چیست؟ Wazuh

معرفی قابلیت‌های Wazuh
از مهم‌ترین قابلیت‌های Wazuh می‌توان به سامانه SIEM، قابلیت شناسایی آسیب‌پذیری (vulnerability detection)، قابلیت نظارت یکپارچه (integrity monitoring)، قابلیت سنجش تنظیمات امنیتی (security configuration assessment)، قابلیت مطابقت با قوانین (regulatory compliance)، دسترسی به پایگاه دانش MITRE ATT&CK و قابلیت نظارت بر خطی‌مشی‌ها (Policy Monitoring‌) اشاره کرد که در ادامه، هر یک از این قابلیت‌ها را به صورت جداگانه برای شما توضیح می‌دهیم.

سامانه SIEM

یکی از قابلیت‌های اصلی Wazuh سامانه SIEM آن است. شما می‌توانید کلیه لاگ‌های سازمان خود را در یک رابط کاربری گرافیکی به صورت یکجا مشاهده کنید. Wazuh از داشبورد Kibana برای نمایش لاگ‌ها استفاده می‌کند و بنابراین قابلیت شخصی‌سازی بالایی دارد و شما می‌توانید با اجرای Queryهای مختلف روی لاگ‌ها، نظارت دقیقی روی رخدادهای سازمان داشته باشید.

قابلیت Vulnerability Detection

 سامانه Wazuh به صورت Agent بر روی کلیه رایانه‌های سازمان نصب می‌شود و به طور دوره‌ای وضعیت بروزرسانی رایانه‌ها را بررسی می‌کند. چنانچه یکی از رایانه‌ها دارای نرم‌افزاری آسیب‌پذیر باشد، Wazuh به شما در پنل مدیریتی هشدار می‌دهد. بنابراین Wazuh را می‌توان علاوه بر SIEM، نوعی سامانه مدیریت آسیب‌پذیری (Vulnerability Management‌) نیز دانست.

قابلیت Integrity Monitoring 

یکی دیگر از قابلیت‌هایی که در این آموزش Wazuh معرفی می‌کنیم، امکان Integrity Monitoring است. با استفاده از این قابلیت به طور مداوم رایانه‌های سازمان شما از لحاظ یکپارچگی (Integrity‌) مورد بررسی قرار می‌گیرند. چنانچه هر کدام از فایل‌های سیستمی یا تنظیمات رایانه شما تغییر کند، بلافاصله هشدار مرتبط به سرور Wazuh ارسال می‌شود. بنابراین شما می‌توانید در جریان کلیه تغییرات رایانه‌های خود قرار بگیرید. ممکن است برخی از این تغییرات ناشی از بروزرسانی‌های نرم‌افزاری یا تغییر در تنظیمات نرم‌افزار توسط کاربر سامانه و برخی دیگر نشان‌دهنده نفوذ به سازمان توسط یک هکر و اعمال تغییرات در رایانه در جهت حفظ دسترسی یا گسترش آن باشد.

قابلیت Security Configuration Assessment CIS 

.موسسه‌ای است که کنترل‌های امنیتی و مستندات جامع امن‌سازی سیستم عامل‌ها، نرم‌افزارها و سخت‌افزارها را منتشر می‌کند. یکی از قابلیت‌های سامانه Wazuh امکان Security Configuration Assessment است. Wazuh‌ با استفاده از این قابلیت به صورت دوره‌ای تنظیمات امنیتی و وضعیت رایانه‌های سازمان و مطابقت آن‌ها با مستندات CIS را بررسی می‌کند تا مشخص کند که امنیت هر رایانه در چه سطحی است.

ابلیت Regulatory Compliance 

از دیگر قابلیت‌هایی که در این آموزش Wazuh به آن می‌پردازیم، قابلیت  Regulatory Compliance‌ است. شما به عنوان یک شرکت یا سازمان باید قوانین و استانداردهای امنیتی مربوط به حوزه فعالیت خود را رعایت کنید. به عنوان مثال یک شرکت ارائه‌دهنده خدمات پرداخت با کارت اعتباری در اروپا باید استاندارد PCI DSS‌ را رعایت کند. همچنین هر سازمانی که در کشورهای اروپایی فعالیت دارد، باید مقررات عمومی حفاظت از داده اتحادیه اروپا (به اختصار GDPR) را رعایت کند. قابلیت Regulatory Compliance‌ از جمله قابلیت‌های Wazuh‌ است که مطابقت سازمان شما و رایانه‌های درون آن با این قوانین را بررسی می‌کند. شما می‌توانید نوع قانون را انتخاب کنید و ببینید کدام بخش از قوانین در سازمان شما رعایت نشده است.

قابلیت MITRE ATT&CK

 اکثریت رخدادهای ارسال‌شده توسط Wazuh بر اساس پایگاه دانش MITRE ATT&CK دسته‌بندی می‌شوند و شما می‌توانید رخدادهای سازمان خود را بر حسب تاکتیک‌های نفوذ موجود در MITRE ATT&CK نیز مشاهده کنید.

قابلیت Policy Monitoring 

قابلیت Policy Monitoring‌ با استفاده از ماژول‌هایی همانند Rootcheck، OpenSCAP و CIS-CAT بررسی می‌کند که آیا رایانه‌های شما تنظیمات و خط مشی‌های امنیتی مناسبی دارند یا خیر. در واقع با استفاده از این قابلیت بررسی می‌شود که آیا مشکلاتی از قبیل تنظیم سطوح دسترسی و مجوزهای نادرست در رایانه‌ها وجود دارد یا خیر.


جمع‌بندی 

سامانه Wazuh‌ یکی از اولین سامانه‌های SIEM متن‌باز و رایگان است که سازمان‌ها می‌توانند برای نظارت بهتر بر سامانه‌ها و تقویت امنیت سایبری و امنیت شبکه خود از آن استفاده کنند. Wazuh‌ قابلیت‌های متعددی مثل سامانه SIEM، قابلیت شناسایی آسیب‌پذیری (vulnerability detection)، قابلیت نظارت یکپارچه (integrity monitoring)، قابلیت سنجش تنظیمات امنیتی (security configuration assessment)، قابلیت مطابقت با قوانین (regulatory compliance)، انطباق با پایگاه دانش MITRE ATT&CK و قابلیت نظارت بر خطی‌مشی‌ها (Policy Monitoring‌) دارد.

نوشته های مرتبط