安全平台Wazuh

Wazuh 是一个免费、开源且功能强大的安全平台，具有以下特点和功能：

1. 功能特性

• 多类型安全检测与防护
  • 入侵检测：代理可以扫描被监控的系统，检测恶意软件、rootkit 和可疑异常。例如，能检测隐藏文件、隐藏进程或未注册的网络侦听器，以及系统调用响应中的不一致。服务器组件还会使用基于特征的入侵检测方法，分析收集的日志数据来寻找危害指标3。
  • 日志数据分析：代理能够读取操作系统和应用程序日志，并将其安全转发给中央管理器，以便进行基于规则的分析和存储。服务器也可以通过 syslog 从网络设备或应用程序接收数据，帮助用户了解应用程序或系统错误、错误配置、恶意活动企图等安全和操作问题3。
  • 文件完整性监视：监视文件系统，识别文件的内容、权限、所有权和属性的更改，还能识别创建或修改文件的用户和应用程序。可与威胁情报结合，识别受威胁或被入侵的主机3。
  • 漏洞检测：代理提取软件清单数据发送到服务器，与不断更新的 CVE 数据库相关联，以识别已知的脆弱软件，帮助用户在攻击者利用漏洞前采取措施3。
  • 配置评估：监视系统和应用程序配置设置，确保符合安全策略、标准和加强指南。代理执行定期扫描，检测存在漏洞、未打补丁或配置不安全的应用程序，还可自定义配置检查3。
• 应急响应能力：提供开箱即用的主动响应，当满足某些标准时，可执行如阻止威胁来源访问系统等对策，还能远程运行命令或系统查询，识别危险指标并帮助执行实时取证或事件响应任务3。
• 合规支持：提供必要的安全控制以符合行业标准和规定，如支付卡行业数据安全标准（PCI DSS），其 Web 用户界面提供报告和仪表板，有助于满足相关规则要求3。

2. 架构组件

• Wazuh 代理：安装在端点上，如笔记本电脑、台式机、服务器、云实例或虚拟机，提供预防、检测和响应功能，支持 Windows、Linux、macOS、HP - UX、Solaris 和 AIX 等平台。
• Wazuh 服务器：分析从代理收到的数据，通过解码器和规则对其进行处理，并使用威胁情报来查找已知的危害指标。一台服务器可以分析来自大量代理的数据，且在设置为集群时可水平扩展，还能管理代理，进行远程配置和升级。
• Elastic Stack：用于索引和存储 Wazuh 服务器生成的警报。Wazuh 和 Kibana 之间的集成为数据的可视化和分析提供了强大的用户界面，该界面也可用于管理 Wazuh 配置并监视其状态。

3. 使用场景

• 企业网络安全：适用于各种规模的企业，帮助保护企业的网络和系统安全，检测和防范内部和外部的安全威胁，及时发现和响应安全事件，满足合规性要求。
• 云环境安全：通过集成模块从云服务提供商（如 Amazon AWS、Azure 或 Google Cloud）获取安全数据，监控云基础设施，评估云环境配置，为云环境提供安全保障3。
• 容器安全：提供对 Docker 主机和容器的安全可见性，监视其行为并检测威胁、漏洞和异常，与 Docker 引擎本地集成，收集和分析运行时信息3。