Wazuh и HIPAA - защита электронной медицинской информации
Wazuh обеспечивает поддержку требований HIPAA (Health Insurance Portability and Accountability Act) через мониторинг целостности файлов, анализ логов, оценку конфигурации, обнаружение вредоносного ПО, выявление уязвимостей и автоматическое реагирование. Стандартный набор правил содержит предварительно размеченные теги hipaa_XXX.XXX.X, покрывающие требования Security Rule.
Обзор HIPAA Security Rule
HIPAA Security Rule (Часть 164, Подчасть C) определяет стандарты безопасности для защиты электронной медицинской информации (ePHI - electronic Protected Health Information). Стандарт устанавливает три категории мер защиты:
- Административные меры - политики и процедуры управления безопасностью
- Физические меры - контроль физического доступа к системам с ePHI
- Технические меры - технологические средства защиты ePHI
Wazuh адресует преимущественно технические и административные меры защиты через свои модули мониторинга и анализа.
Маппинг мер защиты HIPAA на модули Wazuh
Административные меры защиты (Administrative Safeguards)
| Требование HIPAA | Описание | Модуль Wazuh | Группа правил |
|---|---|---|---|
| 164.308(a)(1)(i) | Процесс управления безопасностью | Анализ логов , SCA | hipaa_164.308.a.1 |
| 164.308(a)(1)(ii)(A) | Анализ рисков | Vulnerability Detector , анализ алертов | hipaa_164.308.a.1 |
| 164.308(a)(3)(i) | Безопасность рабочей силы | Мониторинг доступа, анализ логов | hipaa_164.308.a.3 |
| 164.308(a)(5)(i) | Обучение персонала по безопасности | Аудит действий пользователей | hipaa_164.308.a.5 |
| 164.308(a)(6)(i) | Процедуры реагирования на инциденты | Активное реагирование , алерты | hipaa_164.308.a.6 |
| 164.308(a)(8) | Оценка соответствия | SCA, Vulnerability Detector | hipaa_164.308.a.8 |
Физические меры защиты (Physical Safeguards)
| Требование HIPAA | Описание | Модуль Wazuh | Группа правил |
|---|---|---|---|
| 164.310(a)(1) | Контроль доступа к помещениям | Анализ логов СКУД | hipaa_164.310.a.1 |
| 164.310(b) | Контроль рабочих станций | FIM , SCA | hipaa_164.310.b |
| 164.310(d)(1) | Контроль устройств и носителей | Инвентаризация системы , FIM | hipaa_164.310.d.1 |
Технические меры защиты (Technical Safeguards)
| Требование HIPAA | Описание | Модуль Wazuh | Группа правил |
|---|---|---|---|
| 164.312(a)(1) | Контроль доступа | Анализ логов аутентификации | hipaa_164.312.a.1 |
| 164.312(a)(2)(i) | Уникальная идентификация пользователей | Мониторинг учетных записей | hipaa_164.312.a.2 |
| 164.312(a)(2)(iii) | Автоматическое завершение сессий | SCA, анализ логов | hipaa_164.312.a.2 |
| 164.312(b) | Контроль аудита | Анализ логов | hipaa_164.312.b |
| 164.312(c)(1) | Контроль целостности | FIM | hipaa_164.312.c.1 |
| 164.312(c)(2) | Механизмы аутентификации | Анализ логов, SCA | hipaa_164.312.c.2 |
| 164.312(d) | Аутентификация лиц и сущностей | Мониторинг аутентификации | hipaa_164.312.d |
| 164.312(e)(1) | Безопасность передачи данных | SCA, анализ логов | hipaa_164.312.e.1 |
| 164.312(e)(2)(i) | Контроль целостности при передаче | FIM, SCA | hipaa_164.312.e.2 |
Контроль доступа - 164.312(a)
Wazuh отслеживает события аутентификации и авторизации для обеспечения контроля доступа к системам с ePHI.
Мониторинг аутентификации
<localfile>
<log_format>syslog</log_format>
<location>/var/log/auth.log</location>
</localfile>
<localfile>
<log_format>eventchannel</log_format>
<location>Security</location>
<query>Event[System[(EventID=4624 or EventID=4625 or EventID=4634)]]</query>
</localfile>Правила Wazuh автоматически классифицируют события аутентификации:
- Успешная аутентификация - уровень 3
- Неудачная попытка аутентификации - уровень 5
- Множественные неудачные попытки (brute force) - уровень 10
Мониторинг привилегированного доступа
<rule id="100200" level="8">
<if_sid>5715</if_sid>
<user>root</user>
<description>Root SSH login to ePHI system</description>
<group>hipaa_164.312.a.1,hipaa_164.312.d,authentication_success,</group>
</rule>Контроль аудита - 164.312(b)
HIPAA требует внедрения аппаратных, программных и процедурных механизмов для записи и анализа действий в информационных системах, содержащих ePHI.
Настройка аудита
Wazuh обеспечивает комплексный аудит через:
- Централизованный сбор логов - агент собирает логи со всех систем, содержащих ePHI
- Анализ в реальном времени - правила обнаружения обрабатывают события немедленно
- Архивирование - полное сохранение всех событий для ретроспективного анализа
<ossec_config>
<global>
<logall_json>yes</logall_json>
</global>
</ossec_config>Отслеживание действий пользователей
Для мониторинга действий пользователей на системах с ePHI используйте системные вызовы :
<localfile>
<log_format>audit</log_format>
<location>/var/log/audit/audit.log</location>
</localfile>Контроль целостности - 164.312(c)
Мониторинг файлов с ePHI
FIM обеспечивает контроль целостности электронной медицинской информации:
<syscheck>
<directories check_all="yes" whodata="yes" report_changes="yes">/var/data/ephi</directories>
<directories check_all="yes" whodata="yes">/opt/ehr/database</directories>
<directories check_all="yes" realtime="yes">/var/data/medical_records</directories>
</syscheck>Пользовательские правила для ePHI
<rule id="100210" level="10">
<if_sid>550</if_sid>
<match>/var/data/ephi|/opt/ehr|/var/data/medical_records</match>
<description>ePHI file integrity violation: unauthorized modification detected</description>
<group>hipaa_164.312.c.1,ephi_integrity,</group>
</rule>
<rule id="100211" level="12">
<if_sid>553</if_sid>
<match>/var/data/ephi|/opt/ehr|/var/data/medical_records</match>
<description>ePHI file deleted: potential data destruction</description>
<group>hipaa_164.312.c.1,ephi_integrity,</group>
</rule>Безопасность передачи - 164.312(e)
Wazuh проверяет конфигурацию шифрования передачи данных через модуль SCA :
checks:
- id: 30001
title: "Ensure TLS 1.2 or higher is enforced"
compliance:
- hipaa: ["164.312.e.1"]
condition: all
rules:
- 'f:/etc/ssl/openssl.cnf -> r:^\s*MinProtocol\s*=\s*(TLSv1\.2|TLSv1\.3)'
- id: 30002
title: "Ensure SSH uses strong ciphers"
compliance:
- hipaa: ["164.312.e.2"]
condition: all
rules:
- 'f:/etc/ssh/sshd_config -> r:^\s*Ciphers\s+.*aes256'Анализ рисков - 164.308(a)(1)(ii)(A)
Wazuh поддерживает процедуру анализа рисков через:
Обнаружение уязвимостей
Vulnerability Detector идентифицирует уязвимости в ПО, установленном на системах с ePHI:
<vulnerability-detector>
<enabled>yes</enabled>
<interval>12h</interval>
<run_on_start>yes</run_on_start>
<provider name="nvd">
<enabled>yes</enabled>
<update_interval>1h</update_interval>
</provider>
</vulnerability-detector>Оценка конфигурации
SCA проверяет системы на соответствие стандартам CIS Benchmarks, выявляя отклонения от безопасной конфигурации.
Анализ алертов
Классификация алертов по уровням (0-15) и маппинг на MITRE ATT&CK предоставляют данные для оценки рисков.
Реагирование на инциденты - 164.308(a)(6)
HIPAA требует наличия процедур реагирования на инциденты безопасности. Wazuh поддерживает это через активное реагирование :
<active-response>
<command>firewall-drop</command>
<location>local</location>
<rules_group>hipaa_164.312.a.1</rules_group>
<timeout>3600</timeout>
</active-response>Настройка интеграции для оповещения об инцидентах:
<integration>
<name>slack</name>
<level>10</level>
<group>ephi_integrity</group>
<hook_url>https://hooks.slack.com/services/XXX/YYY/ZZZ</hook_url>
</integration>Группы правил HIPAA
Wazuh использует формат hipaa_ с последующим номером требования. Получить список доступных тегов:
docker exec wazuh-manager grep -r "hipaa_" /var/ossec/ruleset/rules/ | \
grep -oP 'hipaa_[\d.a-z]+' | sort -uОсновные группы:
| Группа | Требование |
|---|---|
hipaa_164.308.a.1 | Процесс управления безопасностью |
hipaa_164.308.a.3 | Безопасность рабочей силы |
hipaa_164.308.a.5 | Обучение персонала |
hipaa_164.308.a.6 | Реагирование на инциденты |
hipaa_164.310.a.1 | Контроль доступа к помещениям |
hipaa_164.310.b | Контроль рабочих станций |
hipaa_164.310.d.1 | Контроль устройств |
hipaa_164.312.a.1 | Контроль доступа |
hipaa_164.312.b | Контроль аудита |
hipaa_164.312.c.1 | Контроль целостности |
hipaa_164.312.d | Аутентификация |
hipaa_164.312.e.1 | Безопасность передачи |
Модуль HIPAA в дашборде
Wazuh Dashboard содержит модуль HIPAA в разделе Modules > Regulatory compliance > HIPAA. Модуль предоставляет:
- Обзор алертов по разделам HIPAA Security Rule
- Распределение алертов по категориям мер защиты
- Временную шкалу событий соответствия
- Детализацию по агентам и группам
Формирование отчетов HIPAA
Для запроса алертов HIPAA через API:
curl -sk -u admin:$WAZUH_ADMIN_PASS \
"https://localhost:9200/wazuh-alerts-*/_search" \
-H "Content-Type: application/json" \
-d '{
"size": 0,
"query": {
"bool": {
"must": [
{ "range": { "timestamp": { "gte": "now-30d" } } },
{ "exists": { "field": "rule.hipaa" } }
]
}
},
"aggs": {
"hipaa_requirements": {
"terms": { "field": "rule.hipaa", "size": 50 }
}
}
}' | jq '.aggregations.hipaa_requirements.buckets'Устранение неполадок
Алерты HIPAA не отображаются в дашборде
- Проверьте наличие тегов
hipaa_в правилах - Убедитесь, что модуль HIPAA активирован в настройках дашборда
- Проверьте корректность временного диапазона
FIM не генерирует алерты для файлов ePHI
- Убедитесь, что пути к каталогам с ePHI указаны корректно в
<syscheck> - Проверьте права доступа агента к контролируемым каталогам
- При использовании
whodataубедитесь, что пакетauditdустановлен
Отсутствуют данные аудита для 164.312(b)
- Проверьте конфигурацию сбора логов в
ossec.conf - Убедитесь, что источники логов аутентификации указаны
- Проверьте, что архивирование включено через
logall_json
Активное реагирование не срабатывает
- Проверьте, что группа правил в
<active-response>соответствует группам в правилах - Убедитесь, что скрипт реагирования имеет права на выполнение
- Проверьте логи активного реагирования в
/var/ossec/logs/active-responses.log