معرفی قابلیتهای Wazuh
از مهمترین قابلیتهای Wazuh میتوان به سامانه SIEM، قابلیت شناسایی آسیبپذیری (vulnerability detection)، قابلیت نظارت یکپارچه (integrity monitoring)، قابلیت سنجش تنظیمات امنیتی (security configuration assessment)، قابلیت مطابقت با قوانین (regulatory compliance)، دسترسی به پایگاه دانش MITRE ATT&CK و قابلیت نظارت بر خطیمشیها (Policy Monitoring) اشاره کرد که در ادامه، هر یک از این قابلیتها را به صورت جداگانه برای شما توضیح میدهیم.
سامانه SIEM
یکی از قابلیتهای اصلی Wazuh سامانه SIEM آن است. شما میتوانید کلیه لاگهای سازمان خود را در یک رابط کاربری گرافیکی به صورت یکجا مشاهده کنید. Wazuh از داشبورد Kibana برای نمایش لاگها استفاده میکند و بنابراین قابلیت شخصیسازی بالایی دارد و شما میتوانید با اجرای Queryهای مختلف روی لاگها، نظارت دقیقی روی رخدادهای سازمان داشته باشید.
قابلیت Vulnerability Detection
سامانه Wazuh به صورت Agent بر روی کلیه رایانههای سازمان نصب میشود و به طور دورهای وضعیت بروزرسانی رایانهها را بررسی میکند. چنانچه یکی از رایانهها دارای نرمافزاری آسیبپذیر باشد، Wazuh به شما در پنل مدیریتی هشدار میدهد. بنابراین Wazuh را میتوان علاوه بر SIEM، نوعی سامانه مدیریت آسیبپذیری (Vulnerability Management) نیز دانست.
قابلیت Integrity Monitoring
یکی دیگر از قابلیتهایی که در این آموزش Wazuh معرفی میکنیم، امکان Integrity Monitoring است. با استفاده از این قابلیت به طور مداوم رایانههای سازمان شما از لحاظ یکپارچگی (Integrity) مورد بررسی قرار میگیرند. چنانچه هر کدام از فایلهای سیستمی یا تنظیمات رایانه شما تغییر کند، بلافاصله هشدار مرتبط به سرور Wazuh ارسال میشود. بنابراین شما میتوانید در جریان کلیه تغییرات رایانههای خود قرار بگیرید. ممکن است برخی از این تغییرات ناشی از بروزرسانیهای نرمافزاری یا تغییر در تنظیمات نرمافزار توسط کاربر سامانه و برخی دیگر نشاندهنده نفوذ به سازمان توسط یک هکر و اعمال تغییرات در رایانه در جهت حفظ دسترسی یا گسترش آن باشد.
قابلیت Security Configuration Assessment CIS
.موسسهای است که کنترلهای امنیتی و مستندات جامع امنسازی سیستم عاملها، نرمافزارها و سختافزارها را منتشر میکند. یکی از قابلیتهای سامانه Wazuh امکان Security Configuration Assessment است. Wazuh با استفاده از این قابلیت به صورت دورهای تنظیمات امنیتی و وضعیت رایانههای سازمان و مطابقت آنها با مستندات CIS را بررسی میکند تا مشخص کند که امنیت هر رایانه در چه سطحی است.
ابلیت Regulatory Compliance
از دیگر قابلیتهایی که در این آموزش Wazuh به آن میپردازیم، قابلیت Regulatory Compliance است. شما به عنوان یک شرکت یا سازمان باید قوانین و استانداردهای امنیتی مربوط به حوزه فعالیت خود را رعایت کنید. به عنوان مثال یک شرکت ارائهدهنده خدمات پرداخت با کارت اعتباری در اروپا باید استاندارد PCI DSS را رعایت کند. همچنین هر سازمانی که در کشورهای اروپایی فعالیت دارد، باید مقررات عمومی حفاظت از داده اتحادیه اروپا (به اختصار GDPR) را رعایت کند. قابلیت Regulatory Compliance از جمله قابلیتهای Wazuh است که مطابقت سازمان شما و رایانههای درون آن با این قوانین را بررسی میکند. شما میتوانید نوع قانون را انتخاب کنید و ببینید کدام بخش از قوانین در سازمان شما رعایت نشده است.
قابلیت MITRE ATT&CK
اکثریت رخدادهای ارسالشده توسط Wazuh بر اساس پایگاه دانش MITRE ATT&CK دستهبندی میشوند و شما میتوانید رخدادهای سازمان خود را بر حسب تاکتیکهای نفوذ موجود در MITRE ATT&CK نیز مشاهده کنید.
قابلیت Policy Monitoring
قابلیت Policy Monitoring با استفاده از ماژولهایی همانند Rootcheck، OpenSCAP و CIS-CAT بررسی میکند که آیا رایانههای شما تنظیمات و خط مشیهای امنیتی مناسبی دارند یا خیر. در واقع با استفاده از این قابلیت بررسی میشود که آیا مشکلاتی از قبیل تنظیم سطوح دسترسی و مجوزهای نادرست در رایانهها وجود دارد یا خیر.
جمعبندی
سامانه Wazuh یکی از اولین سامانههای SIEM متنباز و رایگان است که سازمانها میتوانند برای نظارت بهتر بر سامانهها و تقویت امنیت سایبری و امنیت شبکه خود از آن استفاده کنند. Wazuh قابلیتهای متعددی مثل سامانه SIEM، قابلیت شناسایی آسیبپذیری (vulnerability detection)، قابلیت نظارت یکپارچه (integrity monitoring)، قابلیت سنجش تنظیمات امنیتی (security configuration assessment)، قابلیت مطابقت با قوانین (regulatory compliance)، انطباق با پایگاه دانش MITRE ATT&CK و قابلیت نظارت بر خطیمشیها (Policy Monitoring) دارد.