Wazuh ist eine Open-Source-Sicherheitsplattform, die zur Überwachung und Analyse von Sicherheitsereignissen in IT-Infrastrukturen eingesetzt wird. Es handelt sich um eine Erweiterung von OSSEC (Open Source Security) und bietet zusätzliche Funktionen und Verbesserungen.
Anforderung:
In einem Unternehmen mit rund 165 Mitarbeiter wurden bisher nur klassische Komponenten wie Antiviren Lösungen und Firewalls eingesetz
Es fehlte eine Plattform, die fehlgeschlagene Loginversuche mitloggt so dass nicht mehr explizit auf die Domaincontroller oder Unix-VMs geschaut werden muss. Wenn nötig soll man via Mail über fehlgeschlagene oder gar valide Anmeldeversuche unterrichtet werden. Hier ist das klassische SIE, speziell die Open-Source Plattform Wazuh intressant.
Nach der Einführung wurde schnell klar, welche Systeme lange nicht gepatcht wurden (Anzeige der CVE samt Quellen) und auch, welche man besser durch Zugriffe von außen schützen muss, zum Beispiel durch einen Geo-IP-Blocker.
Der Sinn wurde also erfüllt und Wazuh wird nun regelmäßig zur Prüfung der Infrastruktur angewandt.
Hier sind einige der Hauptfunktionen von Wazuh:
Log-Management: Wazuh sammelt und analysiert Protokolldaten von verschiedenen Quellen, einschließlich Servern, Anwendungen und Netzwerkgeräten. Dies hilft bei der Identifizierung von Anomalien und potenziellen Sicherheitsvorfällen.
Datei-Integritätsprüfung (File Integrity Monitoring): Wazuh überwacht Änderungen an wichtigen Dateien und Verzeichnissen, um unautorisierte Modifikationen zu erkennen, die auf einen Sicherheitsvorfall hinweisen könnten. Dies können sowohl standardmäßige Routinen sein, oder Erkennen von gelöschten Dateien. Durch die explizite Angabe von Pfaden wird nur das mitgeloggt, was definiert wird.
Compliance-Berichterstattung: Die Plattform unterstützt Organisationen dabei, Compliance-Anforderungen zu erfüllen (z.B. PCI-DSS, HIPAA), indem sie relevante Daten sammelt und Berichte erstellt.
Bedrohungserkennung: Wazuh nutzt Bedrohungsdatenfeeds, um bekannte Bedrohungen zu identifizieren und darauf zu reagieren.
Benachrichtigungen und Alarmierung: Bei Erkennung von sicherheitsrelevanten Ereignissen kann Wazuh Alarme auslösen und Administratoren benachrichtigen. Dies geschicht am einfachsten via Mail und wird für einzelne Szenarien definiert, wie zB für das Ereignis ID4625 „login failed“.
