O Wazuh é uma solução de monitoramento de segurança gratuita, de código aberto e pronta para empresas para detecção de ameaças, monitoramento de integridade, resposta a incidentes e conformidade.
Sem dependência de fornecedor e sem custo de licença.
O Wazuh é usado para coletar, agregar, indexar e analisar dados de segurança, ajudando as organizações a detectar intrusões, ameaças e anomalias comportamentais.
Ele possui duas pontas, ou seja, dois programas a serem instalados e que conversam entre si:
- Servidor Wazuh: recebe os dados dos agentes para serem analisados
- Wazuh agent: O agente Wazuh detecta ameaças e aciona respostas automáticas quando necessário.
Análise de segurança
À medida que as ameaças cibernéticas estão se tornando mais sofisticadas, o monitoramento em tempo real e a análise de segurança são necessários para detecção e correção rápidas de ameaças. É por isso que o agente wazuh fornece os recursos necessários de monitoramento e resposta, enquanto componente de servidor fornece a inteligência de segurança e realiza a análise de dados.
Detecção de intrusão
Os agentes do Wazuh verificam os sistemas monitorados em busca de malware, rootkits e anomalias suspeitas. Eles podem detectar arquivos ocultos, processos ocultos ou ouvintes de rede não registrados, bem como inconsistências nas respostas de chamadas do sistema.
Além dos recursos do agente, o componente do servidor usa uma abordagem baseada em assinatura para detecção de intrusão, usando seu mecanismo de expressão regular para analisar os dados de log coletados e procurar indicadores de comprometimento.
Análise de Logs
Os agentes do Wazuh lêem os logs do sistema operacional e do aplicativo e os encaminham com segurança para um gerente central para análise e armazenamento baseados em regras.
As regras do Wazuh ajudam a alertá-lo sobre erros de aplicativos ou sistemas, configurações incorretas, tentativas e/ou atividades maliciosas bem-sucedidas, violações de políticas e uma variedade de outros problemas operacionais e de segurança.
Monitoramento da integridade do arquivo
Wazuh monitora o sistema de arquivos, identificando alterações no conteúdo, permissões, propriedade e atributos de arquivos que você precisa ficar de olho. Além disso, identifica nativamente usuários e aplicativos usados para criar ou modificar arquivos.
Os recursos de monitoramento de integridade de arquivos podem ser usados em combinação com inteligência de ameaças para identificar ameaças ou hosts comprometidos. Além disso, vários padrões de conformidade regulatória, como PCI DSS, exigem isso.
Detecção de Vulnerabilidade
Os agentes do Wazuh extraem dados de inventário de software e enviam essas informações para o servidor, onde são correlacionadas com bancos de dados CVE (Common Vulnerabilities and Exposure) atualizados continuamente, a fim de identificar softwares vulneráveis conhecidos.
A avaliação automatizada de vulnerabilidades ajuda você a encontrar os pontos fracos em seus ativos críticos e tomar medidas corretivas antes que os invasores os explorem para sabotar seus negócios ou roubar dados confidenciais.
Avaliação de configuração
Wazuh monitors system and application configuration settings to ensure they are compliant with your security policies, standards and/or hardening guides. Agents perform periodic scans to detect applications that are known to be vulnerable, unpatched, or insecurely configured.
Além disso, as verificações de configuração podem ser personalizadas, adaptando-as para se alinharem adequadamente à sua organização. Os alertas incluem recomendações para melhor configuração, referências e mapeamento com conformidade regulatória.
Resposta a incidentes
O Wazuh fornece respostas ativas prontas para uso para executar várias contramedidas para lidar com ameaças ativas, como bloquear o acesso a um sistema da origem da ameaça quando determinados critérios são atendidos.
Além disso, o Wazuh pode ser usado para executar remotamente comandos ou consultas do sistema, identificando indicadores de comprometimento (IOCs) e ajudando a executar outras tarefas forenses ou de resposta a incidentes.
Compliance
O Wazuh fornece alguns dos controles de segurança necessários para se tornar compatível com os padrões e regulamentos do setor. Esses recursos, combinados com sua escalabilidade e suporte multiplataforma, ajudam as organizações a atender aos requisitos de conformidade técnica.
O Wazuh é amplamente utilizado por empresas de processamento de pagamentos e instituições financeiras para atender aos requisitos do PCI DSS (Payment Card Industry Data Security Standard). Sua interface de usuário da web fornece relatórios e painéis que podem ajudar com esta e outras regulamentações (por exemplo, GPG13 ou GDPR).
Cloud Security: Segurança na nuvem
O Wazuh ajuda a monitorar a infraestrutura de nuvem em nível de API, usando módulos de integração capazes de extrair dados de segurança de provedores de nuvem conhecidos, como Amazon AWS, Azure ou Google Cloud. Além disso, o Wazuh fornece regras para avaliar a configuração do seu ambiente de nuvem, identificando facilmente os pontos fracos.
Além disso, os agentes leves e multiplataforma do Wazuh são comumente usados para monitorar ambientes de nuvem no nível da instância.
Segurança de contêineres
O Wazuh fornece visibilidade de segurança em seus hosts e contêineres do Docker, monitorando seu comportamento e detectando ameaças, vulnerabilidades e anomalias. O agente Wazuh possui integração nativa com o mecanismo Docker, permitindo que os usuários monitorem imagens, volumes, configurações de rede e contêineres em execução.
O Wazuh coleta e analisa continuamente informações detalhadas de tempo de execução. Por exemplo, alertando para contêineres em execução no modo privilegiado, aplicativos vulneráveis, um shell em execução em um contêiner, alterações em volumes ou imagens persistentes e outras possíveis ameaças.
EDR: Endpoint Detection and Response
O Wazuh atende à necessidade de monitoramento contínuo e resposta a ameaças avançadas. Está focado em fornecer a visibilidade certa, com os insights para ajudar os analistas de segurança a descobrir, investigar e responder a ameaças e campanhas de ataque em vários endpoints.
O Wazuh ajuda a detectar processos de exploração ocultos que são mais complexos do que um simples padrão de assinatura e que podem ser usados para evitar sistemas antivírus tradicionais. Além disso, o agente Wazuh fornece recursos de resposta ativa que podem ser usados para bloquear um ataque à rede, interromper um processo malicioso ou colocar em quarentena um arquivo infectado por malware.
HIDS(Host-based Intrusion Detection System): Sistema de detecção de intrusão baseado em host
O agente Wazuh é executado em nível de host, combinando tecnologias baseadas em anomalias e assinaturas para detectar intrusões ou uso indevido de software. Também pode ser usado para monitorar as atividades do usuário, avaliar a configuração do sistema e detectar vulnerabilidades.
Gestão de Conformidade e Segurança
O Wazuh fornece os controles de segurança necessários, exigidos por padrões como PCI DSS, HIPAA, GDPR e outros. A solução agrega e analisa dados de vários sistemas, mapeando alertas de segurança com requisitos de conformidade.
Uma solução SIEM abrangente
O Wazuh fornece os controles de segurança necessários, exigidos por padrões como PCI DSS, HIPAA, GDPR e outros. A solução agrega e analisa dados de vários sistemas, mapeando alertas de segurança com requisitos de conformidade.
Links Úteis
Fonte: wazuh
Comments on “Segurança: Use o Wazuh para Análise de segurança, Detecção de intrusão, Análise de dados de registro, Monitoramento da integridade do arquivo, Vulnerability Detection, Avaliação de configuração, Resposta a incidentes e Compliance”