Для обеспечения информационной безопасности недостаточно просто отслеживать и протоколировать угрозы. Нужно правильно оценивать степень риска, быстро принимать решения об обеспечении защиты данных, поддержании целостности IT-инфраструктуры, контроле доступности информации. В этом помогают инструменты класса SIEM (Security Information and Event Management), в частности, Wazuh.
Что такое Wazuh
Это HIDS (Host-based intrusion detection system) — система отслеживания событий и обнаружения вторжений в реальном времени. Wazuh хранит правила корреляции, по которым проводится анализ активности приложений для определения внешних и внутренних угроз. Продукт позволяет настроить дашборды для отображения собранной информации на веб-панели и удобной аналитики.
Архитектура Wazuh и взаимодействие компонентов
Принцип работы состоит в сборе сигналов с контролируемых конечных точек и централизованной обработке информации на сервере.
Основные компоненты HIDS:
- агенты;
- центральный сервер;
- индексатор.
Агенты работают на конечных точках и пересылают данные на центральный сервер. Можно включить в структуру безагентные устройства — маршрутизаторы, коммутаторы, брандмауэры, которые передают информацию по API или другими способами.
Сервер Wazuh принимает сигналы от контролируемых точек, декодирует их, обрабатывает и передает в индексатор. Последний обеспечивает централизованное хранилище оповещений сервера. Записи в формате JSON распределяются по контейнерам-шардам. В каждом документе JSON записан набор ключей, имен полей, свойств и значений разных типов.
Индексатор — это кластер из одного или нескольких узлов. Многоузловой кластер используется в сложной IT-архитектуре с большим числом конечных устройств и потребностью в обработке big data. Для небольших систем с невысокой нагрузкой подходит одноузловой кластер.
Конфигурация Wazuh зависит от сценария использования, нагрузки, требований к производительности и масштабируемости.
Основные возможности Wazuh
HIDS обеспечивает протоколирование и полный аудит IT-безопасности отслеживаемых конечных точек. Можно выполнять сканирование запущенных процессов, контролировать доступность информации, получать отчеты об ошибках в работе программ, аномалиях, возможных атаках и других инцидентах.
Ключевые функции Wazuh:
- обнаружение вторжений;
- поиск вредоносного ПО;
- контроль целостности файлов;
- централизованный анализ логов из разных источников;
- контроль соответствия нормативным требованиям (например, PCI DSS, HIPAA);
- обнаружение уязвимостей для предотвращения кибератак;
- активное реагирование на подозрительные действия или сигналы от контролируемых точек (например, автоматическая блокировка IP-адреса, отключение учетной записи, перезапуск конечного устройства).
Платформа содержит предустановленные правила мониторинга, которые нужно настроить под особенности конкретной IT-инфраструктуры. Wazuh позволяет создавать свои правила: интерфейс работы с ними прост и не требует длительного изучения. Доступны тесты и отладка правил перед финальным сохранением.
Дашборд помогает визуализировать информацию на графиках и диаграммах, собирать отчеты, управлять конечными точками в понятном пользовательском интерфейсе.
Стоимость Wazuh
Платформа — хороший выход для небольших проектов и компаний, которые не внедряют SIEM из соображений экономии. Wazuh — open source ПО, что позволяет пользоваться им бесплатно и дорабатывать исходный код под свои нужды. Хранить файлы с исходным кодом, работать над проектом в команде, привлекать единомышленников, вести версионирование удобно на GitVerse. Это российская площадка для разработчиков со встроенным AI-ассистентом, возможностью программировать в привычной IDE и широким набором инструментов. Импортировать git-репозитории можно в один клик вместе со всеми ветками и коммитами, историей изменений и полной структурой. Чтобы попробовать все возможности GitVerse, создайте аккаунт.
Преимущества и недостатки Wazuh
HIDS защищает конечные точки и облачные серверы от несанкционированного доступа к информации, потенциальных угроз взлома и атак. Wazuh широко используют в организациях для улучшения безопасности и управления рисками в IT-инфраструктуре.
К плюсам Wazuh можно отнести:
- open source — бесплатное использование и открытый исходный код;
- готовые наборы правил для соответствия стандартам PCI DSS, HIPAA, NIST 800-53, TSC и GDPR;
- непрерывный контроль безопасности;
- автоматическое реагирование на инциденты;
- интеграция с другими HIDS;
- удобный интерфейс управления сервером.
Основной недостаток Wazuh — требовательность к серверным мощностям: ПО может потреблять много ресурсов и стать причиной снижения производительности сервера.
В крупных проектах с многоузловыми кластерами индексатора и большим количеством контролируемых точек может возникнуть проблема администрирования и поддержки. Обслуживание серверов Wazuh требует определенных знаний и опыта.
Как установить Wazuh
Агенты представляют собой легкое кроссплатформенное ПО для мониторинга активности на компьютерах, ноутбуках, виртуальных машинах, серверах и облачных компонентах. HIDS совместима с Linux, Windows, MacOS, Oracle, UNIX HP-UX и AIX. Установить ПО на контролируемые точки можно централизованно с помощью служб Ansible, Puppet, Active Directory от Microsoft.
Индексатор, сервер и дашборд можно установить на одном хосте или разнести по разным серверам. Рассмотрим оба варианта.
«Пакетная» установка
Запуск всех компонентов Wazuh на одном хосте подходит для контроля до 100 конечных точек с 90-дневной историей хранения сообщений. При более высоких нагрузках и потребностях рекомендуется использовать несколько серверов.
Системные требования зависят от количества контролируемых точек:
- до 25 — RAM 8 ГБ, CPU 4, хранилище 50 ГБ; ;
- от 25 до 50 — RAM 8 ГБ, CPU 8, хранилище 100 ГБ;
- от 50 до 100 — RAM 8 ГБ, CPU 8, хранилище 200 ГБ.
Самый быстрый способ развернуть Wazuh на одном хосте — использовать помощник по инсталляции.
Запуск помощника:
$ curl -sO https://packages.wazuh.com/4.8/wazuh-install.sh && sudo bash ./wazuh-install.sh -a
После автоматической инсталляции компонентов помощник генерирует параметры учетной записи с логином и паролем, которые нужно сохранить. В сообщении об успешном завершении операции указана ссылка для входа в веб-интерфейс. Для теста перейдите по ссылке и введите только что созданные имя и пароль.
Параметры входа для всех пользователей индексатора хранятся в файле wazuh-passwords.txt внутри wazuh-install-files.tar. Команда для вывода паролей:
$ sudo tar -O -xvf wazuh-install-files.tar wazuh-install-files/wazuh-passwords.txt
Для удаления сервера, индексатора и дашборда отправьте помощнику команду uninstall.
Установка компонентов Wazuh на разных хостах
Для высоконагруженных структур больше подходит раздельная инсталляция индексатора, сервера и дашборда Wazuh.
Системные требования:
- для индексатора — RAM 4 ГБ, CPU 2 минимальные, RAM 16 ГБ, CPU 8 рекомендованные;
- для сервера — RAM 2 ГБ, CPU 2 минимальные, RAM 4 ГБ, CPU 8 рекомендованные;
- для панели управления — RAM 4 ГБ, CPU 2 минимальные, RAM 8 ГБ, CPU 4 рекомендованные.
Сначала нужно загрузить инсталляторы и настроить конфигуратор.
Команды для загрузки:
curl -sO https://packages.wazuh.com/4.8/wazuh-install.sh
curl -sO https://packages.wazuh.com/4.8/config.yml
В config.yml нужно указать имена узлов и IP-адреса для всех компонентов Wazuh: сервера, индексатора и дашборда.
Для генерации ключей, сертификатов и параметров учетных записей запустите помощник с параметром --generate-config-files. Сохраните копии файла wazuh-install-files.tar на всех хостах.
Для настройки узлов индексатора выполните команду bash wazuh-install.sh --wazuh-indexer с указанием имени узла, которого используется в конфигураторе config.yml:
bash wazuh-install.sh --wazuh-indexer node-1
Для инициализации кластера используйте команду:
bash wazuh-install.sh --start-cluster
Индексатор Wazuh установлен.
Для инсталляции сервера нужно загрузить и запустить файл-инсталлятор с указанием имени из config.yml. Запустите помощник с опцией wazuh-server:
bash wazuh-install.sh --wazuh-server wazuh-1
Сервер Wazuh установлен.
Для инсталляции дашборда выполните команду:
bash wazuh-install.sh --wazuh-dashboard dashboard
Ответное сообщение содержит пароль для учетной записи панели управления.
Как работать с событиями в Wazuh
Для входа в дашборд используйте сгенерированные при инсталляции параметры учетной записи. В разделе Security Events отображаются сообщения от сервера за выбранный период, сгруппированные по степени риска. Уровень угрозы определяется правилами корреляции, которые можно настроить под свои задачи или создать с нуля.
Чтобы провести полнотекстовый поиск, используйте кнопку Events. Сервис удобен для просмотра детальной информации о конкретном сообщении и обнаружения связанных записей. Для фильтрации записей можно использовать язык запросов Wazuh с синтаксисом, аналогичным OpenSearch.