Wazuh是一个免费且开源的安全平台,旨在提供全面的威胁预防、检测和响应能力。它能够为各种环境中的工作负载提供统一的扩展检测与响应(XDR)和安全信息与事件管理(SIEM)保护,涵盖本地部署、虚拟化、容器化以及云端环境。
Wazuh解决方案的核心由两部分组成:部署在受监控系统上的终端安全代理(Agent)和负责收集及分析代理所获取数据的管理服务器。此外,Wazuh与Elastic Stack进行了深度集成,提供了一个强大的搜索引擎和数据可视化工具,使用户能够方便地浏览和分析其安全警报。
Wazuh核心功能
Wazuh解决方案提供了多项关键功能,以应对当前复杂的网络安全挑战:
入侵检测
Wazuh代理会扫描受监控系统,以查找恶意软件、Rootkit和可疑异常,例如隐藏文件、伪装进程或未注册的网络监听器,以及系统调用响应中的不一致性。
除了代理的能力外,服务器组件还采用基于签名的入侵检测方法,利用其正则表达式引擎分析收集到的日志数据,以识别潜在的入侵指标。
日志数据分析
Wazuh代理负责读取操作系统和应用程序的日志,并将其安全地转发到一个中央管理服务器进行基于规则的分析和存储。在没有部署代理的情况下,服务器也能通过Syslog从网络设备或应用程序接收数据。
Wazuh的规则有助于用户及时了解应用程序或系统错误、配置错误、尝试或成功的恶意活动、策略违规以及各种其他安全和操作问题。
文件完整性监控
Wazuh持续监控文件系统,识别用户需要关注的文件在内容、权限、所有权和属性上的变化。此外,它还能本地识别用于创建或修改文件的用户和应用程序。
文件完整性监控功能可以与威胁情报结合使用,以识别威胁或受损主机。同时,多项法规遵从标准,如PCI DSS,都要求具备此功能。
漏洞检测
Wazuh代理收集软件清单数据,并将这些信息发送到服务器。服务器随后将这些数据与持续更新的通用漏洞披露(CVE)数据库进行关联,从而识别已知的易受攻击软件。
自动化的漏洞评估有助于用户发现关键资产中的薄弱环节,并在攻击者利用这些漏洞破坏业务或窃取机密数据之前采取纠正措施。
配置评估
Wazuh监控系统和应用程序的配置设置,以确保它们符合您的安全策略、标准和/或加固指南。代理会执行定期扫描,以检测已知易受攻击、未打补丁或配置不安全的应用程序。
此外,配置检查可以进行定制,以更好地与组织对齐。警报中包含改进配置的建议、参考资料以及与法规遵从的映射。
事件响应
Wazuh提供开箱即用的主动响应功能,能够在满足特定条件时执行各种应对措施,例如阻止威胁源访问系统。
Wazuh还可用于远程运行命令或系统查询,识别入侵指标(IOC),并协助执行其他实时取证或事件响应任务。
合规性管理
Wazuh提供了成为符合行业标准和法规所需的部分安全控制。这些功能,结合其可扩展性和多平台支持,帮助组织满足技术合规性要求。
Wazuh被支付处理公司和金融机构广泛使用,以满足PCI DSS(支付卡行业数据安全标准)的要求。其Web用户界面提供报告和仪表板,可以帮助满足PCI DSS以及其他法规(例如GPG13或GDPR)的要求。
云安全
Wazuh通过集成模块在API层面监控云基础设施,这些模块能够从知名的云提供商(如亚马逊AWS、Azure或谷歌云)拉取安全数据。此外,Wazuh还提供规则来评估云环境的配置,轻松发现弱点。
Wazuh轻量级、多平台的代理也常用于在实例层面监控云环境。
容器安全
Wazuh为Docker主机和容器提供安全可见性,监控它们的行为并检测威胁、漏洞和异常。Wazuh代理与Docker引擎原生集成,允许用户监控镜像、卷、网络设置和运行中的容器。
Wazuh持续收集和分析详细的运行时信息,例如对以特权模式运行的容器、易受攻击的应用程序、容器中运行的Shell、持久卷或镜像的变化以及其他可能的威胁发出警报。
Wazuh 用户界面 (WUI)
Wazuh的用户界面(WUI)提供了一个强大的可视化工具,用于数据呈现和深入分析。此界面还可用于管理Wazuh的各项配置并监控其运行状态。通过直观的仪表板和报告,用户可以全面掌握安全态势,快速响应潜在威胁。
自动化与编排
为了简化Wazuh的部署和管理,Wazuh团队提供了一系列自动化工具。这些工具支持与主流的云平台、容器化技术以及配置管理系统集成,帮助用户实现基础设施即代码,从而提高部署效率和管理一致性。
社区与参与
Wazuh拥有一个活跃且不断壮大的社区。用户可以通过加入Wazuh社区与其他用户交流经验、参与讨论,并与开发人员直接沟通,共同为项目贡献力量。
如果您希望为Wazuh项目做出贡献,我们欢迎您提交拉取请求、报告问题或发送提交。我们将会审阅您的所有反馈和问题。您还可以加入我们的Slack社区频道或邮件列表,与其他成员交流并保持对Wazuh最新动态、版本发布和技术文章的关注。
Wazuh项目版权归Wazuh Inc.所有,并基于Daniel Cid启动的OSSEC项目开发。