wazuh چیست؟

wazuh چیست

معرفی راهکار Wazuh

در پاسخ به این سوال که Wazuh چیست می‌توان پاسخ داد که یک پلتفرم رایگان و Open Source بوده که دارای قابلیت‌‌های مختلفی نظیر پیشگیری، شناسایی و پاسخگویی به تهدیدات است. به بیانی دیگر، این پلتفرم توانایی محافظت از محیط‌های مختلفی مانند شبکه‌های داخلی، شبکه‌های مجازی‌سازی‌شده (Virtualization)، کانتینرهای داکر و محیط‌های ابری را در خود دارد.

معماری راهکار مذکور یک معماری کلاینت سروری است. در این معماری، داده های مورد نیاز بر روی Endpointها جمع آوری می‌شود (به کمک Agent یا Agent less). سپس به سمت یک  سرور مرکزی با نام  Management ارسال می‌گردد.

این سرور داده‌های ارسالی از سوی Agent ها را نگهداری و تحلیل می‌کند. نکته مهم و حايز اهمیت در مورد این راهکار این است که، به طور کامل با Elastic Stack و Splunk ادغام شده و دارای یک Search Engine و Data Visualization بوده تا بدین ترتیب قابلیت مشاهده و جست و جو در هشدارهای امنیتی را به کاربران ارائه دهد.

تشریح قابلیت های Wazuh موجود در شکل بالا

• Security Analysis

این محصول، قابلیت جمع آوری، Index و تجزیه و تحلیل داده ها را دارد. این تکنولوژی به سازمان ها در جهت شناسایی نفوذها، تهدیدها و ناهنجاری های رفتاری کمک می‌کند. از آنجایی که هر روزه تهدیدات سایبری پیچیده تر می‌شوند ، برای ردیابی و ارزیابی امنیتی، نیاز است که به صورت real-time داده ها مانیتور شوند. به همین دلیل  Agent های Wazuh توانایی نظارت لازم را فراهم  و همچنین در سرور نیز با وجود اطلاعات امنیتی و پایگاه داده ها و Intelligence های مختلف، امکان تجزیه و تحلیل داده‌ها را فراهم می‌سازد.

• Intrusion Detection

Agentهای Wazuh سیستم‌های تحت نظارت را با هدف یافتن بدافزار ، روت کیت و ناهنجاری‌های مشکوک جستجو و بررسی می‌کنند. آن‌ها می‌توانند فایل‌های پنهان ، پراسس‌های پنهان یا شبکه‌های Untrust و … را تشخیص دهند. علاوه بر قابلیت های Agent ،سرور مرکزی نیز از روش Signature Base برای تشخیص نفوذ استفاده می‌کند.

• Log Data Analysis

Agentها، لاگ‌های تولیدی توسط سیستم‌ عامل ها و سرویس ها را می‌خوانند و آنها را رمزگذاری می‌کنند. سپس آنها به سمت سرور Wazuh جهت تجزیه و تحلیل ارسال می‌شوند. همچنین، سرور وازو قابلیت ذخیره این داده ها را دارد. بر این اساس، در سرور مرکزی قوانین و یا Rule هایی وجود دارد که به تحلیل گران کمک می کند تا از  خطاهای سیستمی، پیکربندی های نادرست (Misconfiguration)، فعالیت های مخرب و … آگاه شده و نسبت به آنها واکنش مناسب را نشان دهند.

• File Integrity Monitoring

Wazuh اجزای مختلف فایل‌سیستم را کنترل کرده و تغییرات محتوا، مجوزها، مالکیت و خصیصه‌های دایرکتوری‌ها را شناسایی، و براساس آن، هشدار یا گزارش صادر می‌کند. علاوه بر این، می‌تواند کاربران Local یا کاربرانی که دایرکتوری یا فایلی را ایجاد یا اصلاح کرده اند را شناسایی کند.

• Vulnerability Detection

Agentهای Wazuh برای شناسایی آسیب‌پذیری‌های موجود برروی سیستم‌عامل و نرم‌افزارها، اطلاعات را به سمت سرور ارسال کرده و سرور نیز باتوجه به پایگاه‌داده‌ی خود، موارد را اسکن و آسیب‌پذیری‌ها را نمایش می‌دهد. همچنین این آسیب پذیری ها به طور مداوم به روز رسانی می‌شوند.

• Configuration Assessment

Wazuh تنظیمات پیکربندی سیستم و برنامه را کنترل می‌کند تا از مطابقت آنها با سیاست های امنیتی و استانداردها اطمینان حاصل کند. Agentها به‌صورت دوره‌ای سیستم ها را اسکن می‌کنند. در نتیجه، برنامه‌های  آسیب پذیر شناسایی می‌شوند. این عوامل آسیب پذیر شامل برنامه های بدون وصله یا دارای پیکربندی های ناامن می‌باشند. علاوه بر این، بررسی های پیکربندی را می توان به صورت سفارشی انجام داد و آنها را متناسب با مقررات سازمان تنظیم کرد.

• Incident Response

این ماژول حاوی اسکریپت های از پیش تعیین شده ای است که در صورت وقوع موارد احتمالی پیشبینی شده، اجرا می‌شوند و تغییراتی را اعمال می‌کنند. همچنین می‌توان این اسکریپت‌ها را اضافه یا کم کرد و با توجه به شرایط و سیاست‎‌های یک سازمان، آن‌ها را شخصی‌سازی کرد.

• Regulatory Compliance

Wazuh برخی از کنترل‌های امنیتی لازم را جهت انطباق با استانداردها و مقررات بررسی می‌کند. این ویژگی‌ها ، همراه با مقیاس پذیری و پشتیبانی چند پلتفرمی، به سازمان‌ها کمک می‌کند تا شرایط انطباق فنی را برآورده سازند. این قابلیت Wazuh در شرکت‌های مرتبط با صنعت پرداخت و موسسات مالی استفاده می‌شود. به عنوان مثال، PCI DSS در جهت تأمین الزامات امنیتی صنعت پرداخت می‌باشد.

• Cloud Security

Wazuh به مانیتور کردن زیرساخت‌های ابری کمک می‌کند و از ماژول‌های مختلفی برای دریافت داده‌های امنیتی از سرویس های ابری نظیر گوگل، مایکروسافت و آمازون جهت شناسایی نقاط ضعف احتمالی استفاده می‌کند.

• Containers Security

Wazuh قابلیت شناسایی تهدیدات، آسیب پذیری‌ها و ناهنجاری‌ها را بر روی بستر داکر (Docker) دارد. Agentهای Wazuh با هسته اصلی Docker سازگار بوده و به کاربران امکان می دهد تا Imageها، تنظیمات شبکه و Container ها را کنترل کنند.

نویسنده: احمدرضا نوروزی

منبع: شرکت فناوری راه نو سورین

موضوع: Wazuh چیست؟