简介

[Wazuh](Wazuh · The Open Source Security Platform)是一整套基于ossec安全检测工具和EFK日志工具构成的终端安全管理工具。不管是将其分类至HIDS,还是EDR,它都是一套通过监控主机日志行为,提供安全检测、分析和完整报告的开源、免费利器。Wazuh基于C/S架构,它的Agent支持Windows、MacOS、Linux、HP-UX、AIX等主流操作系统。其服务端负责提供认证和数据收集,然后通过filebeat进行日志清洗,最后导入ElasticSearch,通过Kinbana进行展示和输出日志。它不仅可以收集主机的事件日志进行一般的入侵检测功能,还可以通过第三方提供的系统漏洞检测feed文件,来实现主机的漏洞扫描和合规检查。

功能示例

data_flow


组件模块

Wazuh的组件分为三部分:

  1. 客户端的功能

    agent

    1. 收集日志和事件日志;
    2. 文件和注册表的监控;
    3. 运行进程和安装软件的信息收集;
    4. 监控系统端口和网络配置;
    5. 检测恶意软件;
    6. 配置管理和策略监控
    7. 检测主机响应
  2. 服务端

    server

    1. 客户端的服务器注册;
    2. 实现客户端的连接服务;
    3. 根据各项规则实现事件日志的分析引擎;
    4. 提供RESTful API;
    5. 实现服务端的群集化;
    6. 使用Filebeat将日志文件吐给ES存储
  3. Elastic Stack

    show


安装要求

  1. 端口要求

    Component Software Port Protocol Purpose
    Wazuh server Wazuh manager 1514 TCP (default) Agents connection service
    1514 UDP Agents connection service
    1515 TCP Agents registration service
    1516 TCP Wazuh cluster daemon
    Wazuh API 55000 TCP Wazuh RESTful API
    Elastic Stack Elasticsearch 9200 TCP Elasticsearch RESTful API
    9300-9400 TCP Elasticsearch cluster communication
    Kibana 5601 TCP Kibana web interface
  2. 系统要求

    1. 服务端只能部署到Linux主机上
    2. 建议使用RHEL/CentOS 6.x、Ubuntu 12、Debian 7 版本以上
  3. 硬件要求

    最小配置 建议配置
    组件 RAM (GB) CPU (cores) RAM (GB) CPU (cores)
    Wazuh server 2 2 8 4
    Elastic Stack 4 2 16 8
  4. 存储配置

    1. 需要单独配置wazuh server的日志存储分区;
    2. 需要按当前月度日志量x6的最低要求配置,实际运行建议至少每台Wazuh Server配置100G日志存储;
    3. Elastic存储需要汇总多台Wazuh Server日志,至少需要保留半年日志量,建议配置1T存储。
  5. 部署拓扑

    topo


未完待续……