Wazuh 是一個免費的開源平臺，用于威脅預防、檢測和響應。它能夠跨本地、虛擬化、容器化和基于云的環境保護工作負載。

Wazuh 解決方案由部署到受監控系統的端點安全代理和收集和分析代理收集的數據的管理服務器組成。此外，Wazuh 已與 Elastic Stack 完全集成，提供搜索引擎和數據可視化工具，允許用戶瀏覽其安全警報。

Wazuh 功能

簡要介紹 Wazuh 解決方案的一些更常見用例。

入侵檢測

Wazuh 代理掃描受監控的系統以查找惡意軟件、rootkit 和可疑異常。它們可以檢測隱藏文件、隱藏進程或未注冊的網絡偵聽器，以及系統調用響應中的不一致。

除了代理功能外，服務器組件還使用基于簽名的入侵檢測方法，使用其正則表達式引擎分析收集的日志數據并尋找入侵指標。

日志數據分析

Wazuh 代理讀取操作系統和應用程序日志，并將它們安全地轉發到中央管理器，以進行基于規則的分析和存儲。當沒有部署代理時，服務器還可以通過 syslog 從網絡設備或應用程序接收數據。

Wazuh 規則幫助你了解應用程序或系統錯誤、錯誤配置、企圖和/或成功的惡意活動、違反政策以及各種其他安全和操作問題。

文件完整性監控

Wazuh 監控文件系統，識別你需要密切關注的文件內容、權限、所有權和屬性的變化。此外，它本機識別用于創建或修改文件的用戶和應用程序。

文件完整性監控功能可以與威脅情報結合使用，以識別威脅或受損主機。此外，一些法規遵從性標準（例如 PCI DSS）也需要它。

漏洞檢測

Wazuh 代理提取軟件清單數據并將此信息發送到服務器，與不斷更新的 CVE（通用漏洞和暴露）數據庫相關聯，以識別眾所周知的易受攻擊的軟件。

自動漏洞評估可幫助你找到關鍵資產中的弱點，并在攻擊者利用它們破壞你的業務或竊取機密數據之前采取糾正措施。

配置評估

Wazuh 監控系統和應用程序配置設置，以確保它們符合你的安全策略、標準和/或強化指南。代理執行定期掃描以檢測已知易受攻擊、未打補丁或配置不安全的應用程序。

此外，可以自定義配置檢查，對其進行定制以與你的組織保持一致。警報包括有關更好配置、參考和符合法規要求的映射的建議。

事件響應

Wazuh 提供開箱即用的主動響應，以執行各種對策來應對主動威脅，例如在滿足某些標準時阻止從威脅源訪問系統。

此外，Wazuh 可用于遠程運行命令或系統查詢、識別入侵指標 (IOC) 并幫助執行其他實時取證或事件響應任務。

合規性

Wazuh 提供了一些必要的安全控制，以符合行業標準和法規。這些功能與其可擴展性和多平臺支持相結合，可幫助組織滿足技術合規性要求。

Wazuh 被支付處理公司和金融機構廣泛用于滿足 PCI DSS（支付卡行業數據安全標準）的要求。它的 Web 用戶界面提供報告和儀表板，可以幫助遵守該法規和其他法規（例如 GPG13 或 GDPR）。

云安全

Wazuh 使用能夠從知名云提供商（如亞馬遜 AWS、Azure 或谷歌云）提取安全數據的集成模塊，幫助在 API 級別監控云基礎設施。此外，Wazuh 提供規則來評估您的云環境配置，輕松發現弱點。

此外，Wazuh 輕量級和多平臺代理通常用于在實例級別監控云環境。

容器安全

Wazuh 為你的 Docker 主機和容器提供安全可見性，監控它們的行為并檢測威脅、漏洞和異常。Wazuh 代理與 Docker 引擎原生集成，允許用戶監控圖像、卷、網絡設置和運行的容器。

Wazuh 不斷收集和分析詳細的運行時信息。例如，對以特權模式運行的容器、易受攻擊的應用程序、在容器中運行的 shell、持久卷或映像的更改以及其他可能的威脅發出警報。

?