wazuh是什麼
- Wazuh是一個免費、開源和企業級的安全監控解決方案,用于威脅檢測、完整性監控、事件響應和合規、也就是一套開源的完善的edr。
- Wazuh是一個安全檢測、可視化和安全合規開源項目。它最初是OSSEC HIDS的一個分支,後來與Elastic Stack和OpenSCAP內建在一起,發展成為一個更全面的解決方案。下面是這些工具的簡要描述以及它們的作用:
wazuh大體結構
- Wazuh代理:它安裝在端點上,例如筆記本電腦,桌上型電腦,伺服器,雲執行個體或虛拟機。它提供日志采集、預防、檢測和響應功能。支援大多數作業系統
- Wazuh伺服器:它分析從代理收到的資料,通過解碼器和規則對其進行處理,并使用威脅情報來查找衆所周知的危害名額(IOC)。一台伺服器可以分析來自成百上千個代理的資料,并在設定為叢集時水準擴充。該伺服器還用于管理代理,在必要時進行遠端配置和更新。
- Elastic Stack:它索引和存儲Wazuh伺服器生成的警報。此外,Wazuh和Kibana之間的內建為資料的可視化和分析提供了強大的使用者界面。該界面還可用于管理Wazuh配置并監視其狀态。
agent
agent功能包括:日志采集、指令執行、檔案完整性、安全配置評估、惡意程式檢測,系統完整性分析、主動響應、容器安全監控、雲安全監控
Wazuh agent - Components · Wazuh documentation
client - Local configuration (ossec.conf) · Wazuh documentation
agent可以選擇tcp與udp與 server進行通信,預設情況下是tcp
server
wach服務端運作分析引擎、提供restful api、端點代理注冊服務、連接配接服務、叢集守護程序、轉發和集中日志資料傳送(比如傳送到es)
Wazuh server - Components · Wazuh documentation
分析引擎内部包括:内聚功能(資料解碼,規則比對,資料關聯),威脅情報,對接威脅模型,對抗技巧,安全隐患探測,法規子產品,終端狀态,整合程序(第三方api,其他系統)
Elastic Stack
fliebeat:輕量級的日志轉發
Filebeat Reference [7.10] | Elastic filebeat指導手冊
elasticsearch: 高度可伸縮的,全文檢索與分析引擎
kibana: 一個靈活和直覺的web界面,用于挖掘、分析和可視化資料
agentless
How it works - Agentless monitoring · Wazuh documentation
ossec-agentlessd(舊版本agentlessd)
https://documentation.wazuh.com/3.10/user-manual/reference/daemons/ossec-agentlessd.html
ossec-agentless程式允許在沒有安裝agent的系統上運作完整性檢查。
wazuh-agentlessd (新版本agentlessd)
wazuh-agentlessd - Daemons · Wazuh documentation
wazuh叢集
NGINX Load balancer for a Wazuh cluster · Wazuh · The Open Source Security Platform
支援叢集需要agent、服務端都修改配置,協定官方建議用tcp
<ossec_config>
<client>
<server>
<address>LB_IP</address>
<ossec_config>
<client>
<server>
<address>LB_IP</address>
<port>1514</port>
<protocol>tcp</protocol>
stream {
upstream master {
server wazuh-master:1515;
}
upstream mycluster {
hash $remote_addr consistent;
server wazuh-master:1514;
server wazuh-worker1:1514;
server wazuh-worker2:1514;
}
server {
listen 1515;
proxy_pass master;
}
server {
listen 1514;
proxy_pass mycluster;
}
}