Hlavní navigace

Wazuh: nástroj pro správu informací o událostech a zabezpečení (SIEM)

22. 3. 2023
Doba čtení: 3 minuty

Sdílet

 Autor: Tomáš Heřmánek
Každý, kdo spravuje více serverů, se jistě již někdy setkal s požadavkem na informace o stavu jejich zabezpečení, soulad se standardy, řešení zranitelností a také třeba na přehled nainstalovaného softwaru.

Sám jsem musel vícekrát odpovídat na tyto otázky, a to nebylo vždy snadné, hlavně pro nedostupnost vhodných nástrojů a pro jejich vysokou cenu.

Právě tady přichází na řadu open-source platforma Wazuh, která pomáhá získat celkový přehled a kontrolu nad stavem zabezpečení IT infrastruktury.

Celé řešení, označované také jako SIEM, se skládá z jediného univerzálního agenta, nainstalovaného na sledovaném zařízení a tří centrálních komponent: serveru Wazuh, indexeru Wazuh a ovládacího panelu Wazuh.

Proč Wazuh jako SIEM?

Platforem pro bezpečnostní monitoring, především těch komerčních, je mnoho. Wazuh nás zaujal především svými schopnostmi, záběrem a svojí otevřeností.

Wazuh využívá ke zlepšení svých detekčních schopností více různých zdrojů informací o hrozbách. Obohacuje získaná data pomocí MITRE ATT&CK frameworku a compliance a regulatorních požadavků jako jsou PCI DSS, GDPR, HIPAA, CIS a NIST 800–53, a poskytuje tak užitečný kontext pro získání celkového přehledu a kontroly nad děním a stavem IT infrastruktury.

Analýza logů a jejich archivace

V mnoha případech lze důkazy o podezřelých činnostech nalézt v logu sledovaného systému nebo aplikace. Wazuh pomůže s automatizací správy a analýzy logů a tím může urychlit odhalování hrozeb a to jak vnějších, tak vnitřních.

Díky silnému indexeru pomáhá také s uchováním logů pro další forenzní analýzu a také pro naplnění regulatorních a interních retenčních požadavků.

Inventarizace systému

Modul inventarizace shromažďuje informace o hardwaru a softwaru ze sledovaného systému. Tento nástroj pomáhá identifikovat aktiva a vyhodnocovat účinnost správy záplat.

Shromážděná inventární data pro každý ze sledovaných zařízení lze vyhledávat prostřednictvím rozhraní Wazuh RESTfull API a z webového uživatelského rozhraní. Jedná se zejména o využití paměti, místa na disku, specifikace procesoru, síťová rozhraní, otevřené porty, spuštěné procesy a seznam nainstalovaných aplikací.

Sběr inventárních dat se provádí automaticky a pravidelně dle nastavení. Po dokončení sběru se porovnají nová inventární data se starými daty z předchozího skenování. Tímto způsobem identifikují například otevření nového portu, změny v procesech nebo instalace nové aplikace.

Sledování souladu s regulatorními požadavky

Jsou vaše GPO v souladu s bezpečnostními doporučeními? Je vaše Active Directory zabezpečeno souladu s specifikací CIS? Modul automatizovaného hodnocení konfigurace pomáhá udržovat standardní konfiguraci prostřednictvím sledování konfigurace sledovaných zařízení.

Modul pravidelně provádí skenování a hlásí chybné konfigurace ve sledovaném systému. Tato skenování posuzují konfiguraci systému prostřednictvím souborů zásad obsahujících sadu kontrol. Může například zkontrolovat konfiguraci souborového systému, vyhledat přítomnost aktualizace nebo bezpečnostní záplaty, zjistit, zda je povolen firewall, identifikovat nepotřebné spuštěné služby nebo ověřit zásady hesel uživatelů.

Zásady pro skenování jsou zapsány ve formátu YAML, což uživatelům umožňuje rychle jim porozumět a také rozšířit stávající zásady podle svých potřeb nebo napsat nové.

Detekce zranitelnosti

Wazuh může provádět pravidelnou, automatickou detekci zranitelností a pomáhá tak včas odhalit zranitelnosti v operačních systémech a v aplikacích nainstalovaných na sledovaných zařízeních.

Modul detekce zranitelností je integrovaný s externími zdroji informací o zranitelnostech společností Canonical, Debian, Red Hat, Arch Linux, Amazon Linux Advisories Security (ALAS), Microsoft a National Vulnerability Database (NVD).

Wazuh udržuje seznam aplikací nainstalovaných na sledovaných koncových zařízení a pravidelně jej porovnává s databází zranitelností (CVE). Výstupem je pak přehled zranitelností včetně dalších doplňujících informací a doporučení.

Členové security teamu tak získávají aktuální přehled o stavu zranitelností na sledovaných systémech a mohou efektivně a včas reagovat.

Vlastní dasboardy, reporting a alerting

Díky širokým možnostem nastavení dashboardů, reportingu a alertingu může nejen správa IT, ale i risk management a security team snadno a rychle získat přehled například o podezřelých činnostech, změnách na AD, pravidlech firewallu nebo v nastavení uživatelských práv na sledovaných systémech.

(Autorem obrázků je Tomáš Heřmánek.)

Byl pro vás článek přínosný?

Autor článku

Pracuje ve společnosti initMAX a je velkým fanouškem open source. Specializuje se na aplikační servery, monitoring a automatizaci.