Документация
Документация Wazuh 4.14 - руководство по SIEM/XDR
Начало работы с Wazuh - обзор платформы SIEM/XDR
Сценарии использования Wazuh - 12 задач безопасности

Сценарии использования Wazuh - 12 задач безопасности

Wazuh решает широкий спектр задач информационной безопасности - от мониторинга целостности файлов до защиты облачной инфраструктуры. На этой странице описаны двенадцать основных сценариев использования платформы с указанием задействованных модулей и компонентов. Каждый сценарий может использоваться самостоятельно или в сочетании с другими для построения комплексной системы защиты.

Обнаружение вредоносного ПО

Wazuh обнаруживает вредоносное программное обеспечение через несколько механизмов: интеграция модуля FIM с движком YARA для сигнатурного анализа файлов, сбор и анализ логов антивирусных решений (ClamAV, Windows Defender), проверка хешей файлов через VirusTotal API и обнаружение руткитов модулем Rootcheck. Комбинация этих подходов обеспечивает многоуровневую защиту от известных и неизвестных угроз.

Задействованные модули: File Integrity Monitoring, Rootcheck, Log Collector, Active Response

Применение: обнаружение троянов, бэкдоров, руткитов, шифровальщиков и другого вредоносного ПО на конечных точках. Автоматическое реагирование позволяет изолировать зараженный файл или заблокировать вредоносный процесс.

Подробнее: Обнаружение вредоносного ПО

Мониторинг целостности файлов (FIM)

Модуль File Integrity Monitoring отслеживает создание, изменение и удаление файлов в указанных директориях. FIM фиксирует изменения атрибутов файлов (размер, права доступа, владелец, хеш-сумма) и генерирует алерты при обнаружении несанкционированных модификаций. На Windows дополнительно поддерживается мониторинг ключей реестра.

Задействованные модули: File Integrity Monitoring, SCA (для проверки прав доступа)

Применение: контроль целостности конфигурационных файлов, системных библиотек, исполняемых файлов и критических данных. Обязательный компонент для соответствия PCI DSS (требование 11.5) и другим стандартам.

Подробнее: Мониторинг целостности файлов

Поиск угроз (Threat Hunting)

Wazuh предоставляет инструменты для проактивного поиска угроз в инфраструктуре. Маппинг алертов на матрицу MITRE ATT&CK позволяет выявлять тактики и техники атакующих. CDB-списки обеспечивают проверку индикаторов компрометации (IoC) в реальном времени. Дашборд Wazuh предоставляет интерфейс для поиска по событиям с фильтрацией по агентам, правилам, временным интервалам и произвольным полям.

Задействованные модули: Log Collector, правила обнаружения, CDB-списки, MITRE ATT&CK маппинг

Применение: расследование инцидентов, поиск признаков компрометации, анализ поведения пользователей и систем, выявление lateral movement и persistence-техник.

Подробнее: Архитектура Wazuh (раздел о движке анализа)

Обнаружение уязвимостей

Модуль Vulnerability Detector сопоставляет данные инвентаризации (установленные пакеты, версии ОС) с базами известных уязвимостей: NVD (National Vulnerability Database), базы Red Hat, Canonical, Debian, Microsoft и другие. Результаты сканирования отображаются в дашборде с указанием CVSS-оценки, затронутых пакетов и доступных обновлений.

Задействованные модули: Syscollector, Vulnerability Detector

Применение: непрерывное сканирование инфраструктуры на наличие уязвимостей, приоритизация патчей по критичности, формирование отчетов для руководства и аудиторов.

Подробнее: Обнаружение уязвимостей

Оценка конфигурации безопасности (SCA)

Модуль Security Configuration Assessment проверяет конфигурацию систем на соответствие политикам безопасности. Wazuh включает готовые политики на основе CIS Benchmarks для Linux, Windows, macOS, Docker и других платформ. Администраторы могут создавать пользовательские политики для проверки специфических требований организации.

Задействованные модули: SCA, Syscollector

Применение: hardening серверов и рабочих станций, проверка соответствия корпоративным стандартам, автоматический аудит конфигурации при развертывании новых систем.

Подробнее: Оценка конфигурации

Реагирование на инциденты

Wazuh поддерживает автоматическое реагирование на обнаруженные угрозы через модуль Active Response. При срабатывании правила с определенным уровнем критичности сервер может отправить команду на агент для выполнения ответного действия: блокировка IP-адреса атакующего, остановка подозрительного процесса, отключение учетной записи или выполнение пользовательского скрипта.

Задействованные модули: Active Response, правила обнаружения, интеграции (Slack, PagerDuty, TheHive)

Применение: автоматическая блокировка атак brute-force, изоляция скомпрометированных хостов, оповещение SOC-команды через мессенджеры и тикет-системы.

Подробнее: Активное реагирование

Соответствие нормативным требованиям

Wazuh предоставляет встроенные дашборды и отчеты для демонстрации соответствия стандартам PCI DSS, GDPR, HIPAA, NIST 800-53 и TSC. Каждое правило обнаружения может быть привязано к конкретным требованиям стандартов. Модули FIM, SCA и Log Collector обеспечивают сбор доказательной базы для аудиторов.

Задействованные модули: все модули платформы (FIM, SCA, Log Collector, Vulnerability Detector)

Применение: подготовка к аудитам PCI DSS и HIPAA, ведение журналов аудита для GDPR, демонстрация соответствия контролям NIST 800-53, формирование отчетов для регуляторов.

Подробнее: PCI DSS , GDPR , HIPAA

Облачная безопасность

Wazuh обеспечивает мониторинг безопасности облачных сред через интеграцию с API облачных провайдеров. Для AWS поддерживается анализ CloudTrail, GuardDuty, VPC Flow Logs и AWS Config. Для Azure - Activity Log, Microsoft Entra ID и Azure Security Center. Для GCP - Cloud Audit Logs и Security Command Center. Агенты Wazuh устанавливаются на облачные виртуальные машины для мониторинга на уровне операционной системы.

Задействованные модули: Log Collector (интеграции с облачными API), все модули агента на облачных ВМ

Применение: мониторинг несанкционированных изменений в облачной инфраструктуре, обнаружение подозрительной активности в облачных учетных записях, соответствие cloud-specific стандартам безопасности.

Подробнее: AWS , Azure , GCP

Безопасность контейнеров

Wazuh мониторит контейнерные среды на двух уровнях: на уровне хостовой ОС (через агент) и на уровне Docker Engine (через модуль Docker Listener). Агент отслеживает события создания, запуска, остановки и удаления контейнеров, изменения образов и сетевых конфигураций. Для Kubernetes Wazuh анализирует audit logs кластера и события управляющих компонентов.

Задействованные модули: Docker Listener, Log Collector, FIM, SCA

Применение: обнаружение запуска привилегированных контейнеров, мониторинг изменений в Docker-образах, анализ Kubernetes audit logs, проверка конфигурации Docker по стандартам CIS Docker Benchmark.

Подробнее: Безопасность контейнеров

Анализ журналов

Wazuh собирает и анализирует журналы из множества источников: системные логи (syslog, Windows Event Log), логи приложений (Apache, Nginx, MySQL, PostgreSQL), логи безопасности (аутентификация, авторизация, sudo) и пользовательские форматы. Декодеры извлекают структурированные поля из сырых логов, а правила обнаружения выявляют аномалии и угрозы.

Задействованные модули: Log Collector, декодеры, правила обнаружения

Применение: централизованный сбор логов со всей инфраструктуры, обнаружение ошибок и аномалий в работе приложений, корреляция событий из разных источников, долгосрочное хранение для расследований.

Подробнее: Анализ журналов

Обнаружение вторжений

Wazuh выполняет функции системы обнаружения вторжений (IDS) на основе хостовых данных (HIDS). Правила обнаружения выявляют попытки brute-force атак, эскалации привилегий, несанкционированного доступа и эксплуатации уязвимостей. Маппинг на MITRE ATT&CK обеспечивает контекст о тактиках и техниках атакующих. Интеграция с CDB-списками позволяет проверять IP-адреса, домены и хеши файлов по спискам известных угроз.

Задействованные модули: правила обнаружения, CDB-списки, Log Collector, Active Response

Применение: обнаружение brute-force атак на SSH/RDP, выявление попыток privilege escalation, мониторинг web-shell активности, обнаружение lateral movement в сети.

Подробнее: Компоненты Wazuh (раздел о движке анализа)

Аналитика безопасности

Wazuh Dashboard предоставляет инструменты визуальной аналитики для данных безопасности. Встроенные дашборды отображают статистику алертов по уровням критичности, распределение по агентам, MITRE ATT&CK heatmap и тренды по времени. Инструмент Dev Tools позволяет выполнять произвольные запросы к индексатору для глубокого анализа. Отчеты могут генерироваться в формате PDF по расписанию.

Задействованные модули: Wazuh Dashboard, Wazuh Indexer, все модули платформы (в качестве источников данных)

Применение: построение SOC-дашбордов для мониторинга в реальном времени, анализ трендов безопасности за продолжительные периоды, формирование отчетов для руководства и регуляторов.

Подробнее: Документация Wazuh (полный перечень разделов)

Выбор сценариев для внедрения

При планировании внедрения Wazuh рекомендуется начать с базовых сценариев и постепенно расширять покрытие:

  1. Первый этап - анализ журналов, обнаружение вторжений, FIM
  2. Второй этап - обнаружение уязвимостей, SCA, реагирование на инциденты
  3. Третий этап - облачная безопасность, контейнеры, compliance
  4. Четвертый этап - threat hunting, аналитика, интеграции с внешними системами

Для начала работы с платформой обратитесь к разделу Архитектура Wazuh и Компоненты Wazuh .

Last updated on
Компоненты Wazuh - агент, сервер, индексатор, дашборд