Na rynku dostępnych jest wiele narzędzi do monitoringu sieci w celu wykrycia elementów ryzyka oraz zapobieganiu awariom. W dużym uproszczeniu zadaniem systemów monitorowania jest między innymi znalezienie słabych punktów, wykrycie podatności w systemach, powiadomienie zespołów IT, a jeśli to możliwe – również rozwiązanie problemu lub wyeliminowanie zagrożenia np. poprzez izolację. Bardzo często zespoły IT wykorzystują różne rozwiązania do wykrywania włamań i zapobiegania atakom lub ze względu na skomplikowany proces uruchomienia i wdrożenia oraz wysokie koszty w ogóle nie stosuje się narzędzi do wykrywania i monitorowania bezpieczeństwa.
Dostępne są bezpłatne platformy typu open source, które mogą zostać wykorzystane do monitorowania punktów końcowych (komputerów stacjonarnych, laptopów, serwerów, urządzeń sieciowych, np. firewalli i routerów) oraz do zbierania danych z punktów końcowych w tym logów i ich analizowania w czasie rzeczywistym. Jednym z takich narzędzi jest Wazuh. Wdrażając system Wzuh dostajemy bardzo rozbudowane narzędzie, które pozwala na gromadzenie, agregacja, indeksowanie i przetwarzanie danych bezpieczeństwa zbieranych z agentów zainstalowanych na punktach końcowych lub przesyłanych z punktów końcowych logach (syslog). Agenci Wazuh skanują monitorowane systemy w poszukiwaniu złośliwego oprogramowania, rootkitów, ukrytych procesów czy plików, a także realizują przekazywanie logów systemowych i aplikacji do serwera Wazuh. Wazuh może monitorować pliki systemowe, identyfikując zmiany w treści, uprawnieniach czy atrybutach plików atrybuty plików. Kolejna funkcjonalność to wykrywanie podatności w systemach oraz korelowanie wykrytych podatności z CVE (Common Vulnerabilities and Exposures). Wdrażając Wazuh możemy monitorować konfiguracje systemów przeprowadzać okresowe skanowanie w celu wykrycia podatności luk które nie zostały zalatane czy błędów w konfiguracji.
Rozwiązanie Wazuh opiera się na 3 głównych komponentach: agent Wazuh — instalowany na punktach końcowych (Windows, Linux, MacOS, HP-UX, Solaris i AIX), serwer Wazuh odpowiadający za analizę i korelację rejestrowanych danych oraz pakiet Elastic Stack (Elasticsearch, Kibana, Filebeat ) do zarządzania logami.
System Wazuh można uruchomć z gotowego obrazu maszyny wirtualnej (OVA), który można bezpośrednio zaimportować za pomocą VirtualBox lub innych systemów wirtualizacji zgodnych z OVA lub Amazon Machine Images (AMI) do bezpośredniego uruchomienia w chmurze AWS. Agent Wazuh to lekkie oprogramowanie monitorujące, który można wdrożyć na laptopach, komputerach stacjonarnych, serwerach, instancjach w chmurze, kontenerach lub maszynach wirtualnych. Zatem w najprostszej postaci uruchamiając maszynę wirtualną i instalując agentów otrzymujemy narzędzie, która zapewnia ujednoliconą ochronę XDR i SIEM dla punktów końcowych. W kolejnych częściach postaram się szerzej przedstawić możliwości oraz zastosowanie systemu Wazuh.
Autor: Piotr Maziakowski