Moduł SIEM Energy Logserver

 

Czym dokładnie jest Wazuh?

Wazuh jest wszechstronnym narzędziem SIEM, odpowiadającym na potrzebę ciągłego monitorowania i reagowania na zaawansowane zagrożenia dotykające środowiska IT.

Wazuh dostarcza dodatkowe informacje bezpieczeństwa z obszarów tj.: monitorowanie infrastruktury, wykrywanie zagrożeń, próby włamań, wykryte anomalie, źle skonfigurowane aplikacje i nieautoryzowane działania użytkowników. Zyskujemy dostęp do bazy predefiniowanych reguł korelacyjnych, wizualizacji i dashboardów.

Oparty jest o architekturę serwera centralnego i agentów - agenci zbierają dane z hostów i zaszyfrowanym kanałem wysyłają je do serwera centralnego (Wazuh manager). Tam dane są analizowane i dopasowywane do schematów bezpieczeństwa.

Aplikacja Wazuh daje dostęp do bogatej bazy predefiniowanych reguł korelacyjnych oraz wizualizacji co pozwala na rozpoczęcie pracy zaraz po instalacji.

Analiza logów
Z pomocą agentów, które dostarczają niezbędnych danych z monitoringu i responsywności, Wazuh zbiera, agreguje, indeksuje i analizuje informacje o bezpieczeństwie. Wykorzystanie tych danych organizacje mogą w łatwy sposób wykryć próby włamania, zagrożeń i anomalii behawioralnych.
Compliance

Wazuh zapewnia zgodność z wieloma istotnymi regulacjami oraz standardami bezpieczeństwa. Rozbudowana funkcjonalność, skalowalność oraz wsparcie dla wielu platform pozwala organizacji spełnić techniczne wymagania dotyczące zgodności z wymaganymi normami. System dostarcza gotowe raporty i wizualizacje pod takie regulacje jak: PCI DSS, GDPR, CIS, GPG13.

Incident Response
Wazuh dostarcza gotowy zestaw aktywnych reakcji w celu przeciwdziałania wykrytym zagrożeniom t.j. blokowanie dostępu do systemu z zainfekowanego źródła w przypadku spełnienia zdefiniowanych kryteriów. Aplikacja może być również wykorzystana do uruchamiania zdalnych komend oraz skryptów do zintegrowanych rozwiązań, identyfikować IOC oraz bieżącego badania i reagowania na incydenty.
Wykrywanie włamań
Agenty Wazuh skanują monitorowane systemy w poszukiwaniu malware, rootkitów oraz podejrzanych anomalii. System potrafi wykrywać ukryte pliki, zamaskowane procesy oraz niezarejestrowany nasłuchy w sieci jak również niespójności w odpowiedziach na wywołania systemowe.
Analiza bezpieczeństwa
Wazuh czyta logi z systemów operacyjnych i aplikacji, a następnie dokonuje ich analizy w oparciu o bogatą bazę reguł. Pomagają one w wychwytywaniu błędów systemowych i aplikacyjnych, błędnych konfiguracji, podejmowanych prób oraz udanych ataków, naruszeń polityk bezpieczeństwa jak i szeregu innych problemów związanych z bezpieczeństwem oraz konfiguracją środowiska IT.

Bezpieczeństwo chmury

Aplikacja pozwala monitorować środowisko chmurowe z poziomu API, dzięki zastosowaniu modułów integrujących, które zbierają dane dot. bezpieczeństwa z chmur dostarczanych przez Amazon AWS, Microsoft Azure, czy też Google Cloud. Wazuh dostarzca zestaw reguł oceniających konfigurację środowiska chmurowego pod kątem wychwytywania potencjalnych luk bezpieczeństwa.

Integralność plików

Aplikacja monitoruje wybrane pliki, nadzoruje zmiany w zawartości, uprawnieniach, własności oraz atrybutach plików. Każda zmiana zarówno w danych i metadanych pliku jest wykrywana przez system Wazuh.

Wykrywanie podatności

Wazuh na bieżąco koreluje dane z monitorowanego środowiska ze stale aktualizowanymi bazami CVE (Common Vulnerabilities and Exposure) w celu identyfikacji potencjalnych podatności i luk w używanym oprogramowaniu. Zautomatyzowana ocena podatności pozwala znaleźć słabe punkty w zasobach i podjąć odpowiednie działania naprawcze.

Zarządzanie konfiguracjami

System monitoruje ustawienia aplikacji oraz systemów w celu potwierdzenia ich zgodności z przyjętymi zasadami i standardami bezpieczeństwa. Agenty na zgodnie z harmonogramem wykonują skany w celu wykrycia aplikacji, które mogą być potencjalnie podatne, nieaktualne lub błędnie skonfigurowane.

 

Integracja Energy Logserver z Wazuh

Bazując na oficjalnym partnerstwie Wazuh inc. oraz EMCA Software Sp. z o.o. przeprowadziliśmy integrację, w ramach której aplikacja Wazuh jest dostępna z GUI systemu Energy Logserver. Dzięki tej współpracy możemy oferować naszym Klientom niezwykle uniwersalną i efektywną platformę SIEM dostosowaną do potrzeb każdej organizacji.

Standardowo EMCA świadczy usługę wsparcia dla wdrożonego środowiska Wazuh w ramach supportu Energy Logserver, nie mniej zachęcamy również do zakupu dodatkowego wsparcia świadczonego przez zespół Wazuh inc. dającego m.in.:

  • nielimitowany dostęp do dedykowanych specjalistów
  • szybkiego zgłaszania i usuwania zidentyfikowanych bugów
  • regularnej usługi health-check minimum 2 razy w roku

EMCA świadczy również usługi wdrożenia i utrzymania rozwiązania Wazuh na środowiskach Elastic Stack, ELK Stack oraz Splunk.