Vlákno názorů k článku Wazuh: nástroj pro správu informací o událostech a zabezpečení (SIEM) od Uncaught ReferenceError: - Jak se ostatní stavíte k Wazuh? V pár...
-
Jak se ostatní stavíte k Wazuh? V pár případech jsme to použili, ale postupně se k tomu stavím negativněji a negativněji.
Celý Wazuh je velký balík bash scriptů, low level C kódu, má úzkou integraci na konkrétní OS, spousta věcí hardcodovaných uvnitř, není snadné ověřit, že nasazení je 100 % kompatibilní. Často jsme na projektech v konfliktu s jinými řešením (mluvím hlavně o wazuh-agentu).
Jaký na to máte názor vy, co to používáte?
-
záleží na projektu, ale třeba bitdefender od MS, Cortex od Palo Alto, cybereason, to je enterprise s tučnými fakturami.
Pokud jde o open source, tak zpravidla zeek, suricata, auditd a zpracování logů poskytuje velice dobrý základ na čem stavět. eBPF je sice nebezpečný nepřítel, ale poskytuje zajímavé api pro získávání různých informací o systému a jeho provozu, bpftrace od IO Visor Project je velice schopný. Ale je to celé ve stylu "postav si sám", chybí jemně vyvážená pravidla, alerty, lidské zpracování logů a jejich třídění, to si buď musíš udělat nějak sám nebo si na to zase někoho zaplatit.
-
No prave, u open source reseni si to clovek musi postavit, nakonfigurovat, ladit, jakekoliv skoleni pro noveho clena tymu je problem protoze vse je udelane na kolene ve firme. Penize se realne neusetri protoze plat jednoho specialisty je obvykle vyssi nez hodnota komercniho reseni ktere je snazsi nasadit, snazsi je k nemu nakoupit skoleni, atd. Spravujeme u zakazniku snad vse co je na komercnim trhu a jednou za cas mame zajemce kteri maji nasazenou nejakou takovouhle open source bastlirnu. Dokumentaci co a jak je nasazeno maji minimalni, lidi co to nasazovali obvykle ve firme jiz nepracuji a v tehle situaci jedine co mohu potencionalnimu zakaznikovi doporucit je budto investovat prachy na prechod k necemu standardnimu, nebo to provozovat jako doted s rizikem ze dulezite eventy neuvidi protoze nikdo netusi jak to vlastne funguje a jestli to funguje.
-
zase ty komerční řešení jsou často omezeny jen na konkrétní linux distribuce (debian, ubuntu, rhel, sles). Občas ale potřebuješ i monitorovat něco dalšího, různé specializované krabičky, routery, stanice, třeba často používaný citrix hypervisor bývá problém.
Ale tak chybějící dokumentace, knowledge-share je problém i u těch komerčních řešení. Vždy se ty pravidla musí určitým způsobem přizpůsobit běžnému provozu a alerty rozstřídit, když tohle někdo správně nedokumentuje, končíš také na zelené louce.
V případě XDR má ale komerční řešení velkou výhodu v tom, že se snadněji sdílí informace, lépe se spolupracuje s jinými týmu a celkově je pak reakce flexibilnější. Škoda, že open source v tomhle je pozadu.
-
Pokud se bavime o enterprise tak se obvykle nejake exoticke veci typu nehodna linuxova distribuce nenasazuji (a ano, jsou vyjimky kde najdes vyblite v prostredi co kdo nasel, ale to je uz o idiocii manazmentu). Dokumentaci je snadnejsi delat protoze mas nejaky standardni deployment, muzes odkazovat na jiz existujici produktovou dokumentaci. To same se skolenim - zaplatis x tis dolaru a dostanes skoleni na produkt. A prizpusobovani je zase o necem jinem, uzivatelska privetivost psani neceho nekam do nejakych textaku vs drag and drop nebo vyber z nejakych definovanych moznosti. A ano, XDR je v oblasti open source nulove. A pak jsou takove veci jako threat inteligence a automation kde open source moc neni a takovy ThreatConnect si to necha hezky zaplatit.
