Wazuh – architektura systemu cześć 2
W poprzedniej części serii wpisów w temacie Wazuh – darmowy SIEM i XDR opisano architekturę systemu Wazuh i znaczenie agenta. W tym wpisie wyjaśniono kolejne komponenty z listy:
- Agent Wazuh: To oprogramowanie instalowane na monitorowanych systemach. Agent zbiera dane o zdarzeniach i logach, które są następnie przesyła do serwera Wazuh.
- Serwer Wazuh: Odpowiada za odbieranie danych od agentów, ich analizę oraz generowanie powiadomień o incydentach. Serwer jest również odpowiedzialny za przechowywanie informacji o zdarzeniach.
- Wazuh Indexer: Odpowiada za indeksowanie i przechowywanie zdarzeń. Przechowuje dane w formacie JSON.
- Wazuh Dashbord: Interfejs użytkownika który umożliwia administratorom przeglądanie danych, analizowanie incydentów oraz generowanie raportów. Interfejs ten jest często zintegrowany z Kibana, co pozwala na wizualizację danych w czasie rzeczywistym.
Wazuh Server
Wazuh Server pełni rolę centralnego komponentu systemu Wazuh, odpowiadając za analizę i zarządzanie danymi otrzymanymi od agentów zainstalowanych na urządzeniach końcowych. Jego struktura opiera się na kilku kluczowych elementach, które razem tworzą system detekcji i reagowania na zagrożenia. Wykorzystuje zewnętrzne źródła inteligencji zagrożeń, a także strukturę MITRE ATT&CK oraz standardy zgodności regulacyjnej, takie jak PCI DSS, HIPAA, czy GDPR. Te zasoby wzbogacają dane alertowe, umożliwiając bardziej precyzyjne wykrywanie zagrożeń i identyfikację potencjalnych wektorów ataku
Wazuh Server obejmuje sześć głównych modułów:
- Agent enrollment service: Zapewnia unikalne klucze autoryzacji dla każdego agenta, umożliwiając ich bezpieczne przyłączanie do systemu.
- Agent connection service: Odbiera dane od agentów i umożliwia zdalne zarządzanie ich konfiguracją.
- Analysis engine: Przetwarza dane, dekodując logi i stosując reguły do wykrywania wzorców wskazujących na zagrożenia. Silnik może także inicjować aktywne reakcje na określone incydenty.
- Wazuh RESTful API: Zapewnia interfejs do zarządzania konfiguracją agentów i serwera oraz monitorowania stanu infrastruktury i zdrowia systemu.
- Wazuh cluster daemon: Umożliwia skalowanie serwera poziomo, tworząc klaster serwerów, co zwiększa dostępność i równoważy obciążenie.
- Filebeat: Przekazuje zdarzenia i alerty do indeksatora Wazuh, zapewniając równomierne rozłożenie obciążeń w środowisku klastrowym.
Serwer Wazuh może być instalowany jako samodzielna maszyna lub w klastrze serwerów. Zapewnia to wysoką dostępność oraz skalowalność. Dzięki temu można rozbudowywać systemy ochrony w zależności od potrzeb i zwiększającej się liczby agentów. Komponent ten stanowi fundament systemu bezpieczeństwa, zarządzając, analizując i wzbogacając dane, co umożliwia szybką reakcję na zagrożenia w czasie rzeczywistym. Jest to kluczowy element w strukturze Wazuh, który łączy funkcje detekcji, zgodności oraz zarządzania bezpieczeństwem na wielu poziomach infrastruktury IT.
Podsumowanie – Wazuh – architektura systemu cześć 2
W tej części serii wpisów o Wazuh opisano komponent Wazuh Server. To już drugi opisany komponent. W dalszej części poruszone zostaną pozostałe komponenty. W oddzielnym wpisie pojawi się również środowisko testowe – homelab do testów Wazuh. Architektura Wazuh na pierwszy rzut oka może wydawać się skomplikowana, zwłaszcza dla osób, które dopiero zaczynają swoją przygodę z narzędziami SIEM i XDR. Składa się ona z kilku kluczowych elementów, takich jak serwer, agenty oraz interfejs użytkownika, które wzajemnie się uzupełniają, aby zapewnić kompleksowe monitorowanie i ochronę infrastruktury IT. Warto jednak poświęcić czas na dokładne poznanie jej struktury, ponieważ pełne zrozumienie architektury Wazuh umożliwia bardziej efektywne wykorzystanie systemu. Znając każdy komponent i jego funkcję, użytkownicy mogą lepiej konfigurować narzędzie, dostosowując je do specyficznych potrzeb swojej organizacji.