Wazuh: 一款超強大的威脅預防、檢測安全平臺,支持虛擬化、容器化和云環境保護
解決方案包括一個部署到被監控系統的終端安全代理和一個收集和分析代理收集的數據的管理服務器。此外,Wazuh 已經與 Elastic Stack 完全集成,提供了一個搜索引擎和數據可視化工具,允許用戶通過他們的安全警報進行導航。
使用場景
入侵檢測
Wazuh 代理掃描被監控的系統,尋找惡意軟件,rootkit 和可疑的異常。它們可以檢測隱藏文件、隱藏進程或未注冊的網絡偵聽器,以及系統調用響應中的不一致。除了代理功能之外,服務器組件還使用基于特征的入侵檢測方法,使用其正則表達式引擎來分析收集的日志數據并尋找危害的指標。
日志數據分析
Wazuh 代理讀取操作系統和應用程序日志,并安全地將它們轉發給中央管理器,以便進行基于規則的分析和存儲。當沒有部署代理時,服務器還可以通過 syslog 從網絡設備或應用程序接收數據。Wazuh 規則幫助您了解應用程序或系統錯誤、錯誤配置、企圖和/或成功的惡意活動、違反政策以及各種其他安全和操作問題。
完整性檢查
Wazuh 監視文件系統,識別需要密切關注的文件的內容、權限、所有權和屬性的更改。此外,它本機識別用于創建或修改文件的用戶和應用程序。完整性檢查能力可以與威脅情報結合使用來識別威脅或被入侵的主機。此外,一些美國守規標準,如 PCI DSS,要求它。
漏洞檢測
Wazuh 代理提取軟件清單數據,并將這些信息發送到服務器,在服務器上與不斷更新的 CVE 數據庫相關聯,以識別眾所周知的脆弱軟件。自動的漏洞評估可以幫助您找到關鍵資產中的弱點,并在攻擊者利用它們破壞您的業務或竊取機密數據之前采取糾正措施。
配置評估
Wazuh 監視系統和應用程序配置設置,以確保它們符合您的安全策略、標準和/或加強指南。代理執行定期掃描,以檢測已知存在漏洞、未打補丁或配置不安全的應用程序。此外,可以自定義配置檢查,對其進行裁剪以適當地與您的組織保持一致。警報包括更好的配置建議,參考信息和與守規地圖的映射。
事故應變
Wazuh 提供開箱即用的主動響應,以執行各種應對主動威脅的對策,例如在滿足某些標準時阻止從威脅來源訪問系統。此外,Wazuh 還可用于遠程運行命令或系統查詢,識別危險指標(IOCs) ,并幫助執行其他實時取證或事件響應任務。
合規
Wazuh 提供了一些必要的安全控制,以符合行業標準和規定。這些特性,結合其可伸縮性和多平臺支持,可以幫助組織滿足技術遵從性需求。Wazuh 廣泛應用于支付處理公司和金融機構,以滿足 PCI DSS (支付卡行業數據安全標準)的要求。它的 web 用戶界面提供了報告和儀表板,可以幫助解決這個和其他規則(例如 GPG13 或 GDPR)。
云安全
通過使用集成模塊從著名的云服務提供商那里獲取安全數據,例如 Amazon AWS、 Azure 或 Google Cloud,Wazuh 幫助在 API 級別上監控云基礎設施。此外,Wazuh 還提供了評估云環境配置的規則,可以很容易地發現弱點。此外,Wazuh 輕量級和多平臺代理通常用于實例級監視云環境。
容器安全
Wazuh 提供對 Docker 主機和容器的安全可見性,監視它們的行為并檢測威脅、漏洞和異常。Wazuh 代理與 Docker 引擎本地集成,允許用戶監視圖像、卷、網絡設置和運行中的容器。不斷收集和分析詳細的運行時信息。例如,為以特權模式運行的容器、易受攻擊的應用程序、在容器中運行的 shell、對持久卷或映像的更改以及其他可能的威脅發出警報。
快速安裝
1.下載并運行 Wazuh 安裝助手。
curl -sO https://packages.wazuh.com/4.3/wazuh-install.sh && sudo bash ./wazuh-install.sh -a
助手完成安裝后,輸出會顯示訪問憑據和確認安裝成功的消息。
INFO: --- Summary ---
INFO: You can access the web interface https://<wazuh-dashboard-ip>
User: admin
Password: <ADMIN_PASSWORD>
INFO: Installation finished.
到這里現在已經安裝并配置了 Wazuh。
2.使用 https://<wazuh-dashboard-ip> 和你的憑據訪問 Wazuh Web 界面,用戶名: admin、密碼:<ADMIN_PASSWORD>。當你第一次訪問 Wazuh 儀表板時,瀏覽器會顯示一條警告消息,指出證書不是由受信任的機構頒發的。這是意料之中的,用戶可以選擇接受證書作為,或者將系統配置為使用來自受信任機構的證書。
如果要卸載 Wazuh central 組件,請使用選項 -u 或 --uninstall 運行 Wazuh 安裝助手。
現在 Wazuh 安裝已準備就緒,你可以開始部署 Wazuh 代理了,這可用于保護筆記本電腦、臺式機、服務器、云實例、容器或虛擬機。該代理可以提供多種安全功能。
代理需要根據自己的系統選擇合適的安裝包,可以從官方文檔 https://documentation.wazuh.com/current/installation-guide/wazuh-agent/index.html 獲取安裝。
Wazuh WUI 為數據可視化和分析提供了強大的用戶界面,此界面還可用于管理 Wazuh 配置并監控其狀態。
關于 Wazuh 的更多使用方式請查看官方文檔 https://documentation.wazuh.com/current/index.html 了解更多相關信息。
- Git 倉庫:https://github.com/wazuh/wazuh
