Chương 2 Giới thiệu về giải pháp giám sát an toàn mạng Wazuh
2.1. Tổng quan giới thiệu về Wazuh
2.1.3. Ưu điểm và các ứng dụng phổ biến của Wazuh
a) Ưu nhược điểm của Wazuh
Wazuh bắt đầu như một nhánh của OSSEC, một trong những SIEM mã nguồn mở phổ biến nhất. Đã phát triển để trở thành giải pháp độc đáo của riêng mình với các tính năng mới, sửa lỗi và kiến trúc được tối ưu hóa hơn.
Wazuh được xây dựng kết hợp với Elastic Stack ( Elasticsearch, Logstash và Kibana ) và hỗ trợ cả việc thu thập dữ liệu dựa trên agent, cũng như thu thập từ syslog của hệ thống và thiết bị. Điều này làm cho Wazuh có hiệu quả hơn khi giám sát các thiết bị tạo chẳng hạn như thiết bị mạng hoặc máy in. Do Wazuh và OSSEC chia sẻ một cơ sở mã chung, Wazuh hỗ trợ các tác nhân OSSEC hiện có và thậm chí cung cấp một hướng dẫn để chuyển hệ thống từ OSSEC sang Wazuh.
Trong khi OSSEC vẫn đang được duy trì, Wazuh được coi là sự tiếp nối của OSSEC do được bổ sung giao diện người dùng web mới, API REST và nhiều cải tiến khác.
Ưu điểm của Wazuh:
- Được xây dựng và tương thích với OSSEC.
- Hỗ trợ Docker, Puppet, Chef và Ansible để triển khai.
- Hỗ trợ giám sát cơ sở hạ tầng trên nền tảng điện toán đám mây bao gồm AWS và Azure.
- Bộ quy tắc tồn diện phát hiện nhiều loại tấn cơng phổ biến và bao gồm tuân thủ với các chuẩn an tồn thơng tin PCI DSS v3.1 và CIS.
- Tích hợp với Elastic Stack và Splunk để trực quan hóa cảnh báo và dữ liệu API
Nhược điểm:
- Một số kiến trúc phức tạp: yêu cầu triển khai Elastic Stack cùng với các thành phần máy chủ Wazuh.
- Là một phần mềm mã nguồn mở nên cộng đồng hỗ trợ của Wazuh vẫn còn hạn chế.
b) Một số ứng dụng phổ biến của Wazuh
Wazuh thông thường được dùng để đáp ứng các yêu cầu tuân thủ an ninh ( như PCI DSS hoặc HIPAA ) và các tiêu chuẩn cấu hình ( CIS hardening guide ). Wazuh cũng phổ biến với các IaaS user ( ví dụ như Amazon, Azure hoặc Google cloud ), khi triển khai một host-based IDS trên một instance đang chạy có thể được tổ hợp với phân tích của các infrastructure event ( được pull trực tiếp từ cloud provider API ). Một số use case phổ biến.
Signature-based log analysis: Việc quản lý và phân tích log được tự đơng hóa để giúp việc phát hiện các mối đe dọa nhanh hơn. Có rất nhiều trường hợp nơi các bằng chứng về việc tấn cơng có thể được tìm thấy trên các log của thiết bị, hệ thống và ứng dụng. Wazuh có thể dùng để tự động tổng hợp và phân tích dữ liệu log. Wazuh agent ( chạy trên host được giám sát ) thông thường phụ trách việc đọc log message của OS và ứng dụng, sau đó chuyển tới Wazuh server, nơi việc phân tích diễn ra. Khi khơng có agent nào được triển khai, server có thể nhận dữ liệu thơng qua syslog, từ các network device hoặc ứng dụng. Wazuh dùng để giải mã để nhận dạng source app của các log message và sau đó phân tích chúng bằng các rule File integrity monitoring: Giám sát sự toàn vẹn của file, phát hiện và cảnh báo khi các file của hệ thống và ứng dụng được sửa đổi. Khả năng này thường được dùng để phát hiện việc truy cập hoặc thay đổi các dữ liệu nhạy cảm.
Rootkits detection: Wazuh agent định kỳ quét các hệ thống được giám sát để phát hiện rootkits trên cả kernel và user level. Các dạng của malware này thông thường thay thế hoặc thay đổi các thành phần OS đã có sẵn để thay đổi hành vi của hệ thống, có thể giấu các process, file hoặc kết nối mạng.
Wazuh sử dụng các phương thức khác nhau để tìm kiếm các thay đổi bất thường của hệ thống hoặc các xâm nhập phổ biến. Việc này được thực hiện định kỳ bởi thành phần Rootcheck
Security Configuration Assessment: SCA thực hiện quét để phát hiện cấu hình sai trong các máy chủ được giám sát. Các bản qt đó đánh giá cấu hình của máy chủ bằng các tệp chính sách, có chứa các quy tắc được kiểm tra đối với cấu hình thực của máy chủ. Ví dụ, SCA có thể đánh giá xem có cần thiết phải thay đổi cấu hình liên quan đến mật khẩu, xóa phần mềm khơng cần thiết, vơ hiệu hóa các dịch vụ khơng cần thiết. Các chính sách cho mơ đun SCA được viết theo định dạng YAML. Điều này cho phép người dùng nhanh chóng hiểu và viết chính sách của riêng hoặc mở rộng các chính sách hiện có để phù hợp với nhu cầu sử dụng. Hơn nữa, Wazuh được phân phối với một tập hợp các chính sách, hầu hết trong số chúng dựa trên các tiêu chuẩn CIS, một tiêu chuẩn được thiết lập tốt để sử dụng cho máy chủ.