Active Response 动态入侵规避
- 指定终端,发送可执行命令, 进行终端控制或检测
PUT /active-response/:agent_id
Agent 模块
-
agent的添加与删除
POST /agents
POST /agents/:agent_name
POST /agents/insert
插入现有的agent。
DELETE /agents?ids=&purge&status=&older_than=
Delete agents
DELETE /agents/groups?ids=
Delete a list of groups
DELETE /agents/:agent_id
Delete an agent
-
获取agent的配置
GET /agents/:agent_id/config/:component/:configuration
GET /agents/summary
返回可用agents的摘要信息
-
获取agent信息
-
获取agent状态
GET /agents/:agent_id/group/is_sync
获取指定agent的同步状态
GET /agents/:agent_id/upgrade_result
获取agent的升级结果
-
os汇总
GET /agents/summary/os
返回OS系统的摘要信息
-
agent数量汇总
GET /agents/stats/distinct
根据字段分组agents并返回,包括每个组合的代理总数
-
获取agent和其详细信息
GET /agents
获取agents列表,包含其详细信息
GET /agents/:agent_id
获取指定agent_id的详细信息
GET /agents/name/:agent_name
获取指定agent_name的详细信息
GET /agents/:agent_id/key
获取指定agent的密钥key
GET /agents/outdated
获取过期的agents
-
操作agents
POST /agents/restart
传参ids,重启ids列表指定的agents
PUT /agents/restart
重启所有agents
PUT /agents/:agent_id/restart
重启指定agent
PUT /agents/:agent_id/upgrade_custom
使用自定义文件升级agent
PUT /agents/:agent_id/upgrade
使用在线存储库升级代理
-
agent group管理, 增删改查, 对组内agent更新配置文件
-
创建group组
PUT /agents/groups/:group_id
-
删除group组
DELETE /agents/groups/:group_id
删除指定组,组中的agents将分配到默认组 “default”
-
更新group中的配置
POST /agents/groups/:group_id/configuration
更新group配置(agent.conf)
POST /agents/groups/:group_id/files/:file_name
上传文件到一个组
-
查看group中的配置
GET /agents/groups/:group_id/files
获取group中的所有文件
GET /agents/groups/:group_id/files/:filename
获取group中的一个文件
GET /agents/groups/:group_id
获取group中的agents
GET /agents/groups/:group_id/configuration
查看group的配置
GET /agents/groups
获取所有存在的groups
-
操作组中的agent
POST /agents/group/:group_id
将agnets添加到指定的组里
PUT /agents/:agent_id/group/:group_id
添加一个agent到指定的组里
GET /agents/no_group
获取没有分组的agents
DELETE /agents/:agent_id/group/:group_id
移除agent中指定的单个group
DELETE /agents/group/:group_id?ids=
删除单个group中的多个agents
DELETE /agents/:agent_id/group
清空指定agent中的所有组,恢复为默认分组 “default”
Cache 缓存管理
Ciscat
Cluster
-
wazuh集群的管理与配置
GET /cluster/:node_id/config/:component/:configuration
以JSON格式返回指定active节点node_id的配置
GET /cluster/:node_id/configuration
以JSON格式返回指定节点node_id的配置
GET /cluster/config
获取集群配置
GET /cluster/configuration/validation
返回所有集群中的wazuh配置状态
GET /cluster/:node_id/configuration/validation
检查指定集群中的wazuh配置状态
-
获取集群信息
GET /cluster/status
获取集群状态
GET /cluster/healthcheck
检查集群的健康状态
-
对集群内node的查询及操作
-
查看node的信息
GET /cluster/nodes
返回所有节点信息
GET /cluster/node
返回本地节点信息
GET /cluster/nodes/:node_name
获取指定node_name的节点信息
GET /cluster/:node_id/status
获取节点node_id中管理器进程的状态
GET /cluster/:node_id/info
获取节点node_id的信息
GET /cluster/:node_id/stats/analysisd
返回节点上当前分析数据的摘要
GET /cluster/:node_id/stats/remoted
获取节点node_id上当前远程状态的摘要
GET /cluster/:node_id/stats
返回当前或指定日期的wazuh统计信息
GET /cluster/:node_id/stats/hourly
按小时获取节点node_id的统计信息
GET /cluster/:node_id/stats/weekly
按周获取节点node_id的统计信息
-
重启node
PUT /cluster/restart
重启集群中的所有节点
PUT /cluster/:node_id/restart
重启集群中的指定节点
-
获取集群内node的log事件汇总
GET /cluster/:node_id/logs
获取指定node_id的ossec.log
GET /cluster/:node_id/logs/summary
获取指定node_id的摘要(最近3个月)
-
集群节点中文件的操作
DELETE /cluster/:node_id/files?path=
删除指定集群节点中的指定path文件
GET /cluster/:node_id/files
从任意集群节点获取本地文件,返回其内容(规则,解码器和列表)
POST /cluster/:node_id/files
在任意集群节点上更新本地文件
Decoder
-
获取decoder信息
GET /decoders
返回包含在ossec.conf中的所有解码器
GET /decoders/files
返回包含在ossec.conf中的所有解码器文件
GET /decoders/parents
返回包含在ossec.conf中的所有父解码器
GET /decoders/:decoder_name
按名称获取解码器
Experimental
-
操作syscheck数据库
DELETE /experimental/syscheck
清空所有代理的syscheck数据库
-
获取代理的相关信息
GET /experimental/syscollector/hardware
获取所有代理的硬件信息
GET /experimental/syscollector/netaddr
获取所有代理的网络地址信息
GET /experimental/syscollector/netiface
获取所有代理的网络接口信息
GET /experimental/syscollector/netproto
获取所有代理的网络协议信息
GET /experimental/syscollector/os
获取所有代理的操作系统信息
GET /experimental/syscollector/packages
获取所有代理的packages信息
GET /experimental/syscollector/ports
获取所有代理的端口信息
GET /experimental/syscollector/processes
获取所有代理的进程信息
GET /experimental/ciscat/results
获取代理的ciscat结果信息
Lists
Manager
-
获取manager配置信息
GET /manager/info
获取manager的信息
GET /manager/status
获取manager进程的状态
GET /manager/config/:component/:configuration
获取活动中manager的配置
GET /manager/configuration
获取manager配置信息
GET /manager/configuration/validation
检查wazuh配置
GET /manager/stats/analysisd
返回当前分析数据的摘要
GET /manager/stats
返回当前或指定日期的manager统计数据
GET /manager/stats/hourly
按小时获取manager统计数据
GET /manager/stats/weekly
按周获取manager统计数据
GET /manager/stats/remoted
返回当前远程状态的摘要
-
files的操作
DELETE /manager/files
删除本地文件
GET /manager/files
获取本地文件
POST /manager/files
更新本地文件
-
log操作
GET /manager/logs
获取ossec.log(最近3个月)
GET /manager/logs/summary
获取ossec.log的摘要文件(最近3个月)
-
manager操作
PUT /manager/restart
重启wazuh manager
Rootcheck
-
操作rootcheck数据库
DELETE /rootcheck
清除所有代理的rootcheck数据库
DELETE /rootcheck/:agent_id
清除指定代理的rootcheck数据库
GET /rootcheck/:agent_id
查询指定代理的rootcheck数据库
-
获取rootcheck信息
GET /rootcheck/:agent_id/last_scan
返回最后一次rootcheck扫描的时间戳
GET /rootcheck/:agent_id/cis
返回指定代理的所有CIS需求
GET /rootcheck/:agent_id/pci
返回指定代理的所有PCI需求
-
rookcheck运行
PUT /rootcheck
在所有代理上运行syscheck
和rootcheck
(wazuh同时启动两个进程)
PUT /rootcheck/:agent_id
在指定代理上运行syscheck
和rootcheck
Rules
-
查询rules
GET /rules
获取所有rules
GET /rules/files
获取所有规则的文件
GET /rules/gdpr
获取所有规则的GDPR需求
GET /rules/groups
获取所有规则中的组
GET /rules/pci
获取所有规则的PCI需求
GET /rules/:rule_id
根据rule_id查询规则
安全配置审计sca
Syscheck
-
操作syscheck数据库
DELETE /syscheck/:agent_id
清除指定代理的syscheck数据库
-
查询syscheck相关信息
GET /syscheck/:agent_id/last_scan
返回最后一次syscheck扫描的时间戳
-
files文件处理
GET /syscheck/:agent_id
返回指定代理的syscheck文件
-
执行syscheck扫描
PUT /syscheck
在所有代理上运行syscheck
和rootcheck
(Wazuh同时启动两个进程)
PUT /syscheck/:agent_id
在指定代理上运行syscheck
和rootcheck
Syscollector
-
获取代理的相关信息
GET /syscollector/:agent_id/hardware
获取指定代理的硬件信息
GET /syscollector/:agent_id/netaddr
获取指定代理的网络地址信息
GET /syscollector/:agent_id/netiface
获取指定代理的网络接口信息
GET /syscollector/:agent_id/netproto
获取指定代理的网络协议信息
GET /syscollector/:agent_id/os
获取指定代理的操作系统信息
GET /syscollector/:agent_id/packages
获取指定代理的packages信息
GET /syscollector/:agent_id/ports
获取指定代理的端口信息
GET /syscollector/:agent_id/processes
获取指定代理的进程信息
本文内容由网友自发贡献,版权归原作者所有,本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容,请联系:hwhale#tublm.com(使用前将#替换为@)