Wazuh简介

1.1 产品简介

Wazuh 创建于2015年，是一个开源安全平台，可跨本地、虚拟化、容器化和基于云的工作负载提供统一的XDR和SIEM保护。它的一些功能包括日志数据分析、入侵和恶意软件检测、文件完整性监控等。该解决方案由三个核心组件和一个通用代理组成，服务器、索引器和仪表盘。

1.2 安全能力

1.文件完整性监控

文件完整性监控（FIM）是一种安全功能，用于监督系统和应用程序文件的真实性。借助此功能，正在监视任何创建、修改或删除的文件和目录将在发生此类过程时触发警报。文件哈希和其他属性存储在本地FIM数据库中，当扫描后发现差异时，这将触发警报。为了进行有效的威胁检测和响应，FIM可以与Wazuh的其他功能结合使用。

可以定期扫描文件和目录以查找任何更改。应在Wazuh代理和管理器中进行配置，以指定要监视的路径和目录。

2.恶意软件检测

仅FIM无法检测系统中是否存在恶意软件。因此，FIM应与威胁检测规则（如 YARA）和威胁情报源（如 VirusTotal 和 CDB 的文件哈希列表）相结合，以检测恶意文件和异常模式，从而显示恶意软件的存在。

3.Rootkit行为检测

检查正在运行的进程是否存在差异，检查恶意软件可能用于 c2 通信的隐藏端口，检查异常文件和权限，使用系统调用检查隐藏文件以比较统计信息大小和文件大小，扫描目录中是否有恶意软件使用的任何隐藏文件，在混杂模式下扫描网络接口，以及使用 rootkit 签名数据库检查 Rootkit。

4.CDB 列表和威胁情报

通过使用包含已知恶意软件威胁指标列表的 CDB 列表，如果在列表中找到恶意文件的签名，Wazuh 可以检测到恶意文件的存在。这适用于扫描路径、文件或目录中任何更改的 FIM。

5.VirusTotal 集成

与 VirusTotal 集成后，Wazuh 可以检测恶意文件。当 FIM 检测到受监视文件夹中的任何更改时，将触发警报，然后导致 VirusTotal 集成提取文件的哈希值。然后，使用 VirusTotal API 将哈希值与 VirusTotal 数据库进行比较。然后收到一个响应，该响应可能会触发警报，该警报可能包含错误或指示存在恶意文件。

6.文件完整性监控和 YARA

YARA 是一种通过匹配模式和规则来识别恶意软件和恶意文件的工具。与 FIM 结合使用时，引起警报的文件将启动对文件进行 YARA 扫描，并根据其规则对其进行测试，以确定它们是否为恶意软件。扫描结果将转发给管理器进行解码、分析和警报。需要将解码器添加到服务器，以便可以解码这些扫描。

7.ClamAV日志收集

ClamAV是一个开源防病毒工具包，旨在检测和对抗恶意软件。它可以配置为从 Linux 和 Windows 终结点收集日志。

8.Windows Defender 日志收集

可以将 Windows 终结点上的代理配置为收集 Windows Defender 日志，其中包含终结点上的服务状态和扫描结果。

8.用于检测恶意软件 IOC 的自定义规则

允许构建自定义规则集，以检测具有新行为模式和入侵指标的恶意软件新变种。

9.安全配置评估

通过减少端点的漏洞外围应用来保护端点的过程。安全配置评估 （SCA） 通过确认系统是否遵守预定的配置设置和批准的应用程序使用情况来实现这一点。SCA 模块执行扫描以识别端点上的任何错误配置和弱点，并推荐补救措施，例如，更改与密码相关的配置、删除不必要的软件、禁用不必要的服务或审核 TCP/IP 堆栈配置。

10.积极响应

通过触发基于特定触发器的自动响应，帮助事件响应者有效地处理高严重性事件。主动响应的优势包括：提供对安全事件的实时可见性、减少警报疲劳、自动执行对威胁的响应操作、提供开箱即用的响应脚本。

Wazuh 具有适用于各种类型的终结点的默认活动响应脚本，这些脚本可能会根据配置设置触发特定操作。它可能会禁用用户帐户，将 和 IP 地址添加到 iptables 拒绝列表，将 和 IP 地址添加到防火墙下拉列表，或重新启动 Wazuh 代理或管理器。这些只是 Wazuh 默认脚本中包含的一些活动响应。

11.日志数据收集

日志数据收集是通过文本文件或 Windows 事件日志从服务器、设备和其他来源实时持续收集和分析日志记录的过程。它还可以直接从防火墙和类似设备接收远程系统日志。

12.漏洞检测

Wazuh 的漏洞检测器模块可帮助用户检测安装在受监控端点上的操作系统和应用程序中的漏洞。它的工作原理是利用 Wazuh 的内置功能与外部漏洞数据源集成。这些来源维护各种软件和操作系统中存在的已知漏洞的数据库。这些由Canonical，Debian，Red Hat，Arch Linux，Amazon Linux Advisories Security（ALAS），Microsoft和National Vulnerability Database或NVD进行索引。通过这些源，服务器将创建一个全局漏洞数据库，用于与代理的应用程序清单数据进行交叉关联。

13.命令监控

命令监视使用户能够监视日志中可能没有的特定命令的输出。要使此功能正常工作，必须将 wazuh 代理配置为接受来自管理器的远程命令，配置要监视的命令，理想情况下应在管理器上配置。最后，需要处理输出以在满足条件时触发警报。

14.容器安全

容器平台（如 Docker）通过集中日志记录、相对时间监控、漏洞扫描和事件响应自动化来确保容器及其包含的应用程序的可用性。

15.系统清单

这包含有关 IT 环境中的硬件和软件资产的信息，这些信息显示在仪表板中。或者，可以使用 SQLite 工具的 Wazuh API 查询数据库。前面介绍的漏洞检测器模块使用漏洞数据库来交叉关联和识别系统中的漏洞和修补软件。因此，保持系统的最新清单至关重要。

16.监视系统调用

系统调用是程序从操作系统内核请求服务的一种方法。监视这些事件可以帮助安全团队研究可疑行为的模式，并及时调查潜在的安全事件。Wazuh 使用 Linux 审计系统来存储系统调用事件，然后将它们转发到服务器进行进一步分析。仅捕获与安全监控相关的事件，Wazuh 提供用于检测系统调用的内置规则。或者，可以根据要求或合规性标准创建自定义规则。

17.无代理监控

由于这些设备的性质，这种类型的监视不需要在端点中安装代理。此限制的解决方法是使用 SSH 协议从端点访问和收集信息。支持的端点包括路由器、防火墙、交换机和 Linux/BSD 系统。

18.Osquery

Osquery 是 Facebook 于 2014 年构建的开源代理，它将端点的操作系统转换为关系数据库，其中 SQL 查询可用于探索设备，例如其正在运行的进程等。

19.监视安全策略

此功能可确保所有受监视的终结点都符合有关配置设置和批准的应用程序使用情况的预定义规则。

Rootcheck、OpenSCAP 和 CIS-CAT 是此功能中的三个组件。

20.Rootcheck

检查配置文件以确保符合安全策略、标准或强化指南。执行三项检查：进程是否正在运行、文件是否存在，以及内容是否包含 Windows 注册表项是否包含字符串或仅存在模式。

21.OpenSCAP

OpeSCAP wodle 是 OpenSCAP 与 Wazuh HIDS 的集成，提供了配置和执行代理漏洞扫描的能力。它有三个主要用途：验证安全合规性、执行漏洞评估和执行专门评估。

22.CIS-CAT 集成

开发此组件是为了将 CIS 基准评估集成到 Wazuh 代理中。Cyber for Internet Security （CIS） 致力于通过发布基准指南来保护组织免受网络威胁。

1.3 组件简介

Wazuh 索引器是一个高度可缩放的全文搜索和分析引擎。此中心组件索引并存储 Wazuh 服务器生成的警报。

Wazuh 服务器分析从代理接收的数据。它通过解码器和规则对其进行处理，使用威胁情报来查找众所周知的入侵指标 （IOC）。单个服务器可以分析来自数百或数千个代理的数据，并在设置为集群时水平扩展。此核心组件还用于管理代理，在必要时远程配置和升级代理。

Wazuh 仪表板是用于数据可视化和分析的 Web 用户界面。它包括用于安全事件、法规遵从性（例如 PCI DSS、GDPR、CIS、HIPAA、NIST 800-53）、检测到的易受攻击应用程序、文件完整性监控数据、配置评估结果、云基础架构监控事件等的开箱即用仪表板。它还用于管理 Wazuh 配置并监控其状态。

Wazuh 代理安装在笔记本电脑、台式机、服务器、云实例或虚拟机等端点上。它们提供威胁预防、检测和响应功能。它们在 Linux、Windows、macOS、Solaris、AIX 和 HP-UX 等操作系统上运行。

1.Wazuh索引器

索引器负责索引和存储Wazuh服务器生成的警报，可以配置为单节点或多节点集群，数据以JSON方式存储。从代理接收到数据后，服务器会使用解码器和规则对其进行分析，以查找已知的入侵指标 （IOC），并在检测到威胁或异常时触发警报。管理、配置和升级代理也在服务器中完成。主要包括四个不同类型事件的索引：

☑wazuh-alerts- 每次事件触发规则时Wazuh服务器生成的警报

☑wazuh-archives- 存储的所有事件，无论是否触发规则

☑wazuh-monitoring- 与代理状态相关的存储数据。包括connected、ActiveDisconnected、Never connected

☑wazuh-statistics- 这些是与服务器性能相关的存储数据

2.Wazuh服务器

Wazuh 服务器使用威胁情报源来提高其检测能力。它还通过使用 MITRE ATT&CK 框架和法规遵从性要求（如 PCI DSS、GDPR、HIPAA、CIS 和 NIST 800-53）来丰富警报数据，为安全分析提供有用的上下文。

Wazuh 服务器可以与外部软件集成，包括 ServiceNow、Jira 和 PagerDuty 等票务系统，以及 Slack 等即时消息平台。这些集成便于简化安全操作。

1) 服务器体系结构

Wazuh 服务器运行分析引擎、Wazuh RESTful API、代理注册服务、代理连接服务、Wazuh 集群守护程序和 Filebeat。服务器安装在 Linux 操作系统上，通常运行在独立的物理机、虚拟机、docker 容器或云实例上。

2) 服务器组件

Wazuh 服务器由下面列出的几个组件组成，这些组件具有不同的功能，例如注册新代理、验证每个代理身份以及加密 Wazuh 代理和 Wazuh 服务器之间的通信。

代理注册服务：它用于注册新代理。此服务向每个代理提供和分发唯一的身份验证密钥。该过程作为网络服务运行，并支持通过 TLS/SSL 证书或提供固定密码进行身份验证。

代理连接服务：此服务从代理接收数据。它使用注册服务共享的密钥来验证每个代理身份，并加密 Wazuh 代理和 Wazuh 服务器之间的通信。此外，此服务还提供集中式配置管理，使您能够远程推送新的代理设置。

分析引擎：这是执行数据分析的服务器组件。它使用解码器来标识正在处理的信息类型（Windows 事件、SSH 日志、Web 服务器日志等）。这些解码器还从日志消息中提取相关数据元素，例如源 IP 地址、事件 ID 或用户名。然后，通过使用规则，引擎可以识别解码事件中的特定模式，这些模式可能会触发警报，甚至可能要求自动对策（例如，禁止 IP 地址、停止正在运行的进程或删除恶意软件项目）。

Wazuh RESTful API：此服务提供与 Wazuh 基础结构交互的接口。它用于管理代理和服务器的配置设置、监视基础结构状态和整体运行状况、管理和编辑 Wazuh 解码器和规则，以及查询受监视终结点的状态。Wazuh 仪表板也使用它。

Wazuh 集群守护进程：此服务用于水平扩展 Wazuh 服务器，将它们部署为集群。这种配置与网络负载平衡器相结合，可提供高可用性和负载均衡。Wazuh 群集守护程序是 Wazuh 服务器用来相互通信和保持同步的工具。

Filebeat：它用于向 Wazuh 索引器发送事件和警报。它读取 Wazuh 分析引擎的输出并实时发送事件。它还在连接到多节点 Wazuh 索引器群集时提供负载均衡。

3.Wazuh仪表盘

Web 界面可帮助用户浏览 Wazuh 代理收集的不同类型的数据，以及 Wazuh 服务器生成的安全警报。用户还可以生成报告并创建自定义可视化和仪表板。

Wazuh 仪表板允许用户管理代理配置并监控其状态。例如，对于每个受监视的端点，用户可以定义将启用哪些代理模块、将读取哪些日志文件、将监视哪些文件的完整性更改或将执行哪些配置检查。

你有一个想法，我有一个创意，
让我们在交流中碰撞智慧的火花；
让成长之路因彼此而更加精彩！