解決方案包括一個(gè)部署到被監(jiān)控系統(tǒng)的終端安全代理和一個(gè)收集和分析代理收集的數(shù)據(jù)的管理服務(wù)器。此外，Wazuh 已經(jīng)與 Elastic Stack 完全集成，提供了一個(gè)搜索引擎和數(shù)據(jù)可視化工具，允許用戶通過他們的安全警報(bào)進(jìn)行導(dǎo)航。

使用場景

入侵檢測

Wazuh 代理掃描被監(jiān)控的系統(tǒng)，尋找惡意軟件，rootkit 和可疑的異常。它們可以檢測隱藏文件、隱藏進(jìn)程或未注冊的網(wǎng)絡(luò)偵聽器，以及系統(tǒng)調(diào)用響應(yīng)中的不一致。除了代理功能之外，服務(wù)器組件還使用基于特征的入侵檢測方法，使用其正則表達(dá)式引擎來分析收集的日志數(shù)據(jù)并尋找危害的指標(biāo)。

日志數(shù)據(jù)分析

Wazuh 代理讀取操作系統(tǒng)和應(yīng)用程序日志，并安全地將它們轉(zhuǎn)發(fā)給中央管理器，以便進(jìn)行基于規(guī)則的分析和存儲。當(dāng)沒有部署代理時(shí)，服務(wù)器還可以通過 syslog 從網(wǎng)絡(luò)設(shè)備或應(yīng)用程序接收數(shù)據(jù)。Wazuh 規(guī)則幫助您了解應(yīng)用程序或系統(tǒng)錯(cuò)誤、錯(cuò)誤配置、企圖和/或成功的惡意活動、違反政策以及各種其他安全和操作問題。

完整性檢查

Wazuh 監(jiān)視文件系統(tǒng)，識別需要密切關(guān)注的文件的內(nèi)容、權(quán)限、所有權(quán)和屬性的更改。此外，它本機(jī)識別用于創(chuàng)建或修改文件的用戶和應(yīng)用程序。完整性檢查能力可以與威脅情報(bào)結(jié)合使用來識別威脅或被入侵的主機(jī)。此外，一些美國守規(guī)標(biāo)準(zhǔn)，如 PCI DSS，要求它。

漏洞檢測

Wazuh 代理提取軟件清單數(shù)據(jù)，并將這些信息發(fā)送到服務(wù)器，在服務(wù)器上與不斷更新的 CVE 數(shù)據(jù)庫相關(guān)聯(lián)，以識別眾所周知的脆弱軟件。自動的漏洞評估可以幫助您找到關(guān)鍵資產(chǎn)中的弱點(diǎn)，并在攻擊者利用它們破壞您的業(yè)務(wù)或竊取機(jī)密數(shù)據(jù)之前采取糾正措施。

配置評估

Wazuh 監(jiān)視系統(tǒng)和應(yīng)用程序配置設(shè)置，以確保它們符合您的安全策略、標(biāo)準(zhǔn)和/或加強(qiáng)指南。代理執(zhí)行定期掃描，以檢測已知存在漏洞、未打補(bǔ)丁或配置不安全的應(yīng)用程序。此外，可以自定義配置檢查，對其進(jìn)行裁剪以適當(dāng)?shù)嘏c您的組織保持一致。警報(bào)包括更好的配置建議，參考信息和與守規(guī)地圖的映射。

事故應(yīng)變

Wazuh 提供開箱即用的主動響應(yīng)，以執(zhí)行各種應(yīng)對主動威脅的對策，例如在滿足某些標(biāo)準(zhǔn)時(shí)阻止從威脅來源訪問系統(tǒng)。此外，Wazuh 還可用于遠(yuǎn)程運(yùn)行命令或系統(tǒng)查詢，識別危險(xiǎn)指標(biāo)(IOCs) ，并幫助執(zhí)行其他實(shí)時(shí)取證或事件響應(yīng)任務(wù)。

合規(guī)

Wazuh 提供了一些必要的安全控制，以符合行業(yè)標(biāo)準(zhǔn)和規(guī)定。這些特性，結(jié)合其可伸縮性和多平臺支持，可以幫助組織滿足技術(shù)遵從性需求。Wazuh 廣泛應(yīng)用于支付處理公司和金融機(jī)構(gòu)，以滿足 PCI DSS (支付卡行業(yè)數(shù)據(jù)安全標(biāo)準(zhǔn))的要求。它的 web 用戶界面提供了報(bào)告和儀表板，可以幫助解決這個(gè)和其他規(guī)則(例如 GPG13 或 GDPR)。

云安全

通過使用集成模塊從著名的云服務(wù)提供商那里獲取安全數(shù)據(jù)，例如 Amazon AWS、 Azure 或 Google Cloud，Wazuh 幫助在 API 級別上監(jiān)控云基礎(chǔ)設(shè)施。此外，Wazuh 還提供了評估云環(huán)境配置的規(guī)則，可以很容易地發(fā)現(xiàn)弱點(diǎn)。此外，Wazuh 輕量級和多平臺代理通常用于實(shí)例級監(jiān)視云環(huán)境。

容器安全

Wazuh 提供對 Docker 主機(jī)和容器的安全可見性，監(jiān)視它們的行為并檢測威脅、漏洞和異常。Wazuh 代理與 Docker 引擎本地集成，允許用戶監(jiān)視圖像、卷、網(wǎng)絡(luò)設(shè)置和運(yùn)行中的容器。不斷收集和分析詳細(xì)的運(yùn)行時(shí)信息。例如，為以特權(quán)模式運(yùn)行的容器、易受攻擊的應(yīng)用程序、在容器中運(yùn)行的 shell、對持久卷或映像的更改以及其他可能的威脅發(fā)出警報(bào)。

快速安裝

1.下載并運(yùn)行 Wazuh 安裝助手。

curl -sO https://packages.wazuh.com/4.3/wazuh-install.sh && sudo bash ./wazuh-install.sh -a

助手完成安裝后，輸出會顯示訪問憑據(jù)和確認(rèn)安裝成功的消息。

INFO: --- Summary ---
INFO: You can access the web interface https://<wazuh-dashboard-ip>
   User: admin
   Password: <ADMIN_PASSWORD>
INFO: Installation finished.

到這里現(xiàn)在已經(jīng)安裝并配置了 Wazuh。

2.使用 https://<wazuh-dashboard-ip> 和你的憑據(jù)訪問 Wazuh Web 界面，用戶名: admin、密碼：<ADMIN_PASSWORD>。當(dāng)你第一次訪問 Wazuh 儀表板時(shí)，瀏覽器會顯示一條警告消息，指出證書不是由受信任的機(jī)構(gòu)頒發(fā)的。這是意料之中的，用戶可以選擇接受證書作為，或者將系統(tǒng)配置為使用來自受信任機(jī)構(gòu)的證書。

如果要卸載 Wazuh central 組件，請使用選項(xiàng) -u 或 --uninstall 運(yùn)行 Wazuh 安裝助手。

現(xiàn)在 Wazuh 安裝已準(zhǔn)備就緒，你可以開始部署 Wazuh 代理了，這可用于保護(hù)筆記本電腦、臺式機(jī)、服務(wù)器、云實(shí)例、容器或虛擬機(jī)。該代理可以提供多種安全功能。

代理需要根據(jù)自己的系統(tǒng)選擇合適的安裝包，可以從官方文檔 https://documentation.wazuh.com/current/installation-guide/wazuh-agent/index.html 獲取安裝。

Wazuh WUI  為數(shù)據(jù)可視化和分析提供了強(qiáng)大的用戶界面，此界面還可用于管理 Wazuh 配置并監(jiān)控其狀態(tài)。

關(guān)于 Wazuh 的更多使用方式請查看官方文檔 https://documentation.wazuh.com/current/index.html 了解更多相關(guān)信息。

• Git 倉庫：https://github.com/wazuh/wazuh