Při řešení digitální bezpečnosti je dobré nespoléhat se pouze na ochranu koncových zařízení v podobě oblíbené antivirové platformy.
Zejména v případě serverů a firemních aplikací je nutné pohlížet na jejich zabezpečení z více stran a ve více vrstvách. A právě tady přichází na řadu platforma Wazuh, která pomáhá získat celkový přehled a kontrolu nad stavem zabezpečení IT infrastruktury.
Celé řešení, označované také jako SIEM, se skládá z jediného univerzálního agenta, nainstalovaného na sledovaném zařízení a tří centrálních komponent: serveru Wazuh, indexeru Wazuh a ovládacího panelu Wazuh.
Proč jsme zvolili Wazuh jako SIEM?
Platforem pro bezpečnostní monitoring, především těch komerčních, je mnoho. Wazuh nás zaujal především svými schopnostmi, záběrem a svojí otevřeností.
Wazuh využívá ke zlepšení svých detekčních schopností více různých zdrojů informací o hrozbách. Obohacuje získaná data pomocí MITRE ATT&CK frameworku a compliance a regulatorních požadavků jako jsou PCI DSS, GDPR, HIPAA, CIS a NIST 800-53, a poskytuje tak užitečný kontext pro získání celkového přehledu a kontroly nad děním a stavem IT infrastruktury.
Jak vám může Wazuh pomoci se zabezpečením
Analýza logů a jejich archivace
V mnoha případech lze důkazy o podezřelých činnostech nalézt v logu sledovaného systému nebo aplikace. Wazuh pomůže s automatizací správy a analýzy logů a tím může urychlit odhalování hrozeb a to jak vnějších, tak vnitřních.
Díky silnému indexeru pomáhá také s uchováním logů pro další forenzní analýzu a také pro naplnění regulatorních a interních retenčních požadavků.
Inventarizace systému
Modul inventarizace shromažďuje informace o hardwaru a softwaru ze sledovaného systému. Tento nástroj pomáhá identifikovat aktiva a vyhodnocovat účinnost správy záplat.
Shromážděná inventární data pro každý ze sledovaných zařízení lze vyhledávat prostřednictvím rozhraní Wazuh RESTful API a z webového uživatelského rozhraní. Jedná se zejména o využití paměti, místa na disku, specifikace procesoru, síťová rozhraní, otevřené porty, spuštěné procesy a seznam nainstalovaných aplikací.
Sběr inventárních dat se provádí automaticky a pravidelně dle nastavení. Po dokončení sběru se porovnají nová inventární data se starými daty z předchozího skenování. Tímto způsobem identifikují například otevření nového portu, změny v procesech nebo instalace nové aplikace.
Sledování souladu s regulatorními požadavky – CIS, PCI DSS a podobně
Jsou vaše GPO v souladu s bezpečnostními doporučeními? Je vaše AD zabezpečeno souladu s specifikací CIS? Modul automatizovaného hodnocení konfigurace pomáhá udržovat standardní konfiguraci prostřednictvím sledování konfigurace sledovaných zařízení.
Modul pravidelně provádí skenování a hlásí chybné konfigurace ve sledovaném systému. Tato skenování posuzují konfiguraci systému prostřednictvím souborů zásad obsahujících sadu kontrol. Může například zkontrolovat konfiguraci souborového systému, vyhledat přítomnost aktualizace nebo bezpečnostní záplaty, zjistit, zda je povolen firewall, identifikovat nepotřebné spuštěné služby nebo ověřit zásady hesel uživatelů.
Zásady pro skenování jsou zapsány ve formátu YAML, což uživatelům umožňuje rychle jim porozumět a také rozšířit stávající zásady podle svých potřeb nebo napsat nové.
Detekce zranitelností
Wazuh může provádět pravidelnou, automatickou detekci zranitelností a pomáhá tak včas odhalit zranitelnosti v operačních systémech a v aplikacích nainstalovaných na sledovaných zařízeních.
Modul detekce zranitelností je integrovaný s externími zdroji informací o zranitelnostech společností Canonical, Debian, Red Hat, Arch Linux, Amazon Linux Advisories Security (ALAS), Microsoft a National Vulnerability Database (NVD).
Wazuh udržuje seznam aplikací nainstalovaných na sledovaných koncových zařízení a pravidelně jej porovnává s databází zranitelností (CVE). Výstupem je pak přehled zranitelností včetně dalších doplňujících informací a doporučení.
Členové security teamu tak získávají aktuální přehled o stavu zranitelností na sledovaných systémech a mohou efektivně a včas reagovat.
Vlastní dashboardy, reporting a alerting
Díky širokým možnostem nastavení přehledových panelů, reportingu a alertingu může nejen správa IT, ale i risk management a security team snadno a rychle získat přehled například o podezřelých činnostech, změnách na AD, pravidlech firewallu nebo v nastavení uživatelských práv na sledovaných systémech.
Zaujaly vás možnosti SIEM platformy Wazuh?
Více o schopnostech open-source security platformy Wazuh se dozvíte v našich webinářích:
Objevte potenciál OpenSource security platformy Wazuh – 29. 3. 2023 od 10:00
Wazuh: Instalace a konfigurace – 26. 2. 2023 od 10:00
Wazuh: Detekce hrozeb a aktivní ochrana – 24. 5. 2023 10:00
