Análisis de casos de uso de Wazuh
Wazuh se usa comúnmente para cumplir con los requisitos de cumplimiento (como PCI DSS o HIPAA) y estándares de configuración (Guía de mejora CIS). También es popular entre los usuarios de IaaS (como Amazon AWS, Azure o Google Cloud), donde la implementación de un IDS basado en host en una instancia en ejecución se puede combinar con el análisis de eventos de infraestructura (extraído directamente de la API del proveedor de la nube).
Los siguientes son algunos casos de uso comunes:
(1) Análisis de registros basado en firmas
(2) Monitoreo de la integridad de archivos
(3) Detección de rootkits
(4) Monitoreo de políticas de seguridad
2. Análisis de registros basado en firmas
El análisis y la administración de registros automatizados pueden acelerar la detección de amenazas. .
Wazuh se puede utilizar para agregar y analizar datos de registro automáticamente.
El agente Wazuh que se ejecuta en el host de monitoreo generalmente es responsable de leer los mensajes de registro de aplicaciones y del sistema operativo y reenviarlos al servidor Wazuh para su análisis. Si no se implementa ningún agente, el servidor también puede recibir datos de aplicaciones o dispositivos de red a través de registros del sistema.
Wazuh utiliza un decodificador para identificar la aplicación de origen de los mensajes de registro y luego utiliza reglas específicas de la aplicación para analizar los datos. El siguiente es un ejemplo de una regla que detecta eventos de falla de autenticación SSH:
La regla incluye un campo de coincidencia que define el patrón que buscará la regla. También tiene un campo de nivel que especifica la prioridad con la que se generan las alertas.
El gestor genera una alerta cada vez que un evento recogido por el agente o a través del log del sistema coincide con una regla con un nivel mayor que cero.
A continuación se muestra un ejemplo de /var/ossec/logs/alerts/alerts.json:
Después de que el administrador genera una alerta, la alerta se envía al componente Elastic Stack a través del almacenamiento. e indexar información de geolocalización para enriquecer las alertas. Luego, los datos se pueden buscar, analizar y visualizar utilizando Kibana. La siguiente interfaz muestra la alerta:
Wazuh proporciona un conjunto de reglas predeterminado actualizado periódicamente con más de 1600 reglas para diferentes aplicaciones.
III.Monitoreo de integridad de archivos
El componente Monitoreo de integridad de archivos (FIM) detecta y emite alertas cuando se modifican los archivos del sistema operativo y de la aplicación. Esta función se utiliza a menudo para detectar el acceso o cambios en datos confidenciales. Si su servidor está dentro del alcance de PCI DSS, el requisito 11.5 establece que debe instalar una solución de monitoreo de integridad de archivos para pasar la auditoría.
El siguiente es un ejemplo de una advertencia generada cuando se realizan cambios en un archivo monitoreado. Los metadatos incluyen sumas de verificación MD5 y SHA1, tamaño de archivo (antes y después de los cambios), permisos de archivo, propietario del archivo, cambios de contenido y el usuario que realizó los cambios (quién-datos). Monitoreo de la integridad de los archivos
El panel FIM proporciona capacidades de profundización para ver todos los detalles que activaron la alerta, donde puede encontrar un resumen detallado de los cambios en los archivos.
4. Detección de Rootkit
El agente Wazuh escanea y monitorea periódicamente el sistema para detectar rootkits a nivel de kernel y de usuario. Este tipo de malware normalmente reemplaza o altera los componentes existentes del sistema operativo para alterar el comportamiento del sistema.
Wazuh utiliza diferentes mecanismos de detección para buscar anomalías en el sistema o intrusiones conocidas. Esto lo hará periódicamente el componente Rootcheck:
El siguiente es un ejemplo de una alerta que se genera cuando se descubre un proceso oculto.
En este ejemplo, el sistema afectado ejecuta un rootkit a nivel de kernel de Linux (llamado Dimorphine):
V. Monitoreo de políticas de seguridad
SCAP es una estandarización para la verificación de cumplimiento de la infraestructura a nivel empresarial soluciones. Es un conjunto de especificaciones mantenidas por el Instituto Nacional de Estándares y Tecnología (NIST) para mantener la seguridad de los sistemas empresariales.
OpenSCAP es una herramienta de auditoría que aprovecha el formato de descripción de lista de verificación de configuración extensible (XCCDF), un método estandarizado para representar el contenido de la lista de verificación y definir listas de verificación de seguridad. También se combina con otras especificaciones como CPE, CVE, CCE y OVAL para crear listas de verificación representadas por scap que pueden ser procesadas por productos de verificación de scap.
El agente Wazuh utiliza OpenSCAP internamente para verificar que los sistemas cumplan con los estándares mejorados de CIS. Aquí hay un ejemplo de regla SCAP que verifica si el demonio SSH está configurado para permitir contraseñas vacías:
La verificación SCAP se ejecuta periódicamente (una vez al día de manera predeterminada) y los resultados de la verificación se configuran en Wazuh. servidor y se pasan a través de decodificadores y reglas OpenSCAP. El siguiente es un ejemplo de una advertencia generada cuando una política de auditoría de Linux (auditd) no está configurada para monitorear las acciones del usuario:
Además, la WUI de Wazuh se puede utilizar para visualizar y analizar los resultados de los análisis de monitoreo de políticas. . Por ejemplo, aquí hay una captura de pantalla de los datos recopilados mientras se escanea un sistema CentOS utilizando líneas de base del servidor y archivos de resumen predefinidos PCI DSS v3: