Перейти к содержанию

Wazuh

В этой статье

Примечание

Wazuh - это комплексная открытая платформа для мониторинга безопасности и обнаружения угроз. Она предоставляет централизованное решение для анализа безопасности, включая обнаружение вторжений, мониторинг целостности файлов и соответствие нормативным требованиям. Платформа построена на модульной архитектуре и поддерживает масштабирование, что позволяет защищать как небольшие организации, так и крупные предприятия.

Wazuh. Основные возможности

  • Обнаружение вторжений - мониторинг системных и сетевых событий для выявления подозрительной активности и кибератак.
  • Мониторинг целостности файлов - отслеживание изменений в критически важных файлах и директориях для предотвращения несанкционированных модификаций.
  • Анализ журналов событий - централизованный сбор и анализ логов из различных источников с применением правил корреляции для выявления угроз.
  • Обнаружение вредоносного ПО - сканирование систем на наличие вредоносных программ с использованием сигнатурного и поведенческого анализа.
  • Оценка уязвимостей - непрерывный анализ установленного программного обеспечения на наличие известных уязвимостей.
  • Контроль соответствия - проверка систем на соответствие стандартам безопасности (PCI DSS, GDPR, HIPAA, NIST и другим).
  • Облачная безопасность - мониторинг и защита ресурсов в публичных облачных средах (AWS, Azure, Google Cloud).
  • Интеграция и реагирование - взаимодействие с внешними системами безопасности и автоматизация процессов реагирования на инциденты.

Особенности сборки

ID Совместимые ОС VPS BM VGPU GPU Мин. ЦПУ (Ядер) Мин. ОЗУ (Гб) Мин. HDD/SDD (Гб) Доступно
283 Ubuntu 22.04 + + + + 2 4 10 Да
  • Возможна установка на Ubuntu 22.04;
  • Время на установку 30-60 минут вместе с OS;
  • Полная установка Wazuh Server + Indexer + Dashboard;
  • Wazuh Dashboard доступен через порт 8080 с защищенным HTTPS-соединением;
  • Автоматическая проверка работоспособности кластера после установки;
  • Учетные данные администратора генерируются автоматически при установке;
  • Конфигурационные файлы Wazuh хранятся в директории /var/ossec;
  • Компоненты Wazuh Dashboard расположены в /usr/share/wazuh-dashboard;
  • Файлы с установочными скриптами находятся в директории /opt/wazuh;
  • Пароль администратора хранится в файле /opt/wazuh/password в формате admin:пароль;
  • Путь до установочных архивов: /opt/wazuh/wazuh-install-files.tar.

Для корректной работы Wazuh необходимы следующие минимальные системные ресурсы:

  • Процессор: минимум 2 ядра CPU;
  • Оперативная память: минимум 4 ГБ RAM;
  • Дисковое пространство: рекомендуется от 50 ГБ SSD/HDD:
  • Объем может увеличиваться в зависимости от количества агентов и интенсивности событий;
  • Для продакшн-среды с многими агентами рекомендуется от 100 ГБ и выше.

Примечание

Эти требования указаны для базовой установки Wazuh с небольшим количеством агентов. Для крупных окружений может потребоваться более мощное оборудование.

Примечание

Если не указано иное, по умолчанию мы устанавливаем последнюю релиз версию программного обеспечения с сайта разработчика или репозиториев операционной системы.

Начало работы после развертывания Wazuh

После оплаты заказа на указанную при регистрации электронную почту придет уведомление о готовности сервера к работе. В нем будет указан IP-адрес VPS, а также логин и пароль для подключения. Управление оборудованием клиенты нашей компании осуществляют в панели управления серверами и APIInvapi. Данные для авторизации, которые можно найти или во вкладке Информация >> Тэги панели управления сервером или в присланном e-mail:

  • Ссылка для доступа к панели управления Wazuh с веб-интерфейсом: в теге webpanel;
  • Логин: root - для управления сервером, admin - для авторизации в веб-интерфейсе Wazuh;
  • Пароль для управления сервером: приходит в письме на вашу электронную почту при готовности сервера к работе после развертывания ПО.

Получение учетных данных и авторизация в веб-панели

Для доступа к веб-панели управления Wazuh необходимо получить учетные данные администратора, которые генерируются автоматически в процессе установки. Эти данные не устанавливаются вручную и не могут быть известны заранее, для получения этих данных необходимо выполнить следующие шаги:

  1. Подключитесь к серверу по SSH с правами администратора: `bash ssh root@<IP сервера>

  2. Проверьте файл с сохраненными учетными данными: 

    cat /opt/wazuh/password
    Данные будут представлены в формате admin:пароль:

Изменение учетных данных

После первоначального входа в систему рекомендуется изменить стандартный пароль администратора для повышения безопасности:

  1. Нажмите на иконку профиля "a" в правом верхнем углу интерфейса

  2. В выпадающем меню выберите пункт Reset password:

  3. На открывшейся странице необходимо:

    • Ввести текущий пароль в поле Current password;
    • Ввести новый пароль в поле New password, соблюдая требования безопасности:
    • Не менее 8 символов;
    • Как минимум одна заглавная буква;
    • Как минимум одна строчная буква;
    • Как минимум одна цифра;
    • Как минимум один специальный символ.
    • Повторно ввести новый пароль в поле Re-enter new password.

  4. Нажать кнопку Reset для сохранения изменений изменений.

Примечание

После изменения пароля через веб-интерфейс новые учетные данные не будут автоматически обновлены в файле /opt/wazuh/password.

Стартовый экран Wazuh Dashboard

После успешной авторизации вы попадете на стартовый экран Wazuh Dashboard, предоставляющий обзор состояния системы безопасности:

После успешной авторизации вы попадете на стартовый экран Wazuh Dashboard, предоставляющий обзор состояния системы безопасности. Основные элементы интерфейса включают:

  • Сводка по агентам (Agents Summary) — отображает количество зарегистрированных агентов Wazuh. При первом входе показывает сообщение "This instance has no agents registered" и кнопку "Deploy new agent" для добавления новых объектов мониторинга.
  • Оповещения за последние 24 часа (Last 24 Hours Alerts) — показывает количество оповещений по четырем категориям: Critical severity (уровень 15+), High severity (уровень 12-14), Medium severity (уровень 7-11) и Low severity (уровень 0-6).
  • Безопасность конечных точек (Endpoint Security) — включает модули Configuration Assessment для аудита конфигураций, Malware Detection для обнаружения вредоносного ПО и File Integrity Monitoring для отслеживания изменений в файлах.
  • Аналитика угроз (Threat Intelligence) — предоставляет инструменты Threat Hunting для анализа оповещений безопасности, Vulnerability Detection для обнаружения уязвимостей, и MITRE ATT&CK для сопоставления инцидентов с известными тактиками противников.
  • Операции безопасности (Security Operations) — содержит модули соответствия различным стандартам безопасности, включая PCI DSS, GDPR, HIPAA, NIST 800-53 и TSC.
  • Облачная безопасность (Cloud Security) — позволяет мониторить различные облачные сервисы и контейнеры, включая Docker, Amazon Web Services, Google Cloud, GitHub и Office 365.

Примечание

Подробная информация по основным настройкам Wazuh содержится в документации разработчиков.

Заказ Wazuh с помощью API

Для установки данного ПО с использованием API следуйте этой инструкции.