Wazuh通常用於滿足合規性要求(如PCI DSS或HIPAA)和配置標準(CIS強化指南)。它在IaaS(例如亞馬遜AWS、Azure或谷歌雲)用戶中也很受歡迎,在運行實例中部署基於主機的IDS可以與基礎設施事件分析(直接從雲提供商API中提取)相結合。
以下是壹些常見的使用案例:
(1)基於簽名的日誌分析
(2)文件完整性監控
(3)rootkit檢測
(4)安全策略監控
第二,基於簽名的日誌分析
自動日誌分析和管理加速了威脅檢測。在許多情況下,可以在設備、系統和應用程序的日誌中找到攻擊的證據。Wazuh可以用來自動聚集和分析日誌數據。
在監控主機上運行的Wazuh代理通常負責讀取操作系統和應用程序日誌消息,並將這些消息轉發到Wazuh服務器進行分析。當沒有部署代理時,服務器也可以通過syslog從網絡設備或應用程序接收數據。
Wazuh使用解碼器來識別日誌消息的源應用程序,然後使用特定於應用程序的規則來分析數據。以下是檢測SSH驗證失敗事件的規則示例:
該規則包括壹個匹配字段,該字段定義了規則將查找的模式。它還有壹個級別字段,用於指定生成的警報的優先級。
每當通過syslog收集的代理或事件與級別大於零的規則匹配時,manager將生成警報。
以下是/var/ossec/logs/alerts/alerts . JSON中的壹個示例:
壹旦由管理器生成,警報就被發送到彈性堆棧組件,在那裏通過存儲和索引地理位置信息來豐富它。然後,Kibana可以用於搜索、分析和可視化數據。警告顯示在以下界面中:
Wazuh提供了定期更新的默認規則集,為不同的應用程序提供了超過1600條規則。
第三,文件完整性監控
當操作系統和應用程序文件被修改時,文件完整性監控(FIM)組件會檢測並發出警報。此功能通常用於檢測對敏感數據的訪問或更改。如果您的服務器在PCI DSS的範圍內,11.5的要求表明您必須安裝文件完整性監控解決方案才能通過審核。
以下是受監控文件發生更改時生成警告的示例。元數據包括MD5和SHA1校驗和、文件大小(更改前和更改後)、文件權限、文件所有者、內容更改以及誰進行了這些更改。文件完整性監控
FIM儀表板提供了深入查看功能,可以查看觸發警報的所有詳細信息,從中可以找到文件更改的良好摘要。
第四,rootkit檢測
Wazuh代理定期掃描監控系統,以檢測內核和用戶級別的rootkit。這種惡意軟件通常會替換或更改現有的操作系統組件,以改變系統的行為。Rootkit可以隱藏其他進程、文件或網絡連接,就像它自己壹樣。
Wazuh使用不同的檢測機制來發現系統異常或已知的入侵。這由Rootcheck組件定期完成:
以下是發現隱藏進程時生成的警報示例。在本例中,受影響的系統正在運行Linux內核級rootkit(名為Diamorph):
動詞 (verb的縮寫)安全策略監控
SCAP是針對企業基礎設施的標準化合規性檢查解決方案。它是由美國國家標準與技術研究所(NIST)維護的壹組規範,旨在維護企業系統的安全性。
OpenSCAP是壹個審計工具,它利用了可擴展配置清單描述格式(XCCDF)。XCCDF是壹種標準方法,用於表達檢查表的內容和定義安全檢查表。它還與其他規範(如CPE、CVE、CCE和OVAL)相結合,創建壹個可由經過scap驗證的產品處理的scap表示的清單。
Wazuh代理在內部使用OpenSCAP來驗證系統是否符合CIS強化標準。以下是壹個SCAP規則示例,用於檢查SSH守護程序是否配置為允許空密碼:
SCAP檢查定期運行(默認情況下每天壹次),結果被設置到Wazuh服務器,在那裏通過OpenSCAP解碼器和規則進行處理。以下是Linux審計策略(auditd)未配置為監視用戶操作時生成的警告示例:
此外,Wazuh WUI還可以用來可視化和分析掃描結果的政策監測。例如,以下是使用服務器基準和PCI DSS v3預定義配置文件掃描CentOS系統時收集的數據的屏幕截圖: