一、Wazuh簡介
Wazuh是一個免費、開源、基於安全事件管理的解決方案,用於安全檢測、監視、響應和合規性,旨在保護企業中的服務器、雲實例、容器和終端節點。
Wazuh是基於OSSEC HIDS構建的,Wazuh被稱為OSSEC的後繼發展,擁有許多新的功能和增強功能。Wazuh並不僅限於HIDS,它也包括其他組件,例如:ELK堆棧(Elasticsearch、Logstash和Kibana),OpenSCAP和Atomic Enterprise OSSEC。
Wazuh的開源性和文檔詳盡,使得該軟件得到了廣泛的應用,特別是在服務器和雲環境的安全事件管理中,越來越多企業和機構使用Wazuh來檢測和響應安全威脅。
二、Wazuh的優勢
Wazuh有以下優點:
- 免費,開源
- 適用於雲環境、容器和傳統系統
- 可擴展性和可配置性強
- 支持多種操作系統,包括Linux、Windows、MacOS等等
- 提供可視化分析和報告
- 提供全棧安全保護
- 具有豐富的社區和支持
三、Wazuh的組件和使用方法
Wazuh由多個組件組成,包括:Wazuh服務器、Wazuh代理(agent)、ELK堆棧、OpenSCAP、Atomic Enterprise OSSEC等。
以下是Wazuh的使用方法:
- 安裝Wazuh服務器和代理端(agent)
- 配置Wazuh代理端,使其安裝在需要保護的主機上
- 配置ELK堆棧並啟動它,使其可以接收Wazuh服務器傳來的數據
- 在Kibana中創建儀錶板,可視化地顯示數據並分析潛在的安全事件
下面是一個樣例編排文件:
version: '2'
services:
wazuh-api:
image: wazuh/wazuh-api:latest
ports:
- "55000:55000"
volumes:
- "/var/run/docker.sock:/var/run/docker.sock"
depends_on:
- wazuh-manager
wazuh-db:
image: postgres:9.6
volumes:
- /opt/wazuh/data:/var/lib/postgresql/data
environment:
POSTGRES_USER: wazuh
POSTGRES_PASSWORD: wazuh
POSTGRES_DB: wazuh
ulimits:
nproc: 65535
wazuh-manager:
image: wazuh/wazuh:latest
volumes:
- /var/ossec/data:/var/ossec/data
- /var/ossec/etc:/var/ossec/etc
- /var/ossec/logs:/var/ossec/logs
environment:
WAZUH_RELAY: "yes"
WAZUH_TIMEZONE: "Asia/Shanghai"
WAZUH_SERVER: "wazuh-server"
depends_on:
- wazuh-db
ports:
- "1514:1514/udp"
- "1515:1515/tcp"
- "1515:1515/udp"
- "514:514/tcp"
- "514:514/udp"
四、Wazuh的優秀案例
Wazuh作為一個全棧安全解決方案,在行業中有很多優秀的案例。
例如:甲方公司在其生產環境中使用Wazuh,通過Wazuh成功監控並響應了一次Web應用層的SQL注入攻擊。
下面是一個Wazuh探測到攻擊的樣例報告:
{
"rule": {
"level": 2,
"description": "SQL injection attempt",
"id": "99999",
"category": "web-application-attack"
},
"rule_matched": 1,
"alerts": [
{
"src_ip": "192.168.1.110",
"connectivity": "TCP",
"src_port": "49332",
"date": "2018-03-28T16:28:32-03:00",
"location": {
"physical": {
"name": "Unknown",
"latitude": 0,
"longitude": 0
},
"ip": {
"country_name": "Argentina",
"latitude": "-34.603722",
"longitude": "-58.381592",
}
},
"id": "1541596818.12440",
"full_log": "Attempting test case 1''' or 1=1;#",
"decoded_full_log": "Attempting test case 1''' or 1=1;#",
"rule": {
"level": 2,
"description": "SQL injection attempt",
"category": "web-application-attack",
"id": "99999"
},
"location_info": {
"ip": {
"latitude": "-34.603722",
"city_name": "Buenos Aires",
"country_name": "Argentina",
"longitude": "-58.381592",
}
},
"timestamp": "2018-03-28T19:28:32.124476Z",
"agent": {
"name": "web-application",
"id": "012345ab-cdef-0123-4567-89abcdef0123",
"ip": "10.0.0.1"
}
}
]
}
五、Wazuh的社區
Wazuh的社區十分活躍,在GitHub上有17.1K+的Star和4.5K+的Fork,社區里有專業的開發者,支持英語、西班牙語、葡萄牙語和其他語言,有專門的網站和社論提供技術支持、問題解答和最新版本的更新,如Wazuh郵件列表、官方文檔、Wazuh博客等。
六、總結
Wazuh是一個優秀的免費、開源的安全事件管理解決方案,具有可擴展性和可配置性,支持多種操作系統,提供全棧安全保護,並且具有廣泛的社區和支持。
可以通過仔細研究官方文檔和社區帖子了解更多關於Wazuh的知識,也可以在實踐中不斷探索Wazuh的更多用法,提高自己的安全防禦能力。
原創文章,作者:小藍,如若轉載,請註明出處:https://www.506064.com/zh-hant/n/300281.html
微信掃一掃 
支付寶掃一掃 