Интересно Что такое Wazuh? Для чего его используют?

[GhosTM@n]

Что такое Wazuh?

OSSEC и Wazuh​

Wazuh - это масштабируемая система обнаружения вторжений на основе хоста с открытым исходным кодом. Он был создан как ответвление OSSEC, мощного и надежного механизма корреляции и анализа. Это решение стало более комплексным благодаря интеграции с OpenScap и Elastic Stack. Wazuh работает во многих операционных системах, таких как Linux, OpenBSD, FreeBSD, Solaris, MacOS и Windows, а также обеспечивает мониторинг реестра Windows, анализ журналов, проверку целостности файлов, обнаружение руткитов, оповещение в реальном времени и структуру активного ответа.

OpenScap​

Цель OpenScap - интерпретировать OVAL и XCCDF, которые используются для управления конфигурациями системы и обнаружения уязвимых приложений.

Elastic Stack​

Elastic Stack - это программный пакет, используемый для сбора, индексации, анализа, поиска, хранения и представления данных журнала. Для повседневного управления: Elastic Stack, Logstash, Elasticsearch и Kibana.
Это комбинация трех популярных проектов с открытым исходным кодом. Он создает пользовательский интерфейс для сигналов тревоги Wazuh в реальном времени.
Интеграция Wazuh с Elastic Stack поставляется с готовыми панелями мониторинга (Dashboard) для соответствия требованиям PCI DSS и критериям CIS.

Использование Wazuh по назначению

Сигнатурный анализ журналов​

Автоматический анализ журналов ускоряет обнаружение потенциальных угроз в ваших системах. Возможны ситуации, когда доказательства атаки можно найти в журналах систем, устройств и приложений в вашей инфраструктуре.

Wazuh можно использовать для автоматического сбора и анализа данных журнала. Например, журналы операционной системы системы, работающей и загруженной с помощью агента Wazuh, читаются, и эти журналы пересылаются на сервер Wazuh для анализа. Помимо использования агентов, он может получать данные напрямую с серверов через Syslog, JSON и многие форматы по сети.

Wazuh использует декодеры, чтобы определить, из какого приложения ведутся журналы, а затем анализирует данные, используя специальные правила в соответствии с этими приложениями.

Пример правила, используемого для обнаружения событий сбоя аутентификации SSH;

Правила содержат поле соответствия, которое используется для определения шаблона, по которому будет выполняться поиск правила. Определения в журнале создаются в этой области и указывают уровень, на котором будет тревожный сигнал.
Есть поле уровня. Сервер Wazuh в журнале, собранном одним из агентов или системным журналом
Он будет генерировать сигнал тревоги каждый раз, когда будет соответствовать правилу с уровнем выше нуля.