Wazuh Grundsätliches

Aus Xinux Wiki
Zur Navigation springen Zur Suche springen

Wazuh - Open-Source-Sicherheitsplattform

Einleitung

  • Wazuh ist eine Open-Source-Sicherheitsplattform zur Erkennung von Bedrohungen, Sicherheitsüberwachung und Reaktion auf Sicherheitsvorfälle.
  • Es kombiniert Intrusion Detection (HIDS), Log-Analyse, Schwachstellenmanagement und Compliance-Überprüfung in einer zentralen Lösung.

Architektur

  • Wazuh besteht aus mehreren Kernkomponenten:

Wazuh-Server

  • Der Wazuh-Server übernimmt die Verarbeitung, Analyse und Speicherung von Ereignissen. Er besteht aus:
    • Manager: Verarbeitet und analysiert Sicherheitsereignisse und generiert Alarme.
    • Index-Storage (Elasticsearch oder OpenSearch): Speichert und indiziert Ereignisse.
    • Dashboard (Kibana oder OpenSearch-Dashboard): Grafische Oberfläche zur Visualisierung und Analyse von Sicherheitsdaten.

Wazuh-Agent

  • Der Wazuh-Agent wird auf Endpunkten installiert und sammelt sicherheitsrelevante Daten. Funktionen:
    • Überwachung von Systemlogs, Konfigurationsdateien und Systemaufrufen.
    • Erkennung von Rootkits, Malware und verdächtigem Verhalten.
    • Integritätsprüfung von Dateien und Erkennung von Anomalien.
    • Unterstützung für Linux, Windows, OPNsense und macOS.

Wazuh-Integration mit SIEM

  • Wazuh kann mit verschiedenen SIEM-Lösungen integriert werden, um erweiterte Analysen durchzuführen. Unterstützte Systeme:
    • ELK-Stack (Elasticsearch, Logstash, Kibana)
    • OpenSearch-Stack
    • Splunk
    • Weitere SIEM-Plattformen

Funktionen

  • Wazuh bietet umfassende Sicherheitsfunktionen:

Host Intrusion Detection System (HIDS)

  • Wazuh agiert als HIDS durch Überwachung und Analyse von:
  • Betriebssystem-Logs (Syslog, Windows Event Log)
  • Anwendungsevents (Apache, Nginx, MySQL etc.)
  • Sicherheitskonfigurationsprüfung (CIS-Benchmarks, Compliance-Checks)

Schwachstellenmanagement

  • Wazuh erkennt Sicherheitslücken in Softwarepaketen und Betriebssystemen durch:
  • Automatische Abfrage von CVE-Datenbanken.
  • Vergleich installierter Software mit bekannten Schwachstellen.
  • Benachrichtigung bei entdeckten Sicherheitsrisiken.

Bedrohungsintelligenz

  • Durch die Integration von Threat-Intelligence-Quellen kann Wazuh bekannte Bedrohungen identifizieren. Unterstützte Quellen:
  • MISP (Malware Information Sharing Platform)
  • AlienVault OTX
  • Virustotal

Compliance-Überprüfung

  • Wazuh unterstützt Organisationen bei der Einhaltung von Sicherheitsrichtlinien wie:
  • PCI DSS
  • GDPR
  • HIPAA
  • NIST 800-53

Wazuh-API

  • Die RESTful API ermöglicht Automatisierung und Integration in andere Sicherheitslösungen. Funktionen:
  • Verwaltung und Abfrage von Agenten.
  • Suche in Alarm- und Ereignisprotokollen.
  • Automatische Konfigurationsänderungen.

Fazit

  • Wazuh ist eine leistungsstarke Open-Source-Sicherheitsplattform für Intrusion Detection, Security Monitoring und Compliance-Management.
  • Durch seine Integration mit SIEM-Lösungen und Bedrohungsdatenbanken eignet es sich für Unternehmen jeder Größe zur Verbesserung der IT-Sicherheit.
Abgerufen von „http://wiki.ixheim.de/index.php?title=Wazuh_Grundsätliches&oldid=59591