Документация
Документация Wazuh 4.14 - руководство по SIEM/XDR
Возможности Wazuh 4.14 - модули защиты и анализа

Возможности Wazuh 4.14 - модули защиты и анализа

Wazuh 4.14 предоставляет набор модулей безопасности, каждый из которых решает определенный класс задач - от мониторинга изменений файловой системы до обнаружения уязвимостей в установленном ПО. Модули работают на уровне агента и сервера, дополняя друг друга и обеспечивая комплексную защиту инфраструктуры.

Модули безопасности

Платформа Wazuh объединяет 11 основных модулей, которые можно активировать и настраивать независимо друг от друга в зависимости от требований организации.

Обнаружение угроз

Мониторинг целостности файлов (FIM)

Модуль syscheck отслеживает изменения файлов, каталогов и реестра Windows. Обнаруживает несанкционированные модификации системных файлов, конфигураций и критических данных. Поддерживает режимы реального времени (realtime), расширенный аудит (whodata) и плановое сканирование.

Обнаружение вредоносного ПО

Комплекс методов обнаружения вредоносного программного обеспечения: модуль rootcheck для поиска руткитов, интеграция с YARA для сигнатурного анализа, проверка хешей через VirusTotal, мониторинг логов ClamAV и Windows Defender.

Оценка конфигурации безопасности (SCA)

Модуль Security Configuration Assessment проверяет настройки систем на соответствие стандартам CIS Benchmarks. Использует политики в формате YAML с проверками файлов, процессов, реестра и команд. Поддерживает пользовательские политики.

Обнаружение уязвимостей

Модуль vulnerability-detector сопоставляет инвентаризацию установленного ПО (syscollector) с базами данных уязвимостей (NVD, Canonical, Red Hat, Debian, ALAS, Microsoft). Выявляет известные CVE и приоритизирует устранение по уровню критичности.

Мониторинг и сбор данных

Сбор журналов (Log Data Collection)

Централизованный сбор и нормализация журналов из различных источников: syslog, Windows Event Log, macOS Unified Logging System, журналы приложений. Декодеры преобразуют необработанные журналы в структурированные события для анализа правилами.

Мониторинг команд (Command Monitoring)

Периодическое выполнение команд на конечных точках с анализом результатов. Позволяет отслеживать состояние системы через вывод произвольных команд (например, netstat, ps, last).

Инвентаризация системы (Syscollector)

Сбор данных о системных ресурсах: установленные пакеты, открытые порты, сетевые интерфейсы, аппаратное обеспечение, запущенные процессы. Данные используются модулем обнаружения уязвимостей.

Реагирование и соответствие

Активное реагирование (Active Response)

Автоматическое выполнение действий при срабатывании правил: блокировка IP-адресов через iptables/Windows Firewall, завершение процессов, запуск пользовательских скриптов. Настраивается по уровню правила, группе или идентификатору.

Соответствие нормативным требованиям (Regulatory Compliance)

Маппинг правил обнаружения на требования стандартов: PCI DSS, GDPR, HIPAA, NIST 800-53, TSC (SOC 2). Автоматическая генерация отчетов о соответствии через дашборд.

Мониторинг облачной безопасности (Cloud Security)

Интеграция с облачными провайдерами: AWS (CloudTrail, VPC Flow Logs, GuardDuty), Azure (Activity Logs, Blob Storage), Google Cloud (Pub/Sub). Анализ событий безопасности в облачной инфраструктуре.

Мониторинг контейнеров (Container Security)

Мониторинг Docker-контейнеров и Kubernetes: отслеживание событий Docker daemon, изменений образов, сетевой активности контейнеров, анализ журналов Kubernetes audit log.

Связанные разделы

Last updated on