Wazuh 是一個免費的開源平臺，用于威脅預防、檢測和響應。它能夠跨本地、虛擬化、容器化和基于云的環(huán)境保護工作負載。

Wazuh 解決方案由部署到受監(jiān)控系統(tǒng)的端點安全代理和收集和分析代理收集的數(shù)據(jù)的管理服務器組成。此外，Wazuh 已與 Elastic Stack 完全集成，提供搜索引擎和數(shù)據(jù)可視化工具，允許用戶瀏覽其安全警報。

Wazuh 功能

簡要介紹 Wazuh 解決方案的一些更常見用例。

入侵檢測

Wazuh 代理掃描受監(jiān)控的系統(tǒng)以查找惡意軟件、rootkit 和可疑異常。它們可以檢測隱藏文件、隱藏進程或未注冊的網(wǎng)絡偵聽器，以及系統(tǒng)調(diào)用響應中的不一致。

除了代理功能外，服務器組件還使用基于簽名的入侵檢測方法，使用其正則表達式引擎分析收集的日志數(shù)據(jù)并尋找入侵指標。

日志數(shù)據(jù)分析

Wazuh 代理讀取操作系統(tǒng)和應用程序日志，并將它們安全地轉(zhuǎn)發(fā)到中央管理器，以進行基于規(guī)則的分析和存儲。當沒有部署代理時，服務器還可以通過 syslog 從網(wǎng)絡設備或應用程序接收數(shù)據(jù)。

Wazuh 規(guī)則幫助你了解應用程序或系統(tǒng)錯誤、錯誤配置、企圖和/或成功的惡意活動、違反政策以及各種其他安全和操作問題。

文件完整性監(jiān)控

Wazuh 監(jiān)控文件系統(tǒng)，識別你需要密切關(guān)注的文件內(nèi)容、權(quán)限、所有權(quán)和屬性的變化。此外，它本機識別用于創(chuàng)建或修改文件的用戶和應用程序。

文件完整性監(jiān)控功能可以與威脅情報結(jié)合使用，以識別威脅或受損主機。此外，一些法規(guī)遵從性標準（例如 PCI DSS）也需要它。

漏洞檢測

Wazuh 代理提取軟件清單數(shù)據(jù)并將此信息發(fā)送到服務器，與不斷更新的 CVE（通用漏洞和暴露）數(shù)據(jù)庫相關(guān)聯(lián)，以識別眾所周知的易受攻擊的軟件。

自動漏洞評估可幫助你找到關(guān)鍵資產(chǎn)中的弱點，并在攻擊者利用它們破壞你的業(yè)務或竊取機密數(shù)據(jù)之前采取糾正措施。

配置評估

Wazuh 監(jiān)控系統(tǒng)和應用程序配置設置，以確保它們符合你的安全策略、標準和/或強化指南。代理執(zhí)行定期掃描以檢測已知易受攻擊、未打補丁或配置不安全的應用程序。

此外，可以自定義配置檢查，對其進行定制以與你的組織保持一致。警報包括有關(guān)更好配置、參考和符合法規(guī)要求的映射的建議。

事件響應

Wazuh 提供開箱即用的主動響應，以執(zhí)行各種對策來應對主動威脅，例如在滿足某些標準時阻止從威脅源訪問系統(tǒng)。

此外，Wazuh 可用于遠程運行命令或系統(tǒng)查詢、識別入侵指標 (IOC) 并幫助執(zhí)行其他實時取證或事件響應任務。

合規(guī)性

Wazuh 提供了一些必要的安全控制，以符合行業(yè)標準和法規(guī)。這些功能與其可擴展性和多平臺支持相結(jié)合，可幫助組織滿足技術(shù)合規(guī)性要求。

Wazuh 被支付處理公司和金融機構(gòu)廣泛用于滿足 PCI DSS（支付卡行業(yè)數(shù)據(jù)安全標準）的要求。它的 Web 用戶界面提供報告和儀表板，可以幫助遵守該法規(guī)和其他法規(guī)（例如 GPG13 或 GDPR）。

云安全

Wazuh 使用能夠從知名云提供商（如亞馬遜 AWS、Azure 或谷歌云）提取安全數(shù)據(jù)的集成模塊，幫助在 API 級別監(jiān)控云基礎(chǔ)設施。此外，Wazuh 提供規(guī)則來評估您的云環(huán)境配置，輕松發(fā)現(xiàn)弱點。

此外，Wazuh 輕量級和多平臺代理通常用于在實例級別監(jiān)控云環(huán)境。

容器安全

Wazuh 為你的 Docker 主機和容器提供安全可見性，監(jiān)控它們的行為并檢測威脅、漏洞和異常。Wazuh 代理與 Docker 引擎原生集成，允許用戶監(jiān)控圖像、卷、網(wǎng)絡設置和運行的容器。

Wazuh 不斷收集和分析詳細的運行時信息。例如，對以特權(quán)模式運行的容器、易受攻擊的應用程序、在容器中運行的 shell、持久卷或映像的更改以及其他可能的威脅發(fā)出警報。

?