Wazuh¶
Այս հոդվածում
Նշում
Wazuh-ը համապարփակ բաց կոդով հարթակ է անվտանգության մոնիտորինգի և սպառնալիքների հայտնաբերման համար: Այն ապահովում է կենտրոնացված լուծում անվտանգության վերլուծության համար, ներառյալ ներխուժումների հայտնաբերում, ֆայլերի ամբողջականության մոնիտորինգ և կարգավորող պահանջներին համապատասխանություն: Հարթակը կառուցված է մոդուլային ճարտարապետության վրա և աջակցում է մասշտաբայնությանը՝ ապահովելով պաշտպանություն և՛ փոքր կազմակերպությունների, և՛ մեծ ձեռնարկությունների համար:
Wazuh. Հիմնական հնարավորություններ¶
- Ներխուժումների հայտնաբերում - Համակարգի և ցանցի իրադարձությունների մոնիտորինգ՝ կասկածելի գործունեությունը և կիբերհարձակումները հայտնաբերելու համար:
- Ֆայլերի ամբողջականության մոնիտորինգ - Կարևոր ֆայլերի և թղթապանակների փոփոխությունների հետևում՝ անարտոնյալ փոփոխությունները կանխելու համար:
- Իրադարձությունների օրագրերի վերլուծություն - Տարբեր աղբյուրներից օրագրերի կենտրոնացված հավաքագրում և վերլուծություն՝ սպառնալիքները հայտնաբերելու համար կոռելյացիայի կանոնների օգտագործմամբ:
- Զոնդային ծրագրերի հայտնաբերում - Համակարգերի սկանավորում չարամիտ ծրագրերի հայտնաբերման համար՝ ստորագրությունների և վարքագծային վերլուծության հիման վրա:
- Խոցելիությունների գնահատում - Ինստալացված ծրագրային ապահովման անընդհատ վերլուծություն հայտնի խոցելիությունների համար:
- Համապատասխանության վերահսկում - Համակարգերի ստուգում անվտանգության ստանդարտների նկատմամբ (PCI DSS, GDPR, HIPAA, NIST և այլն):
- Ամպային անվտանգություն - Ռեսուրսների մոնիտորինգ և պաշտպանություն հանրային ամպային միջավայրերում (AWS, Azure, Google Cloud):
- Ինտեգրում և արձագանքում - Արտաքին անվտանգության համակարգերի հետ փոխազդեցություն և ինցիդենտների արձագանքման գործընթացների ավտոմատացում:
Տեղակայման հնարավորություններ¶
| ID | Ծրագրային ապահովման անվանում | Համատեղելի ՕՀ | VM | BM | VGPU | GPU | Նվազագույն CPU (միջուկներ) | Նվազագույն RAM (ԳԲ) | Նվազագույն HDD/SSD (ԳԲ) | Սեփական դոմեն | Ակտիվ |
|---|---|---|---|---|---|---|---|---|---|---|---|
| 283 | Wazuh | Ubuntu 22.04 | + | + | + | + | 2 | 4 | 10 | Ոչ | ՊԱՏՎԻՐԵԼ |
- Ինստալյացիան հնարավոր է Ubuntu 22.04-ի վրա:
- Կարգավորման ժամանակը 30-60 րոպե է՝ ներառյալ օպերացիոն համակարգի ինստալյացիան:
- Wazuh Server + Indexer + Dashboard-ի լիարժեք ինստալյացիա:
- Wazuh Dashboard-ին մուտքը հասանելի է 8080 պորտով՝ անվտանգ HTTPS կապով:
- Ինստալյացիայից հետո ավտոմատ կլաստերի առողջության ստուգում:
- Ադմինիստրատորի հավատարմագրերը ավտոմատ կերպով գեներացվում են ինստալյացիայի ընթացքում:
- Wazuh-ի կոնֆիգուրացիոն ֆայլերը պահվում են
/var/ossecթղթապանակում: - Wazuh Dashboard-ի բաղադրիչները գտնվում են
/usr/share/wazuh-dashboard-ում: - Ինստալյացիայի սկրիպտերի ֆայլերը գտնվում են
/opt/wazuhթղթապանակում: - Ադմինիստրատորի գաղտնաբառը պահվում է
/opt/wazuh/passwordֆայլում՝admin:passwordֆորմատով: - Ինստալյացիայի արխիվների ուղի՝
/opt/wazuh/wazuh-install-files.tar:
Wazuh-ի ճիշտ աշխատանքի համար անհրաժեշտ են հետևյալ նվազագույն համակարգային ռեսուրսները.
- Պրոցեսոր. առնվազն 2 CPU կոր:
- RAM. առնվազն 4 ԳԲ:
- Դիսկային տարածություն. խորհուրդ է տրվում 50 ԳԲ SSD/HDD.
- Ծավալը կարող է աճել՝ կախված գործակալների քանակից և իրադարձությունների ինտենսիվությունից:
- Արտադրական միջավայրերում, որտեղ շատ գործակալներ կան, խորհուրդ է տրվում ունենալ 100 ԳԲ կամ ավելի:
Նշում
Այս պահանջները վերաբերում են Wazuh-ի հիմնական ինստալյացիային՝ փոքր քանակությամբ գործակալներով: Ավելի մեծ միջավայրերը կարող են պահանջել ավելի հզոր համակարգ:
Նշում
Եթե այլ կերպ նշված չէ, մենք լռելյայն ինստալյացնում ենք ծրագրային ապահովման վերջին թողարկման տարբերակը՝ զարգացնողի կայքից կամ օպերացիոն համակարգի պահոցներից:
Սկսել Wazuh-ի տեղակայումից հետո¶
Պատվերի վճարումից հետո սերվերի աշխատանքի պատրաստ լինելու մասին ծանուցում կուղարկվի գրանցման ժամանակ նշված էլ. փոստի հասցեին: Այն կպարունակի VPS-ի IP հասցեն, ինչպես նաև մուտքի օգտատերի անունը և գաղտնաբառը: Մեր ընկերության հաճախորդները սարքավորումները կառավարում են սերվերի կառավարման պանելի և API-ի միջոցով - Invapi:
Այստեղ դուք կարող եք նաև գտնել հավատարմագրերը, որոնք կարելի է գտնել կամ սերվերի կառավարման պանելի Configuration >> Tags թերթիկում, կամ ձեզ ուղարկված էլ. փոստում.
- Մուտքի հղում Wazuh webpanel: webpanel թեգում:
- Օգտատերի անուն.
root- սերվերը կառավարելու համար,admin- Wazuh web ինտերֆեյս մուտք գործելու համար: - Գաղտնաբառ սերվերի կառավարման համար. Ուղարկվում է ձեր էլ. փոստի հասցե՝ ծրագրային ապահովման տեղակայումից հետո սերվերի աշխատանքի պատրաստ լինելուց հետո:
Հավատարմագրերի ստացում և web panel մուտք¶
Wazuh web կառավարման պանելին մուտք գործելու համար անհրաժեշտ է ստանալ ադմինիստրատորի հավատարմագրերը, որոնք ավտոմատ կերպով գեներացվել են ինստալյացիայի ընթացքում: Այս տվյալները ձեռքով չեն սահմանվում և չեն կարող նախապես հայտնի լինել: Դրանք ստանալու համար կատարեք հետևյալ քայլերը.
- Միացեք սերվերին SSH-ի միջոցով՝ որպես ադմինիստրատոր.
- Ստուգեք պահպանված հավատարմագրերի ֆայլը. Տվյալները կլինեն
admin:passwordֆորմատով.
Հավատարմագրերի փոփոխություն¶
Սկզբնական մուտքից հետո խորհուրդ է տրվում փոխել ադմինիստրատորի լռելյայն գաղտնաբառը՝ ավելի բարձր անվտանգության համար.
-
Սեղմեք ինտերֆեյսի վերին աջ անկյունում գտնվող «a» պրոֆիլի պատկերի վրա:
-
Բացվող մենյուում ընտրեք Reset password.
-
Բացված էջում անհրաժեշտ է.
- Մուտքագրել ընթացիկ գաղտնաբառը Current password դաշտում:
- Մուտքագրել նոր գաղտնաբառը New password դաշտում՝ համապատասխանելով անվտանգության պահանջներին.
- Առնվազն 8 նիշ:
- Առնվազն մեկ մեծատառ:
- Առնվազն մեկ փոքրատառ:
- Առնվազն մեկ թիվ:
- Առնվազն մեկ հատուկ նիշ:
- Կրկնել նոր գաղտնաբառը Re-enter new password դաշտում:
-
Սեղմեք
Resetկոճակը՝ փոփոխությունները պահպանելու համար:
Նշում
Գաղտնաբառը web ինտերֆեյսի միջոցով փոխելուց հետո նոր հավատարմագրերը չեն ավտոմատ թարմացվի /opt/wazuh/password ֆայլում:
Wazuh Dashboard-ի մեկնարկային էկրան¶
Հաջող մուտքից հետո դուք կհայտնվեք Wazuh Dashboard-ի մեկնարկային էկրանում, որը տալիս է անվտանգության համակարգի կարգավիճակի ընդհանուր պատկերացում.
Հաջող մուտքից հետո դուք կհայտնվեք Wazuh Dashboard-ի մեկնարկային էկրանում, որտեղ կարող եք տեսնել անվտանգության համակարգի կարգավիճակը: Հիմնական ինտերֆեյսի տարրերը ներառում են.
- Agent Summary — ցուցադրում է գրանցված Wazuh գործակալների քանակը: Առաջին մուտքի ժամանակ այն ցուցադրում է «This instance has no agents registered» հաղորդագրությունը և
Deploy new agentկոճակը՝ նոր մոնիտորինգի օբյեկտներ ավելացնելու համար: - Last 24 Hours Alerts — ցուցադրում է զգուշացումների քանակը չորս կատեգորիաներով. Կրիտիկական ծանրություն (15+ մակարդակ), Բարձր ծանրություն (12-14 մակարդակ), Միջին ծանրություն (7-11 մակարդակ) և Ցածր ծանրություն (0-6 մակարդակ):
- Endpoint Security — ներառում է մոդուլներ, ինչպիսիք են Configuration Assessment-ը կոնֆիգուրացիայի աուդիտի համար, Malware Detection-ը չարամիտ ծրագրերը հայտնաբերելու համար և File Integrity Monitoring-ը՝ ֆայլերի փոփոխությունները հետևելու համար:
- Threat Intelligence — առաջարկում է գործիքներ Threat Hunting-ի համար՝ անվտանգության զգուշացումները վերլուծելու համար, Vulnerability Detection-ը՝ խոցելիությունները բացահայտելու համար, և MITRE ATT&CK-ը՝ ինցիդենտները հայտնի հակառակորդի տակտիկաներին համապատասխանեցնելու համար:
- Security Operations — պարունակում է մոդուլներ տարբեր անվտանգության ստանդարտներին համապատասխանության համար, ներառյալ PCI DSS, GDPR, HIPAA, NIST 800-53 և TSC:
- Cloud Security — թույլ է տալիս մոնիտորինգ կատարել տարբեր ամպային ծառայությունների և կոնտեյներների, ներառյալ Docker, Amazon Web Services, Google Cloud, GitHub և Office 365: