Módulo 01
Módulo 01: Wazuh: Visão Geral, Estrutura e Componentes
Objetivos
Visão Geral
O Wazuh é um sistema Open Source de gerenciamento e monitoramento de endpoints (hosts e ativos de rede) em ambiente local ou em nuvem com foco em segurança, classificado como sendo uma solução que abrange dois grupos de funcionalidades distintas e interdependentes ao mesmo tempo SIEM e XDR:
SIEM (Security Information and Event Management)
O Wazuh tem a maior parte de suas funcionalidades voltadas para sua caracterização como um SIEM (Security Information and Event Management) ou, seja, um Gerenciador de Eventos e Informações de Segurança de ativos de TI, em função de abranger todas as principais funcionalidades desse tipo de sistema, como a coleta, análise, correlação e visualização de uma vasta gama de dados de segurança, gerando alertas, notificações ou apresentando resultados em dashboards personalizados proporcionando uma visão abrangente da postura de segurança de uma organização.
Esse tipo de sistema é fundamental em ambientes onde se precisa monitorar diversos equipamentos ligados em rede, coletando eventos básicos e/ou avançados, tarefa humanamente impossível diante do número de hosts, diversidade e complexidade dos sistemas atuais.
Um SIEM, portanto, oferece uma visão unificada do funcionamento de uma rede sob o prisma da segurança da informação, facilitando o acompanhamento do funcionamento de cada equipamentos de forma individual e/ou correlacionada aos demais, analisando e auxiliando a tomada de decisões relacionadas a segurança.
Coleta e Análise de Logs
A ingestão de logs no Wazuh é realizada, principalmente, através da instalação e configuração de agentes nos endpoints, porém a ferramenta também suporta logs enviados diretamente dos endpoints ao SIEM utilizando diversos formatos, como o padrão Syslog, permitindo após a coleta sua normalização e submissão a regras pré configuradas ou personalizadas de análise.
Correlação de eventos
A partir de um mecanismo otimizado de indexação dos logs, o Wazuh pode fazer a correlação dos eventos de diferentes fontes para auxiliar na identificação de incidentes de segurança multi-vetores e na análise da cadeia de ataque completa.
XDR (eXtended Detection and Response)
Adicionalmente considera-se um Wazuh um XDR em função da ferramenta oferecer uma abordagem mais ampla e integrada à segurança, combinando as capacidades de detecção de um SIEM com a capacidade de resposta de um EDR (Endpoint Detection and Response).
Detecção Ampliada
O Wazuh não se limita a monitorar apenas os endpoints. Ele suporta a coleta de dados de uma ampla gama de fontes, incluindo redes, nuvens, contêiners e outras infraestruturas, proporcionando uma visão mais completa do ambiente.
Análise comportamental
O Wazuh utiliza técnicas de análise comportamental para identificar atividades suspeitas, mesmo que não correspondam a assinaturas conhecidas de ameaças.
Integração com outras ferramentas
O Wazuh pode ser integrado a outras ferramentas de segurança, como soluções do tipo SOAR (Security Orchestration, Automation and Response) e ferramentas de orquestração de nuvem, para uma resposta ainda mais eficiente.
Componentes Centrais
Um sistema Wazuh é composto de três componentes principais (central components):
Wazuh Indexer (indexador Wazuh);
Wazuh Server (servidor Wazuh); e
Wazuh Dashboard (painel Wazuh)
Wazuh Indexer
Responsável por indexar e armazenar alertas gerados pelo servidor Wazuh permitindo uma busca/recuperação rápida e eficaz usando critérios ou padrões específicos.
É um sistema projetado para lidar com grandes volumes de alertas de segurança, buscando garantir que os processos de armazenamento, indexação e busca pelas informações armazenadas/indexadas mantenham-se estáveis e funcionais mesmo diante do natural crescimento do número de alertas gerenciados.
O indexador Wazuh usa quatro padrões de índices para armazenar os dados:
wazuh-alerts-*: Padrão de índice para alertas gerados pelo servidor Wazuh;
wazuh-archives-*: Padrão de índice para todos os eventos enviados ao servidor Wazuh;
wazuh-monitoring-*: Padrão para monitorar o status dos agentes Wazuh;
wazuh-statistics-*: Padrão para registro de informações estatísticas sobre o servidor Wazuh.
Wazuh Server
Responsável por coletar os logs de várias fontes, como hosts, eventos de sistemas MS-Windows, Windows/Linux Sysmon, logs de firewalls e outros ativos que podem registrar e enviar logs no formato Syslog (sem a instalação de um agente).
Utiliza um módulo chamado decodificador Wazuh (explicado adiante) para normalizar, padronizar e analisar logs coletados e disponibilizá-los em um formato uniforme.
O servidor Wazuh também fornece uma API para interação, permitindo que servidores ou sistemas remotos interajam e consultem, informações coletadas/processadas de agentes Wazuh, informações de vulnerabilidades e conformidade, etc.
Wazuh Dashboard
Este é o componente central mais "visual", uma vez que disponibiliza uma interface web flexível e intuitiva para que o usuário execute buscas, análises e visualização dos dados de segurança coletados e processados pela ferramenta. o Wazuh Dashboard fornece dashboards (painéis) prontos para uso, permitindo que o usuário navegue dentre as funcionalidades do Wazuh utilizando a interface de usuário.
Através do Wazuh Dashboard, os usuários podem visualizar eventos de segurança, vulnerabilidades detectadas, monitoramento de integridade de arquivos, resultados de avaliação de configuração, eventos de monitoramento de infraestrutura de nuvem, padrões de conformidade regulatória, dentre outras funcionalidades adicionais do Wazuh.
Componentes Universais (Agentes)
Wazuh Agents
Um componente que, efetivamente, não faz parte do core do Wazuh mas é considerado uma ‘quarta parte principal’ é o Wazuh Agent (agente Wazuh), instalado nos endpoints que precisam ser monitorados pelo sistema.
Principais Funcionalidades (Resumo)
Coleta, normalização, análise e correlacionamento de logs;
Detecção de intrusões/anomalias em hosts;
Análise de vulnerabilidades em hosts;
Análise de configurações e conformidade (compliance);
Notificações/alertas + Integração com outras ferramentas
Last updated