Tag: Threat Intelligence

Wazuh

Кратко описание

Wazuh е SIEM система и лог сървър с вградени колектор, процесор, система за съхранение, обработка, анализ, визуализация и изпращане на алерти, базиран на отворен и свободен код. Позволява изграждане на системи за наблюдение и анализ бизнес клас. Накратко:

  • Зрял проект с дългогодишно развитие и широка база от разработчици
  • Богата напълно безплатна функционалност 

Подходящ за:

  • Внедряване на надеждни системи за събиране и управление на логове
  • Средство да получите и централизирано обработите/съхраните цялата необходима информация за отстраняване на проблеми и увеличаване на ефективност
  • Единна система, която може да агрегира лог информация от локални, отдалечени и клауд базирани източници
  • Може да бъде използван както за наблюдение на системи и инфраструктура, така също на приложения и услуги
  • SIEM
  • Endpoint protection
  • Security Standards Compliance (GDPR, PCI-DSS, HIPAA)
Неподходящ за:
  • В рамките на специализацията си като лог сървър, Wazuh е подходящ да изпълнява всевъзможни задачи
За повече информация:
Защо Wazuh:
  • Много добър за проактивен мониторинг на сървъри, системи, цели инфраструктури и услуги
  • Поддържа всевъзможни лог формати
  • Множество плъгин модули, които разширяват съществуваща или добавят нова функционалност
  • Добре се вписва в корпоративна среда (LDAP) 
  • Поддръжка на организационни йерархии (multitenancy)
  • Поддръжка на потребители и групи
  • Допълнително REST API
Недостатъци:
  • Това е система в развитие и непрекъснати промени
  • Доста комплексен механизъм за работа, изисква познания по OpenSearch, XML
  • Няма много материали на български език
Оценка на необходимите ресурси при внедряване:
  • Инсталация на Wazuh – при използване на базови настройки за малка до средна инфраструктура – лесна
    • Може да се инсталира в локална или облачна среда. Камостоятелно приложение, докер базирани контейнери или Кубернетис 
  • Има вградена поддръжка на разпределена инфраструктура, както за приемане, така и за обработка и съхраняване на лог информация
    • Необходимите ресурси са в линейна зависимост от големината и комплексността на наблюдаваните системи, мрежи и услуги
  • Добре се вписва в налични среди за виртуализация и контейнеризация
  • Добра документация
Степен на завършеност на решението:
  • Напълно завършено решение, макар и леко “насипно” решение (тоест множество компоненти, чието управление не е напълно интегрирано от едно централно място)
    • Има положителна тенденция в последните години за развитие на тази функционалност
    • Относително лесно е да се добави и използва външна технология за визуализация, например Grafana
Съвети към IT мениджъра:
  • Wazuh е особено подходящ да замени класически лог сървъри (rsyslog, syslog-ng) като централен SIEM агрегатор и процесор на лог информация в областта на сигурността. Макар да може да се използва и като обикновен лог сървър с общо приложение, Wazuh все пак специализира в областта на информационната сигурност и ако е необходим общ лог сървър, GrayLog, например е по-добро решение. 
  • Архитектурата му позволява да работи практически във всякакъв мащаб – от събиране на информация от няколко хоста до големи комплексни системи, които генерират огромен брой съобщения и трафик
  • Позволява изграждане на напълно функционална система без инвестиции в лицензи, но (както всяка подобна, включително комерсиална, система) не е решение, което работи “out of the box”. Необходимо е добро предварително планиране, технологично време и достатъчен човешки ресурс
  • Kривата на обучение е приемлива, дори администратори с малко опит бързо усвояват необходимите умения, за да го използват ефективно

Операни предлага инсталация, интеграция със съществуващи компоненти, експлоатация и поддръжка на комплексни Wazuh SIEM решения в инфраструктура на клиента, публични и частни облаци или върху специализиран Operani Operations Cloud