Интеграции Wazuh 4.14 - подключение внешних систем
Wazuh 4.14 поддерживает интеграцию с широким спектром внешних систем безопасности, мониторинга и управления инцидентами. Интеграции позволяют передавать алерты в сторонние платформы, обогащать события данными из threat intelligence и автоматизировать процессы реагирования через SOAR-решения.
Типы интеграций
Платформа предоставляет несколько механизмов подключения внешних систем, каждый из которых подходит для определенных сценариев.
Встроенные интеграции (integratord)
Wazuh включает демон wazuh-integratord, который обрабатывает алерты и передает их во внешние системы. Поддерживаются следующие платформы из коробки:
- Slack - отправка уведомлений в каналы
- PagerDuty - эскалация критических инцидентов
- VirusTotal - проверка хешей файлов и URL
- Shuffle - оркестрация через SOAR-платформу
- TheHive - управление инцидентами и кейсами
Подробная настройка встроенных интеграций описана в разделе SIEM-интеграции и встроенные коннекторы .
Интеграции через API и вебхуки
Для систем без встроенной поддержки Wazuh предоставляет возможность создания пользовательских интеграций через:
- Custom webhook - произвольные HTTP-вызовы при срабатывании алертов
- Syslog forwarding - пересылка событий в другие SIEM-системы
- REST API - программный доступ к данным Wazuh для построения собственных интеграций
Сторонние интеграции
Wazuh интегрируется с экосистемой инструментов безопасности через специализированные модули и API:
- Osquery - расширенный сбор данных с конечных точек
- MISP / OpenCTI - обмен индикаторами компрометации
- Jira / ServiceNow - автоматическое создание тикетов
- Shuffle / Cortex XSOAR - SOAR-автоматизация
Детальное описание сторонних интеграций доступно в разделе Сторонние интеграции .
Архитектура интеграций
Все интеграции в Wazuh работают по одному из трех паттернов:
| Паттерн | Механизм | Примеры |
|---|---|---|
| Push (integratord) | Демон передает алерт во внешнюю систему | Slack, PagerDuty, VirusTotal |
| Pull (API) | Внешняя система запрашивает данные из Wazuh | Splunk app, ELK connector |
| Bidirectional | Двусторонний обмен данными | Shuffle, Cortex XSOAR |
Демон wazuh-integratord работает на сервере Wazuh Manager и обрабатывает алерты в реальном времени. При срабатывании правила, соответствующего фильтру интеграции, демон формирует JSON-payload и отправляет его на указанный endpoint.
Выбор стратегии интеграции
При планировании интеграций следует учитывать несколько факторов:
- Объем алертов - для высоконагруженных сред рекомендуется фильтрация по уровню критичности (
level) или группе правил (group) - Отказоустойчивость - syslog forwarding обеспечивает буферизацию, тогда как webhook-вызовы могут теряться при недоступности приемника
- Задержка - integratord добавляет минимальную задержку (менее 1 секунды), API-опрос зависит от интервала polling
- Безопасность - API-ключи и токены хранятся в конфигурации
ossec.confи должны быть защищены соответствующими правами доступа
Для построения комплексной системы безопасности рекомендуется комбинировать несколько типов интеграций. Типичная архитектура включает пересылку всех алертов в централизованный SIEM через syslog, отправку критических событий в Slack/PagerDuty и автоматическое создание тикетов через SOAR-платформу.
Подробнее о разработке собственных интеграций читайте в разделе Разработка пользовательских интеграций .