Wazuh通常用於滿足合規要求(如PCI DSS或HIPAA)和配置標準(CIS強化指南)。它在IaaS (eg. Amazon AWS, Azure or Google cloud) 用戶中也很流行,在運行的實例中部署基於主機的IDS可以與基礎設施事件分析(直接從雲提供商API提取)相結合。
以下是壹些常見的用例:
(1)基於簽名的日誌分析
(2)文件完整性監測
(3)rootkit檢測
(4)安全政策監控
二、基於簽名的日誌分析
自動日誌分析和管理加速了威脅檢測。在許多情況下,攻擊證據可以在設備、系統和應用程序的日誌中找到。Wazuh可以用於自動聚合和分析日誌數據。
運行在監控主機上的Wazuh代理通常負責讀取操作系統和應用程序日誌消息,並將這些消息轉發到分析發生的Wazuh服務器。當沒有部署代理時,服務器還可以通過syslog從網絡設備或應用程序接收數據。
Wazuh使用解碼器識別日誌消息的源應用程序,然後使用特定於應用程序的規則分析數據。下面是壹個用於檢測SSH身份驗證失敗事件的規則示例:
規則包括壹個match字段,用於定義規則將要尋找的模式。它還有壹個level字段,用於指定生成的警報優先級。
每當某個代理或通過syslog收集的事件與級別大於零的規則匹配時,管理器將生成壹個警報。
下面是/var/ossec/logs/alerts/alerts.json中的壹個例子:
壹旦由管理器生成,警報就被發送到Elastic Stack組件,在該組件中,通過存儲和索引地理位置信息豐富警報。然後,Kibana可以用來搜索、分析和可視化數據。如下界面顯示的警告:
Wazuh提供了壹個定期更新的默認規則集,為不同的應用程序提供了超過1600條規則。
三、文件完整性監控
當操作系統和應用程序文件被修改時,文件完整性監視(FIM)組件會檢測並發出警報。此功能通常用於檢測對敏感數據的訪問或更改。如果您的服務器在PCI DSS的範圍內,那麽需求11.5說明您必須安裝壹個文件完整性監控解決方案才能通過您的審計。
下面是在更改受監視文件時生成警告的示例。元數據包括MD5和SHA1校驗和、文件大小(更改之前和之後)、文件權限、文件所有者、內容更改以及進行這些更改的用戶(who-data)。文件完整性監測
FIM儀表板提供了向下鉆取功能,以查看觸發警報的所有細節,可以在其中找到文件更改的良好摘要。
四、rootkit檢測
Wazuh代理定期掃描監控系統,以在內核和用戶級別檢測rootkit。這類惡意軟件通常替換或改變現有的操作系統組件,以改變系統的行為。rootkit可以隱藏其他進程、文件或網絡連接,就像它自己壹樣。
Wazuh使用不同的檢測機制來查找系統異常或已知的入侵。這是由Rootcheck組件定期完成的:
下面是發現隱藏進程時生成的警報示例。在本例中,受影響的系統正在運行Linux內核級rootkit(名為 Diamorphine):
五、安全策略監控
SCAP是企業級基礎設施的標準化遵從性檢查解決方案。它是由美國國家標準與技術研究所(NIST)維護的壹套規範,旨在維護企業系統安全。
OpenSCAP是壹種審計工具,它利用了可擴展配置檢查表描述格式(XCCDF)。XCCDF是壹種表示檢查表內容和定義安全檢查表的標準方法。它還與其他規範(如CPE、CVE、CCE和OVAL)相結合,創建可由經過scap驗證的產品處理的scap表示的檢查列表。
Wazuh代理在內部使用OpenSCAP來驗證系統是否符合CIS強化標準。下面是壹個SCAP規則示例,用於檢查SSH守護進程是否配置為允許空密碼:
SCAP檢查定期運行(默認情況是壹天壹次),結果被設置到Wazuh服務器,在那裏通過OpenSCAP解碼器和規則進行處理。下面是壹個警告的例子,當Linux審計策略(auditd)沒有配置為監視用戶操作時生成的警告:
此外,Wazuh WUI還可以用於可視化和分析策略監視掃描結果。例如,以下是使用服務器基線和PCI DSS v3預定義概要文件掃描CentOS系統時收集的數據的屏幕截圖: