قابلیت های راهکار Wazuh

Wazuh یک پلتفرم رایگان و Open Source بوده که دارای قابلیت‌‌های مختلفی نظیر پیشگیری، شناسایی و پاسخگویی به تهدیدات است.

معرفی راهکار Wazuh

Wazuh یک پلتفرم رایگان و Open Source بوده که دارای قابلیت‌‌های مختلفی نظیر پیشگیری، شناسایی و پاسخگویی به تهدیدات است. به بیانی دیگر، این پلتفرم توانایی محافظت از محیط‌های مختلفی مانند شبکه‌های داخلی، شبکه‌های مجازی‌سازی‌شده (Virtualization)، کانتینرهای داکر و محیط‌های ابری را در خود دارد.

معماری راهکار مذکور یک معماری کلاینت سروری است به این صورت که داده های مورد نیاز را از روی دستگاه ها و ماشین های موجود در شبکه از طریق یک Agent و یا حتی AgentLess (بدون نیاز به نصب Agent) جمع آوری کرده و به سیستم‌های یک سرور مرکزی با نام سرور Management ارسال می کند.

این سرور داده‌های ارسالی از سوی Agent ها را نگهداری و تحلیل می‌کند. نکته مهم و حايز اهمیت در مورد این راهکار این است که، به طور کامل با Elastic Stack ادغام شده و دارای یک Search Engine و Data Visualization بوده تا بدین ترتیب قابلیت مشاهده و جست و جو در هشدارهای امنیتی را به کاربران ارائه دهد.

wazuh و مولفه ها و ارتباطات آنها با یکدیگر
تصویر1- مولفه‌های راهکار Wazuh و ارتباط آن‌ها با یکدیگر

قابلیت‌ها و مولفه‌های Wazuh که در شکل فوق مشاهده می‌شود، در ادامه تشریح شده است.
  • Security Analysis

Wazuh برای جمع آوری، Index ، تجزیه و تحلیل داده های امنیتی استفاده می شود و  به سازمان ها کمک می‌کند تا نفوذها، تهدیدها و ناهنجاری های رفتاری را تشخیص دهند. از آنجایی که هرروزه تهدیدات سایبری پیچیده تر می‌شوند ، برای ردیابی و ارزیابی امنیتی، نیاز است که به صورت real-time داده ها مانیتور شوند. به همین دلیل  Agent های Wazuh توانایی نظارت لازم را فراهم  و همچنین در سرور نیز با وجود اطلاعات امنیتی و پایگاه داده ها و Intelligence های مختلف، امکان تجزیه و تحلیل داده‌ها را فراهم می‌سازد.

  • Intrusion Detection

Agentهای Wazuh سیستم‌های تحت نظارت را با هدف یافتن بدافزار ، روت کیت و ناهنجاری‌های مشکوک جستجو و بررسی می‌کنند. آن‌ها می‌توانند فایل‌های پنهان ، پراسس‌های پنهان یا شبکه‌های Untrust و … را تشخیص دهند. علاوه بر قابلیت های Agent ،سرور مرکزی نیز از روش Signature Base برای تشخیص نفوذ استفاده می‌کند.

  • Log Data Analysis

Agentهای Wazuh لاگ‌های تولیدی توسط سیستم‌عامل و برنامه‌ها را خوانده و پس از رمزگذاری به سمت سرور Wazuh جهت تجزیه و تحلیل ارسال می‌کند. همچنین سرور وازو قابلیت ذخیره سازی این داده ها را دارد. بر این اساس، در سرور مرکزی قوانین و یا Rule هایی وجود دارد که به تحلیل گران کمک می کند تا از  خطاهای سیستمی، پیکربندی های نادرست (Misconfiguration)، فعالیت های مخرب و … آگاه شده و نسبت به آنها واکنش مناسب را نشان دهند.

  • File Integrity Monitoring

Wazuh اجزای مختلف فایل‌سیستم را کنترل کرده و تغییرات محتوا، مجوزها، مالکیت و خصیصه‌های دایرکتوری‌ها را شناسایی، و براساس آن، هشدار یا گزارش صادر می‌کند. علاوه بر این، می‌تواند کاربران Local یا کاربرانی که دایرکتوری یا فایلی را ایجاد یا اصلاح کرده اند را شناسایی کند.

  • Vulnerability Detection

Agentهای Wazuh برای شناسایی آسیب‌پذیری‌های موجود برروی سیستم‌عامل و نرم‌افزارها، اطلاعات را به سمت سرور ارسال کرده و سرور نیز باتوجه به پایگاه‌داده‌ی خود، موارد را اسکن و آسیب‌پذیری‌ها را نمایش می‌دهد. همچنین این آسیب پذیری ها به طور مداوم به روز رسانی می‌شوند.

  • Configuration Assessment

Wazuh تنظیمات پیکربندی سیستم و برنامه را کنترل می‌کند تا از مطابقت آنها با سیاست های امنیتی و استانداردها اطمینان حاصل کند. Agentها به‌صورت دوره‌ای اسکن می‌کنند تا برنامه‌هایی را که به عنوان یک عامل آسیب پذیر شناخته شده اند را شناسایی کنند. این عوامل آسیب پذیر شامل برنامه های بدون وصله یا دارای پیکربندی های ناامن می‌باشند. علاوه بر این، بررسی های پیکربندی را می توان به صورت سفارشی انجام داد و آنها را متناسب با مقررات سازمان تنظیم کرد.

  • Incident Response

این بخش تعدادی اسکریپت از پیش تعیین شده دارد که در صورت وقوع موارد احتمالی که وقوع آنها پیشبینی شده است، اجرا شده و تغییراتی را اعمال می‌کنند. همچنین می‌توان این اسکریپت‌ها را اضافه یا کم کرد و با توجه به شرایط و سیاست‎‌های یک سازمان، آن‌ها را شخصی‌سازی کرد.

  • Regulatory Compliance

Wazuh برخی از کنترل‌های امنیتی لازم را جهت انطباق با استانداردها و مقررات بررسی می‌کند. این ویژگی‌ها ، همراه با مقیاس پذیری و پشتیبانی چند پلتفرمی، به سازمان‌ها کمک می‌کند تا شرایط انطباق فنی را برآورده سازند. این قابلیت Wazuh می تواند توسط شرکت‌های مرتبط با صنعت پرداخت و موسسات مالی جهت تأمین الزامات PCI DSS (استاندارد کارت داده صنعت پرداخت) مورد استفاده قرار گیرد.

  • Cloud Security

Wazuh به مانیتور کردن زیرساخت‌های ابری کمک می‌کند و از ماژول‌های مختلفی برای دریافت داده‌های امنیتی از سرویس های ابری نظیر گوگل، مایکروسافت و آمازون جهت شناسایی نقاط ضعف احتمالی استفاده می‌کند.

  • Containers Security

Wazuh قابلیت شناسایی تهدیدات، آسیب پذیری‌ها و ناهنجاری‌ها را بر روی بستر داکر (Docker) دارد. Agentهای Wazuh با هسته اصلی Docker سازگار بوده و به کاربران امکان می دهد تا Imageها، تنظیمات شبکه و Container ها را کنترل کنند.

نویسنده: احمدرضا نوروزی

منبع: شرکت فناوری راه نو سورین