قابلیت های راهکار Wazuh

Wazuh یک پلتفرم رایگان و Open Source بوده که دارای قابلیت‌‌های مختلفی نظیر پیشگیری، شناسایی و پاسخگویی به تهدیدات است.

Wazuh یک پلتفرم رایگان و Open Source بوده که دارای قابلیت‌‌های مختلفی نظیر پیشگیری، شناسایی و پاسخگویی به تهدیدات است. به بیانی دیگر، این پلتفرم توانایی محافظت از محیط‌های مختلفی مانند شبکه‌های داخلی، شبکه‌های مجازی سازی شده (Virtualization)، کانتینرهای داکر و محیط‌های ابری را در خود دارد.

معماری راهکار مذکور یک معماری کلاینت سروری است به این صورت که داده های مورد نیاز را از روی دستگاه ها و ماشین های موجود در شبکه از طریق یک Agent و یا حتی AgentLess (بدون نیاز به نصب Agent) جمع آوری کرده و به سیستم‌های یک سرور مرکزی با نام سرور Management ارسال می کند؛ که این سرور داده‌های ارسالی از سوی Agent ها را نگهداری و تحلیل می‌کند. نکته مهم و حايز اهمیت در مورد این راهکار این است که، به طور کامل با Elastic Stack ادغام شده و دارای یک Search Engine و Data Visualization بوده تا بدین ترتیب قابلیت مشاهده و جست و جو در هشدارهای امنیتی را به کاربران ارائه دهد.

تصویر1- مولفه‌های راهکار Wazuh و ارتباط آن‌ها با یکدیگر

قابلیت‌ها و مولفه‌های Wazuh که در شکل نیز مشاهده می‌شود، در ادامه تشریح شده است.

  • Security Analysis

Wazuh برای جمع آوری، Index ، تجزیه و تحلیل داده های امنیتی استفاده می شود و  به سازمان ها کمک می‌کند تا نفوذها، تهدیدها و ناهنجاری های رفتاری را تشخیص دهند. از آنجایی که هرروزه تهدیدات سایبری پیچیده تر می‌شوند ، برای ردیابی و ارزیابی امنیتی، نیاز است که به صورت real-time داده ها مانیتور شوند. به همین دلیل  Agent های Wazuh توانایی نظارت لازم را فراهم  و همچنین در سرور نیز با وجود اطلاعات امنیتی و پایگاه داده ها و Intelligence های مختلف، امکان تجزیه و تحلیل داده‌ها را فراهم می‌سازد.

  • Intrusion Detection

Agentهای Wazuh سیستم‌های تحت نظارت را با هدف یافتن بدافزار ، روت کیت و ناهنجاری‌های مشکوک جستجو و بررسی می‌کنند. آن‌ها می‌توانند فایل‌های پنهان ، پراسس‌های پنهان یا شبکه‌های Untrust و … را تشخیص دهند. علاوه بر قابلیت های Agent ،سرور مرکزی نیز از روش Signature Base برای تشخیص نفوذ استفاده می‌کند.

  • Log Data Analysis

Agent های Wazuh لاگ‌های تولید شده توسط سیستم عامل و برنامه‌ها را خوانده و پس از رمز کردن، آن‌ها را به سمت سرور مرکزی Wazuh جهت تجزیه و تحلیل و ذخیره سازی ارسال می‌کند. بر این اساس، در سرور مرکزی قوانین و یا Rule هایی وجود دارد که به تحلیل گران کمک می کند تا از  خطاهای سیستمی، پیکربندی های نادرست (Misconfiguration)، فعالیت های مخرب و … آگاه شده و نسبت به آنها واکنش مناسب را نشان دهد.

  • File Integrity Monitoring

Wazuh، می‌تواند اجزای مختلف فایل سیستم را کنترل کرده و تغییرات محتوا، مجوزها، مالکیت و خصیصه های دایرکتوری های را شناسایی کند و بر اساس آن هشدار یا گزارش مربوطه را صادر کند. علاوه بر این، می‌تواند کاربران Local یا کاربرانی که دایرکتوری یا فایلی را ایجاد یا اصلاح کرده اند را شناسایی کند.

  • Vulnerability Detection

Agent های Wazuh برای شناسایی آسیب‌پذیری‌های احتمالی موجود بر روی سیستم عامل و نرم افزارها، اطلاعات را به سمت سرور ارسال کرده و سرور نیز با توجه به پایگاه داده‌ی موجود، موارد را اسکن و آسیب پذیری ها را نمایش می‌دهد. همچنین این آسیب پذیری ها به طور مداوم به روز رسانی می‌شوند.

  • Configuration Assessment

Wazuh تنظیمات پیکربندی سیستم و برنامه را کنترل می‌کند تا از مطابقت آنها با سیاست های امنیتی، استانداردها و یا راهنماهای سخت افزاری اطمینان حاصل کند. Agentها به‌صورت دوره‌ای اسکن انجام می‌دهند تا برنامه‌هایی را که به عنوان یک عامل آسیب پذیر، بدون وصله یا دارای پیکربندی های ناامن شناخته شده اند را شناسایی کنند. علاوه بر این، بررسی های پیکربندی را می توان به صورت سفارشی انجام داد و آنها را متناسب با سازمان تنظیم کرد.

  • Incident Response

در این بخش تعدادی اسکریپت از پیش تعیین شده در Wazuh وجود دارد که در صورت وقوع مواردی که از پیش مشخص شده یا برای وقوع آنها برنامه ریزی شده است، اجرا می‌شوند و می‌توانند تغییراتی را اعمال کنند. همچنین می‌توان این اسکریپت‌ها را اضافه یا کم کرد و با توجه به شرایط و سیاست‎‌های یک سازمان، آن‌ها را شخصی‌سازی کرد.

  • Regulatory Compliance

Wazuh برخی از کنترل‌های امنیتی لازم را جهت انطباق با استانداردها و مقررات بررسی می‌کند. این ویژگی‌ها ، همراه با مقیاس پذیری و پشتیبانی چند پلتفرمی، به سازمان‌ها کمک می‌کند تا شرایط انطباق فنی را برآورده سازند. این قابلیت Wazuh می تواند توسط شرکت‌های مرتبط با صنعت پرداخت و موسسات مالی جهت تأمین الزامات PCI DSS (استاندارد کارت داده صنعت پرداخت) مورد استفاده قرار گیرد.

  • Cloud Security

Wazuh به مانیتور کردن زیرساخت‌های ابری کمک می‌کند و از ماژول‌های مختلفی برای دریافت داده‌های امنیتی از سوی ارایه دهندگان سرویس های ابری نظیر گوگل، مایکروسافت و آمازون جهت شناسایی نقاط ضعف احتمالی استفاده می‌کند.

  • Containers Security

Wazuh قابلیت شناسایی تهدیدات، آسیب پذیری‌ها و ناهنجاری‌ها را بر روی بستر داکر (Docker) دارد. Agentهای Wazuh با هسته اصلی Docker سازگار بوده و به کاربران امکان می دهد تا Imageها، تنظیمات شبکه و Container های در حال اجرا را کنترل کنند.

نویسنده: احمدرضا نوروزی

منبع: شرکت فناوری راه نو سورین