کند‬
‫ی‬‫م‬ ‫کنترل‬ ‫را‬ ‫برنامه‬ ‫و‬ ‫سیستم‬ ‫پیکربندی‬ ‫تنظیمات‬
.‫کند‬ ‫حاصل‬ ‫اطمینان‬ ‫افزاری‬
Agent
‫بدون‬ ،‫پذیر‬ ‫آسیب‬ ‫عامل‬ ‫یک‬ ‫عنوان‬ ‫به‬ ‫که‬ ‫را‬ ‫‌هایی‬
‫ه‬‫برنام‬ ‫تا‬ ‫‌دهند‬
‫ی‬‫م‬ ‫انجام‬ ‫اسکن‬ ‫‌ای‬
‫ه‬‫دور‬ ‫‌صورت‬
‫ه‬‫ب‬ ‫ها‬
‫سفارشی‬ ‫صورت‬ ‫به‬ ‫توان‬ ‫می‬ ‫را‬ ‫پیکربندی‬ ‫های‬ ‫بررسی‬ ،‫این‬ ‫بر‬ ‫عالوه‬ .‫کنند‬ ‫شناسایی‬ ‫را‬ ‫اند‬ ‫شده‬ ‫شناخته‬ ‫ناامن‬ ‫های‬ ‫پیکربندی‬ ‫دارای‬ ‫یا‬ ‫وصله‬
.‫کرد‬ ‫تنظیم‬ ‫سازمان‬ ‫با‬ ‫متناسب‬ ‫را‬ ‫آنها‬ ‫و‬ ‫داد‬ ‫انجام‬

42. ‫در‬ ‫شده‬ ‫تعیین‬ ‫پیش‬ ‫از‬ ‫اسکریپت‬ ‫تعدادی‬ ‫بخش‬ ‫این‬ ‫در‬
Wazuh
‫برای‬ ‫یا‬ ‫شده‬ ‫مشخص‬ ‫پیش‬ ‫از‬ ‫که‬ ‫مواردی‬ ‫وقوع‬ ‫صورت‬ ‫در‬ ‫که‬ ‫دارد‬ ‫وجود‬
‫و‬ ‫کرد‬ ‫کم‬ ‫یا‬ ‫اضافه‬ ‫را‬ ‫‌ها‬
‫ت‬‫اسکریپ‬ ‫این‬ ‫‌توان‬
‫ی‬‫م‬ ‫همچنین‬ .‫کنند‬ ‫اعمال‬ ‫را‬ ‫تغییراتی‬ ‫‌توانند‬
‫ی‬‫م‬ ‫و‬ ‫‌شوند‬
‫ی‬‫م‬ ‫اجرا‬ ،‫است‬ ‫شده‬ ‫ریزی‬ ‫برنامه‬ ‫آنها‬ ‫وقوع‬
‫سیاست‬ ‫و‬ ‫شرایط‬ ‫به‬ ‫توجه‬ ‫با‬
.‫کرد‬ ‫‌سازی‬
‫ی‬‫شخص‬ ‫را‬ ‫‌ها‬
‫ن‬‫آ‬ ،‫سازمان‬ ‫یک‬ ‫‌های‬
Wazuh
‫و‬ ‫پذیری‬ ‫مقیاس‬ ‫با‬ ‫همراه‬ ، ‫‌ها‬
‫ی‬‫ویژگ‬ ‫این‬ .‫‌کند‬
‫ی‬‫م‬ ‫بررسی‬ ‫مقررات‬ ‫و‬ ‫استانداردها‬ ‫با‬ ‫انطباق‬ ‫جهت‬ ‫را‬ ‫الزم‬ ‫امنیتی‬ ‫‌های‬
‫ل‬‫کنتر‬ ‫از‬ ‫برخی‬
‫قابلیت‬ ‫این‬ .‫سازند‬ ‫برآورده‬ ‫را‬ ‫فنی‬ ‫انطباق‬ ‫شرایط‬ ‫تا‬ ‫‌کند‬
‫ی‬‫م‬ ‫کمک‬ ‫‌ها‬
‫ن‬‫سازما‬ ‫به‬ ،‫پلتفرمی‬ ‫چند‬ ‫پشتیبانی‬
Wazuh
‫‌های‬
‫ت‬‫شرک‬ ‫توسط‬ ‫تواند‬ ‫می‬
‫الزامات‬ ‫تأمین‬ ‫جهت‬ ‫مالی‬ ‫موسسات‬ ‫و‬ ‫پرداخت‬ ‫صنعت‬ ‫با‬ ‫مرتبط‬
PCI DSS
.‫گیرد‬ ‫قرار‬ ‫استفاده‬ ‫مورد‬ )‫پرداخت‬ ‫صنعت‬ ‫داده‬ ‫کارت‬ ‫(استاندارد‬

43. Wazuh
‫دهندگان‬ ‫ارایه‬ ‫سوی‬ ‫از‬ ‫امنیتی‬ ‫‌های‬
‫ه‬‫داد‬ ‫دریافت‬ ‫برای‬ ‫مختلفی‬ ‫‌های‬
‫ل‬‫ماژو‬ ‫از‬ ‫و‬ ‫‌کند‬
‫ی‬‫م‬ ‫کمک‬ ‫ابری‬ ‫‌های‬
‫ت‬‫زیرساخ‬ ‫کردن‬ ‫مانیتور‬ ‫به‬
.‫‌کند‬
‫ی‬‫م‬ ‫استفاده‬ ‫احتمالی‬ ‫ضعف‬ ‫نقاط‬ ‫شناسایی‬ ‫جهت‬ ‫آمازون‬ ‫و‬ ‫مایکروسافت‬ ،‫گوگل‬ ‫نظیر‬ ‫ابری‬ ‫های‬ ‫سرویس‬
Wazuh
( ‫داکر‬ ‫بستر‬ ‫روی‬ ‫بر‬ ‫را‬ ‫‌ها‬
‫ی‬‫ناهنجار‬ ‫و‬ ‫‌ها‬
‫ی‬‫پذیر‬ ‫آسیب‬ ،‫تهدیدات‬ ‫شناسایی‬ ‫قابلیت‬
Docker
.‫دارد‬ )
Agent
‫های‬
Wazuh
‫اصلی‬ ‫هسته‬ ‫با‬
Docker
‫تا‬ ‫دهد‬ ‫می‬ ‫امکان‬ ‫کاربران‬ ‫به‬ ‫و‬ ‫بوده‬ ‫سازگار‬
Image
‫و‬ ‫شبکه‬ ‫تنظیمات‬ ،‫ها‬
Container
.‫کنند‬ ‫کنترل‬ ‫را‬ ‫اجرا‬ ‫حال‬ ‫در‬ ‫های‬

44. Security Configuration Assessment
‫در‬
Wazuh
‫در‬ ‫‌پذیری‬
‫ب‬‫آسی‬ ‫کاهش‬ ‫منظور‬ ‫به‬ ‫مختلفی‬ ‫‌های‬
‫ک‬‫تکنی‬ ‫و‬ ‫ابزارها‬ ‫از‬ ‫استفاده‬ ‫معنی‬ ‫به‬ ‫‌ها‬
‫م‬‫سیست‬ ‫‌سازی‬
‫م‬‫مقاو‬
application
،‫‌ها‬
‫م‬‫سیست‬ ،‫ها‬
‫سطح‬ ‫کاهش‬ ‫و‬ ‫حمله‬ ‫بالقوه‬ ‫‌های‬
‫ه‬‫را‬ ‫حذف‬ ‫با‬ ‫امنیتی‬ ‫خطرات‬ ‫کاهش‬ ،‫‌ها‬
‫م‬‫سیست‬ ‫‌سازی‬
‫م‬‫مقاو‬ ‫از‬ ‫هدف‬ .‫است‬ ‫فناوری‬ ‫نواحی‬ ‫دیگر‬ ‫و‬ ‫زیرساخت‬
،‫گرفت‬ ‫کار‬ ‫به‬ ‫‌توان‬
‫ی‬‫م‬ ‫حوزه‬ ‫این‬ ‫در‬ ‫که‬ ‫مناسبی‬ ‫ابزارهای‬ ‫از‬ ‫یکی‬ .‫‌باشد‬
‫ی‬‫م‬ ‫‌ها‬
‫ی‬‫‌پذیر‬
‫ب‬‫آسی‬
Wazuh
‫از‬ ‫یکی‬ ‫کمک‬ ‫به‬ ‫راهکار‬ ‫این‬ .‫است‬
‫نام‬ ‫با‬ ‫خود‬ ‫‌های‬
‫ل‬‫ماژو‬
SCA (Security Configuration Assessment)
.‫‌کند‬
‫ی‬‫م‬ ‫شایانی‬ ‫کمک‬ ،‫‌سازی‬
‫م‬‫مقاو‬ ‫فرآیند‬ ‫به‬ ،
Wazuh
‫کشف‬ ‫جهت‬ ‫هایی‬ ‫اسکن‬ ،‫ماژول‬ ‫این‬ ‫کمک‬ ‫به‬
Misconfiguration
‫پیکربندی‬ ‫وضعیت‬ ‫و‬ ‫‌دهد‬
‫ی‬‫م‬ ‫انجام‬ ‫شبکه‬ ‫سطح‬ ‫در‬ ‫موجود‬ ‫های‬
‫اساس‬ ‫بر‬ ‫را‬ ‫ها‬
Policy
‫مثال‬ ‫عنوان‬ ‫به‬ .‫‌کند‬
‫ی‬‫م‬ ‫مشخص‬ ،‫است‬ ‫شده‬ ‫تعریف‬ ‫که‬ ‫هایی‬
SCA
‫پیکربندی‬ ‫است‬ ‫الزم‬ ‫آیا‬ ‫که‬ ‫کند‬ ‫ارزیابی‬ ‫‌تواند‬
‫ی‬‫م‬
.‫خیر‬ ‫یا‬ ‫شوند‬ ‫فعال‬ ‫غیر‬ ‫یا‬ ‫حذف‬ ‫ضروری‬ ‫غیر‬ ‫های‬ ‫سرویس‬ ‫و‬ ‫افزارها‬ ‫نرم‬ ‫یا‬ ‫کند‬ ‫تغییر‬ ‫عبور‬ ‫رمز‬ ‫به‬ ‫مربوط‬
Policy
‫ماژول‬ ‫برای‬ ‫شده‬ ‫نوشته‬ ‫های‬
SCA
‫های‬ ‫فرمت‬ ‫با‬
YAML
‫‌توان‬
‫ی‬‫م‬ ،‫انسان‬ ‫توسط‬ ‫آن‬ ‫بودن‬ ‫فهم‬ ‫قابل‬ ‫و‬ ‫سادگی‬ ‫دلیل‬ ‫به‬ ‫و‬ ‫‌باشند‬
‫ی‬‫م‬
‫براین‬ ‫عالوه‬ .‫داد‬ ‫گسترش‬ ‫موجود‬ ‫های‬ ‫نیاز‬ ‫و‬ ‫سازمان‬ ‫های‬ ‫سیاست‬ ‫به‬ ‫توجه‬ ‫با‬ ‫را‬ ‫آنها‬
Wazuh
‫از‬ ‫ای‬ ‫مجموعه‬ ‫با‬
Policy
‫تعیین‬ ‫پیش‬ ‫از‬ ‫های‬
‫اساس‬ ‫بر‬ ‫اغلب‬ ‫که‬ ‫شده‬
Benchmark
‫های‬
CIS
‫برای‬ ‫را‬ ‫استانداردهایی‬ ،‫‌باشد‬
‫ی‬‫م‬
Hardening
.‫است‬ ‫گرفته‬ ‫نظر‬ ‫در‬ ‫ها‬ ‫سیستم‬
‫یک‬ ‫زیر‬ ‫مثال‬
‫از‬ ‫نمونه‬
Alert
‫ویندوز‬ ‫یک‬ ‫روی‬ ‫بر‬ ‫اسکن‬ ‫انجام‬ ‫از‬ ‫پس‬ ‫‌شده‬
‫د‬‫تولی‬ ‫های‬
10
‫‌دهد‬
‫ی‬‫م‬ ‫نشان‬ ‫را‬
‫این‬
Alert
‫ممیزی‬ ‫به‬ ‫مربوط‬
Do not allow passwords to be saved
‫استاندارد‬ ‫از‬ ‫بخشی‬ ‫که‬
CIS
.‫‌باشد‬
‫ی‬‫م‬ ،‫است‬

46. ‫اسکن‬ ‫فرآیند‬ ‫انجام‬ ‫برای‬
Host
‫کشف‬ ‫و‬ ‫ها‬
Misconfiguration
‫هر‬ ،‫موجود‬ ‫های‬
Agent
‫فعلی‬ ‫وضعیت‬ ،‫است‬ ‫داخلی‬ ‫داده‬ ‫پایگاه‬ ‫یک‬ ‫دارای‬ ‫که‬
،‫شبکه‬ ‫در‬ ‫ضروری‬ ‫غیر‬ ‫ترافیک‬ ‫ایجاد‬ ‫از‬ ‫جلوگیری‬ ‫منظور‬ ‫به‬ ‫همچنین‬ .‫‌کند‬
‫ی‬‫م‬ ‫ذخیره‬ ‫را‬ ‫شده‬ ‫چک‬ ‫موارد‬
Agent
‫صرفا‬ ‫که‬ ‫دارد‬ ‫را‬ ‫قابلیت‬ ‫این‬
.‫کند‬ ‫ارسال‬ ‫را‬ ‫اسکن‬ ‫از‬ ‫ای‬ ‫خالصه‬ ،‫باشد‬ ‫نگرفته‬ ‫صورت‬ ‫تغییری‬ ‫اگر‬ ‫و‬ ‫نماید‬ ‫ارسال‬ ‫را‬ ‫اسکن‬ ‫دو‬ ‫بین‬ ‫تغییرات‬
‫نتیجه‬ ‫سه‬ ‫دارای‬ ،‫بررسی‬ ‫از‬ ‫پس‬ ‫رویداد‬ ‫هر‬
Failed، Passed
‫و‬
Not applicable
‫روی‬ ‫پیکربندی‬ ‫که‬ ‫مواقعی‬ ‫در‬ .‫‌باشد‬
‫ی‬‫م‬
Host
‫با‬ ‫شبکه‬ ‫های‬
‫فایل‬
Policy
‫پیغام‬ ‫باشد‬ ‫داشته‬ ‫همخوانی‬ ،‫موجود‬
Passed
‫پیغام‬ ‫صورت‬ ‫این‬ ‫غیر‬ ‫در‬ ‫و‬
failed
‫هنگام‬ ‫در‬ ‫اگر‬ ‫همچنین‬ ‫‌شود‬
‫ی‬‫م‬ ‫داده‬ ‫نمایش‬
،‫اسکن‬ ‫و‬ ‫بررسی‬
Agent
‫با‬
Error
‫هشدار‬ ،‫برساند‬ ‫اتمام‬ ‫به‬ ‫را‬ ‫اسکن‬ ‫فرآیند‬ ‫نتواند‬ ‫و‬ ‫شود‬ ‫مواجه‬
Not-applicable
‫این‬ .‫شد‬ ‫خواهد‬ ‫داده‬ ‫نمایش‬
‫طریق‬ ‫از‬ ‫ها‬ ‫هشدار‬
Agent
‫راهکار‬
Wazuh
‫سرویس‬ ‫وب‬ ‫صفحه‬ ‫طریق‬ ‫از‬ ‫و‬ ‫شده‬ ‫فرستاده‬ ‫سرور‬ ‫سمت‬ ‫به‬
Kibana
‫داده‬ ‫نمایش‬ ‫کاربر‬ ‫به‬
.‫‌شود‬
‫ی‬‫م‬
File Integrity Monitoring
‫در‬
Wazuh
‫به‬ ‫مختلف‬ ‫مسیرهای‬ ‫و‬ ‫ها‬ ‫فایل‬ ‫مداوم‬ ‫بررسی‬ ‫با‬ ‫و‬ ‫دارد‬ ‫را‬ ‫ها‬ ‫فایل‬ ‫یکپارچگی‬ ‫بر‬ ‫نظارت‬ ‫‌ی‬
‫ه‬‫وظیف‬ ‫ماژول‬ ‫این‬ ،‫پیداست‬ ‫آن‬ ‫نام‬ ‫از‬ ‫که‬ ‫همانطور‬
،‫دهد‬ ‫رخ‬ … ‫و‬ ‫فایل‬ ‫یک‬ ‫حذف‬ ،‫فایل‬ ‫یک‬ ‫محتوای‬ ‫تغییر‬ ‫از‬ ‫اعم‬ ‫سیستم‬ ‫یک‬ ‫روی‬ ‫بر‬ ‫تغییری‬ ‫اگر‬ ‫تا‬ ‫‌کند‬
‫ی‬‫م‬ ‫کمک‬ ‫امنیتی‬ ‫کارشناسان‬ ‫و‬ ‫محققان‬
.‫نمایند‬ ‫بررسی‬ ‫و‬ ‫شناسایی‬ ‫آنرا‬
‫راهكار‬
Wazuh
( ‫ها‬ ‫هش‬ ‫و‬ ‫تغییر‬ ‫آخرین‬ ‫زمان‬ ،‫مالک‬ ،‫مجوزها‬ ،‫فایل‬ ‫سایز‬ ،‫ابتدا‬ ‫در‬ ‫که‬ ‫‌کند‬
‫ی‬‫م‬ ‫عمل‬ ‫صورت‬ ‫این‬ ‫به‬
MD5، SHA1،
SHA256
‫با‬ ‫را‬ )
Scan
‫را‬ ‫باشد‬ ‫شده‬ ‫عوض‬ ‫آنها‬ ‫مقدار‬ ‫که‬ ‫را‬ ‫مواردی‬ ،‫دوباره‬ ‫بررسی‬ ‫با‬ ،‫دهد‬ ‫رخ‬ ‫تغییری‬ ‫بار‬ ‫هر‬ ‫و‬ ‫‌کند‬
‫ی‬‫م‬ ‫ذخیره‬ ‫خود‬ ‫در‬ ‫اولیه‬
.‫‌دهد‬
‫ی‬‫م‬ ‫گزارش‬ ‫و‬ ‫کرده‬ ‫شناسایی‬
‫که‬ ‫هایی‬ ‫ماژول‬ ‫زير‬
FIM
‫در‬
Wazuh
:‫‌باشد‬
‫ی‬‫م‬ ‫زیر‬ ‫شرح‬ ‫به‬ ‫‌برد‬
‫ی‬‫م‬ ‫بهره‬ ‫آنها‬ ‫از‬
Syscheck (Integrity Checking Process)
‫روی‬ ‫بر‬ ‫قسمت‬ ‫این‬ ‫پیشفرض‬ ‫طور‬ ‫به‬
Wazuh
‫تا‬ ‫کرد‬ ‫تعریف‬ ‫را‬ ‫نظر‬ ‫مورد‬ ‫مسیرهای‬ ‫و‬ ‫ها‬ ‫فایل‬ ‫‌توان‬
‫ی‬‫م‬ ‫آن‬ ‫کمک‬ ‫به‬ ‫و‬ ‫‌باشد‬
‫ی‬‫م‬ ‫فعال‬
Wazuh
‫را‬ ‫آنها‬
Scan
.‫کند‬
Configuring Scheduled Scan
‫برای‬ ‫‌توان‬
‫ی‬‫م‬ ‫بخش‬ ‫این‬ ‫کمک‬ ‫به‬
Wazuh
‫به‬ ‫شروع‬ ‫هایی‬ ‫زمان‬ ‫چه‬ ‫که‬ ‫کرد‬ ‫تعیین‬
Scan
.‫کند‬

47. Configuring Real-Time Monitoring
‫صورت‬ ‫به‬ ‫تا‬ ‫نمود‬ ‫مشخص‬ ‫را‬ ‫مسیرهایی‬ ‫‌توان‬
‫ی‬‫م‬ ‫بخش‬ ‫این‬ ‫در‬
Real-Time
‫فرآیند‬
Scanning
‫در‬ ‫که‬ ‫هایی‬ ‫تغییر‬ ‫تا‬ ‫شود‬ ‫انجام‬ ‫آنها‬ ‫روی‬ ‫بر‬
.‫شوند‬ ‫شناسایی‬ ‫باالتری‬ ‫سرعت‬ ‫با‬ ،‫‌افتد‬
‫ی‬‫م‬ ‫اتفاق‬ ‫خاص‬ ‫مسیر‬ ‫یک‬
Configuring Who-Data Monitoring
‫کدام‬ ‫و‬ ‫کاربر‬ ‫کدام‬ ‫که‬ ‫شد‬ ‫متوجه‬ ‫‌توان‬
‫ی‬‫م‬ ‫قسمت‬ ‫این‬ ‫کمک‬ ‫به‬
Account Name
‫یا‬ ‫برنامه‬ ‫چه‬ ‫از‬ ‫و‬ ‫است‬ ‫داده‬ ‫تغییر‬ ‫را‬ ‫نظارت‬ ‫تحت‬ ‫های‬ ‫فایل‬
.‫است‬ ‫کرده‬ ‫استفاده‬ ‫کار‬ ‫این‬ ‫انجام‬ ‫برای‬ ‫پراسسی‬
Configuring Reporting New File
‫شناسایی‬ ‫را‬ ‫آن‬ ،‫شود‬ ‫ایجاد‬ ‫فایلی‬ ،‫شده‬ ‫مشخص‬ ‫قبل‬ ‫از‬ ‫که‬ ‫نظارتی‬ ‫تحت‬ ‫مسیرهای‬ ‫در‬ ‫اگر‬ ‫تا‬ ‫‌کند‬
‫ی‬‫م‬ ‫کمک‬ ‫امنیتی‬ ‫متخصصین‬ ‫به‬ ‫بخش‬ ‫این‬
.‫کنند‬
Configuring Windows Registry
‫در‬
Wazuh
‫را‬ ‫آنها‬ ،‫ماژول‬ ‫این‬ ‫کمک‬ ‫به‬ ‫و‬ ‫کرد‬ ‫مشخص‬ ‫را‬ ‫مختلف‬ ‫های‬ ‫رجیستری‬ ‫مسیرهای‬ ‫‌توان‬
‫ی‬‫م‬
Scan
‫در‬ ‫تغییر‬ ‫ایجاد‬ ‫محض‬ ‫به‬ ‫و‬ ‫نمود‬
.‫پرداخت‬ ‫آنها‬ ‫تحلیل‬ ‫به‬ ،‫نظارت‬ ‫تحت‬ ‫های‬ ‫رجیستری‬
Configuring Report File And Registry Value Change
‫همچنین‬
Wazuh
.‫دهد‬ ‫ارائه‬ ‫و‬ ‫تولید‬ ‫را‬ ‫ها‬ ‫رجیستری‬ ‫یا‬ ‫ها‬ ‫فایل‬ ‫در‬ ‫گرفته‬ ‫صورت‬ ‫تغییرات‬ ‫از‬ ‫متنی‬ ‫های‬ ‫گزارش‬ ‫تا‬ ‫دارد‬ ‫را‬ ‫قابلیت‬ ‫این‬

48. Migrate
‫از‬
Ossec
‫به‬
Wazuh
‌
: ‫نکته‬
migrate
‌
: ‫میباشد‬ ‫زیر‬ ‫های‬ ‫نسخه‬ ‫‌شامل‬
‫کاربران‬ ،‫متأسفانه‬
OSSEC
. ‫کنند‬ ‫استفاده‬ ‫نتوانستند‬ ‫را‬ ‫جدید‬ ‫های‬ ‫ویژگی‬ ‫از‬ ‫بسیاری‬ ‫گذشته‬ ‫دهه‬ ‫طول‬ ‫در‬
‫سال‬ ‫در‬ ‫که‬ ‫است‬ ‫دلیل‬ ‫همین‬ ‫به‬
2015
‫تیم‬ ،
Wazuh
‫آسان‬ ،‫تر‬ ‫جامع‬ ‫بسیار‬ ‫حل‬ ‫راه‬ ‫یک‬ ‫نتیجه‬ .‫برساند‬ ‫پایان‬ ‫به‬ ‫را‬ ‫پروژه‬ ‫این‬ ‫گرفت‬ ‫تصمیم‬
‫راه‬ ‫یک‬ ‫به‬ ‫تبدیل‬ ‫سرعت‬ ‫به‬ ‫و‬ ‫است‬ ‫داشته‬ ‫زیادی‬ ‫استقبال‬ ‫باز‬ ‫منبع‬ ‫جامعه‬ ‫میان‬ ‫در‬ ‫فورک‬ .‫است‬ ‫پذیر‬ ‫مقیاس‬ ‫و‬ ‫اعتماد‬ ‫قابل‬ ،‫استفاده‬ ‫برای‬
.‫است‬ ‫شده‬ ‫سازمانی‬ ‫های‬ ‫محیط‬ ‫در‬ ‫پرکاربرد‬ ‫حل‬
‫از‬ ‫که‬ ‫داریم‬ ‫را‬ ‫امکان‬ ‫این‬ ‫ما‬
Ossec
‫‌به‬
Wazuh
: ‫داریم‬ ‫کار‬ ‫این‬ ‫برای‬ . ‫کنیم‬ ‫مهاجرت‬
sudo du -h /var/ossec | tail -n1
sudo df -h /var
‫‌های‬
‫ل‬‫فای‬ ‫ساختار‬ ‫از‬ ‫کپی‬ ‫یک‬ ‫سپس‬
ossec
. ‫میکنیم‬ ‫نگهداری‬ ‫را‬
sudo /var/ossec/bin/ossec-control stop
sudo cp -rp /var/ossec /var/ossec_backup
‫به‬ ‫مربوط‬ ‫های‬ ‫بسته‬ ‫سپس‬
ossec
. ‫میکنیم‬ ‫حذف‬ ‫زیر‬ ‫ساختار‬ ‫از‬ ‫استفاده‬ ‫با‬ ‫را‬

49. ‫سپس‬
wazuh
‫روش‬ ‫ما‬ ‫اینجا‬ ‫در‬ . ‫میکنیم‬ ‫نصب‬ ‫را‬ ‫سرور‬
all in one
‫را‬ ‫کالسترینگ‬ ‫بصورت‬ ‫نصب‬ ‫ادامه‬ ‫در‬ . ‫میدهیم‬ ‫قرار‬ ‫بررسی‬ ‫مورد‬ ‫را‬
. ‫داد‬ ‫خواهیم‬ ‫انجام‬ ‫نیز‬
‫ریپوزیتوری‬ ‫نصب‬
wazuh
‌
: ‫ها‬ ‫بیس‬ ‫هت‬ ‫رد‬ ‫‌در‬

50. ‫ریپوزیتوری‬ ‫نصب‬
wazuh
‌
:‌‫ها‬ ‫بیس‬ ‫دبیان‬ ‫در‬

51. ‫نصب‬ ‫سپس‬
wazuh manager
: ‫میدهیم‬ ‫انجام‬ ‫را‬
: ‫داریم‬ ‫ها‬ ‫بیس‬ ‫دبیان‬ ‫در‬
‫در‬ ‫ها‬ ‫سرویس‬ ‫کردن‬ ‫فعال‬
systemd
:

52. ‫در‬ ‫ها‬ ‫سرویس‬ ‫کردن‬ ‫فعال‬
sysvinit
:
‫بسته‬ ‫سپس‬
Filebeat
‌
: ‫میکنیم‬ ‫نصب‬ ‫را‬
: ‫ها‬ ‫بیس‬ ‫دبیان‬ ‫در‬
‌
: ‫دهید‬ ‫انجام‬ ‫را‬ ‫زیر‬ ‫مراحل‬ ‫ادامه‬ ‫در‬

53. ‫پیکربندی‬ ‫فایل‬
Filebeat
‫هشدارهای‬ ‫ارسال‬ ‫برای‬ ‫استفاده‬ ‫مورد‬ ‫شده‬ ‫پیکربندی‬ ‫پیش‬ ‫از‬
Wazuh
‫به‬
Elasticsearch
:‫کنید‬ ‫دانلود‬ ‫را‬
curl -so /etc/filebeat/filebeat.yml https://packages.wazuh.com/resources/4.2/open-distro/filebeat/7.x/
filebeat.yml
‫برای‬ ‫را‬ ‫هشدارها‬ ‫الگوی‬
Elasticsearch
:‫کنید‬ ‫بارگیری‬
curl -so /etc/filebeat/wazuh-template.json
https://raw.githubusercontent.com/wazuh/wazuh/4.2/extensions/elasticsearch/7.x/wazuh-template.json
chmod go+r /etc/filebeat/wazuh-template.json
‫ماژول‬ ‫دانلود‬
Wazuh
‫برای‬
Filebeat
:
curl -s https://packages.wazuh.com/4.x/filebeat/wazuh-filebeat-0.1.tar.gz | tar -xvz -C
/usr/share/filebeat/module

54. ‫فایل‬
/
etc/filebeat/filebeat.yml
‌
: ‫کنید‬ ‫ویرایش‬ ‫زیر‬ ‫بصورت‬ ‫را‬
wazuh-node-name
‫گره‬ ‫نام‬ ‫با‬ ‫را‬
Wazuh
‫در‬ ‫که‬ ‫نامی‬ ‫همان‬ ،‫کنید‬ ‫جایگزین‬ ‫خود‬
instances.yml
‫و‬ ‫‌شود‬
‫ی‬‫م‬ ‫استفاده‬ ‫‌ها‬
‫ی‬‫گواه‬ ‫ایجاد‬ ‫برای‬
‫از‬ ‫کپی‬ ‫یک‬ ‫که‬ ‫کند‬ ‫می‬ ‫فرض‬ ‫راهنما‬ ‫این‬ .‫کنید‬ ‫منتقل‬ ‫خود‬ ‫مربوطه‬ ‫مکان‬ ‫به‬ ‫را‬ ‫‌ها‬
‫ی‬‫گواه‬
certs.tar
‫نصب‬ ‫طول‬ ‫در‬ ‫شده‬ ‫ایجاد‬ ،
Elasticsearch
.‫است‬ ‫شده‬ ‫داده‬ ‫قرار‬ )/~( ‫اصلی‬ ‫اصلی‬ ‫پوشه‬ ‫در‬ ،

55. ‫در‬
systemd
‫سرویس‬ ‌
filebeat
‌
: ‫میکنیم‬ ‫بررسی‬ ‫را‬ ‫خروجی‬ ‫و‬ ‫کرده‬ ‫فعال‬ ‫را‬
‌
: ‫باشد‬ ‫زیر‬ ‫شکل‬ ‫به‬ ‫باید‬ ‫خروجی‬
‫در‬ ‫روند‬ ‫این‬ ‫همچنین‬
sysvinit
: ‫میباشد‬ ‫زیر‬ ‫شکل‬ ‫به‬

56. ‫ابزار‬ ‫ادامه‬ ‫در‬
kibana
. ‫میکنیم‬ ‫نصب‬ ‫را‬
curl -so /etc/kibana/kibana.yml https://packages.wazuh.com/resources/4.2/open-distro/kibana/7.x/kibana.yml
<
kibana_ip
،‫‌فرض‬
‫ش‬‫پی‬ ‫‌طور‬
‫ه‬‫ب‬ :>
Kibana
‫رابط‬ ‫در‬ ‫فقط‬
Loopback (localhost)
‫قابل‬ ‫میزبان‬ ‫همان‬ ‫از‬ ‫فقط‬ ‫که‬ ‫معنی‬ ‫این‬ ‫به‬ ،‫‌دهد‬
‫ی‬‫م‬ ‫گوش‬
‫به‬ ‫دسترسی‬ ‫برای‬ .‫است‬ ‫دسترسی‬
Kibana
‫جایگزینی‬ ‫با‬ ‫تا‬ ‫شود‬ ‫پیکربندی‬ ‫است‬ ‫ممکن‬ ،‫خارج‬ ‫از‬
kibana_ip
‫با‬
IP
‫میزبان‬
Kibana
‫به‬ ،
IP
‫مقدار‬ .‫دهد‬ ‫گوش‬ ‫خود‬ ‫شبکه‬
0.0.0.0
‫تمام‬
IP
.‫پذیرد‬ ‫می‬ ‫را‬ ‫میزبان‬ ‫موجود‬ ‫های‬
<
elasticsearch_ip>: IP
‫گره‬ ‫یک‬ ‫از‬ ‫بیش‬ ‫داشتن‬ ‫صورت‬ ‫در‬ .‫میزبان‬
Elasticsearch
‫گره‬ ‫چندین‬ ‫به‬ ‫اتصال‬ ‫برای‬ ‫توان‬ ‫می‬ ‫را‬ ‫کیبانا‬ ،
Elasticsearch
.‫کرد‬ ‫پیکربندی‬ ‫خوشه‬ ‫یک‬ ‫در‬
IP
:‫مثال‬ ‫عنوان‬ ‫به‬ .‫کرد‬ ‫جدا‬ ‫هم‬ ‫از‬ ‫کاما‬ ‫با‬ ‫توان‬ ‫می‬ ‫را‬ ‫ها‬ ‫گره‬
["https://10.0.0.2:9200"، "https://10.0.0.3:9200"، "https://10.0.0.4:9200"]

57. ‫افزونه‬
Wazuh Kibana
:‫کنید‬ ‫نصب‬ ‫را‬
:‫شود‬ ‫انجام‬ ‫کیبانا‬ ‫خانه‬ ‫دایرکتوری‬ ‫از‬ ‫باید‬ ‫افزونه‬ ‫نصب‬
cd /usr/share/kibana
sudo -u kibana bin/kibana-plugin install https://packages.wazuh.com/4.x/ui/kibana/wazuh_kibana-4.2.5_7.10.2-1.zip
kibana-node-name
‫گره‬ ‫نام‬ ‫با‬ ‫را‬
Kibana
‫در‬ ‫که‬ ‫نامی‬ ‫همان‬ ،‫کنید‬ ‫جایگزین‬ ‫خود‬
instances.yml
‫و‬ ‫شود‬ ‫می‬ ‫استفاده‬ ‫ها‬ ‫گواهی‬ ‫ایجاد‬ ‫برای‬
‫از‬ ‫کپی‬ ‫یک‬ ‫که‬ ‫کند‬ ‫می‬ ‫فرض‬ ‫راهنما‬ ‫این‬ .‫کنید‬ ‫منتقل‬ ‫خود‬ ‫مربوطه‬ ‫مکان‬ ‫به‬ ‫را‬ ‫ها‬ ‫گواهی‬
certs.tar
‫نصب‬ ‫طول‬ ‫در‬ ‫شده‬ ‫ایجاد‬ ،
Elasticsearch
.‫است‬ ‫شده‬ ‫داده‬ ‫قرار‬ )/~( ‫اصلی‬ ‫اصلی‬ ‫پوشه‬ ‫در‬ ،

58. ‫در‬ ‫ادامه‬ ‫در‬
systemd
‫سرویس‬
kibana
: ‫میکنیم‬ ‫فعال‬ ‫را‬
‫اگر‬ ‫همانظور‬
sysvinit
‌
: ‫داریم‬ ، ‫باشیم‬ ‫داشته‬

59. : ‫داریم‬ ‫کیبانا‬ ‫داشبورد‬ ‫به‬ ‫دسترسی‬ ‫برای‬
URL: https://<kibana_ip>
user: admin
password: admin
‫یک‬ ‫‌توان‬
‫ی‬‫م‬ .‫دهد‬ ‫می‬ ‫نشان‬ ‫را‬ ‫اعتماد‬ ‫مورد‬ ‫مرجع‬ ‫توسط‬ ‫گواهی‬ ‫صدور‬ ‫عدم‬ ‫بر‬ ‫مبنی‬ ‫هشداری‬ ‫پیام‬ ‫مرورگر‬ ،‫کیبانا‬ ‫به‬ ‫دسترسی‬ ‫اولین‬ ‫با‬
‫فایل‬ ،‫امنیت‬ ‫افزایش‬ ‫برای‬ ‫یا‬ ‫کرد‬ ‫اضافه‬ ‫وب‬ ‫مرورگر‬ ‫پیشرفته‬ ‫‌های‬
‫ه‬‫گزین‬ ‫در‬ ‫استثنا‬
root-ca.pem
‫مدیر‬ ‫به‬ ‫‌توان‬
‫ی‬‫م‬ ‫را‬ ‫بود‬ ‫شده‬ ‫تولید‬ ً
‫ال‬‫قب‬ ‫که‬
.‫کرد‬ ‫پیکربندی‬ ‫توان‬ ‫می‬ ‫را‬ ‫اعتماد‬ ‫قابل‬ ‫مرجع‬ ‫یک‬ ‫از‬ ‫گواهی‬ ،‫دیگر‬ ‫طرف‬ ‫از‬ .‫کرد‬ ‫وارد‬ ‫مرورگر‬ ‫گواهی‬
‫فرض‬ ‫پیش‬ ‫عبور‬ ‫رمزهای‬ ‫که‬ ‫شود‬ ‫می‬ ‫توصیه‬ ‫شدت‬ ‫به‬
Elasticsearch
/ ‫فایل‬ ‫در‬ ‫که‬ ‫کاربرانی‬ ‫برای‬ ‫را‬
usr/share/elasticsearch/plugins/opendistro_security/securityconfig/internal_users.yml
‫اطالعات‬ .‫دهید‬ ‫تغییر‬ ،‫شوند‬ ‫می‬ ‫یافت‬
.‫بیابید‬ ‫اینجا‬ ‫در‬ ‫توانید‬ ‫می‬ ‫را‬ ‫فرآیند‬ ‫این‬ ‫مورد‬ ‫در‬ ‫بیشتر‬
‫افزونه‬ ،‫دسترسی‬ ‫برای‬ ‫تالش‬ ‫اولین‬ ‫با‬
Wazuh Kibana
‫با‬ ‫تواند‬ ‫نمی‬ ‫دهد‬ ‫می‬ ‫نشان‬ ‫که‬ ‫کند‬ ‫ارسال‬ ‫را‬ ‫پیامی‬ ‫است‬ ‫ممکن‬
Wazuh API
‫ارتباط‬

60. / ‫فایل‬ ‫مشکل‬ ‫این‬ ‫حل‬ ‫برای‬ .‫کند‬ ‫برقرار‬
usr/share/kibana/data/wazuh/config/wazuh.yml
‫سرور‬ ‫آدرس‬ ‫و‬ ‫کنید‬ ‫ویرایش‬ ‫را‬
Wazuh
‫را‬
.‫کنید‬ ‫اینترنتی‬ ‫آدرس‬ ‫جایگزین‬
hosts:
- default:
url: https://localhost
port: 55000
username: wazuh-wui
password: wazuh-wui
run_as: false
‫در‬ ‫که‬ ‫هست‬ ‫تنظیماتی‬ ‫کردن‬ ‫ریستور‬ ‫زمان‬ ‫حال‬
ossec
: ‫داشتیم‬
‫فایل‬ ‫در‬ ‫جدید‬ ‫تنظیمات‬ ‫و‬ ‫نحوی‬ ‫تغییرات‬ ‫برخی‬
ossec.conf
‫تا‬ ‫کنید‬ ‫مرور‬ ‫دستی‬ ‫صورت‬ ‫به‬ ‫را‬ ‫فایل‬ ‫این‬ ً‫ا‬‫لطف‬ .‫است‬ ‫شده‬ ‫گنجانده‬
‫فایل‬ ‫فهرست‬ ‫که‬ ‫باشید‬ ‫داشته‬ ‫توجه‬ ،‫این‬ ‫بر‬ ‫عالوه‬ .‫کنید‬ ‫وارد‬ ‫را‬ ‫خود‬ ‫قبلی‬ ‫پیکربندی‬
agent.conf
/ ‫به‬ ‫اکنون‬
var/ossec/etc/shared/default
.‫است‬ ‫کرده‬ ‫تغییر‬
‫داده‬ ‫‌های‬
‫ه‬‫پایگا‬ ‫و‬ ‫هشدار‬ ‫گزارش‬ ‫‌های‬
‫ل‬‫فای‬ ‫حفظ‬ ‫برای‬ ‫را‬ ‫زیر‬ ‫‌های‬
‫ل‬‫فای‬ ‫‌توان‬
‫ی‬‫م‬ ‫تمایل‬ ‫صورت‬ ‫در‬
syscheck/rootcheck
.‫کرد‬ ‫بازیابی‬

61. / ‫فایل‬ ً‫ا‬‫لطف‬ .‫کنیم‬ ‫شروع‬ ‫دوباره‬ ‫را‬ ‫خدمات‬ ‫توانیم‬ ‫می‬ ‫نهایت‬ ‫در‬
var/ossec/logs/ossec.log
‫هیچ‬ ‫که‬ ‫شوید‬ ‫مطمئن‬ ‫تا‬ ‫کنید‬ ‫بررسی‬ ‫را‬
.‫ندارد‬ ‫وجود‬ ‫تنظیمات‬ ‫انتقال‬ ‫با‬ ‫ارتباط‬ ‫در‬ ‫هشداری‬ ‫یا‬ ‫خطا‬
sudo systemctl start wazuh-manager

62. ‫جهت‬ ‫همچنین‬
migrate agent
‌
: ‫داریم‬