wazuh是什么
- Wazuh是一个免费、开源和企业级的安全监控解决方案,用于威胁检测、完整性监控、事件响应和合规、也就是一套开源的完善的edr。
- Wazuh是一个安全检测、可视化和安全合规开源项目。它最初是OSSEC HIDS的一个分支,后来与Elastic Stack和OpenSCAP集成在一起,发展成为一个更全面的解决方案。下面是这些工具的简要描述以及它们的作用:
wazuh大体结构
- Wazuh代理:它安装在端点上,例如笔记本电脑,台式机,服务器,云实例或虚拟机。它提供日志采集、预防、检测和响应功能。支持大多数操作系统
- Wazuh服务器:它分析从代理收到的数据,通过解码器和规则对其进行处理,并使用威胁情报来查找众所周知的危害指标(IOC)。一台服务器可以分析来自成百上千个代理的数据,并在设置为集群时水平扩展。该服务器还用于管理代理,在必要时进行远程配置和升级。
- Elastic Stack:它索引和存储Wazuh服务器生成的警报。此外,Wazuh和Kibana之间的集成为数据的可视化和分析提供了强大的用户界面。该界面还可用于管理Wazuh配置并监视其状态。
agent
agent功能包括:日志采集、命令执行、文件完整性、安全配置评估、恶意程序检测,系统完整性分析、主动响应、容器安全监控、云安全监控
Wazuh agent - Components · Wazuh documentation
client - Local configuration (ossec.conf) · Wazuh documentation
agent可以选择tcp与udp与 server进行通信,默认情况下是tcp
server
wach服务端运行分析引擎、提供restful api、端点代理注册服务、连接服务、集群守护进程、转发和集中日志数据传送(比如传送到es)
Wazuh server - Components · Wazuh documentation
分析引擎内部包括:内聚功能(数据解码,规则匹配,数据关联),威胁情报,对接威胁模型,对抗技巧,安全隐患探测,法规模块,终端状态,整合进程(第三方api,其他系统)
Elastic Stack
fliebeat:轻量级的日志转发
Filebeat Reference [7.10] | Elastic filebeat指导手册
elasticsearch: 高度可伸缩的,全文检索与分析引擎
kibana: 一个灵活和直观的web界面,用于挖掘、分析和可视化数据
agentless
How it works - Agentless monitoring · Wazuh documentation
ossec-agentlessd(旧版本agentlessd)
https://documentation.wazuh.com/3.10/user-manual/reference/daemons/ossec-agentlessd.html
ossec-agentless程序允许在没有安装agent的系统上运行完整性检查。
wazuh-agentlessd (新版本agentlessd)
wazuh-agentlessd - Daemons · Wazuh documentation
wazuh集群
NGINX Load balancer for a Wazuh cluster · Wazuh · The Open Source Security Platform
支持集群需要agent、服务端都修改配置,协议官方建议用tcp
agent ossec.conf
<ossec_config>
<client>
<server>
<address>LB_IP</address>
server(master, worker) ossec.conf
<ossec_config>
<client>
<server>
<address>LB_IP</address>
<port>1514</port>
<protocol>tcp</protocol>
nginx 配置
stream {
upstream master {
server wazuh-master:1515;
}
upstream mycluster {
hash $remote_addr consistent;
server wazuh-master:1514;
server wazuh-worker1:1514;
server wazuh-worker2:1514;
}
server {
listen 1515;
proxy_pass master;
}
server {
listen 1514;
proxy_pass mycluster;
}
}