ИССЛЕДОВАНИЕ ПЛАТФОРМЫ WAZUH

АННОТАЦИЯ

Целью статьи является предоставление углубленного анализа функций и возможностей Wazuh, включая процесс установки и настройки, способы его использования для обнаружения угроз и реагирования на них, а также проблемы и ограничения его использования. Кроме того, в статье обсуждается потенциал будущих разработок Wazuh и других платформ анализа безопасности с открытым исходным кодом. Поскольку сложность угроз кибербезопасности постоянно возрастает, существует необходимость в постоянных инновациях и разработке систем обнаружения и реагирования на угрозы.

ABSTRACT

The article aims to provide an in-depth analysis of Wazuh's features and capabilities, including the installation and configuration process, how to use it for threat detection and response, and the challenges and limitations of its use. Furthermore, the article discusses the potential for future developments in Wazuh and other open-source security analytics platforms. With the complexity of cybersecurity threats continuously increasing, there is a need for ongoing innovation and development of threat detection and response systems.

Ключевые слова: платформа с открытым исходным кодом; мониторинг безопасности; Wazuh; аналитика безопасности; события безопасности.

Keywords: open-source platform; security monitoring; Wazuh; security analytics; security events.

Wazuh — это платформа с открытым исходным кодом, которая предоставляет организациям настраиваемое и масштабируемое решение для анализа безопасности. Wazuh может собирать, анализировать и коррелировать события безопасности из различных источников данных, таких как журналы, сетевой трафик и данные конечных точек [1]. Благодаря интеграции со стеком ELK Wazuh предоставляет настраиваемые информационные панели и оповещения, позволяя организациям отслеживать состояние своей безопасности в режиме реального времени.

В этой статье представлено всестороннее исследование функций и возможностей Wazuh, включая процесс установки и настройки, а также возможности обнаружения угроз и реагирования на них. Кроме того, в статье обсуждаются преимущества и недостатки использования Wazuh.

Особенности и возможности Wazuh: Wazuh — это платформа, которая предлагает широкий спектр функций, помогающих организациям обнаруживать потенциальные угрозы информационной безопасности и реагировать на них в режиме реального времени. Платформа использует анализ журналов, мониторинг целостности файлов и обнаружение вторжений на хосте для выявления потенциальных инцидентов безопасности. В основе конструкции лежит много платформенный агент, в котором все события безопасности собираются менеджером со всех агентов, включая его самого. Когда Wazuh интегрирован с системой ELK, все данные безопасности, которые собирает Wazuh, могут быть сохранены для дальнейшего поиска и расследования [2]. Wazuh предлагает следующие возможности [3]:

• Аналитика безопасности — это сбор, объединение, индексирование и анализ данных безопасности, помогающий предприятиям выявлять риски, нарушения и необычное поведение.
• Обнаружение вторжений: агенты Wazuh проверяют контролируемые системы на наличие вредоносного ПО, руткитов и подозрительной активности.
• Анализ данных журналов. Агенты Wazuh сканируют журналы приложений и операционной системы, а затем безопасно пересылают их менеджеру для анализа на основе правил.
• Мониторинг целостности файлов: Wazuh отслеживает изменения во владельцах, разрешениях, содержимом и дополнительных характеристиках файлов, требующих внимания.
• Детектор уязвимостей: агенты Wazuh собирают данные из библиотек программного обеспечения и передают их на сервер, где они сравниваются с часто обновляемыми базами данных CVE, чтобы идентифицировать широко известные уязвимые программные обеспечения.

Модульная архитектура Wazuh позволяет организациям настраивать и развертывать платформу в соответствии со своими конкретными потребностями в области ИБ, что делает ее легко масштабируемой и подходящей для организаций всех размеров и отраслей.

Практическая демонстрация использования Wazuh для обнаружения и реагирования на кибер-угрозы: Первым шагом является установка сервера Wazuh, который, в свою очередь, отвечает за обнаружение аномалий, угроз на основе анализа входящих логов и последующее срабатывание оповещения. Шаги установки: 1 - Обновите системные пакеты. 2 - Установка GPG ключа. 3. Добавьте стабильный репозиторий Wazuh. 4. Обновите информацию о пакетах. 5 – Включите службу и запустите Wazuh Manager.

Для отправки логов с хостов используется Wazuh Agent. Агент отправляет менеджеру зашифрованный аутентифицированный канал Wazuh в режиме реального времени. Как видно на рисунке 1, было достигнуто развертывание связи между агентом и менеджером Wazuh, которое станет основой для следующих конфигураций.

Рисунок 1. Канал между агентом и менеджером Wazuh

Wazuh также имеет функционал мониторинга файловой системы при определенной конфигурации агента. С его помощью он может определить целостность файлов и полностью отобразить хронологию изменений файловой системы.

Интеграция Wazuh с VirusTotal обеспечивает обнаружение вредоносных программ. Для этого пользователю необходимо получить API-ключ VirusTotal. Ключ API может быть общедоступным или закрытым. В данной практической работе в настройках используется публичный API. Ключ API можно получить после регистрации на официальном сайте. Если включить настройку VirusTotal в категории «Обнаружение и реагирование на угрозы», оповещения, поступающие в результате анализа, отображаются на информационной панели.

Преимущества и недостатки использования wazuh: Wazuh предоставляет ряд преимуществ организациям, использующим его для мониторинга безопасности и обнаружения кибер-угроз. Эти преимущества включают [4]:

• Централизованный мониторинг безопасности: Wazuh предоставляет платформу для централизованного мониторинга безопасности, которая позволяет организациям отслеживать инциденты безопасности во всей своей инфраструктуре.
• Обнаружение угроз в режиме реального времени: Wazuh отслеживает события безопасности и выявляет риски по мере их возникновения, используя технологии обнаружения угроз в реальном времени.
• Настраиваемые правила и оповещения. Wazuh предлагает предварительно настроенные правила для обнаружения проблем безопасности, но организации могут изменять или добавлять новые правила в соответствии со своими потребностями.
• Интеграция с другими инструментами безопасности. Wazuh интегрируется с различными инструментами безопасности, такими как Elastic Stack, Amazon Web Services, Microsoft Azure и т. д.
• Управление соблюдением требований: Wazuh помогает организациям соблюдать ряд законодательных норм, включая GDPR, HIPAA и PCI DSS.

Однако, как и любое технологическое решение, Wazuh также имеет некоторые ограничения, о которых организациям следует знать, прежде чем развертывать его в своей среде [5]. Платформу может быть сложно понять и настроить, и новым пользователям может потребоваться время, чтобы разобраться в ней. Wazuh использует предварительно настроенные правила для обнаружения угроз безопасности, но эти правила могут вызывать ложные срабатывания, когда Wazuh генерирует оповещения о событиях безопасности, которые не являются реальными угрозами. Ограниченная поддержка для пользователей, поскольку платформа не предлагает расширенную поддержку для бизнеса. Несмотря на эти проблемы, Wazuh остается ценным инструментом для организаций, стремящихся повысить уровень своей информационной безопасности.

В заключение, в этой статье рассматривается, что Wazuh — это высокопроизводительная и эффективная платформа информационной безопасности с открытым исходным кодом, предлагающая широкий спектр возможностей безопасности. Преимущества Wazuh включают централизованный мониторинг безопасности, обнаружение угроз в реальном времени, настраиваемые правила и оповещения, интеграцию с другими инструментами безопасности и управление соблюдением требований. Эти функции делают его популярным выбором для организаций, которые стремятся улучшить свою защиту от кибер-угроз.

Список литературы:

1. Wazuh. Getting started with Wazuh · Wazuh Documentation [Electronic resource] //Wazuh documentation. Wazuh Incorporation. URL: https://documentation.wazuh.com/current/getting-started/index.html (accessed: 28.10.2023).
2. Stanković S., Gajin S., Petrović R. A Review of Wazuh Tool Capabilities for Detecting Attacks Based on Log Analysis. – 2022.
3. Mulyadi F. et al. Implementing dockerized elastic stack for security information and event management //2020-5th International Conference on Information Technology (InCIT). – IEEE, 2020. – 243-248 pp.
4. Hussein M. A., Hamza E. K. Secure Mechanism Applied to Big Data for IIoT by Using Security Event and Information Management System (SIEM) //International Journal of Intelligent Engineering & Systems. – 2022. – Т. 15. – №. 6.
5. Mildenberger M. Security Infrastructures and intrusion systems. //HPCSA Seminar Report. – 2023.