Active Response 动态入侵规避
- 指定终端,发送可执行命令, 进行终端控制或检测
PUT /active-response/:agent_id
Agent 模块
-
agent的添加与删除
POST /agents
POST /agents/:agent_name
POST /agents/insert 插入现有的agent。
DELETE /agents?ids=&purge&status=&older_than= Delete agents
DELETE /agents/groups?ids= Delete a list of groups
DELETE /agents/:agent_id Delete an agent
-
获取agent的配置
GET /agents/:agent_id/config/:component/:configuration
GET /agents/summary 返回可用agents的摘要信息
-
获取agent信息
-
获取agent状态
GET /agents/:agent_id/group/is_sync 获取指定agent的同步状态
GET /agents/:agent_id/upgrade_result 获取agent的升级结果
-
os汇总
GET /agents/summary/os 返回OS系统的摘要信息
-
agent数量汇总
GET /agents/stats/distinct 根据字段分组agents并返回,包括每个组合的代理总数
-
获取agent和其详细信息
GET /agents 获取agents列表,包含其详细信息
GET /agents/:agent_id 获取指定agent_id的详细信息
GET /agents/name/:agent_name 获取指定agent_name的详细信息
GET /agents/:agent_id/key 获取指定agent的密钥key
GET /agents/outdated 获取过期的agents
-
操作agents
POST /agents/restart 传参ids,重启ids列表指定的agents
PUT /agents/restart 重启所有agents
PUT /agents/:agent_id/restart 重启指定agent
PUT /agents/:agent_id/upgrade_custom 使用自定义文件升级agent
PUT /agents/:agent_id/upgrade 使用在线存储库升级代理
-
agent group管理, 增删改查, 对组内agent更新配置文件
-
创建group组
PUT /agents/groups/:group_id
-
删除group组
DELETE /agents/groups/:group_id 删除指定组,组中的agents将分配到默认组 “default”
-
更新group中的配置
POST /agents/groups/:group_id/configuration 更新group配置(agent.conf)
POST /agents/groups/:group_id/files/:file_name 上传文件到一个组
-
查看group中的配置
GET /agents/groups/:group_id/files 获取group中的所有文件
GET /agents/groups/:group_id/files/:filename 获取group中的一个文件
GET /agents/groups/:group_id 获取group中的agents
GET /agents/groups/:group_id/configuration 查看group的配置
GET /agents/groups 获取所有存在的groups
-
操作组中的agent
POST /agents/group/:group_id 将agnets添加到指定的组里
PUT /agents/:agent_id/group/:group_id 添加一个agent到指定的组里
GET /agents/no_group 获取没有分组的agents
DELETE /agents/:agent_id/group/:group_id 移除agent中指定的单个group
DELETE /agents/group/:group_id?ids= 删除单个group中的多个agents
DELETE /agents/:agent_id/group 清空指定agent中的所有组,恢复为默认分组 “default”
Cache 缓存管理
Ciscat
Cluster
-
wazuh集群的管理与配置
GET /cluster/:node_id/config/:component/:configuration 以JSON格式返回指定active节点node_id的配置
GET /cluster/:node_id/configuration 以JSON格式返回指定节点node_id的配置
GET /cluster/config 获取集群配置
GET /cluster/configuration/validation 返回所有集群中的wazuh配置状态
GET /cluster/:node_id/configuration/validation 检查指定集群中的wazuh配置状态
-
获取集群信息
GET /cluster/status 获取集群状态
GET /cluster/healthcheck 检查集群的健康状态
-
对集群内node的查询及操作
-
查看node的信息
GET /cluster/nodes 返回所有节点信息
GET /cluster/node 返回本地节点信息
GET /cluster/nodes/:node_name 获取指定node_name的节点信息
GET /cluster/:node_id/status 获取节点node_id中管理器进程的状态
GET /cluster/:node_id/info 获取节点node_id的信息
GET /cluster/:node_id/stats/analysisd 返回节点上当前分析数据的摘要
GET /cluster/:node_id/stats/remoted 获取节点node_id上当前远程状态的摘要
GET /cluster/:node_id/stats 返回当前或指定日期的wazuh统计信息
GET /cluster/:node_id/stats/hourly 按小时获取节点node_id的统计信息
GET /cluster/:node_id/stats/weekly 按周获取节点node_id的统计信息
-
重启node
PUT /cluster/restart 重启集群中的所有节点
PUT /cluster/:node_id/restart 重启集群中的指定节点
-
获取集群内node的log事件汇总
GET /cluster/:node_id/logs 获取指定node_id的ossec.log
GET /cluster/:node_id/logs/summary 获取指定node_id的摘要(最近3个月)
-
集群节点中文件的操作
DELETE /cluster/:node_id/files?path= 删除指定集群节点中的指定path文件
GET /cluster/:node_id/files 从任意集群节点获取本地文件,返回其内容(规则,解码器和列表)
POST /cluster/:node_id/files 在任意集群节点上更新本地文件
Decoder
-
获取decoder信息
GET /decoders 返回包含在ossec.conf中的所有解码器
GET /decoders/files 返回包含在ossec.conf中的所有解码器文件
GET /decoders/parents 返回包含在ossec.conf中的所有父解码器
GET /decoders/:decoder_name 按名称获取解码器
Experimental
-
操作syscheck数据库
DELETE /experimental/syscheck 清空所有代理的syscheck数据库
-
获取代理的相关信息
GET /experimental/syscollector/hardware 获取所有代理的硬件信息
GET /experimental/syscollector/netaddr 获取所有代理的网络地址信息
GET /experimental/syscollector/netiface 获取所有代理的网络接口信息
GET /experimental/syscollector/netproto 获取所有代理的网络协议信息
GET /experimental/syscollector/os 获取所有代理的操作系统信息
GET /experimental/syscollector/packages获取所有代理的packages信息
GET /experimental/syscollector/ports 获取所有代理的端口信息
GET /experimental/syscollector/processes 获取所有代理的进程信息
GET /experimental/ciscat/results 获取代理的ciscat结果信息
Lists
Manager
-
获取manager配置信息
GET /manager/info 获取manager的信息
GET /manager/status 获取manager进程的状态
GET /manager/config/:component/:configuration 获取活动中manager的配置
GET /manager/configuration 获取manager配置信息
GET /manager/configuration/validation 检查wazuh配置
GET /manager/stats/analysisd 返回当前分析数据的摘要
GET /manager/stats 返回当前或指定日期的manager统计数据
GET /manager/stats/hourly 按小时获取manager统计数据
GET /manager/stats/weekly 按周获取manager统计数据
GET /manager/stats/remoted 返回当前远程状态的摘要
-
files的操作
DELETE /manager/files 删除本地文件
GET /manager/files 获取本地文件
POST /manager/files 更新本地文件
-
log操作
GET /manager/logs 获取ossec.log(最近3个月)
GET /manager/logs/summary 获取ossec.log的摘要文件(最近3个月)
-
manager操作
PUT /manager/restart 重启wazuh manager
Rootcheck
-
操作rootcheck数据库
DELETE /rootcheck 清除所有代理的rootcheck数据库
DELETE /rootcheck/:agent_id 清除指定代理的rootcheck数据库
GET /rootcheck/:agent_id 查询指定代理的rootcheck数据库
-
获取rootcheck信息
GET /rootcheck/:agent_id/last_scan 返回最后一次rootcheck扫描的时间戳
GET /rootcheck/:agent_id/cis 返回指定代理的所有CIS需求
GET /rootcheck/:agent_id/pci 返回指定代理的所有PCI需求
-
rookcheck运行
PUT /rootcheck 在所有代理上运行syscheck和rootcheck(wazuh同时启动两个进程)
PUT /rootcheck/:agent_id 在指定代理上运行syscheck和rootcheck
Rules
-
查询rules
GET /rules 获取所有rules
GET /rules/files 获取所有规则的文件
GET /rules/gdpr 获取所有规则的GDPR需求
GET /rules/groups 获取所有规则中的组
GET /rules/pci 获取所有规则的PCI需求
GET /rules/:rule_id 根据rule_id查询规则
安全配置审计sca
Syscheck
-
操作syscheck数据库
DELETE /syscheck/:agent_id 清除指定代理的syscheck数据库
-
查询syscheck相关信息
GET /syscheck/:agent_id/last_scan 返回最后一次syscheck扫描的时间戳
-
files文件处理
GET /syscheck/:agent_id 返回指定代理的syscheck文件
-
执行syscheck扫描
PUT /syscheck 在所有代理上运行syscheck和rootcheck(Wazuh同时启动两个进程)
PUT /syscheck/:agent_id 在指定代理上运行syscheck和rootcheck
Syscollector
-
获取代理的相关信息
GET /syscollector/:agent_id/hardware 获取指定代理的硬件信息
GET /syscollector/:agent_id/netaddr 获取指定代理的网络地址信息
GET /syscollector/:agent_id/netiface 获取指定代理的网络接口信息
GET /syscollector/:agent_id/netproto 获取指定代理的网络协议信息
GET /syscollector/:agent_id/os 获取指定代理的操作系统信息
GET /syscollector/:agent_id/packages 获取指定代理的packages信息
GET /syscollector/:agent_id/ports 获取指定代理的端口信息
GET /syscollector/:agent_id/processes 获取指定代理的进程信息
本文内容由网友自发贡献,版权归原作者所有,本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容,请联系:hwhale#tublm.com(使用前将#替换为@)
