Wazuh
Что такое Wazuh?
WazuhОткрытая XDR/SIEM платформа — форк OSSEC 2015 года, объединяющая телеметрию конечных точек, облака и контейнеров со встроенными дашбордами на Wazuh Indexer и Dashboard.
Wazuh — это платформа безопасности под лицензией GPLv2, созданная в 2015 году Сантьяго Бассеттом и Дэниелом Б. Сидом как форк OSSEC и позиционирующаяся сегодня как открытая XDR/SIEM. Агент Wazuh работает на Linux, Windows, macOS, AIX и Solaris и собирает журналы, события целостности файлов, данные об уязвимостях, инвентарь систем, детекты, привязанные к MITRE ATT&CK, и облачные аудит-фиды (AWS, Azure, GCP, Office 365, GitHub). Данные попадают в Wazuh Indexer (форк OpenSearch) и визуализируются в Wazuh Dashboard. Платформа поставляется с тысячами правил и декодеров, поддерживает активное реагирование, FIM, SCA и CIS-бенчмарки, а также доступна как управляемый облачный сервис. Это один из самых распространённых открытых стеков для SOC.
● Примеры
- 01
Обнаружение запуска Mimikatz на Windows-конечной точке через приём Sysmon и правила, привязанные к ATT&CK.
- 02
Автоматическая блокировка источника SSH-брутфорса на Linux-сервере модулем активного реагирования Wazuh.
● Частые вопросы
Что такое Wazuh?
Открытая XDR/SIEM платформа — форк OSSEC 2015 года, объединяющая телеметрию конечных точек, облака и контейнеров со встроенными дашбордами на Wazuh Indexer и Dashboard. Относится к категории Защита и операции в кибербезопасности.
Что означает Wazuh?
Открытая XDR/SIEM платформа — форк OSSEC 2015 года, объединяющая телеметрию конечных точек, облака и контейнеров со встроенными дашбордами на Wazuh Indexer и Dashboard.
Как работает Wazuh?
Wazuh — это платформа безопасности под лицензией GPLv2, созданная в 2015 году Сантьяго Бассеттом и Дэниелом Б. Сидом как форк OSSEC и позиционирующаяся сегодня как открытая XDR/SIEM. Агент Wazuh работает на Linux, Windows, macOS, AIX и Solaris и собирает журналы, события целостности файлов, данные об уязвимостях, инвентарь систем, детекты, привязанные к MITRE ATT&CK, и облачные аудит-фиды (AWS, Azure, GCP, Office 365, GitHub). Данные попадают в Wazuh Indexer (форк OpenSearch) и визуализируются в Wazuh Dashboard. Платформа поставляется с тысячами правил и декодеров, поддерживает активное реагирование, FIM, SCA и CIS-бенчмарки, а также доступна как управляемый облачный сервис. Это один из самых распространённых открытых стеков для SOC.
Как защититься от Wazuh?
Защита от Wazuh обычно сочетает технические меры и операционные практики, как описано в определении выше.
Какие есть другие названия Wazuh?
Распространённые альтернативные названия: Wazuh XDR, Wazuh SIEM.
● Связанные термины
- defense-ops№ 769
OSSEC
Бесплатная открытая хост-ориентированная IDS, выполняющая анализ журналов, контроль целостности файлов, поиск руткитов и активное реагирование на Linux, Windows, macOS и Solaris.
- defense-ops№ 1254
XDR (расширенное обнаружение и реагирование)
Платформа безопасности, объединяющая телеметрию с конечных точек, сети, систем идентификации, почты и облака, чтобы давать коррелированные обнаружения и единые действия по реагированию.
- defense-ops№ 1039
SIEM
Платформа, которая агрегирует, нормализует и коррелирует данные безопасности со всей организации для обнаружения угроз, расследований, соответствия требованиям и отчётности.
- defense-ops№ 416
Мониторинг целостности файлов (FIM)
Контроль безопасности, обнаруживающий неожиданные изменения важных файлов ОС, приложений и конфигурации путём сравнения с эталонной криптографической базой.
- compliance№ 687
MITRE ATT&CK
Глобально доступная база знаний о тактиках и техниках противников, наблюдаемых в реальных атаках, поддерживаемая MITRE.
● См. также
- № 372Elastic Stack (ELK)
- № 997Security Onion