開(kāi)源安全平臺(tái) - Wazuh
Wazuh 是一個(gè)用于威脅預(yù)防、檢測(cè)和響應(yīng)的開(kāi)源平臺(tái),它能夠跨場(chǎng)所、虛擬化、容器化和基于云的環(huán)境保護(hù)工作負(fù)載。解決方案包括一個(gè)部署到被監(jiān)控系統(tǒng)的終端安全代理和一個(gè)收集和分析代理收集的數(shù)據(jù)的管理服務(wù)器。此外,Wazuh 已經(jīng)與 Elastic Stack 完全集成,提供了一個(gè)搜索引擎和數(shù)據(jù)可視化工具,允許用戶通過(guò)他們的安全警報(bào)進(jìn)行導(dǎo)航。
使用場(chǎng)景
入侵檢測(cè)
Wazuh 代理掃描被監(jiān)控的系統(tǒng),尋找惡意軟件,rootkit 和可疑的異常。它們可以檢測(cè)隱藏文件、隱藏進(jìn)程或未注冊(cè)的網(wǎng)絡(luò)偵聽(tīng)器,以及系統(tǒng)調(diào)用響應(yīng)中的不一致。除了代理功能之外,服務(wù)器組件還使用基于特征的入侵檢測(cè)方法,使用其正則表達(dá)式引擎來(lái)分析收集的日志數(shù)據(jù)并尋找危害的指標(biāo)。
日志數(shù)據(jù)分析
Wazuh 代理讀取操作系統(tǒng)和應(yīng)用程序日志,并安全地將它們轉(zhuǎn)發(fā)給中央管理器,以便進(jìn)行基于規(guī)則的分析和存儲(chǔ)。當(dāng)沒(méi)有部署代理時(shí),服務(wù)器還可以通過(guò) syslog 從網(wǎng)絡(luò)設(shè)備或應(yīng)用程序接收數(shù)據(jù)。Wazuh 規(guī)則幫助您了解應(yīng)用程序或系統(tǒng)錯(cuò)誤、錯(cuò)誤配置、企圖和/或成功的惡意活動(dòng)、違反政策以及各種其他安全和操作問(wèn)題。
完整性檢查
Wazuh 監(jiān)視文件系統(tǒng),識(shí)別需要密切關(guān)注的文件的內(nèi)容、權(quán)限、所有權(quán)和屬性的更改。此外,它本機(jī)識(shí)別用于創(chuàng)建或修改文件的用戶和應(yīng)用程序。完整性檢查能力可以與威脅情報(bào)結(jié)合使用來(lái)識(shí)別威脅或被入侵的主機(jī)。此外,一些美國(guó)守規(guī)標(biāo)準(zhǔn),如 PCI DSS,要求它。
漏洞檢測(cè)
Wazuh 代理提取軟件清單數(shù)據(jù),并將這些信息發(fā)送到服務(wù)器,在服務(wù)器上與不斷更新的 CVE 數(shù)據(jù)庫(kù)相關(guān)聯(lián),以識(shí)別眾所周知的脆弱軟件。自動(dòng)的漏洞評(píng)估可以幫助您找到關(guān)鍵資產(chǎn)中的弱點(diǎn),并在攻擊者利用它們破壞您的業(yè)務(wù)或竊取機(jī)密數(shù)據(jù)之前采取糾正措施。
配置評(píng)估
Wazuh 監(jiān)視系統(tǒng)和應(yīng)用程序配置設(shè)置,以確保它們符合您的安全策略、標(biāo)準(zhǔn)和/或加強(qiáng)指南。代理執(zhí)行定期掃描,以檢測(cè)已知存在漏洞、未打補(bǔ)丁或配置不安全的應(yīng)用程序。此外,可以自定義配置檢查,對(duì)其進(jìn)行裁剪以適當(dāng)?shù)嘏c您的組織保持一致。警報(bào)包括更好的配置建議,參考信息和與守規(guī)地圖的映射。
事故應(yīng)變
Wazuh 提供開(kāi)箱即用的主動(dòng)響應(yīng),以執(zhí)行各種應(yīng)對(duì)主動(dòng)威脅的對(duì)策,例如在滿足某些標(biāo)準(zhǔn)時(shí)阻止從威脅來(lái)源訪問(wèn)系統(tǒng)。此外,Wazuh 還可用于遠(yuǎn)程運(yùn)行命令或系統(tǒng)查詢,識(shí)別危險(xiǎn)指標(biāo)(IOCs) ,并幫助執(zhí)行其他實(shí)時(shí)取證或事件響應(yīng)任務(wù)。
合規(guī)
Wazuh 提供了一些必要的安全控制,以符合行業(yè)標(biāo)準(zhǔn)和規(guī)定。這些特性,結(jié)合其可伸縮性和多平臺(tái)支持,可以幫助組織滿足技術(shù)遵從性需求。Wazuh 廣泛應(yīng)用于支付處理公司和金融機(jī)構(gòu),以滿足 PCI DSS (支付卡行業(yè)數(shù)據(jù)安全標(biāo)準(zhǔn))的要求。它的 web 用戶界面提供了報(bào)告和儀表板,可以幫助解決這個(gè)和其他規(guī)則(例如 GPG13 或 GDPR)。
云安全
通過(guò)使用集成模塊從著名的云服務(wù)提供商那里獲取安全數(shù)據(jù),例如 Amazon AWS、 Azure 或 Google Cloud,Wazuh 幫助在 API 級(jí)別上監(jiān)控云基礎(chǔ)設(shè)施。此外,Wazuh 還提供了評(píng)估云環(huán)境配置的規(guī)則,可以很容易地發(fā)現(xiàn)弱點(diǎn)。此外,Wazuh 輕量級(jí)和多平臺(tái)代理通常用于實(shí)例級(jí)監(jiān)視云環(huán)境。
容器安全
Wazuh 提供對(duì) Docker 主機(jī)和容器的安全可見(jiàn)性,監(jiān)視它們的行為并檢測(cè)威脅、漏洞和異常。Wazuh 代理與 Docker 引擎本地集成,允許用戶監(jiān)視圖像、卷、網(wǎng)絡(luò)設(shè)置和運(yùn)行中的容器。不斷收集和分析詳細(xì)的運(yùn)行時(shí)信息。例如,為以特權(quán)模式運(yùn)行的容器、易受攻擊的應(yīng)用程序、在容器中運(yùn)行的 shell、對(duì)持久卷或映像的更改以及其他可能的威脅發(fā)出警報(bào)。
快速安裝
1.下載并運(yùn)行 Wazuh 安裝助手。
curl -sO https://packages.wazuh.com/4.3/wazuh-install.sh && sudo bash ./wazuh-install.sh -a
助手完成安裝后,輸出會(huì)顯示訪問(wèn)憑據(jù)和確認(rèn)安裝成功的消息。
INFO: --- Summary ---
INFO: You can access the web interface https://<wazuh-dashboard-ip>
User: admin
Password: <ADMIN_PASSWORD>
INFO: Installation finished.
到這里現(xiàn)在已經(jīng)安裝并配置了 Wazuh。
2.使用 https://<wazuh-dashboard-ip> 和你的憑據(jù)訪問(wèn) Wazuh Web 界面,用戶名: admin、密碼:<ADMIN_PASSWORD>。當(dāng)你第一次訪問(wèn) Wazuh 儀表板時(shí),瀏覽器會(huì)顯示一條警告消息,指出證書(shū)不是由受信任的機(jī)構(gòu)頒發(fā)的。這是意料之中的,用戶可以選擇接受證書(shū)作為,或者將系統(tǒng)配置為使用來(lái)自受信任機(jī)構(gòu)的證書(shū)。
如果要卸載 Wazuh central 組件,請(qǐng)使用選項(xiàng) -u 或 --uninstall 運(yùn)行 Wazuh 安裝助手。
現(xiàn)在 Wazuh 安裝已準(zhǔn)備就緒,你可以開(kāi)始部署 Wazuh 代理了,這可用于保護(hù)筆記本電腦、臺(tái)式機(jī)、服務(wù)器、云實(shí)例、容器或虛擬機(jī)。該代理可以提供多種安全功能。
代理需要根據(jù)自己的系統(tǒng)選擇合適的安裝包,可以從官方文檔 https://documentation.wazuh.com/current/installation-guide/wazuh-agent/index.html 獲取安裝。
Wazuh WUI 為數(shù)據(jù)可視化和分析提供了強(qiáng)大的用戶界面,此界面還可用于管理 Wazuh 配置并監(jiān)控其狀態(tài)。
關(guān)于 Wazuh 的更多使用方式請(qǐng)查看官方文檔 https://documentation.wazuh.com/current/index.html 了解更多相關(guān)信息。
Git 倉(cāng)庫(kù):https://github.com/wazuh/wazuh