Wazuh to rozwiązanie do monitorowania bezpieczeństwa, które umożliwia wykrywanie zagrożeń, monitorowanie integralności, reagowanie na incydenty i do tego jest bezpłatne, dlatego warto się nim zainteresować.
Jest systemem Endpoint Detection and Response EDR który pomaga w zarządzaniu, gromadzeniu danych i na detekcji nieprawidłowych działań pobieranych z hostów końcowych. Analiza takich danych pozwala na uzyskanie cennego wglądu w incydenty bezpieczeństwa. Pozwala na stały wygląd w to, co dzieje się w naszej sieci – analizuje uruchomione procesy, usługi, pojawiające się wpisy w rejestrze czy powiązania między procesami.
Istnieją dwie opcje wdrażania systemu wazuh
- All-in-one czyli wszystko w jednym serwer Wazuh i Elastic Stack są zainstalowane na tym samym hoście. Dzięki tej opcji wdrożenia możesz zainstalować Wazuh bezpośrednio w swoim systemie.
- Distributed czyli rozproszony każdy składnik jest instalowany na oddzielnym hoście jako klaster jedno- lub wielowęzłowy. Zalecany dla bardzo dużych środowisk
Wymagania dotyczące wdrożenia https://documentation.wazuh.com/current/installation-guide/requirements.html#installation-requirements
Najszybsza instalcja, można ściągnąć virtual appliance (OVA) https://packages.wazuh.com/4.x/vm/wazuh-4.2.1_1.13.2.ova
Przykładowy dashboard pokazujący liczbę zainstalowanych agentów, liczbę podłączonych aktualnie agentów.
Przeglądamy eventy – przechodząc na Security events możemy zobaczyć ogólną liczbę zarejestrowanych zdarzeń. Jak się kształtowała liczba zdarzeń z podziałem na poziom alertu w określonych przedziale czasowym, w tym przypadku to 24 godziny. Jeżeli wystąpi zdarzenie o poziomie alertu równym lub większym 12 (level 12 or above alerts) to musimy się temu koniecznie przyjrzeć.
Możemy sobie posortować po rodzajach zdarzeń
Ciekawą funkcją jest Integrity monitoring polega na monitorowaniu integralności wybranych plików oraz rejestru, jest monitorowana suma kontrolna plików i w przypadku modyfikacji pojawia się alert.
W przypadku wykrycia ataku, użytkownik chce dowiedzieć się więcej o tym ataku Przydatną funkcją jest więcej jest baza wiedzy na temat taktyk i technik stosowanych przez hakerów, oparta na rzeczywistych obserwacjach, wykorzystywana jako podstawa do opracowywania konkretnych modeli zagrożeń Mitre ATT&CK (Adversarial Tactics, Techniques, and Common Knowledge)
Przy utwardzaniu systemu fajną funkcjonalnością są benchmarki hostów, pokazują nam co jesteśmy jeszcze zrobić by nasz system był jeszcze bezpieczniejszy.
Jedną z najważniejszych cech Wazuha jest to że jest darmowy i myślę że to uczciwa cena ? możemy wykupić support
Two types of support: Standard and Premium, and it includes:
- Access to our support portal for an unlimited number of tickets.
- Standard Support has 8/5 support coverage and the Premium Support is 24/7.
- Upgrades to the latest version.
- Periodic Health-checks: 2 in the Standard package and 4 in our Premium package.The health-checks are used for our team to review the installation and ensure that everything is running correctly, that there are no performance issues, misconfigurations, false positives, etc.
tagi WAZUH SIEM EDR
Dodaj komentarz