Diferencia entre revisiones de «Wazuh»
m Bot: errónea marca invisible espacio duro unicode |
|||
Línea 2: | Línea 2: | ||
== Historia == |
== Historia == |
||
Wazuh es un fork de OSSEC. |
Wazuh es una startup con sede en Silicon Valley, iniciado como un fork de OSSEC. |
||
Cumple con los requisitos [[PCI DSS|Del Estandar de Seguridad de Datos de la Industria de Tarjetas de Pago]] (PCI DSS) . |
Cumple con los requisitos [[PCI DSS|Del Estandar de Seguridad de Datos de la Industria de Tarjetas de Pago]] (PCI DSS) . |
||
== Componentes de software == |
== Componentes de software == |
||
Los componentes principales de Wazuh son el [[Agentes|agente]] que se ejecuta en cada host, el servidor que analiza los datos recibidos de los agentes, y de otras fuentes sin agente como [[Syslog]]. Adicional a esto el servidor envía los datos de eventos a un clúster [[Elasticsearch]], donde se indexa, almacena y presenta gráficamente la información obtenida. |
Los componentes principales de Wazuh son el [[Agentes|agente]] que se ejecuta en cada host, el servidor que analiza los datos recibidos de los agentes, y de otras fuentes sin agente como [[Syslog]]. Adicional a esto el servidor envía los datos de eventos a un clúster [[Elasticsearch]], donde se indexa, almacena y presenta gráficamente la información obtenida. |
Revisión del 13:33 11 nov 2017
Wazuh | ||
---|---|---|
Wazuh Logo | ||
Información general | ||
Tipo de programa | Security / HIDS | |
Desarrollador | Wazuh Inc | |
Modelo de desarrollo | Software Libre | |
Licencia | GNU GPL v2 | |
Versiones | ||
Última versión estable | 2.1.1 ( 21 de septiembre de 2017 (6 años, 11 meses y 26 días)) | |
Enlaces | ||
Wazuh es un sistema de detección de intrusos basado en host de código abierto y libre (HIDS). Realiza análisis de registro, comprobación de integridad, supervisión del registro de Windows, detección de rootkits, alertas basadas en el tiempo y respuesta activa. Proporciona detección de intrusiones para la mayoría de los sistemas operativos, incluyendo Linux, OpenBSD, FreeBSD, OS X, Solaris y Windows. Wazuh tiene una arquitectura centralizada y multiplataforma que permite que múltiples sistemas sean fácilmente monitoreados y administrados.
Historia
Wazuh es una startup con sede en Silicon Valley, iniciado como un fork de OSSEC.
Cumple con los requisitos Del Estandar de Seguridad de Datos de la Industria de Tarjetas de Pago (PCI DSS) .
Componentes de software
Los componentes principales de Wazuh son el agente que se ejecuta en cada host, el servidor que analiza los datos recibidos de los agentes, y de otras fuentes sin agente como Syslog. Adicional a esto el servidor envía los datos de eventos a un clúster Elasticsearch, donde se indexa, almacena y presenta gráficamente la información obtenida.
- Servidor, el componente de servidor es el sistema que analiza los datos recibidos por los agentes, desencadenando alertas cuando un evento coincide con una regla (p. ej. detección de intrusión, cambio de archivo, configuración no compatible con la política, posible rootkit, etc.). En un servidor físico, una máquina virtual o una instancia en la nube. Este servidor normalmente también ejecutara componentes de agentes locales con propósito de monitorearse. El servidor solo se ejecuta en Linux.
- Agente Wazuh, el agente Wazuh se ejecuta en hosts supervisados que utilizan un sistema operativo Microsoft Windows, Linux, Solaris, Berkeley Software Distribution o Mac. Se utiliza para detectar problemas de seguridad y recopilar diferentes tipos de datos de sistemas y aplicaciones. El agente envía los datos recopilados al servidor Wazuh a través de un canal cifrado y autenticado. Para establecer este canal seguro, se utiliza un proceso de registro que implica claves precompartidas únicas.
- Elastic Stack, que es un conjunto unificado de populares proyectos de código abierto para la gestión de registros, incluyendo Elasticsearch, Logstash, Kibana, Filebeat y otros. Wazuh se integra con Elastic Stack para proporcionar una alimentación de los mensajes de registro ya descodificados para ser indexados por Elasticsearch, así como una consola web en tiempo real para el análisis de datos de alerta y registro. Además, la interfaz de usuario de Wazuh (que funciona sobre Kibana) se puede utilizar para la gerencia y la supervisión de su infraestructura de Wazuh.
Características
Motor de análisis (ossec-analysisd)
- Flexibilidad para extraer y analizar, a partir de un registro en bruto, un número ilimitado de campos.
- Posibilidad de utilizar variables en las descripciones de reglas, para generar dinámicamente diferentes tipos de alertas.
- Capacidad para procesar datos JSON de forma nativa, por lo que no hay necesidad de crear decodificadores o utilizar expresiones regulares.
- Salida JSON enriquecida tanto para archivos como para alertas de datos.
Comunicación agente-manager (ossec-remoted)
- Soporte TCP y mejora de la fiabilidad de las comunicaciones UDP.
- Posibilidad de desplegar archivos de configuración en paralelo, desde el gestor hasta varios agentes.
Nueva API RESTful
- Interfaz para monitorizar y modificar la configuración de la plataforma (agentes y gestores).
- Proporciona información relacionada con el estado de los agentes y servicios.
- Ofrece un servicio para el registro de agentes (para obtener claves precompartidas).
Gestión de agentes
- Capacidad de empujar las actualizaciones del agente desde el gestor (utilizando nuevos paquetes de formato WPK).
- Posibilidad de controlar la configuración de los agentes desde el gestor (creación de grupos y perfiles de configuración).
Nuevo conjunto de reglas
- Reglas y decodificadores, creados, actualizados y mantenidos en un repositorio público.
- Herramienta para actualizaciones automáticas (comprobación contra repositorio público).
- Nuevas reglas para Netscaler, Puppet, Amazon AWS, Suricata, Docker, Mongodb, y más.
- Mapeo de reglas con controles de cumplimiento normativo PCI DSS.
Cambios en el agente
- Mecanismo para controlar inundaciones de eventos, evitando interrupciones, caídas o impactos en el rendimiento de la red (EPS y tamaño de cola son configurables).
- Integración nativa con OpenSCAP (configurado y ejecutado por el agente), utilizado para monitorear la configuración del sistema y las políticas de seguridad.
- Soporte para nuevos formatos de eventos (p. ej., multi-línea Auditd, JSON).
- Soporte para etiquetas de eventos, que se utilizan para ayudar a crear una taxonomía al analizar o buscar datos (por ejemplo, ID de instancia AWS, dirección MAC).
- Mejora del rendimiento y la fiabilidad de la supervisión de la integridad de los archivos.
Integración con Elastic Stack
- Plantillas personalizadas para indexación de datos de alertas Wazuh.
- Plugin Kibana para el análisis de datos de alertas y para la monitorización y gestión de infraestructuras Wazuh. Incluye cuadros de mando para la FIM, supervisión de políticas, SCAP y PCI DSS.
Opciones de despliegue Wazuh
- Soporte para Puppet, SCCM, Chef, Ansible.
- Máquina virtual y contenedores Docker.
- Instaladores precompilados para Linux, Windows, Solaris, Mac OS X.
- Los managers pueden ser configurados en modo cluster, proporcionando alta disponibilidad y carga de balanceo.
Capacidades
Wazuh tiene un motor de análisis de registro que es capaz a correlacionar y analizar registros de múltiples dispositivos y formatos. Actualmente soporta lo siguiente:
- Unix: Unix PAM, sshd (OpenSSH), Solaris telnetd, Samba, Su y Sudo
- Servidores FTP: ProFTPd, Pure-FTPd, vsftpd, Servidor FTP de Microsoft, y Solaris ftpd
- Servidores de correo: Imapd y pop3d, Postfix, Sendmail, vpopmail, y Microsoft Exchange Server
- Bases de datos: PostgreSQL y MySQL
- Servidores Web: Apache HTTP Server (registro de acceso y registro de errores), servidor web IIS (NSCA y extendido W3C), y Zeus Servidor Web de registro de errores
- Aplicaciones Web: Horde IMP, SquirrelMail, y Modsecurity
- Firewalls: iptables firewall, Solaris IPFilter firewall, AIX ipsec/firewall, Netscreen firewall, el Firewall de Windows, PIX de Cisco, Cisco FWSM, y Cisco ASA
- NIDS: IOS de Cisco IDS/IPS módulo, y ISD Snort (full, fast, y syslog)
- Herramientas de seguridad: AntiVirus de Symantec, Nmap, Arpwatch, y Cisco VPN
- Otros: Named (BIND), Squid proxy, Zeus eXtensible Traffic Manager[1] (ahora Riverbed Stingray Traffic Manage)
- Registros de eventos de Windows (conexiones, desconexiones, información de auditoría, etc.)
- Resgitro de Enrutamiento de Windows y Acceso Remoto
- Autenticación Genérica de Unix (Adicionar usuarios, inicios de sesión, etc.)
Ver también
- Anfitrión-sistema de detección de intrusión basado comparación
Referencias
- ↑ «SteelApp for Application Delivery Control & Scalability». riverbed.com.