Wazuh
Wazuh 是什么?
Wazuh开源 XDR 与 SIEM 平台,2015 年源自 OSSEC 的 Fork,通过 Wazuh Indexer 与 Dashboard 统一端点、云与容器的遥测数据。
Wazuh 是 Santiago Bassett 与 Daniel B. Cid 于 2015 年基于 OSSEC 派生而来的安全平台,采用 GPLv2 协议,如今定位为开源 XDR/SIEM。Wazuh 代理运行于 Linux、Windows、macOS、AIX 与 Solaris,采集日志、文件完整性事件、漏洞数据、系统清单、对应到 MITRE ATT&CK 的检测,以及 AWS、Azure、GCP、Office 365、GitHub 等云审计数据。所有数据存入 Wazuh Indexer(OpenSearch 的 Fork),并通过 Wazuh Dashboard 进行可视化。平台内置数千条规则与解码器,支持主动响应、FIM、SCA 与 CIS 基线,并提供托管云服务。它是部署量最大的开源 SOC 栈之一。
● 示例
- 01
通过 Sysmon 日志和映射到 ATT&CK 的规则,在 Windows 端点上检测 Mimikatz 执行。
- 02
用 Wazuh 主动响应模块在 Linux 服务器上自动封禁 SSH 暴力破解的源 IP。
● 常见问题
Wazuh 是什么?
开源 XDR 与 SIEM 平台,2015 年源自 OSSEC 的 Fork,通过 Wazuh Indexer 与 Dashboard 统一端点、云与容器的遥测数据。 它属于网络安全的 防御与运营 分类。
Wazuh 是什么意思?
开源 XDR 与 SIEM 平台,2015 年源自 OSSEC 的 Fork,通过 Wazuh Indexer 与 Dashboard 统一端点、云与容器的遥测数据。
如何防御 Wazuh?
针对 Wazuh 的防御通常结合技术控制与运营实践,详见上方完整定义。
Wazuh 还有哪些其他名称?
常见的别称包括: Wazuh XDR, Wazuh SIEM。