Wazuh agent что это
ELK, SIEM из OpenSource, Open Distro: Интеграция с WAZUH
Продвигаемся дальше по нашему проекту. Мы завершили часть SIEM. Пришло время перевести наш проект из простого наблюдателя в активного ответчика. Одним из важных инструментов, которые мы использовали для этого, является Wazuh. В этой статье мы надеемся просветить вас о преимуществах, предлагаемых этим инструментом. А также расскажем как его установить и использовать.
Wazuh — это механизм обнаружения, просмотра и сравнения соответствия безопасности с открытым исходным кодом.
Он был создан как форк OSSEC HIDS, позже был интегрирован с Elastic Stack и OpenSCAP, которые превратились в более комплексное решение.
Wazuh помогает вам получить более глубокую видимость безопасности в вашей инфраструктуре, отслеживая хосты на операционной системе и уровне приложений.
Оглавление всех постов.
Статья разделена на следующие разделы:
Установка приложения и интеграция с kibana
Настройка и подключение агентов
1- Установка wazuh сервера и агента
Wazuh — это бесплатный сервис для корпоративного использования для мониторинга безопасности с открытым исходным кодом, предназначенный для обнаружения угроз, мониторинга целостности, реагирования на инциденты и соблюдения нормативных требований. Вот некоторые определения, которые вам нужно знать.
Сервер Wazuh: запускает менеджер Wazuh, API и Filebeat. Он собирает и анализирует данные от развернутых агентов.
Агент Wazuh: запускается на отслеживаемом хосте, собирает системный журнал и данные конфигурации и обнаруживает вторжения и аномалии. Он общается с сервером Wazuh, на который пересылает собранные данные для дальнейшего анализа.
1.1- Введение в архитектуру сервера Wazuh:
Архитектура Wazuh основана на агентах, работающих на контролируемых хостах, которые пересылают данные журнала на центральный сервер. Кроме того, поддерживаются безагентные устройства (такие как межсетевые экраны, коммутаторы, маршрутизаторы, точки доступа и т. Д.), Которые могут активно отправлять данные журнала через системный журнал и / или периодически проверять изменения своей конфигурации для последующей пересылки данных на центральный сервер. Центральный сервер декодирует и анализирует входящую информацию и передает результаты в кластер Elasticsearch для индексации и хранения.
Мы будем использовать архитектуру с одним хостом (Single-host architecture (HIDS)), которая имеет следующие характеристики:
Подробнее о другой архитектуре. Посетите официальный сайт:
1.2- Установка Wazuh manager, API и Filebeat
Здесь мы предоставим вам официальный сайт wazuh для установки
После установки нам нужно настроить файл конфигурации filebeat: вы можете подключить filebeat к выходу elasticsearch или выходу logstash. В нашем случае мы настроим вывод elasticsearch без проверки ssl (здесь мы видим, что включен только модуль предупреждений)
Теперь настроим шаблон индекса и запустим 3 службы:
1.3- Установка wazuh-агента
Используйте эту ссылку для установки
Проверьте, правильно ли работает wazuh-agent:
1.4- Установка приложения wazuh и интеграция с Kibana:
Это приложение станет мостом между сервером Wazuh и Kibana в ELK, который мы ранее установили.
Это приложение предоставляется только в репозитории Git Hub, а не на официальном веб-сайте.
Мы будем устанавливать приложение wazuh, совместимое с ELK Stack 7.6.1. Для этого.
Рекомендуется увеличить размер Kibana, чтобы обеспечить установку плагина:
Вы можете проверить все доступные версии на этом сайте:
Теперь в вашей кибане вы должны увидеть, что символ wazuh появился на левой вкладке вашей кибаны. Нажмите на него. Откроется wazuh api. Изучите его. У вас должно получиться нечто подобное. На данный момент у вас не будет никаких агентов, связанных с ним. В следующей части мы обсудим, как подключить ваших агентов.
1–5 Подключение и настройка агентов
Есть много способов зарегистрировать агента. В этой статье мы воспользуемся ручным способом.
В интерфейсе командной строки хоста Wazuh manager мы запустим manage_agents, чтобы добавить агента. В этом примере мы собираемся добавить нового агента. Для этого типа запустите следующую команду:
Выберите агента добавления, набрав A и нажав клавишу ВВОД. Затем мы вводим имя, которое хотим дать нашей машине, в данном случае user1. Мы вводим IP-адрес конечного устройства. Обратите внимание: если у вас нет статического IP-адреса для конечного устройства, вы можете использовать ключевое слово (любой) вместо IP-адреса. После этого нажмите Enter
Теперь мы собираемся извлечь секретный ключ, который позволит нашему агенту подключиться к серверу wazuh.
Для этого на этот раз мы выберем опцию E извлекать ключ для агента. Затем мы вводим идентификатор нашего агента, и в этом случае я выбрал агента с идентификатором 001.
После того, как вы добавили агент на хост менеджера Wazuh, откройте сеанс на хосте агента Linux как пользователь root. После этого импортируем ключ и подключим агента к менеджеру.
Вы должны получить такой результат, наберите «y» и нажмите Enter.
1.6- Проверка полученных данных:
Чтобы проверить, получает ли ELK данные от сервера wazuh. Перейдите в Управление индексами. Вы должны получить что-то похожее на это (wazuh-alert и wazuh-monitoring)
Активный ответ Wazuh:
Wazuh предоставляет модуль активного ответа для обработки автоматического ответа на определенные предупреждения, которые вы настраиваете в Wazuh-manager.
Активный ответ — это сценарий, который настроен на выполнение при срабатывании определенного предупреждения, уровня предупреждения или группы правил. Активные ответы — это ответы с сохранением состояния или без состояния. Ответы с сохранением состояния настроены для отмены действия по истечении заданного периода времени, в то время как ответы без состояния настроены как одноразовые действия.
Например, если мы хотим автоматически блокировать определенные IP-адреса на основе определенных журналов, поступающих с вашего конечного устройства, показывая, что они выполняют атаку Bruteforce, независимо от того, является ли это RDP или SSH, в зависимости от ОС хоста.
Мы можем создать активный ответ, который будет блокировать IP-адрес злоумышленника, если он соответствует поведению с набором правил, хранящимся в Wazuh. Мы возьмем пример SSH-Bruteforce. Мы будем рассматривать 8 неудачных попыток входа в систему как попытку атаки. Когда это событие происходит, действует правило «5712 — SSHD брутфорс пытается получить доступ к системе». Будет запущено. Таким образом, команда блокировки IP выполняется.
Во-первых, нам нужно определить команду, которую мы будем использовать для ответа.
OSSEC поставляется с набором общих скриптов, используемых в активном ответе. Эти сценарии находятся в / var / ossec / active-response / bin / на сервере. Мы собираемся использовать сценарий firewall-drop.sh, который должен работать с распространенными операционными системами Linux / Unix и позволяет блокировать вредоносный IP-адрес с помощью локального брандмауэра.
Определите команду в ossec.conf вашего OSSEC Manager:
Мы собираемся использовать скрипт firewall-drop.sh, который должен работать с распространенными операционными системами Linux / Unix и позволяет блокировать вредоносный IP-адрес с помощью локального брандмауэра.
Затем в том же файле мы настраиваем OSSEC для запуска активного ответа. Основные поля:
—command: ранее определенная команда (firewall-drop).
—location: Где команда должна быть выполнена. Мы хотим выполнить его для агента, сообщившего о событии. Итак, мы используем local.
—rules_id: команда выполняется, если срабатывает правило 5712.
—timeout: заблокировать IP на 60 секунд на брандмауэре (iptables, ipfilter и т. д.)
Затем сохраните модификацию и закройте файл. Перезапустите wazuh-manager командой:
Теперь на ваших хостах wazuh-agent не забудьте изменить файл ossec.conf и добавить:
Теперь вы можете попытаться подобрать SSH на вашем хост-компьютере, на котором установлен агент Wazuh, и вы будете заблокированы на 60 секунд после 8 неудачных попыток входа.
Чтобы узнать больше об активном респоне Wazuh, вы можете проверить:
A Comprehensive Open Source Security Platform
Wazuh provides a security solution capable of monitoring your infrastructure, detecting threats, intrusion attempts, system anomalies, poorly configured applications and unauthorized user actions. It also provides a framework for incident response and regulatory compliance.
Wazuh agent
The Wazuh lightweight agent is designed to perform a number of tasks with the objective of detecting threats and, when necessary, trigger automatic responses. The agent core capabilities are:
The Wazuh agents run on many different platforms, including Windows, Linux, Mac OS X, AIX, Solaris and HP-UX. They can be configured and managed from the Wazuh server.
Wazuh server
The Wazuh server is in charge of analyzing the data received from the agents, processing events through decoders and rules, and using threat intelligence to look for well-known IOCs (Indicators Of Compromise). A single Wazuh server can analyze data from hundreds or thousands of agents, and scale horizontally when set up in cluster mode.
The server is also used to manage the agents, configuring and upgrading them remotely when necessary. Additionally the server is capable of sending orders to the agents, for example to trigger a response when a threat is detected.
Elastic Stack
Alerts generated by Wazuh are sent to Elastic Stack, where they are indexed and stored. The unique integration between Wazuh and Kibana (one of the components of the Elastic Stack), provides a powerful user interface for data visualization and analysis, that can also be used to manage and monitor the configuration and status of the agents.
Wazuh web user interface includes out-of-the-box dashboards for regulatory compliance (e.g. PCI DSS, GDPR, CIS), detected vulnerable applications, file integrity monitoring, configuration assessment, security events, cloud infrastructure monitoring and others.
Security Analytics
Wazuh is used to collect, aggregate, index and analyze security data, helping organizations detect intrusions, threats and behavioral anomalies.
As cyber threats are becoming more sophisticated, real-time monitoring and security analysis are needed for fast threat detection and remediation. That is why our light-weight agent provides the necessary monitoring and response capabilities, while our server component provides the security intelligence and performs data analysis.
Intrusion Detection
Wazuh agents scan the monitored systems looking for malware, rootkits and suspicious anomalies. They can detect hidden files, cloaked processes or unregistered network listeners, as well as inconsistencies in system call responses.
In addition to agent capabilities, the server component uses a signature-based approach to intrusion detection, using its regular expression engine to analyze collected log data and look for indicators of compromise.
Log Data Analysis
Wazuh agents read operating system and application logs, and securely forward them to a central manager for rule-based analysis and storage.
The Wazuh rules help make you aware of application or system errors, misconfigurations, attempted and/or successful malicious activities, policy violations and a variety of other security and operational issues.
File Integrity Monitoring
Wazuh monitors the file system, identifying changes in content, permissions, ownership, and attributes of files that you need to keep an eye on. In addition, it natively identifies users and applications used to create or modify files.
File integrity monitoring capabilities can be used in combination with threat intelligence to identify threats or compromised hosts. In addition, several regulatory compliance standards, such as PCI DSS, require it.
Vulnerability Detection
Wazuh agents pull software inventory data and send this information to the server, where it is correlated with continuously updated CVE (Common Vulnerabilities and Exposure) databases, in order to identify well-known vulnerable software.
Automated vulnerability assessment helps you find the weak spots in your critical assets and take corrective action before attackers exploit them to sabotage your business or steal confidential data.
Configuration Assessment
Wazuh monitors system and application configuration settings to ensure they are compliant with your security policies, standards and/or hardening guides. Agents perform periodic scans to detect applications that are known to be vulnerable, unpatched, or insecurely configured.
Additionally, configuration checks can be customized, tailoring them to properly align with your organization. Alerts include recommendations for better configuration, references and mapping with regulatory compliance.
Incident Response
Wazuh provides out-of-the-box active responses to perform various countermeasures to address active threats, such as blocking access to a system from the threat source when certain criteria are met.
In addition, Wazuh can be used to remotely run commands or system queries, identifying indicators of compromise (IOCs) and helping perform other live forensics or incident response tasks.
Regulatory Compliance
Wazuh provides some of the necessary security controls to become compliant with industry standards and regulations. These features, combined with its scalability and multi-platform support help organizations meet technical compliance requirements.
Wazuh is widely used by payment processing companies and financial institutions to meet PCI DSS (Payment Card Industry Data Security Standard) requirements. Its web user interface provides reports and dashboards that can help with this and other regulations (e.g. GPG13 or GDPR).
Cloud Security
Wazuh helps monitoring cloud infrastructure at an API level, using integration modules that are able to pull security data from well known cloud providers, such as Amazon AWS, Azure or Google Cloud. In addition, Wazuh provides rules to assess the configuration of your cloud environment, easily spotting weaknesses.
In addition, Wazuh light-weight and multi-platform agents are commonly used to monitor cloud environments at the instance level.
Containers Security
Wazuh provides security visibility into your Docker hosts and containers, monitoring their behavior and detecting threats, vulnerabilities and anomalies. The Wazuh agent has native integration with the Docker engine allowing users to monitor images, volumes, network settings, and running containers.
Wazuh continuously collects and analyzes detailed runtime information. For example, alerting for containers running in privileged mode, vulnerable applications, a shell running in a container, changes to persistent volumes or images, and other possible threats.
5 open-source систем управления событиями безопасности
Чем хороший безопасник в ИТ-сфере отличается от обычного? Нет, не тем, что он в любой момент времени по памяти назовёт количество сообщений, которые менеджер Игорь отправил вчера коллеге Марии. Хороший безопасник старается выявить возможные нарушения заранее и отлавливать их в режиме реального времени, прилагая все силы, чтобы не было продолжения инцидента. Системы управления событиями безопасности (SIEM, от Security information and event management) значительно упрощают задачу быстрой фиксации и блокировки любых попыток нарушений.
Традиционно SIEM-системы объединяют в себе систему управления информационной безопасностью и систему управления событиями безопасности. Важной особенностью систем является анализ событий безопасности в реальном времени, что позволяет реагировать на них до наступления существующего ущерба.
Основные задачи SIEM-систем:
Причины высокого спроса на SIEM-системы
За последнее время сильно повысились сложность и координированность атак на информационные системы. Вместе с тем усложняется и применяемый комплекс средств защиты информации— сетевые и хостовые системы обнаружения вторжений, DLP-системы, антивирусные системы и межсетевые экраны, сканеры уязвимостей и прочее. Каждое средство защиты генерирует поток событий с разной детализацией и зачастую увидеть атаку можно только по наложению событий из разных систем.
Про всевозможные коммерческие SIEM-системы много чего написано, но мы предлагаем краткий обзор бесплатных полноценных опенсорсных SIEM-систем, которые не имеют искусственных ограничений на количество пользователей или объёмы принимаемых\хранимых данных, а также легко масштабируются и поддерживаются. Надеемся, это поможет оценить потенциал подобных систем и принять решение, стоит ли интегрировать такие решения в бизнес-процессы компании.
AlienVault OSSIM
AlienVault OSSIM – это open-source версия AlienVault USM, одной из лидирующих коммерческих SIEM-систем. OSSIM представляет собой фреймворк, состоящий из нескольких проектов с открытым исходным кодом, включая cетевую систему обнаружения вторжений Snort, систему мониторинга сетей и узлов Nagios, хостовую систему обнаружения вторжений OSSEC и сканер уязвимостей OpenVAS.
Для мониторинга за устройствами используется AlienVault Agent, который отправляет журналы с хоста в формате syslog в платформу GELF или может использоваться плагин для интеграции со сторонними сервисами, такими как сервис реверсного проксирования сайтов Cloudflare или системой многофакторной аутентификации Okta.
Версия USM отличается от OSSIM расширенной функциональностью управления журналами, мониторинга облачной инфраструктуры, автоматизации, и обновляемой информацией об угрозах и визуализацией.
MozDef (Mozilla Defense Platform)
Разработанная Mozilla SIEM-система MozDef используется для автоматизации процессов обработки инцидентов безопасности. Система разработана с нуля для получения максимального быстродействия, масштабируемости и отказоустойчивости, с микросервисной архитектурой – каждый сервис работает в контейнере Docker.
Как и OSSIM, MozDef построена на проверенных временем опенсорсных проектах, включающих модуль индексирования логов и поиска Elasticsearch, платформу Meteor для построения гибкого web-интерфейса, и плагин Kibana для визуализации и построения графиков.
Корреляция событий и оповещение выполняется с использованием запросом Elasticsearch, что позволяет написать собственные правила обработки событий и оповещения с использованием Python. Со слов Mozilla, MozDef может обрабатывать более 300 миллионов событий в день. MozDef принимает события только в формате JSON, но есть интеграция со сторонними сервисами.
Wazuh
Wazuh начала развивалась как форк OSSEC, одной из самых популярных SIEM с открытым кодом. И теперь это собственное уникальное решение с новой функциональностью, исправленными ошибками и оптимизированной архитектурой.
Система построена на стеке ElasticStack (Elasticsearch, Logstash, Kibana) и поддерживает как сбор данных на основе агентов, так и прием системных журналов. Это делает её эффективной для мониторинга устройств, которые генерируют журналы, но не поддерживают установку агента – сетевые устройства, принтеры и перифирия.
Wazuh поддерживает существующие агенты OSSEC и даже предоставляет руководство по миграции с OSSEC на Wazuh. Хотя OSSEC все еще активно поддерживается, Wazuh рассматривается как продолжение OSSEC из-за добавление нового веб-интерфейса, REST API, более полного набора правил и многих других улучшений.
Prelude OSS
Prelude OSS – это open-source версия коммерческой Prelude SIEM, разработанной французской компанией CS. Решение представляет собой гибкую модульную SIEM-систему, поддерживающую множество форматов логов, интеграцию со сторонними инструментами такими как OSSEC, Snort и сетевую систему обнаружения Suricata.
Каждое событие нормализуется в сообщение по формату IDMEF, что упрощает обмен данными с другими системами. Но есть и ложка дёгтя — Prelude OSS сильно ограничена по производительности и функциональности по сравнению с коммерческой версией Prelude SIEM, и предназначена скорее для небольших проектов или для изучения решений SIEM и оценки Prelude SIEM.
Sagan
Sagan — это высокопроизводительная SIEM, которая подчеркивает совместимость со Snort. Помимо поддержки правил, написанных для Snort, Sagan может выполнять запись в базу данных Snort и даже может использоваться с интерфейсом Shuil. По сути, это лёгкое многопоточное решение, которое предлагает новые функции, оставаясь дружественным к пользователям Snort.
Заключение
У каждой из описанных SIEM-систем есть свои особенности и ограничения, поэтому их нельзя назвать универсальным решением для любой организации. Однако у этих решений открыт код, что позволяет развертывать, тестировать и оценивать их без чрезмерных расходов.
Что ещё интересного можно почитать в блоге Cloud4Y
Подписывайтесь на наш Telegram-канал, чтобы не пропустить очередную статью! Пишем не чаще двух раз в неделю и только по делу.
Бесплатный инструмент Host & Endpoint Security: Wazuh
Wazuh – это механизм обнаружения, просмотра и сравнения соответствия безопасности с открытым исходным кодом.
Он был создан как форк OSSEC HIDS, позже был интегрирован с Elastic Stack и OpenSCAP, которые превратились в более комплексное решение.
Wazuh помогает вам получить более глубокую видимость безопасности в вашей инфраструктуре, отслеживая хосты на операционной системе и уровне приложений.
Это решение, основанное на легких мультиплатформенных агентах, предоставляет следующие возможности:
Управление журналом и анализ:
агенты Wazuh считывают журналы операционной системы и приложений и надежно передают их центральному менеджеру для анализа и хранения на основе правил.
Мониторинг целостности файлов: Wazuh контролирует файловую систему, идентифицируя изменения в содержимом, разрешениях, правах собственности и атрибутах файлов, которые вам нужно следить.
Обнаружение вторжений и аномалий: агенты сканируют систему, ищущую вредоносное ПО, руткиты или подозрительные аномалии. Они могут обнаруживать скрытые файлы, скрытые процессы или незарегистрированные сетевые прослушиватели, а также несоответствия в ответах системного вызова.
Мониторинг политики и соответствия: Wazuh контролирует файлы конфигурации, чтобы убедиться, что они соответствуют вашим политикам безопасности, стандартам или руководствам по упрощению. Агенты выполняют периодическое сканирование, чтобы обнаруживать приложения, которые, как известно, уязвимы, не подвержены ошибкам или ненадежны.
Используемое программное обеспечение и библиотеки
OSSEC HIDS
OSSEC HIDS – это система обнаружения вторжений на основе хоста (HIDS), используемая как для обнаружения безопасности, видимости, так и для контроля соблюдения. Он основан на многоплатформенном агенте, который пересылает системные данные (например, сообщения журналов, хэши файлов и обнаруженные аномалии) центральному менеджеру, где он далее анализируется и обрабатывается, что приводит к предупреждениям о безопасности. Агенты передают данные событий центральному менеджеру через безопасный и аутентифицированный канал.
Кроме того, OSSEC HIDS предоставляет централизованный сервер syslog и систему мониторинга без агента, обеспечивая понимание безопасности событий и изменений на устройствах без агента, таких как брандмауэры, коммутаторы, маршрутизаторы, точки доступа, сетевые устройства и т. д.
OpenSCAP
OpenSCAP – это OVAL (открытый язык оценки уязвимостей) и интерпретатор XCCDF (расширительный листинг контрольных списков конфигурации), используемый для проверки системных конфигураций и обнаружения уязвимых приложений.
Это хорошо известный инструмент, предназначенный для проверки соответствия безопасности и упрочнения систем с использованием стандартных базовых уровней безопасности для корпоративных сред.
Elastic Stack
Elastic Stack – это программный пакет (Filebeat, Logstash, Elasticsearch, Kibana), используемый для сбора, анализа, индексирования, хранения, поиска и представления данных журнала. Он предоставляет веб-интерфейс, полезный для получения высокоуровневого представления событий в панели мониторинга, а также для реализации расширенной аналитики и интеллектуального анализа данных в глубину вашего хранилища данных событий.
Установка Wazuh включает в себя два центральных компонента: сервер Wazuh и Elastic Stack. Кроме того, агенты Wazuh должны быть развернуты на контролируемые хосты в вашей среде:
Сервер Wazuh: запускает менеджер Wazuh, API и Filebeat (необходим только в распределенной архитектуре). Собирает и анализирует данные из развернутых агентов.
Elastic Stack: запускает механизм Elasticsearch, сервер Logstash и Kibana (включая приложение Wazuh). Он считывает, анализирует, индексирует и сохраняет данные оповещения, созданные сервером Wazuh.
Агент Wazuh: работает на контролируемом узле, собирает системный журнал и данные конфигурации, а также обнаруживает вторжения и аномалии. Он ведет переговоры с сервером Wazuh, на который он пересылает собранные данные для дальнейшего анализа.
Распределенные архитектуры запускают сервер Wazuh и кластер Elastic Stack (один или несколько серверов) на разных хостах. С другой стороны, архитектуры с одним хостом имеют сервер Wazuh и Elastic Stack, установленные в одной и той же системе.