seo怎么做网站优秀案例,遵义发布,小程序源码怎么打开,保险理财网站建设简介
Wazuh平台提供了XDR和SIEM功能#xff0c;保护云、容器和服务器工作负载。这些功能包括日志数据分析、入侵和恶意软件检测、文件完整性监控、配置评估、漏洞检测以及对法规遵从性的支持。详细信息可以参考Wazuh - Open Source XDR. Open Source SIEM.官方网站
Wazuh解决…简介
Wazuh平台提供了XDR和SIEM功能保护云、容器和服务器工作负载。这些功能包括日志数据分析、入侵和恶意软件检测、文件完整性监控、配置评估、漏洞检测以及对法规遵从性的支持。详细信息可以参考Wazuh - Open Source XDR. Open Source SIEM.官方网站
Wazuh解决方案基于Wazuh代理该代理部署在被监控的端点上以及三个核心组件Wazuh服务器、Wazuh索引器和Wazuh仪表板。
Wazuh索引器
Wazuh索引器是一个高度可扩展的全文搜索和分析引擎。这个核心组件索引并存储由Wazuh服务器生成的警报。
Wazuh服务器
Wazuh服务器分析从代理接收到的数据。它通过解码器和规则处理这些数据利用威胁情报来查找已知的攻击指标IOC。单个服务器可以分析来自数百或数千个代理的数据并可以在设置为集群时水平扩展。这个核心组件还用于管理代理在必要时进行远程配置和升级。
Wazuh仪表板
Wazuh仪表板是用于数据可视化和分析的网络用户界面。它包括现成的仪表板用于威胁搜寻、法规遵从性如PCI DSS、GDPR、CIS、HIPAA、NIST 800-53、检测到的易受攻击的应用程序、文件完整性监控数据、配置评估结果、云基础设施监控事件等。它还用于管理Wazuh配置并监控其状态。
Wazuh代理
代理安装在端点上如笔记本电脑、台式机、服务器、云实例或虚拟机。它们提供威胁预防、检测和响应能力。它们可以在Linux、Windows、macOS、Solaris、AIX和HP-UX等操作系统上运行。
除了基于代理的监控功能外Wazuh平台还可以监控无代理设备如防火墙、交换机、路由器或网络入侵检测系统IDS等。例如系统日志数据可以通过Syslog收集并且Wazuh平台能够解析和分析这些数据以提供全面的安全监控和威胁检测能力。
其运作流程如下 模块介绍
Wazuh索引器
Wazuh索引器是一个高度可扩展的全文搜索和分析引擎。作为Wazuh平台的核心组件之一它负责索引和存储由Wazuh服务器生成的警报并提供接近实时的数据搜索和分析功能。Wazuh索引器可以配置为单节点或多节点集群以实现可扩展性和高可用性。
Wazuh索引器以JSON文档的形式存储数据。每个文档将一组键或字段名、属性与其对应的值相关联这些值可以是字符串、数字、布尔值、日期、值数组、地理位置或其他类型的数据。
索引是相关文档的集合。在Wazuh索引器中存储的文档被分布在不同的容器中这些容器被称为分片shards。通过将文档分布在多个分片中并将这些分片分布在多个节点上Wazuh索引器可以确保数据的冗余性。这种设计保护了系统免受硬件故障的影响并且随着节点被添加到集群中查询能力也会增加。
通过这种方式Wazuh索引器能够高效地处理大量的安全警报和日志数据提供快速的数据检索和分析能力帮助安全团队及时发现并响应潜在的安全威胁。
索引名称描述wazuh-alerts存储由Wazuh服务器生成的警报。每当事件触发优先级足够高此优先级阈值可配置的规则时就会生成这些警报。wazuh-archives存储Wazuh服务器接收到的所有事件归档数据无论这些事件是否触发了规则。此索引包含所有监控活动的完整记录。wazuh-monitoring存储与Wazuh代理随时间变化的状态相关的数据。此信息被Web界面用于表示单个代理的当前或历史状态例如活跃、断开连接或从未连接。wazuh-statistics存储与Wazuh服务器性能相关的数据。此索引包含用于Web界面表示服务器性能和资源利用率的指标和统计数据。
Wazuh服务器
Wazuh服务器组件负责分析从代理接收的数据并在检测到威胁或异常时触发警报。它还被用于远程管理代理的配置并监控其状态。
Wazuh服务器利用威胁情报源来提高其检测能力。通过使用MITRE ATTCK框架和法规遵从性要求如PCI DSS、GDPR、HIPAA、CIS和NIST 800-53Wazuh服务器还能丰富警报数据为安全分析提供有用的上下文。
此外Wazuh服务器可以与外部软件进行集成包括ServiceNow、Jira和PagerDuty等工单系统以及Slack等即时消息平台。这些集成有助于简化安全操作流程。
Wazuh服务器架构
Wazuh服务器运行着分析引擎、Wazuh RESTful API、代理注册服务、代理连接服务、Wazuh集群守护进程以及Filebeat。该服务器安装在Linux操作系统上并通常运行在独立的物理机、虚拟机、Docker容器或云实例上。 代理注册服务用于注册新代理。此服务为每个代理提供并分发唯一的认证密钥。该服务作为网络服务运行并支持通过TLS/SSL证书或提供固定密码进行身份验证。 代理连接服务此服务接收来自代理的数据。它使用注册服务共享的密钥来验证每个代理的身份并加密Wazuh代理与Wazuh服务器之间的通信。此外该服务还提供集中式配置管理功能允许远程推送新的代理设置。 分析引擎这是执行数据分析的服务器组件。它使用解码器来识别正在处理的信息类型如Windows事件、SSH日志、Web服务器日志等。这些解码器还从日志消息中提取相关数据元素如源IP地址、事件ID或用户名。然后通过分析引擎中的规则它识别解码后的事件中的特定模式这些模式可能触发警报甚至可能调用自动化应对措施例如禁止IP地址、停止正在运行的进程或删除恶意软件工件。 Wazuh RESTful API此服务提供了一个与Wazuh基础架构交互的接口。它用于管理代理和服务器的配置设置监控基础架构的状态和整体健康状况管理和编辑Wazuh解码器和规则以及查询受监控端点的状态。Wazuh仪表板也使用此API。 Wazuh集群守护进程此服务用于水平扩展Wazuh服务器将它们部署为集群。这种配置与网络负载均衡器结合使用提供了高可用性和容错能力。在集群模式下多个Wazuh服务器实例可以共同处理数据确保即使在单个服务器发生故障时系统也能继续运行并维护数据的完整性和一致性。集群守护进程负责处理集群节点之间的通信和协调以确保数据在节点之间正确分发和同步。 Filebeat虽然Filebeat本身是一个轻量级的日志收集器但在Wazuh服务器架构中它可能被用于从特定来源如日志文件收集数据并将这些数据作为事件的一部分发送给分析引擎进行处理。它还能在连接到多节点Wazuh索引器集群时提供负载平衡作用。 Wazuh 仪表盘
Wazuh 仪表盘是一个灵活且直观的Web用户界面用于挖掘、分析和可视化安全事件和警报数据。它还被用于Wazuh平台的管理和监控。此外它还提供了基于角色的访问控制RBAC和单点登录SSO的功能。
数据可视化与分析
Wazuh的Web界面帮助用户浏览由Wazuh代理收集的不同类型的数据以及由Wazuh服务器生成的安全警报。这一界面不仅提供了数据的概览还允许用户深入探索数据的细节以便更好地理解系统的安全状况。
在数据可视化方面Wazuh提供了丰富的图表、图形和地图等可视化工具使用户能够直观地看到数据的趋势、模式和异常情况。这些可视化工具不仅有助于用户快速识别潜在的安全威胁还能帮助他们更好地理解数据的上下文和含义。
此外Wazuh还允许用户生成报告这些报告可以包含有关安全事件、警报、系统状态等信息的详细汇总。用户可以根据需要自定义报告的内容、格式和样式以满足不同的需求和目的。
代理监控与配置
Wazuh仪表盘为用户提供了强大的代理管理和监控功能。通过仪表盘用户可以轻松配置和管理各个监控端点的代理确保它们按照预期运行并收集必要的安全数据。
对于每个被监控的端点用户都可以在Wazuh仪表盘中定义代理的模块配置。这意味着用户可以指定哪些模块将被启用以收集特定类型的数据。例如用户可以选择启用文件完整性监控模块来跟踪系统关键文件的任何更改或者启用网络监控模块来捕获网络流量中的异常行为。
此外用户还可以配置代理以读取特定的日志文件。通过指定日志文件的路径和格式代理可以自动收集这些日志中的信息并将其发送到Wazuh服务器进行分析。这有助于用户及时发现和响应潜在的安全事件如未授权的访问尝试或恶意软件活动。
除了文件监控和日志收集外用户还可以配置代理以执行配置检查。这些检查可以确保系统的关键配置设置符合预期从而帮助防止配置错误导致的安全问题。例如用户可以配置代理以检查系统的防火墙规则是否已正确设置或者检查系统用户账户是否具有适当的权限。
平台管理
在平台管理方面Wazuh仪表盘首先提供了对Wazuh服务器状态的实时监控。用户可以查看服务器的性能指标、资源使用情况以及任何潜在的问题或警告。这有助于确保服务器的稳定性和可靠性从而保障整个监控系统的正常运行。
此外仪表盘还允许用户查看和分析Wazuh的日志文件。这些日志包含了系统运行过程中的详细记录对于诊断问题、追踪事件以及优化性能都非常有用。用户可以根据需要搜索、过滤和导出日志以便进行更深入的分析。
在统计方面Wazuh仪表盘提供了丰富的统计数据和报告帮助用户了解监控系统的整体状况。这些统计数据可能包括事件数量、警报类型分布、响应时间等为用户提供了一个全面的视角来评估系统的安全性和性能。
除了基本的监控和日志分析功能外Wazuh仪表盘还允许用户配置Wazuh服务器。用户可以根据需要调整服务器的设置如修改网络配置、设置用户权限等。此外用户还可以创建自定义的规则和解码器以优化日志分析和威胁检测过程。这些自定义规则和解码器可以根据特定的业务需求和安全策略进行定制从而提供更加准确和有效的安全监控。
开发者工具
Wazuh仪表盘为开发者提供了一系列实用的工具其中最显著的是“规则集测试”工具。这个工具允许用户处理日志消息以检查它们是如何被解码的并确定这些消息是否匹配任何威胁检测规则。这一功能在开发自定义解码器和规则时尤为有用因为它可以帮助开发者快速验证他们的代码是否按预期工作。
在开发自定义规则和解码器时确保它们能够准确地识别出潜在的安全威胁是至关重要的。通过使用规则集测试工具开发者可以模拟实际环境中的日志消息并观察这些消息是如何被Wazuh系统处理的。如果消息被正确解码并触发了相应的威胁检测规则那么这就表明自定义规则和解码器是有效的。反之如果消息没有被正确解码或没有触发任何规则那么开发者就可以根据测试结果进行调整和优化。
Wazuh Agent
Wazuh Agent是Wazuh安全监控平台的核心组件之一它能够在多种操作系统上运行包括但不限于Linux、Windows、macOS、Solaris、AIX等。
Wazuh Agent的主要职责是保护系统免受威胁提供预防、检测和响应能力。它通过监控系统的关键组件和应用程序实时收集安全相关的数据并将这些数据通过加密和认证的方式传输到Wazuh服务器。这些数据包括但不限于系统日志、文件完整性校验、网络流量、进程活动等为后续的安全分析和威胁检测提供了丰富的数据源。
Agent 架构
Wazuh Agent采用了模块化的架构设计这种设计使得每个组件都专注于执行自己的特定任务。这种分工合作的方式不仅提高了Agent的灵活性和可扩展性还使得其能够高效地处理各种安全监控任务。 以下是Wazuh Agent中各个模块的不同用途和功能的详细介绍
日志收集器Log Collector
这个模块负责读取和操作系统以及应用程序的日志文件包括平面日志文件和Windows事件。 它支持对Windows事件的XPath过滤器并识别如Linux审计日志等多行格式。 该模块还可以为JSON事件添加额外的元数据以便进行更丰富的分析和处理。命令执行Command Execution
Agents会定期执行授权的命令并收集这些命令的输出结果然后将结果报告回Wazuh服务器进行进一步分析。 这个模块可以用于多种目的比如监控剩余硬盘空间、获取最近登录用户的列表等。文件完整性监控File Integrity Monitoring, FIM
该模块监控文件系统报告文件的创建、删除或修改情况。 它跟踪文件属性、权限、所有权和内容的变化并在事件发生时实时捕获谁、什么、何时等详细信息。 FIM模块还构建和维护一个包含受监控文件状态的数据库允许远程执行查询。安全配置评估Security Configuration Assessment, SCA
这个组件提供持续的配置评估使用基于互联网安全中心Center of Internet Security, CIS基准的现成检查。 用户还可以创建自己的SCA检查来监控和执行他们的安全策略。系统库存System Inventory
这个Agent模块定期运行扫描收集如操作系统版本、网络接口、运行进程、已安装应用程序和开放端口列表等库存数据。 扫描结果被存储在本地SQLite数据库中这些数据库可以被远程查询。恶意软件检测Malware Detection
此组件采用非签名基方法能够检测系统中的异常以及可能存在的rootkit。在监控系统调用时它还会查找隐藏进程、隐藏文件和隐藏端口。这种方法使得它能够识别出与正常系统行为不符的恶意活动从而提供对潜在威胁的及时警报。
主动响应Active Response
当检测到威胁时此模块会自动执行一系列操作如阻断网络连接、停止运行中的进程或删除恶意文件等。用户还可以根据需要创建自定义响应例如将二进制文件运行在沙箱环境中、捕获网络流量、使用杀毒软件扫描文件等。这种主动响应机制增强了系统的安全防御能力能够迅速应对各种安全威胁。
容器安全监控Container Security Monitoring
此Agent模块与Docker Engine API集成用于监控容器化环境中的变化。它能够检测到容器镜像、网络配置或数据卷等方面的更改并及时发出警报。此外它还会警告用户关于以特权模式运行的容器以及用户在运行中的容器内执行命令的情况帮助用户保持对容器环境的全面掌控。
云安全监控Cloud Security Monitoring
此组件专门用于监控云提供商如Amazon Web Services、Microsoft Azure或Google GCP的环境。它通过与这些云服务的API进行原生通信能够检测到云基础设施的变化如新用户创建、安全组修改、云实例停止等并收集云服务日志数据如AWS CloudTrail、AWS Macie、AWS GuardDuty、Azure Active Directory等。这种全面的监控能力有助于用户及时发现并解决云环境中的安全问题确保云资源的安全性和合规性。
Wazuh 架构
Wazuh 的架构基于运行在被监控端点上的代理这些代理将安全数据转发到中央服务器。此外Wazuh 还支持无代理设备如防火墙、交换机、路由器和接入点这些设备可以通过 Syslog、SSH 或使用其 API 主动提交日志数据。
中央服务器负责解码和分析接收到的信息并将结果传递给 Wazuh 索引器进行索引和存储。Wazuh 索引器集群由一个或多个节点组成这些节点相互通信以执行对索引的读写操作。
小型部署对于不需要处理大量数据的小型 Wazuh 部署可以轻松地通过单个节点集群来处理。大型部署当存在大量被监控端点、预期有大量数据或需要高可用性时建议使用多节点集群。
对于生产环境建议将 Wazuh 服务器和 Wazuh 索引器部署到不同的主机上。在这种场景下Filebeat 被用来通过 TLS 加密安全地将 Wazuh 警报和归档事件转发到 Wazuh 索引器集群无论是单节点还是多节点。 以下是一个 Wazuh 部署架构的示意图展示了解决方案的组件以及 Wazuh 服务器和 Wazuh 索引器节点如何配置为集群以提供负载均衡和高可用性
[被监控端点] │ ├───[Wazuh 代理]───┬────[Wazuh 服务器]───┬───[Filebeat]───┬───[Wazuh 索引器集群] │ 转发安全数据│ 解码/分析 │ TLS加密转发 │ 索引/存储 ├───[无代理设备]───Syslog/SSH/API───┘ │ ... │ └───[其他被监控端点] [Wazuh 索引器集群] ├───[节点 1] ├───[节点 2] └───[节点 ...]在这个架构中Wazuh 代理安装在每个被监控的端点上负责收集安全相关的数据并将这些数据发送到 Wazuh 服务器。无代理设备则通过 Syslog、SSH 或 API 直接发送日志数据到 Wazuh 服务器。Wazuh 服务器对接收到的数据进行解码和分析然后利用 Filebeat 将警报和归档事件安全地转发到 Wazuh 索引器集群进行索引和存储。索引器集群可以是一个或多个节点根据需求进行扩展以提供高可用性和负载均衡。
Wazuh Agent 与 Wazuh Server 的通信
Wazuh代理与Wazuh服务器进行通信以发送收集到的数据和与安全相关的事件。此外代理还会发送操作数据报告其配置和状态。一旦连接成功Wazuh服务器就可以远程升级、监控和配置代理。
代理与服务器之间的通信通过安全通道TCP或UDP进行实时提供数据加密和压缩功能。这种通信机制还包含了流量控制机制以避免网络拥塞在必要时对事件进行排队并保护网络带宽。
在首次将代理连接到服务器之前需要进行注册或称为“入会”过程。此过程为代理提供一个唯一的密钥用于身份验证和数据加密。这样代理和服务器之间的通信就能够确保安全防止未授权访问和数据泄露。
Wazuh Server 与 Wazuh Indexer 的通信
Wazuh 服务器利用 Filebeat 将警报和事件数据发送到 Wazuh 索引器这一过程中使用了 TLS 加密以确保数据传输的安全性。Filebeat 读取 Wazuh 服务器的输出数据并将其发送到 Wazuh 索引器默认监听 TCP 端口 9200。一旦数据被 Wazuh 索引器索引就可以通过 Wazuh 仪表板来挖掘和可视化这些信息。
Wazuh 仪表板通过查询 Wazuh RESTful API默认在 Wazuh 服务器上监听 TCP 端口 55000来显示 Wazuh 服务器和代理的配置及状态相关信息。此外它还支持通过 API 调用来修改代理或服务器的配置设置。这种通信也是通过 TLS 加密的并使用用户名和密码进行身份验证以确保通信的安全性。
通过这种架构Wazuh 提供了一个灵活且安全的系统用于收集、分析和可视化来自多个被监控端点的安全数据。无论是实时警报还是历史数据都可以通过 Wazuh 仪表板进行方便的查询和可视化从而帮助安全团队更好地理解和应对潜在的安全威胁。
组件端口协议用途Wazuh 服务器1514TCP (默认)代理连接服务用于接收来自Wazuh代理的事件和警报数据1514UDP (可选默认禁用)代理连接服务UDP协议通常不推荐使用因为UDP不保证数据完整性1515TCP代理注册服务用于新代理的注册和配置1516TCPWazuh集群守护进程用于Wazuh服务器之间的集群通信514UDP (默认禁用)Wazuh Syslog收集器用于接收Syslog数据需要启用514TCP (可选默认禁用)Wazuh Syslog收集器TCP协议需要启用55000TCPWazuh服务器RESTful API用于配置查询、状态监控等Wazuh 索引器9200TCPWazuh索引器RESTful API用于与索引器进行交互和数据查询9300-9400TCPWazuh索引器集群通信用于索引器节点之间的通信和数据同步Wazuh 仪表板443TCPWazuh Web用户界面提供HTTPS访问用于展示数据、配置监控等
数据存储
在Wazuh系统中除了将警报和非警报事件发送到Wazuh索引器外这些事件还会被存储在Wazuh服务器上的文件中。这些文件可以以JSON格式.json或纯文本格式.log进行存储并且每天都会被压缩并使用MD5、SHA1和SHA256校验和进行签名以确保数据的完整性和安全性。
rootwazuh-manager:/var/ossec/logs/archives/2024/Jan# ls -l
total 176
-rw-r----- 1 wazuh wazuh 234350 Jan 2 00:00 ossec-archive-01.json.gz
-rw-r----- 1 wazuh wazuh 350 Jan 2 00:00 ossec-archive-01.json.sum
-rw-r----- 1 wazuh wazuh 176221 Jan 2 00:00 ossec-archive-01.log.gz
-rw-r----- 1 wazuh wazuh 346 Jan 2 00:00 ossec-archive-01.log.sum
...
这里ossec-archive-XX.json.gz 和 ossec-archive-XX.log.gz 是压缩后的JSON和日志文件而 ossec-archive-XX.json.sum 和 ossec-archive-XX.log.sum 是对应的校验和文件。
文件轮换和备份
根据Wazuh服务器的存储容量建议对归档文件进行轮换。可以使用cron作业来管理服务器上本地存储的归档文件的时间窗口。
仅依赖Wazuh索引器进行归档存储
另一种选择是不存储归档文件而是完全依赖Wazuh索引器进行归档。这在定期备份Wazuh索引器快照或者拥有一个具有分片副本的高可用性多节点Wazuh索引器集群时可能更受欢迎。
索引器快照备份你可以定期备份Wazuh索引器的快照并将其存储在安全的位置。
使用cron作业移动快照你还可以使用cron作业将快照索引移动到最终数据存储服务器并使用MD5、SHA1和SHA256哈希对其进行签名以确保数据的完整性和安全性。
