Poprzedni wpis rozpoczyna serię dotyczącą monitorowania bezpieczeństwa systemów przy użyciu oprogramowania Wazuh. Wiemy już do czego służy i co to jest Wazuh, jak jest zbudowany i w jaki sposób najszybciej może zostać uruchomiony. Zatem mamy już uruchomiony system i co dalej?
Największe efekty przy najmniejszym nakładzie pracy uzyskamy uruchamiając agentów Wazuh. Agenta Wazuh uruchomić możemy na systemach operacyjnych Windows, Linux i Mac, Oracle, AIX, HPUX. Instalacja jest szybka i może zostać wykonana automatycznie w szczególności w środowiskach z dużą liczbą serwerów lub punktów końcowych. Do automatyzacji wdrażania agenta Wazuh można wykorzystać narzędzia takie jak Puppet , Chef , SCCM lub Ansible . Aby zarejestrować agentów w Wazuh musi zostać zapewniona łączność wychodząca od agenta Wazuh do usług menedżera Wazuh na portach: 1514/TCP do komunikacji z agentami, 1515/TCP do rejestracji za pośrednictwem automatycznego żądania agenta, 55000/TCP do rejestracji za pośrednictwem interfejsu API menedżera.
Agenta Wazuh można wdrożyć na laptopach, komputerach stacjonarnych, serwerach, instancjach w chmurze, kontenerach lub maszynach wirtualnych. Agent przede wszystkim pomaga chronić system, zapewniając funkcje zapobiegania zagrożeniom, ich wykrywania i reagowania. Jest również używany do zbierania różnego rodzaju danych systemowych i aplikacji, które przekazuje do serwera Wazuh. Agent Wazuh ma architekturę modułową. Każdy komponent odpowiada za własne zadania, w tym monitorowanie systemu plików, odczytywanie komunikatów dziennika, zbieranie danych inwentaryzacyjnych, skanowanie konfiguracji systemu i wyszukiwanie złośliwego oprogramowania. Użytkownicy mogą zarządzać modułami agentów za pomocą ustawień konfiguracyjnych. Moduły agenta między innymi odpowiadają za:
- zbieranie dzienników: zdarzenia systemu Windows, gromadząc komunikaty dziennika systemu operacyjnego i aplikacji;
- wykonywanie poleceń: np.: w celu monitorowania wolnego miejsca na dysku twardym lub uzyskania listy ostatnio zalogowanych użytkowników;
- monitorowanie integralności plików zgłaszając, kiedy pliki są tworzone, usuwane lub modyfikowane;
- śledzenie atrybutów plików, uprawnień, własności i zawartości;
- ocenę konfiguracji zabezpieczeń wykorzystując gotowe testy oparte na testach porównawczych Center of Internet Security (CIS);
- inwentaryzację systemu poprzez uruchomienie skanowanie, zbierając dane inwentaryzacyjne, takie jak wersja systemu operacyjnego, interfejsy sieciowe, uruchomione procesy, zainstalowane aplikacje oraz lista otwartych portów;
- wykrywanie złośliwego oprogramowania, wykrywanie anomalii i możliwą obecność rootkitów, ponadto szuka ukrytych procesów, ukrytych plików i ukrytych portów;
- uruchamianie automatycznych akcji po wykryciu zagrożeń, wyzwalając reakcje w celu zablokowania połączenia sieciowego;
- zatrzymania uruchomionego procesu lub usunięcia złośliwego pliku.
- monitorowanie zmian w środowiskach kontenerowych przy użyciu integracji z interfejsem API Docker Engine – wykrywanie zmian w obrazach kontenerów, konfiguracji sieci lub woluminach danych;
- monitorowanie bezpieczeństwa w chmurze Amazon AWS, Microsoft Azure lub Google. Moduł jest w stanie wykryć zmiany w infrastrukturze chmurowej np. utworzenie nowego użytkownika, modyfikacja grupy bezpieczeństwa, zatrzymanie instancji chmury oraz zapewnia funkcje zbierania danych dziennika usług chmurowych np. AWS Cloudtrail, AWS Macie, AWS GuardDuty, Azure Active Directory.
Agent został opracowany z myślą o monitorowaniu szerokiej gamy różnych punktów końcowych bez wpływu na ich wydajność. Jest obsługiwany przez najpopularniejsze systemy operacyjne i ma bardzo niskie wymagania wydajnościowe – średnio tylko 35 MB pamięci RAM.
Autor: Piotr Maziakowski