Wazuh¶
В этой статье
Примечание
Wazuh - это комплексная открытая платформа для мониторинга безопасности и обнаружения угроз. Она предоставляет централизованное решение для анализа безопасности, включая обнаружение вторжений, мониторинг целостности файлов и соответствие нормативным требованиям. Платформа построена на модульной архитектуре и поддерживает масштабирование, что позволяет защищать как небольшие организации, так и крупные предприятия.
Wazuh. Основные возможности¶
- Обнаружение вторжений - мониторинг системных и сетевых событий для выявления подозрительной активности и кибератак.
- Мониторинг целостности файлов - отслеживание изменений в критически важных файлах и директориях для предотвращения несанкционированных модификаций.
- Анализ журналов событий - централизованный сбор и анализ логов из различных источников с применением правил корреляции для выявления угроз.
- Обнаружение вредоносного ПО - сканирование систем на наличие вредоносных программ с использованием сигнатурного и поведенческого анализа.
- Оценка уязвимостей - непрерывный анализ установленного программного обеспечения на наличие известных уязвимостей.
- Контроль соответствия - проверка систем на соответствие стандартам безопасности (PCI DSS, GDPR, HIPAA, NIST и другим).
- Облачная безопасность - мониторинг и защита ресурсов в публичных облачных средах (AWS, Azure, Google Cloud).
- Интеграция и реагирование - взаимодействие с внешними системами безопасности и автоматизация процессов реагирования на инциденты.
Особенности сборки¶
ID | Совместимые ОС | VPS | BM | VGPU | GPU | Мин. ЦПУ (Ядер) | Мин. ОЗУ (Гб) | Мин. HDD/SDD (Гб) | Доступно |
---|---|---|---|---|---|---|---|---|---|
283 | Ubuntu 22.04 | + | + | + | + | 2 | 4 | 10 | Да |
- Возможна установка на Ubuntu 22.04;
- Время на установку 30-60 минут вместе с OS;
- Полная установка Wazuh Server + Indexer + Dashboard;
- Wazuh Dashboard доступен через порт 8080 с защищенным HTTPS-соединением;
- Автоматическая проверка работоспособности кластера после установки;
- Учетные данные администратора генерируются автоматически при установке;
- Конфигурационные файлы Wazuh хранятся в директории
/var/ossec
; - Компоненты Wazuh Dashboard расположены в
/usr/share/wazuh-dashboard
; - Файлы с установочными скриптами находятся в директории
/opt/wazuh
; - Пароль администратора хранится в файле
/opt/wazuh/password
в форматеadmin:пароль
; - Путь до установочных архивов:
/opt/wazuh/wazuh-install-files.tar
.
Для корректной работы Wazuh необходимы следующие минимальные системные ресурсы:
- Процессор: минимум 2 ядра CPU;
- Оперативная память: минимум 4 ГБ RAM;
- Дисковое пространство: рекомендуется от 50 ГБ SSD/HDD:
- Объем может увеличиваться в зависимости от количества агентов и интенсивности событий;
- Для продакшн-среды с многими агентами рекомендуется от 100 ГБ и выше.
Примечание
Эти требования указаны для базовой установки Wazuh с небольшим количеством агентов. Для крупных окружений может потребоваться более мощное оборудование.
Примечание
Если не указано иное, по умолчанию мы устанавливаем последнюю релиз версию программного обеспечения с сайта разработчика или репозиториев операционной системы.
Начало работы после развертывания Wazuh¶
После оплаты заказа на указанную при регистрации электронную почту придет уведомление о готовности сервера к работе. В нем будет указан IP-адрес VPS, а также логин и пароль для подключения. Управление оборудованием клиенты нашей компании осуществляют в панели управления серверами и API — Invapi. Данные для авторизации, которые можно найти или во вкладке Информация >> Тэги панели управления сервером или в присланном e-mail:
- Ссылка для доступа к панели управления Wazuh с веб-интерфейсом: в теге webpanel;
- Логин:
root
- для управления сервером,admin
- для авторизации в веб-интерфейсе Wazuh; - Пароль для управления сервером: приходит в письме на вашу электронную почту при готовности сервера к работе после развертывания ПО.
Получение учетных данных и авторизация в веб-панели¶
Для доступа к веб-панели управления Wazuh необходимо получить учетные данные администратора, которые генерируются автоматически в процессе установки. Эти данные не устанавливаются вручную и не могут быть известны заранее, для получения этих данных необходимо выполнить следующие шаги:
-
Подключитесь к серверу по SSH с правами администратора:
`bash ssh root@<IP сервера>
-
Проверьте файл с сохраненными учетными данными:
Данные будут представлены в форматеadmin:пароль
:
Изменение учетных данных¶
После первоначального входа в систему рекомендуется изменить стандартный пароль администратора для повышения безопасности:
- Нажмите на иконку профиля "a" в правом верхнем углу интерфейса
-
В выпадающем меню выберите пункт Reset password:
-
На открывшейся странице необходимо:
- Ввести текущий пароль в поле Current password;
- Ввести новый пароль в поле New password, соблюдая требования безопасности:
- Не менее 8 символов;
- Как минимум одна заглавная буква;
- Как минимум одна строчная буква;
- Как минимум одна цифра;
- Как минимум один специальный символ.
- Повторно ввести новый пароль в поле Re-enter new password.
-
Нажать кнопку
Resetдля сохранения изменений изменений.
Примечание
После изменения пароля через веб-интерфейс новые учетные данные не будут автоматически обновлены в файле /opt/wazuh/password
.
Стартовый экран Wazuh Dashboard¶
После успешной авторизации вы попадете на стартовый экран Wazuh Dashboard, предоставляющий обзор состояния системы безопасности:
После успешной авторизации вы попадете на стартовый экран Wazuh Dashboard, предоставляющий обзор состояния системы безопасности. Основные элементы интерфейса включают:
- Сводка по агентам (Agents Summary) — отображает количество зарегистрированных агентов Wazuh. При первом входе показывает сообщение "This instance has no agents registered" и кнопку "Deploy new agent" для добавления новых объектов мониторинга.
- Оповещения за последние 24 часа (Last 24 Hours Alerts) — показывает количество оповещений по четырем категориям: Critical severity (уровень 15+), High severity (уровень 12-14), Medium severity (уровень 7-11) и Low severity (уровень 0-6).
- Безопасность конечных точек (Endpoint Security) — включает модули Configuration Assessment для аудита конфигураций, Malware Detection для обнаружения вредоносного ПО и File Integrity Monitoring для отслеживания изменений в файлах.
- Аналитика угроз (Threat Intelligence) — предоставляет инструменты Threat Hunting для анализа оповещений безопасности, Vulnerability Detection для обнаружения уязвимостей, и MITRE ATT&CK для сопоставления инцидентов с известными тактиками противников.
- Операции безопасности (Security Operations) — содержит модули соответствия различным стандартам безопасности, включая PCI DSS, GDPR, HIPAA, NIST 800-53 и TSC.
- Облачная безопасность (Cloud Security) — позволяет мониторить различные облачные сервисы и контейнеры, включая Docker, Amazon Web Services, Google Cloud, GitHub и Office 365.
Примечание
Подробная информация по основным настройкам Wazuh содержится в документации разработчиков.
Заказ Wazuh с помощью API¶
Для установки данного ПО с использованием API следуйте этой инструкции.