Wazuh概述
wazuh是开源HIDS或XDR系统,能对服务器、虚拟化、容器、云进行威胁检测和响应。在安全领域有较高知名度,wazuh主要提供了一个检测框架,规则并不十分完善,需要使用者持续维护规则。
官网为:https://wazuh.com ,文档地址为:https://documentation.wazuh.com/current/index.html,github地址为:https://github.com/wazuh/wazuh。
截止2021年7月,wazuh开箱共3762条规则。覆盖操作系统(Linux Windows、mac)、容器、数据库(mysql postgresql等)、web应用(nginx apache等)、运维工具、DNS、Mail、FTP、VPN、安全软件、硬件设备、虚拟机。
Wazuh详细能力
项目 | 详情 |
---|---|
工作模式 | CS模式,分为服务端、agent端、ELK。 服务端:管理agent、通过规则对日志进行安全分析(类似SIEM)。 agent端:收集日志、监控文件、监控注册表、监控进程、监控安装程序、监控网络端口、检测rootkit、上传数据、响应动作。 ELK:用于存储、搜索、展示日志和告警。 |
agent支持系统 | Linux、MacOS、Windows、AIX、Unix、Solaris |
安全能力 | 资产盘点:内存、磁盘、CPU信息、网口、端口、进程、应用程序。 安全能力:基于3000+条规则,支持检测隐藏文件、隐藏进程、隐藏端口、恶意文件签名。对Linux、Windows、Mac、数据库、Web容器、常见基础建构(DNS\AD\邮件等)、第三方安全设备做安全检查。 文件完整性监控:监控关键路径下文件替换,误报较多。 malware/Rootkit检测:依赖有限签名特征,效果较差。 漏洞检测:agent读本机软件信息后匹配CVE、NVD漏洞库。 容器监控:支持镜像检测、配置变更检测、软件安装检测、容器shell检测、容器漏洞检测、容器进程检测等。 合规检测:支持 PCI DSS 、HIPAA、CIS。 主动响应:agent支持禁用账户、封禁IP、其他自定义动作。 SOAR:支持主机、docker、ansible、puppet、kubernetes等。 云安全:支持AWS、Azure、谷歌云API。 |
规则情况 | 2021年7月,开箱约3762条,覆盖ATT&CK监测点大于90个。覆盖>67类系统/服务组件的安全检测。 |
前端展示 | 基于ELK,并与ELK完全集成,通过Kibana插件进行展示。 |
许可 | GPLv2 |
技术路线 | 基于OSSEC(2004年产生的开源HIDS) |