开源XDR威胁检测响应平台

admin
admin
admin
139544
文章
114
评论
2024年7月30日00:36:34评论87 views字数 2079阅读6分55秒阅读模式

part1

点击上方蓝字关注我们

1.摘要

开源XDR威胁检测响应平台

Wazuh是一个免费的开源平台,用于威胁预防,检测和响应。它能够保护内部部署、虚拟化、容器化和基于云的环境中的工作负载。Wazuh解决方案由一个终端安全代理和一个管理服务器组成,该代理部署到受监控的系统上,管理服务器收集并分析代理收集的数据。此外,Wazuh已与Elastic Stack完全集成,提供了一个搜索引擎和数据可视化工具,允许用户浏览他们的安全警报。

开源地址:https://github.com/wazuh/wazuh

2.Wazuh能力范围

开源XDR威胁检测响应平台

  • 入侵检测:Wazuh代理扫描受监控的系统,扫描的目标包括:恶意软件、rootkit和可疑的异常情况。除此之外, 还可以检测隐藏文件、隐藏进程或未注册的网络监听器,以及系统调用响应中的不一致性。

  • 日志数据分析:Wazuh代理读取操作系统和应用程序日志,并将其安全地转发到中央管理器,以进行基于规则的分析和存储。当未部署代理时,服务器还可以通过系统日志从网络设备或应用程序接收数据。Wazuh规则可帮助使用者了解应用程序或系统错误、错误配置、恶意活动、违反策略以及各种其他安全和操作问题。

  • 文件完整性监控:Wazuh监控文件系统,识别需要关注的文件内容、权限、所有权和属性的更改。此外,它还可以识别用于创建或修改文件的用户和应用程序。文件完整性监控功能可以与威胁情报结合使用,以识别威胁或受损主机。

  • 漏洞检测:Wazuh代理提取软件库存数据并将此信息发送到服务器,在那里它与不断更新的CVE(常见漏洞披露)数据库相关联,以识别已知的易受攻击的软件。

  • 配置评估:Wazuh监控系统和应用程序配置设置,以确保它们符合安全策略、标准和或强化指南。代理执行定期扫描以检测已知易受攻击、未打补丁或配置不安全的应用程序。

  • 事件响应:Wazuh提供开箱即用的主动响应,以执行各种应对措施来解决主动威胁,例如在满足某些标准时阻止威胁源对系统的访问。此外,Wazuh还可用于远程运行命令或系统查询,识别危害指标(IOC),并帮助执行其他实时取证或事件响应任务。

  • 监管合规:Wazuh提供了一些必要的安全控制措施,以符合行业标准和法规。这些功能,结合其可扩展性和多平台支持,帮助组织满足技术合规性要求。

  • 云安全:Wazuh帮助在API级别监控云基础设施,使用能够从知名云提供商(如Amazon AWS、Azure或Google Cloud)提取安全数据的集成模块。此外,Wazuh提供了评估云环境配置的规则,可以轻松发现弱点。此外,Wazuh轻量级和多平台代理通常用于在实例级别监控云环境。

  • 容器安全:Wazuh为Docker主机和容器提供安全可见性,监控它们的行为并检测威胁、漏洞和异常。Wazuh代理与Docker引擎进行了本地集成,允许用户监视映像,卷,网络设置和运行的容器。Wazuh不断收集和分析详细的运行时信息。例如,针对以特权模式运行的容器、易受攻击的应用程序、在容器中运行的shell、持久卷或映像的更改以及其他可能的威胁发出警报。

3.Wazuh功能模块组成

开源XDR威胁检测响应平台

Wazuh WUI为数据可视化和分析提供了强大的用户界面。此界面还可用于管理Wazuh配置并监控其状态。界面如下:

开源XDR威胁检测响应平台

Wazuh提供了专业的安全事件查看界面, 如图:

开源XDR威胁检测响应平台

安全行为监测,如图:

开源XDR威胁检测响应平台

专业漏洞检测,如图:

开源XDR威胁检测响应平台

代理汇总界面,如图:

开源XDR威胁检测响应平台

4.Wazuh安装

开源XDR威胁检测响应平台

Wazuh目前只支持源码编译安装, 在服务器上输入命令: git clone https://github.com/wazuh/wazuh.git 将源码clone到本地, 进入项目目录,直接执行安装: ./install.sh

脚本执行后,采用交互式安装方式, 选择cn, 表示安装地区为中国, 然后出现以下界面:

开源XDR威胁检测响应平台

直接按Enter键继续,如图:

开源XDR威胁检测响应平台

这里会询问配置一些参数, 直接按照提示选择YN即可。注意, Wazuh支持三种安装方式: manager、agent和local, 安装manager可能耗时会比较长, 以下是选择manager的安装过程。

参数配置完成后, 可以看到已经开始自动执行安装了, 如图:

开源XDR威胁检测响应平台

过一段时间之后,下面就进入了源码编译阶段,如图:

开源XDR威胁检测响应平台

除此之外, wazuh提供了非常全面的文档, 出现任何问题可以自行定位到该URL查阅:

https://documentation.wazuh.com/current/index.html

5.其它资源

开源XDR威胁检测响应平台

为了方便分布式自动化部署, Wazuh还提供了一些额外组件,例如:

  • docker容器部署 - 开源地址: https://github.com/wazuh/wazuh-docker

  • 支持Ansible自动化部署 - 开源地址:https://github.com/wazuh/wazuh-ansible

  • 支持kubernetes部署 - 开源地址:https://github.com/wazuh/wazuh-kubernetes

  • Chef cookbooks部署 - 开源地址: https://github.com/wazuh/wazuh-chef

原文始发于微信公众号(二进制空间安全):开源XDR威胁检测响应平台

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年7月30日00:36:34
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   开源XDR威胁检测响应平台https://cn-sec.com/archives/3005219.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息