长亭百川云 - 文章详情

开源XDR威胁检测响应平台

suntiger

116

2024-07-27

part1

点击上方蓝字关注我们

1.摘要

Wazuh是一个免费的开源平台,用于威胁预防,检测和响应。它能够保护内部部署、虚拟化、容器化和基于云的环境中的工作负载。Wazuh解决方案由一个终端安全代理和一个管理服务器组成,该代理部署到受监控的系统上,管理服务器收集并分析代理收集的数据。此外,Wazuh已与Elastic Stack完全集成,提供了一个搜索引擎和数据可视化工具,允许用户浏览他们的安全警报。

开源地址:https://github.com/wazuh/wazuh

2.Wazuh能力范围

  • **入侵检测:**Wazuh代理扫描受监控的系统,扫描的目标包括:恶意软件、rootkit和可疑的异常情况。除此之外, 还可以检测隐藏文件、隐藏进程或未注册的网络监听器,以及系统调用响应中的不一致性。

  • **日志数据分析:**Wazuh代理读取操作系统和应用程序日志,并将其安全地转发到中央管理器,以进行基于规则的分析和存储。当未部署代理时,服务器还可以通过系统日志从网络设备或应用程序接收数据。Wazuh规则可帮助使用者了解应用程序或系统错误、错误配置、恶意活动、违反策略以及各种其他安全和操作问题。

  • **文件完整性监控:**Wazuh监控文件系统,识别需要关注的文件内容、权限、所有权和属性的更改。此外,它还可以识别用于创建或修改文件的用户和应用程序。文件完整性监控功能可以与威胁情报结合使用,以识别威胁或受损主机。

  • **漏洞检测:**Wazuh代理提取软件库存数据并将此信息发送到服务器,在那里它与不断更新的CVE(常见漏洞披露)数据库相关联,以识别已知的易受攻击的软件。

  • **配置评估:**Wazuh监控系统和应用程序配置设置,以确保它们符合安全策略、标准和或强化指南。代理执行定期扫描以检测已知易受攻击、未打补丁或配置不安全的应用程序。

  • **事件响应:**Wazuh提供开箱即用的主动响应,以执行各种应对措施来解决主动威胁,例如在满足某些标准时阻止威胁源对系统的访问。此外,Wazuh还可用于远程运行命令或系统查询,识别危害指标(IOC),并帮助执行其他实时取证或事件响应任务。

  • 监管合规:Wazuh提供了一些必要的安全控制措施,以符合行业标准和法规。这些功能,结合其可扩展性和多平台支持,帮助组织满足技术合规性要求。

  • **云安全:**Wazuh帮助在API级别监控云基础设施,使用能够从知名云提供商(如Amazon AWS、Azure或Google Cloud)提取安全数据的集成模块。此外,Wazuh提供了评估云环境配置的规则,可以轻松发现弱点。此外,Wazuh轻量级和多平台代理通常用于在实例级别监控云环境。

  • **容器安全:**Wazuh为Docker主机和容器提供安全可见性,监控它们的行为并检测威胁、漏洞和异常。Wazuh代理与Docker引擎进行了本地集成,允许用户监视映像,卷,网络设置和运行的容器。Wazuh不断收集和分析详细的运行时信息。例如,针对以特权模式运行的容器、易受攻击的应用程序、在容器中运行的shell、持久卷或映像的更改以及其他可能的威胁发出警报。

3.Wazuh功能模块组成

Wazuh WUI为数据可视化和分析提供了强大的用户界面。此界面还可用于管理Wazuh配置并监控其状态。界面如下:

Wazuh提供了专业的安全事件查看界面, 如图:

安全行为监测,如图:

专业漏洞检测,如图:

代理汇总界面,如图:

4.Wazuh安装

Wazuh目前只支持源码编译安装, 在服务器上输入命令: git clone https://github.com/wazuh/wazuh.git 将源码clone到本地, 进入项目目录,直接执行安装: ./install.sh

脚本执行后,采用交互式安装方式, 选择cn
, 表示安装地区为中国, 然后出现以下界面:

直接按Enter
键继续,如图:

这里会询问配置一些参数, 直接按照提示选择Y
或N
即可。注意, Wazuh支持三种安装方式: manager、agent和local, 安装manager可能耗时会比较长, 以下是选择manager的安装过程。

参数配置完成后, 可以看到已经开始自动执行安装了, 如图:

过一段时间之后,下面就进入了源码编译阶段,如图:

除此之外, wazuh提供了非常全面的文档, 出现任何问题可以自行定位到该URL查阅:

https://documentation.wazuh.com/current/index.html

5.其它资源

为了方便分布式自动化部署, Wazuh还提供了一些额外组件,例如:

相关推荐
关注或联系我们
添加百川云公众号,移动管理云安全产品
咨询热线:
4000-327-707
百川公众号
百川公众号
百川云客服
百川云客服

Copyright ©2024 北京长亭科技有限公司
icon
京ICP备 2024055124号-2