一、Wazuh简介
Wazuh是一个免费、开源、基于安全事件管理的解决方案,用于安全检测、监视、响应和合规性,旨在保护企业中的服务器、云实例、容器和终端节点。
Wazuh是基于OSSEC HIDS构建的,Wazuh被称为OSSEC的后继发展,拥有许多新的功能和增强功能。Wazuh并不仅限于HIDS,它也包括其他组件,例如:ELK堆栈(Elasticsearch、Logstash和Kibana),OpenSCAP和Atomic Enterprise OSSEC。
Wazuh的开源性和文档详尽,使得该软件得到了广泛的应用,特别是在服务器和云环境的安全事件管理中,越来越多企业和机构使用Wazuh来检测和响应安全威胁。
二、Wazuh的优势
Wazuh有以下优点:
- 免费,开源
- 适用于云环境、容器和传统系统
- 可扩展性和可配置性强
- 支持多种操作系统,包括Linux、Windows、MacOS等等
- 提供可视化分析和报告
- 提供全栈安全保护
- 具有丰富的社区和支持
三、Wazuh的组件和使用方法
Wazuh由多个组件组成,包括:Wazuh服务器、Wazuh代理(agent)、ELK堆栈、OpenSCAP、Atomic Enterprise OSSEC等。
以下是Wazuh的使用方法:
- 安装Wazuh服务器和代理端(agent)
- 配置Wazuh代理端,使其安装在需要保护的主机上
- 配置ELK堆栈并启动它,使其可以接收Wazuh服务器传来的数据
- 在Kibana中创建仪表板,可视化地显示数据并分析潜在的安全事件
下面是一个样例编排文件:
version: '2'
services:
wazuh-api:
image: wazuh/wazuh-api:latest
ports:
- "55000:55000"
volumes:
- "/var/run/docker.sock:/var/run/docker.sock"
depends_on:
- wazuh-manager
wazuh-db:
image: postgres:9.6
volumes:
- /opt/wazuh/data:/var/lib/postgresql/data
environment:
POSTGRES_USER: wazuh
POSTGRES_PASSWORD: wazuh
POSTGRES_DB: wazuh
ulimits:
nproc: 65535
wazuh-manager:
image: wazuh/wazuh:latest
volumes:
- /var/ossec/data:/var/ossec/data
- /var/ossec/etc:/var/ossec/etc
- /var/ossec/logs:/var/ossec/logs
environment:
WAZUH_RELAY: "yes"
WAZUH_TIMEZONE: "Asia/Shanghai"
WAZUH_SERVER: "wazuh-server"
depends_on:
- wazuh-db
ports:
- "1514:1514/udp"
- "1515:1515/tcp"
- "1515:1515/udp"
- "514:514/tcp"
- "514:514/udp"
四、Wazuh的优秀案例
Wazuh作为一个全栈安全解决方案,在行业中有很多优秀的案例。
例如:甲方公司在其生产环境中使用Wazuh,通过Wazuh成功监控并响应了一次Web应用层的SQL注入攻击。
下面是一个Wazuh探测到攻击的样例报告:
{
"rule": {
"level": 2,
"description": "SQL injection attempt",
"id": "99999",
"category": "web-application-attack"
},
"rule_matched": 1,
"alerts": [
{
"src_ip": "192.168.1.110",
"connectivity": "TCP",
"src_port": "49332",
"date": "2018-03-28T16:28:32-03:00",
"location": {
"physical": {
"name": "Unknown",
"latitude": 0,
"longitude": 0
},
"ip": {
"country_name": "Argentina",
"latitude": "-34.603722",
"longitude": "-58.381592",
}
},
"id": "1541596818.12440",
"full_log": "Attempting test case 1''' or 1=1;#",
"decoded_full_log": "Attempting test case 1''' or 1=1;#",
"rule": {
"level": 2,
"description": "SQL injection attempt",
"category": "web-application-attack",
"id": "99999"
},
"location_info": {
"ip": {
"latitude": "-34.603722",
"city_name": "Buenos Aires",
"country_name": "Argentina",
"longitude": "-58.381592",
}
},
"timestamp": "2018-03-28T19:28:32.124476Z",
"agent": {
"name": "web-application",
"id": "012345ab-cdef-0123-4567-89abcdef0123",
"ip": "10.0.0.1"
}
}
]
}
五、Wazuh的社区
Wazuh的社区十分活跃,在GitHub上有17.1K+的Star和4.5K+的Fork,社区里有专业的开发者,支持英语、西班牙语、葡萄牙语和其他语言,有专门的网站和社论提供技术支持、问题解答和最新版本的更新,如Wazuh邮件列表、官方文档、Wazuh博客等。
六、总结
Wazuh是一个优秀的免费、开源的安全事件管理解决方案,具有可扩展性和可配置性,支持多种操作系统,提供全栈安全保护,并且具有广泛的社区和支持。
可以通过仔细研究官方文档和社区帖子了解更多关于Wazuh的知识,也可以在实践中不断探索Wazuh的更多用法,提高自己的安全防御能力。