Wazuh Cloud Security - мониторинг облачных сред
Wazuh 4.14 обеспечивает мониторинг безопасности облачных сред через интеграцию с основными облачными провайдерами и SaaS-платформами. Модули облачной безопасности собирают журналы аудита, события управления ресурсами и оповещения сервисов защиты, позволяя централизовать анализ угроз в гибридных и мультиоблачных инфраструктурах.
Архитектура облачного мониторинга
Wazuh использует модули-воделы (wodles) для интеграции с облачными провайдерами. Каждый модуль периодически опрашивает API облачного сервиса или читает логи из хранилища, нормализует полученные данные и передает их на сервер Wazuh для анализа правилами обнаружения.
Общая схема работы:
- Облачный сервис записывает события в хранилище (S3, Blob Storage, Pub/Sub) или предоставляет API
- Модуль Wazuh забирает события по расписанию (параметр
interval) - Данные нормализуются и передаются в формате JSON на Wazuh Server
- Правила обнаружения анализируют события и генерируют алерты
- Алерты индексируются в Wazuh Indexer (OpenSearch) для визуализации
Поддерживаемые платформы
AWS - Amazon Web Services
Мониторинг сервисов AWS через модуль aws-s3. Поддерживаемые источники: CloudTrail (API-аудит), VPC Flow Logs (сетевой трафик), GuardDuty (обнаружение угроз), WAF (фильтрация веб-трафика), Config (отслеживание изменений конфигурации), Macie (защита данных), Inspector (оценка уязвимостей), KMS (управление ключами), Trusted Advisor (рекомендации по безопасности). Интеграция через S3-бакеты и SQS-очереди.
Azure - Microsoft Azure
Мониторинг Azure через модуль azure-logs. Источники данных: Activity Logs (журналы активности), Log Analytics (аналитические запросы), Microsoft Graph API (события Microsoft Entra ID). Поддержка Blob Storage для сбора журналов и интеграция с Microsoft Intune.
GCP - Google Cloud Platform
Мониторинг GCP через модуль gcp-pubsub. Интеграция с Cloud Audit Logs через Pub/Sub-подписки. Мониторинг событий: доступ к данным, привилегированные действия, системные события, DNS-запросы.
Office 365
Мониторинг Microsoft 365 через модуль office365. Сбор журналов аудита через Office 365 Management Activity API. Типы контента: Exchange, SharePoint, Azure Active Directory, DLP.
GitHub
Мониторинг организаций GitHub через модуль github. Сбор событий аудита через GitHub Audit Log API. Типы событий: управление репозиториями, команды, участники, настройки организации.
Общие принципы настройки
Все модули облачной безопасности настраиваются в файле ossec.conf на сервере Wazuh или на агенте. Модули имеют общие параметры:
| Параметр | Описание |
|---|---|
enabled / disabled | Включение или отключение модуля |
interval | Интервал опроса облачного API |
run_on_start | Запуск при старте агента или менеджера |
only_future_events | Сбор только новых событий после первого запуска |
Для аутентификации используются учетные данные, специфичные для каждого провайдера: IAM-роли и ключи доступа для AWS, регистрация приложений Azure AD для Azure и Office 365, сервисные аккаунты с JSON-ключами для GCP, персональные токены для GitHub.
Связанные разделы
- Возможности Wazuh - обзор всех модулей безопасности платформы
- Сбор логов Wazuh - централизованный сбор и нормализация журналов
- Архитектура Wazuh - компоненты платформы и потоки данных