Wazuh ist eine Open-Source-Sicherheitsplattform, die Organisationen dabei helfen soll, Sicherheitsvorfälle zu überwachen und zu verwalten , Bedrohungen zu erkennen und die Einhaltung von Sicherheitsvorschriften sicherzustellen . Sie bietet Funktionen zur Erkennung von Angriffen , Protokollanalyse , Schwachstellenerkennung und Bedrohungsaufklärung . Ursprünglich aus dem OSSEC-Projekt hervorgegangen , hat sich Wazuh zu einer umfassenden Sicherheitslösung mit zusätzlichen Funktionen und Verbesserungen entwickelt.
Wazuh-Funktionen
Wazuh bietet mehrere wichtige Funktionen, die es zu einer umfassenden Sicherheitsplattform für Unternehmen machen:
- Intrusion Detection and Prevention (IDS/IPS) : Wazuh bietet Echtzeitanalysen von Sicherheitsereignissen und Warnungen, sodass Unternehmen verdächtige Aktivitäten, unbefugte Zugriffsversuche, Malware-Infektionen und andere potenzielle Sicherheitsbedrohungen erkennen und darauf reagieren können.
- Protokollanalyse und -überwachung : Wazuh sammelt und analysiert Protokolle aus verschiedenen Quellen, darunter Systemprotokolle, Anwendungsprotokolle, Netzwerkprotokolle und Sicherheitsereignisprotokolle. Es bietet zentralisierte Protokollverwaltung, Korrelation und Normalisierung, um Sicherheitsvorfälle und Betriebsprobleme zu identifizieren.
- Dateiintegritätsüberwachung (FIM) : Wazuh überwacht kritische Systemdateien, Verzeichnisse und Konfigurationen auf unbefugte Änderungen, Modifikationen oder Manipulationen. Dies hilft Organisationen, potenzielle Sicherheitsverletzungen, Insider-Bedrohungen oder unbefugte Systemänderungen zu erkennen.
- Schwachstellenerkennung : Wazuh kann Schwachstellenbewertungen und -scans auf überwachten Hosts durchführen, um Sicherheitslücken, Fehlkonfigurationen und Schwächen zu identifizieren, die von Angreifern ausgenutzt werden könnten. Es lässt sich in Schwachstellendatenbanken und -feeds integrieren, um aktuelle Informationen zu bekannten Schwachstellen bereitzustellen.
- Sicherheitskonformitätsprüfung : Wazuh unterstützt Unternehmen bei der Einhaltung von Branchenvorschriften, Standards und Best Practices, indem es vorgefertigte Compliance-Vorlagen, Richtlinien und Regelsätze bereitstellt. Es kann Berichte, Warnungen und Benachrichtigungen generieren, um Stakeholder über Compliance-Verstöße und die Sicherheitslage zu informieren.
- Integration von Bedrohungsinformationen : Wazuh lässt sich in Bedrohungsinformationen-Feeds, Datenbanken und Quellen integrieren, um Sicherheitsdaten mit Kontext zu bekannten Bedrohungen, Indikatoren für Kompromittierung (IOCs), Malware-Signaturen und bösartigen IP-Adressen anzureichern. Dies hilft Unternehmen dabei, Sicherheitsrisiken proaktiv zu identifizieren und zu mindern.
- Zentralisierte Verwaltung und Überwachung : Wazuh bietet eine zentralisierte Verwaltungskonsole für die Konfiguration, Bereitstellung und Überwachung von Agenten in verteilten Umgebungen. Es bietet eine webbasierte grafische Benutzeroberfläche, Befehlszeilentools und APIs für eine einfache Verwaltung und Automatisierung.
- Skalierbarkeit und Flexibilität : Wazuh ist für die Skalierung von kleinen bis hin zu großen Umgebungen konzipiert und unterstützt Tausende von Agenten und Geräten. Es kann vor Ort, in der Cloud oder in Hybridumgebungen eingesetzt werden und bietet die nötige Flexibilität, um den Anforderungen unterschiedlicher Organisationen und Infrastrukturen gerecht zu werden.
- Open-Source und Community-Support : Wazuh ist Open-Source-Software, die von einer aktiven Community aus Entwicklern, Mitwirkenden und Benutzern unterstützt wird. Es bietet Community-Foren, Dokumentation und Ressourcen für Support, Fehlerbehebung und Wissensaustausch.
Diese wesentlichen Funktionen machen Wazuh zu einer leistungsstarken und vielseitigen Sicherheitsplattform für Unternehmen, die ihre Cybersicherheitslage verbessern, ihre Fähigkeiten zur Bedrohungserkennung und -reaktion verbessern und die Einhaltung gesetzlicher Anforderungen aufrechterhalten möchten.
Wazuh wird häufig von Organisationen verwendet, die ihre Sicherheitslage verbessern möchten, indem sie mehr Einblick in ihre IT-Umgebungen erhalten, Sicherheitsvorfälle umgehend erkennen und darauf reagieren und die Einhaltung von Branchenvorschriften wie PCI-DSS , DSGVO , HIPAA usw. gewährleisten. Darüber hinaus kann Wazuh in andere Sicherheitstools und -plattformen integriert werden, wodurch seine Funktionen und Interoperabilität innerhalb bestehender Sicherheitsinfrastrukturen verbessert werden.
Darüber hinaus integriert Wazuh erweiterte Funktionen im Zusammenhang mit Cloud-Sicherheit, einschließlich Containersicherheit und Workload-Schutz, die es zu einem umfassenden XDR machen.
Endgerätesicherheit
Wazuh bietet Funktionen zur Bedrohungsprävention, -erkennung und -reaktion. Die auf Endpunkten installierten Wazuh-Agenten führen Folgendes aus:
- Sicherheitsdaten sammeln.
- Melden Sie Fehlkonfigurationen und Sicherheitsprobleme.
- Dateisystem überwachen und Änderungen melden.
Neben der Sicherheitstransparenz und Überwachung von Endpunkten bietet Wazuh Selbstverteidigungsfunktionen und automatisierte Reaktionen auf erkannte Bedrohungen. Die Wazuh-Lösung kann Reaktionsaktionen wie das Entfernen schädlicher Dateien , das Blockieren schädlicher Netzwerkverbindungen und andere Gegenmaßnahmen durchführen.
Sicherheitsoperationen
Ein wichtiges Merkmal eines XDR ist seine Fähigkeit, Daten aus mehreren Quellen zu aggregieren, zu normalisieren und zu korrelieren. Wazuh sammelt große Mengen von Ereignissen auf verschiedenen Geräten und analysiert sie, um wertvolle Sicherheitsinformationen zu generieren.
Die Sicherheitsagenten verfügen über ein Modul zur Anomalie- und Malware-Erkennung , das abnormale und bösartige Ereignisse auf Endpunkten erkennt.
Wazuh unterstützt die Einhaltung gesetzlicher Vorschriften durch die Verwendung von Regelsätzen, die sorgfältig auf die Compliance-Anforderungen abgestimmt sind. Wazuh bietet sofort einsatzbereite Unterstützung für Compliance-Frameworks wie PCI DSS, HIPAA, DSGVO, NIST SP 800–53 und TSC.
Bedrohungsinformationen
Cybersicherheitsforscher und Bedrohungsakteure finden und nutzen weiterhin Schwachstellen in Computersystemen. Daher ist es für Unternehmen wichtig, sich über alte und neue Schwachstellen in ihrer IT-Infrastruktur im Klaren zu sein.
Wazuh verfügt über ein integriertes Modul zur Erkennung von Schwachstellen, das installierte Anwendungen regelmäßig auf Schwachstellen überprüft. Es korreliert die von den Endpunkten empfangenen Daten mit aktuellen CVE-Datenbanken (Common Vulnerabilities and Exposure) und bietet Sicherheitstransparenz.
Die Wazuh-Lösung umfasst außerdem das MITRE ATT&CK-Framework, um gegnerische Taktiken, Techniken und Verfahren (TTPs) in einer Unternehmensumgebung schnell zu erkennen und zu suchen. Ereigniswarnungen werden der zugehörigen MITRE ATT&CK-Technik zugeordnet, um nützliche Informationen einzuschließen.
Cloud-Sicherheit
Unternehmen verlassen sich beim Hosten ihrer Dienste zunehmend auf Cloud-native Lösungen. Wazuh bietet in diesem Zusammenhang nicht nur Echtzeitschutz für lokale Workloads, sondern auch für die Cloud-Infrastruktur.
Es kann in Cloud-Dienste wie Google Cloud Platform (GCP), Amazon Web Services (AWS) und Microsoft Azure integriert werden, um diesen Infrastrukturen Sicherheit auf Cloud-Ebene zu bieten. Die Wazuh-Lösung geht noch einen Schritt weiter und berücksichtigt containerisierte Workloads, indem sie Schutz für gängige Technologien wie Docker und Kubernetes bietet.
1. Installation von Wazuh
Bevor Sie mit der Bereitstellung der Plattform fortfahren, müssen Sie unbedingt ihr Betriebsmodell verstehen.
Wazuh übernimmt das für SIEMs (Security Information and Event Management Systems) typische Betriebsmodell. Dieses System basiert auf einer Agent/Manager-Architektur, bei der Agenten für das Sammeln verschiedener Protokolle von Endpunkten, einschließlich unserer Client-Rechner, verantwortlich sind.
Parallel dazu ruft der Manager von diesen Agenten generierte Ereignisse ab, verarbeitet und korreliert sie, um eine klarere und verständlichere Ansicht zu präsentieren.
Komponenten von Wazuh:
Die Plattform besteht aus drei Hauptkomponenten:
- Wazuh-Indexer : Der Wazuh-Indexer ist eine zentrale Komponente von Wazuh. Er indiziert und speichert vom Wazuh-Server generierte Warnmeldungen, bietet Datensuch- und -analysefunktionen nahezu in Echtzeit und ermöglicht so eine schnelle und effiziente Datensuche, während gleichzeitig die Analyse der vom Wazuh-Server generierten Warnmeldungen erleichtert wird.
- Wazuh-Server: Der Wazuh-Server führt eine eingehende Analyse der Daten von Agenten (Komponenten, die Protokolle von Endpunkten sammeln) durch und verarbeitet diese Informationen mithilfe von Bedrohungsinformationen.
Er zeichnet sich durch seine Fähigkeit aus, große Datenmengen von Tausenden von Agenten zu verarbeiten, und kann als Cluster erweitert werden, um wachsenden Anforderungen gerecht zu werden.
Darüber hinaus spielt er eine entscheidende Rolle bei der Agentenverwaltung und ermöglicht Remote-Konfigurationen, eine wesentliche Funktion zur Gewährleistung proaktiver und optimaler Sicherheit. - Wazuh Dashboard : Das Wazuh Dashboard dient als Web-Benutzeroberfläche für Visualisierung, Analyse und Datenverwaltung.
Es bietet unter anderem spezielle Dashboards für die Einhaltung gesetzlicher Vorschriften, Schwachstellen, Dateiintegrität, Konfigurationsbewertung sowie für Ereignisse in der Cloud-Infrastruktur. - Wazuh-Agenten: Wazuh-Agenten sind strategische Komponenten, die auf Endpunkten innerhalb eines Computernetzwerks eingesetzt werden.
Ihre zentrale Rolle besteht darin, proaktiv Daten, einschließlich Protokolle, auf den Systemen zu sammeln und zu überwachen, auf denen sie installiert sind.
Durch die zentrale Analyse dieser Daten über den Wazuh-Server gewährleisten die Agenten erweiterte Korrelation, Anomalieerkennung und Alarmgenerierung bei verdächtigen Aktivitäten.
Einrichtungsschritte für die Plattform:
Der Installationsprozess von Wazuh ist recht unkompliziert. Um dieses Ziel zu erreichen, gibt es nichts Effektiveres, als die offizielle Dokumentation zu konsultieren, die hier zugänglich ist.
Was die Voraussetzungen betrifft, ist es ratsam, mindestens über eine 8-Core-CPU und 8 GB RAM zu verfügen, bevor Sie mit der Einrichtung fortfahren.
1. Installation des Wazuh Managers
Dazu habe ich für meinen Fall eine virtuelle Maschine (VM) auf Basis von Linux-Debian vorbereitet, die als Container für unsere Plattform dienen soll.
Um spätere unangenehme Überraschungen zu vermeiden, empfehle ich, vor dem Fortfahren alle Systemabhängigkeiten mit dem folgenden Befehl zu aktualisieren:
sudo apt-get update und sudo apt-get upgrade -y
Fahren wir mit der Installation von Wazuh mit dem folgenden Befehl fort:
curl -sO https://packages.wazuh.com/4.7/wazuh-install.sh und sudo bash ./wazuh-install.sh -a
Sobald dieser Schritt abgeschlossen ist, erhalten wir Anmeldeinformationen, die uns den Zugriff auf die Plattform ermöglichen (die später geändert werden).
Greifen wir nun mit den bereitgestellten Anmeldeinformationen auf das Wazuh-Dashboard zu.
Auf Wazuh kann normalerweise über unsere lokale Adresse (localhost) über Port 443 (HTTPS) zugegriffen werden.
In einigen Fällen kann beim Zugriff auf das Wazuh-Dashboard der folgende Fehler auftreten:
Versuchen Sie in diesem Fall, die Wazuh-Komponenten mit den folgenden Befehlen in der Befehlszeile neu zu starten:
„systemctl restart wazuh-dashboard“
„systemctl restart wazuh-indexer“
„systemctl restart wazuh-manager“
Möglicherweise müssen Sie auch das Filebeat-Modul neu starten:
„systemctl restart filebeat“
Und falls Sie wie ich vergessen haben, Ihre Zugangsdaten aufzuschreiben, können Sie diese aus den Konfigurationsdateien abrufen. Nachfolgend finden Sie die Befehlszeilenanweisungen:
Lassen Sie uns zunächst die Datei „wazuh-install-files.tar “ entpacken.
Öffnen wir dann die Datei „wazuh-install-files/wazuh-passwords.txt“ über unser Terminal.
Diese Datei listet die verschiedenen Anmeldeinformationen für die Plattform auf:
Die Wazuh-Homepage sieht wie folgt aus:
Unser Manager ist also bereit, aber wir haben noch keine Agenten, die wir beaufsichtigen können. Nächster Schritt.
2. Integration von Agenten zur Überwachung
Um die Überwachung und Betreuung unserer Maschinen zu starten, fügen Sie die Client-Maschine einfach als Agent hinzu.
Wie im Screenshot oben gezeigt, ermöglicht die Plattform die Integration verschiedener Systemtypen wie Windows, Linux, MacOS sowie zusätzlicher Systeme, für die wir bei Bedarf die Anleitungen in der offiziellen Dokumentation zu Rate ziehen können.
Nachfolgend finden Sie die Bereitstellungsschritte für zwei Agenten, die auf Windows bzw. Linux basieren.
Bevor wir fortfahren, müssen wir zunächst die IP-Adresse des Wazuh-Managers ermitteln (die IP-Adresse des Computers, auf dem wir Wazuh installiert haben), da wir diese für die Bereitstellung unserer verschiedenen Agenten benötigen, da diese dadurch Protokolle an Wazuh senden können.
Die IP unserer Server-Maschine ist „ 192.168.70.50 “.
Hinweis: Wenn die IP unseres Managers mit einem Domänennamen verknüpft ist, können wir den Domänennamen direkt als Serveradresse verwenden.
Mehr lesen: Top 10 Social Media Apps und -Sites im Jahr 2024
- Bereitstellung des Windows-basierten Agenten:
Jetzt haben wir unser angepasstes Skript, das wir auf dem Windows-Client ausführen können, um es mit unserer Wazuh-Plattform zu verbinden.
Schließen wir die Schritte ab, indem wir unser Skript auf unserem Windows-Client ausführen:
Hinweis: In diesem Beispiel verwende ich zu Testzwecken eine Maschine auf Basis von Windows 10.
Öffnen Sie als Administrator ein PowerShell-Terminal und führen Sie unser Skript wie unten gezeigt aus:
Starten Sie den Dienst einfach mit dem Befehl ‘ NET START WazuhSvc ‘:
Bevor wir fortfahren, überprüfen wir, ob der Wazuh-Dienst (WazuSvc) ordnungsgemäß funktioniert, indem wir den folgenden Befehl im PowerShell-Terminal ausführen: „ Get-Service -Name WazuhSvc | Select-Object Status “:
WazuhSvc-Dienst
- Bereitstellung des Agenten basierend auf Linux, Debian:
Das Prinzip bleibt das gleiche.
Geben Sie das angepasste Skript in das Terminal der Linux-Maschine ein:
Starten Sie dann einfach die benötigten Dienste:
Installation abgeschlossen.
Vielen Dank fürs Lesen. Wenn Ihnen das geholfen hat, vergessen Sie nicht, sich für mehr anzumelden.
Bis bald !