Документация Wazuh 4.14 - руководство по SIEM/XDR
Документация Wazuh 4.14 - руководство по SIEM/XDR
[!Внимание]
Это машинный перевод!!!!!!!
Ручной может быть, если будет время
Wazuh - это платформа безопасности с открытым исходным кодом, объединяющая возможности SIEM и XDR. Платформа обеспечивает обнаружение угроз, мониторинг целостности, анализ уязвимостей и соответствие нормативным требованиям для инфраструктуры любого масштаба. Данная документация охватывает версию Wazuh 4.14 и предназначена для инженеров безопасности и системных администраторов.
О Wazuh
Wazuh предоставляет единую платформу для защиты конечных точек, серверов, контейнерных сред и облачных ресурсов. Основные возможности платформы:
- Обнаружение угроз - анализ событий безопасности на основе правил и корреляции
- Мониторинг целостности файлов - отслеживание изменений в критических файлах и реестре
- Обнаружение уязвимостей - сканирование систем на наличие известных CVE
- Оценка конфигурации - проверка соответствия стандартам CIS и политикам безопасности
- Реагирование на инциденты - автоматическое выполнение действий при обнаружении угроз
- Соответствие стандартам - поддержка PCI DSS, GDPR, HIPAA, NIST 800-53
Разделы документации
Начало работы
- Архитектура Wazuh - компоненты платформы, потоки данных, протоколы взаимодействия и модели развертывания
- Компоненты Wazuh - агент, сервер, индексатор и дашборд: подробное описание каждого компонента
- Сценарии использования - практические задачи, решаемые платформой Wazuh
Установка и развертывание
- Быстрый старт - минимальная установка Wazuh для ознакомления
- Установка Wazuh Indexer - развертывание индексатора (одноузловое и кластерное)
- Установка Wazuh Server - установка сервера управления
- Установка Wazuh Dashboard - настройка веб-интерфейса
- Установка Wazuh Agent - развертывание агентов на конечных точках
- Удаление Wazuh - корректное удаление компонентов
Возможности платформы
- Мониторинг целостности файлов - FIM с поддержкой YARA
- Обнаружение вредоносного ПО - интеграция с антивирусами и VirusTotal
- Оценка конфигурации - SCA по стандартам CIS
- Обнаружение уязвимостей - сканирование CVE
- Активное реагирование - автоматические действия при угрозах
- Анализ журналов - сбор и обработка логов
- Мониторинг команд - отслеживание выполнения команд
- Безопасность контейнеров - мониторинг Docker и Kubernetes
- Инвентаризация системы - Syscollector для сбора данных о системе
- Мониторинг системных вызовов - аудит на уровне ядра
- Безагентный мониторинг - мониторинг сетевых устройств
Инфраструктура
- Кластер серверов - отказоустойчивый кластер Wazuh Server
- API сервера - RESTful API управления
- Кластер индексатора - кластеризация OpenSearch
- API индексатора - программный доступ к данным
- Дашборд - настройка веб-интерфейса
- Управление агентами - централизованное управление
Облачная безопасность
- AWS - мониторинг CloudTrail, GuardDuty, VPC Flow Logs
- Azure - интеграция с Azure Activity Log и Microsoft Entra ID
- GCP - Cloud Audit Logs и Security Command Center
- Office 365 - аудит событий Microsoft 365
- GitHub - мониторинг активности репозиториев
Соответствие стандартам
- PCI DSS - стандарт безопасности платежных карт
- GDPR - общий регламент защиты данных
- HIPAA - стандарт для медицинских данных
- NIST 800-53 - контроли безопасности федеральных систем
- TSC - критерии доверительных сервисов
Развертывание
- Docker - контейнерное развертывание с Docker Compose
- Kubernetes - оркестрация в Kubernetes
- Ansible - автоматизация с Ansible
- Puppet - управление конфигурацией через Puppet
- Автономная установка - установка без доступа к интернету
Эксплуатация
- Обновление - процедура обновления компонентов
- Резервное копирование - бэкап конфигурации и данных
- Устранение неполадок - диагностика типичных проблем
Правила и декодеры
- Правила обнаружения - структура и логика правил
- Декодеры - извлечение данных из логов
- Пользовательские правила - создание собственных правил
Интеграции
- SIEM-интеграции - подключение к внешним SIEM
- Внешние интеграции - Slack, PagerDuty, TheHive, MISP
Разработка
- Справочник API - полный справочник RESTful API
- Пользовательские интеграции - разработка собственных модулей
PoC и лабораторные сценарии
- Proof of Concept - сценарии для демонстрации возможностей платформы
Last updated on