开源XDR威胁检测响应平台

part1

点击上方蓝字关注我们

1.摘要

Wazuh是一个免费的开源平台，用于威胁预防，检测和响应。它能够保护内部部署、虚拟化、容器化和基于云的环境中的工作负载。Wazuh解决方案由一个终端安全代理和一个管理服务器组成,该代理部署到受监控的系统上,管理服务器收集并分析代理收集的数据。此外,Wazuh已与Elastic Stack完全集成,提供了一个搜索引擎和数据可视化工具,允许用户浏览他们的安全警报。

开源地址:https://github.com/wazuh/wazuh

2.Wazuh能力范围

**入侵检测:**Wazuh代理扫描受监控的系统,扫描的目标包括:恶意软件、rootkit和可疑的异常情况。除此之外, 还可以检测隐藏文件、隐藏进程或未注册的网络监听器,以及系统调用响应中的不一致性。
**日志数据分析:**Wazuh代理读取操作系统和应用程序日志，并将其安全地转发到中央管理器，以进行基于规则的分析和存储。当未部署代理时，服务器还可以通过系统日志从网络设备或应用程序接收数据。Wazuh规则可帮助使用者了解应用程序或系统错误、错误配置、恶意活动、违反策略以及各种其他安全和操作问题。
**文件完整性监控:**Wazuh监控文件系统，识别需要关注的文件内容、权限、所有权和属性的更改。此外，它还可以识别用于创建或修改文件的用户和应用程序。文件完整性监控功能可以与威胁情报结合使用，以识别威胁或受损主机。
**漏洞检测:**Wazuh代理提取软件库存数据并将此信息发送到服务器，在那里它与不断更新的CVE（常见漏洞披露）数据库相关联，以识别已知的易受攻击的软件。
**配置评估:**Wazuh监控系统和应用程序配置设置，以确保它们符合安全策略、标准和或强化指南。代理执行定期扫描以检测已知易受攻击、未打补丁或配置不安全的应用程序。
**事件响应:**Wazuh提供开箱即用的主动响应，以执行各种应对措施来解决主动威胁，例如在满足某些标准时阻止威胁源对系统的访问。此外，Wazuh还可用于远程运行命令或系统查询，识别危害指标（IOC），并帮助执行其他实时取证或事件响应任务。
监管合规:Wazuh提供了一些必要的安全控制措施，以符合行业标准和法规。这些功能，结合其可扩展性和多平台支持，帮助组织满足技术合规性要求。
**云安全:**Wazuh帮助在API级别监控云基础设施，使用能够从知名云提供商（如Amazon AWS、Azure或Google Cloud）提取安全数据的集成模块。此外，Wazuh提供了评估云环境配置的规则，可以轻松发现弱点。此外，Wazuh轻量级和多平台代理通常用于在实例级别监控云环境。
**容器安全:**Wazuh为Docker主机和容器提供安全可见性，监控它们的行为并检测威胁、漏洞和异常。Wazuh代理与Docker引擎进行了本地集成，允许用户监视映像，卷，网络设置和运行的容器。Wazuh不断收集和分析详细的运行时信息。例如，针对以特权模式运行的容器、易受攻击的应用程序、在容器中运行的shell、持久卷或映像的更改以及其他可能的威胁发出警报。