Wazuh
Wazuh 是什么?
Wazuh开源 XDR 与 SIEM 平台,2015 年源自 OSSEC 的 Fork,通过 Wazuh Indexer 与 Dashboard 统一端点、云与容器的遥测数据。
Wazuh 是 Santiago Bassett 与 Daniel B. Cid 于 2015 年基于 OSSEC 派生而来的安全平台,采用 GPLv2 协议,如今定位为开源 XDR/SIEM。Wazuh 代理运行于 Linux、Windows、macOS、AIX 与 Solaris,采集日志、文件完整性事件、漏洞数据、系统清单、对应到 MITRE ATT&CK 的检测,以及 AWS、Azure、GCP、Office 365、GitHub 等云审计数据。所有数据存入 Wazuh Indexer(OpenSearch 的 Fork),并通过 Wazuh Dashboard 进行可视化。平台内置数千条规则与解码器,支持主动响应、FIM、SCA 与 CIS 基线,并提供托管云服务。它是部署量最大的开源 SOC 栈之一。
● 示例
- 01
通过 Sysmon 日志和映射到 ATT&CK 的规则,在 Windows 端点上检测 Mimikatz 执行。
- 02
用 Wazuh 主动响应模块在 Linux 服务器上自动封禁 SSH 暴力破解的源 IP。
● 常见问题
Wazuh 是什么?
开源 XDR 与 SIEM 平台,2015 年源自 OSSEC 的 Fork,通过 Wazuh Indexer 与 Dashboard 统一端点、云与容器的遥测数据。 它属于网络安全的 防御与运营 分类。
Wazuh 是什么意思?
开源 XDR 与 SIEM 平台,2015 年源自 OSSEC 的 Fork,通过 Wazuh Indexer 与 Dashboard 统一端点、云与容器的遥测数据。
Wazuh 是如何工作的?
Wazuh 是 Santiago Bassett 与 Daniel B. Cid 于 2015 年基于 OSSEC 派生而来的安全平台,采用 GPLv2 协议,如今定位为开源 XDR/SIEM。Wazuh 代理运行于 Linux、Windows、macOS、AIX 与 Solaris,采集日志、文件完整性事件、漏洞数据、系统清单、对应到 MITRE ATT&CK 的检测,以及 AWS、Azure、GCP、Office 365、GitHub 等云审计数据。所有数据存入 Wazuh Indexer(OpenSearch 的 Fork),并通过 Wazuh Dashboard 进行可视化。平台内置数千条规则与解码器,支持主动响应、FIM、SCA 与 CIS 基线,并提供托管云服务。它是部署量最大的开源 SOC 栈之一。
如何防御 Wazuh?
针对 Wazuh 的防御通常结合技术控制与运营实践,详见上方完整定义。
Wazuh 还有哪些其他名称?
常见的别称包括: Wazuh XDR, Wazuh SIEM。
● 相关术语
- defense-ops№ 769
OSSEC
免费开源的主机入侵检测系统,支持日志分析、文件完整性监控、Rootkit 检测与主动响应,覆盖 Linux、Windows、macOS 与 Solaris。
- defense-ops№ 1254
XDR(扩展检测与响应)
整合端点、网络、身份、邮件与云端遥测的安全平台,提供跨层关联的检测和一体化的响应能力。
- defense-ops№ 1039
SIEM
聚合、归一并关联企业全网安全遥测数据,以支持检测、调查、合规与报告的平台。
- defense-ops№ 416
文件完整性监控 (FIM)
通过将关键操作系统、应用与配置文件与可信加密基线进行对比,检测异常变更的安全控制。
- compliance№ 687
MITRE ATT&CK
由 MITRE 维护、面向全球开放的对手战术与技术知识库,基于真实攻击观察持续更新。
● 参见
- № 372Elastic Stack(ELK)
- № 997Security Onion