wazuh运营使用

0x00 介绍

1.背景介绍

传统的入侵检测，主要分为网络入侵检测系统和主机入侵检测系统，分别作用于网络层面和主机（服务器、办公电脑等终端）。

随着技术发展，出现了结合传统入侵检测系统和新技术（如数据分析、威胁情报、自动化操作、主动响应等）的新产品，这类新产品可能的名称是XDR、EDR、EPP等。

2.用途介绍

Wazuh 是 以OSSEC作为引擎的基于主机的入侵检测系统，用于主机端点和云工作负载的统一XDR和SIEM保护。提供配置评估、扩展检测和响应、文件完整性监控、漏洞检测、威胁情报、日志数据分析、恶意软件检测、审计与合规、态势管理、工作负载保护、容器安全等安全解决方案，此外可以与许多外部服务和工具集成。如VirusTotal，YARA，Amazon Macie，Slack和FortiGate。

0x01 部署架构

1.系统架构

Wazuh 平台提供 XDR 和 SIEM 功能来保护您的云、容器和服务器工作负载。其中包括日志数据分析、入侵和恶意软件检测、文件完整性监控、配置评估、漏洞检测以及对法规遵从性的支持。

 2.架构组件

Wazuh 解决方案基于部署在受监控端点上的 Wazuh 代理和三个中心组件：Wazuh server、Wazuh indexer和 Wazuh dashboard。

Wazuh indexer 是一个高度可扩展的全文搜索和分析引擎。这个中央组件索引和存储由 Wazuh 服务器生成的警报。

Wazuh server分析从代理收到的数据。它通过解码器和规则对其进行处理，使用威胁情报来寻找众所周知的妥协指标 (IOC)。单个服务器可以分析来自数百或数千个代理的数据，并在设置为集群时水平扩展。该中心组件还用于管理代理，在必要时远程配置和升级它们。

Wazuh dashboard是用于数据可视化和分析的 Web 用户界面。它包括用于安全事件、法规遵从性（例如 PCI DSS、GDPR、CIS、HIPAA、NIST 800-53）、检测到的易受攻击的应用程序、文件完整性监控数据、配置评估结果、云基础设施监控的开箱即用仪表板事件等。它还用于管理 Wazuh 配置并监控其状态。

Wazuh agents安装在笔记本电脑、台式机、服务器、云实例或虚拟机等端点上。它们提供威胁预防、检测和响应能力。它们在 Linux、Windows、macOS、Solaris、AIX 和 HP-UX 等操作系统上运行。

除了基于代理的监控功能，Wazuh 平台还可以监控无代理设备，例如防火墙、交换机、路由器或网络 IDS 等。例如，可以通过 Syslog 收集系统日志数据，并且可以通过定期探测其数据、通过 SSH 或通过 API 来监控其配置。

更多详情请参考：Components - Getting started w