Diferencia entre revisiones de «Wazuh»

Wazuh es un sistema de detección de intrusos basado en host de código abierto y libre (HIDS). Realiza análisis de registro, comprobación de integridad, supervisión del registro de Windows, detección de rootkits, alertas basadas en el tiempo y respuesta activa. Proporciona detección de intrusiones para la mayoría de los sistemas operativos, incluyendo Linux, OpenBSD, FreeBSD, OS X, Solaris y Windows. Wazuh tiene una arquitectura centralizada y multiplataforma que permite que múltiples sistemas sean fácilmente monitoreados y administrados.

Wazuh es una startup con sede en Silicon Valley, iniciado como un fork de OSSEC.

Cumple con los requisitos Del Estandar de Seguridad de Datos de la Industria de Tarjetas de Pago (PCI DSS) .

Los componentes principales de Wazuh son el agente que se ejecuta en cada host, el servidor que analiza los datos recibidos de los agentes, y de otras fuentes sin agente como Syslog. Adicional a esto el servidor envía los datos de eventos a un clúster Elasticsearch, donde se indexa, almacena y presenta gráficamente la información obtenida.

• Servidor, el componente de servidor es el sistema que analiza los datos recibidos por los agentes, desencadenando alertas cuando un evento coincide con una regla (p. ej. detección de intrusión, cambio de archivo, configuración no compatible con la política, posible rootkit, etc.). En un servidor físico, una máquina virtual o una instancia en la nube. Este servidor normalmente también ejecutara componentes de agentes locales con propósito de monitorearse. El servidor solo se ejecuta en Linux.
• Agente Wazuh, el agente Wazuh se ejecuta en hosts supervisados que utilizan un sistema operativo Microsoft Windows, Linux, Solaris, Berkeley Software Distribution o Mac. Se utiliza para detectar problemas de seguridad y recopilar diferentes tipos de datos de sistemas y aplicaciones. El agente envía los datos recopilados al servidor Wazuh a través de un canal cifrado y autenticado. Para establecer este canal seguro, se utiliza un proceso de registro que implica claves precompartidas únicas.
• Elastic Stack, que es un conjunto unificado de populares proyectos de código abierto para la gestión de registros, incluyendo Elasticsearch, Logstash, Kibana, Filebeat y otros. Wazuh se integra con Elastic Stack para proporcionar una alimentación de los mensajes de registro ya descodificados para ser indexados por Elasticsearch, así como una consola web en tiempo real para el análisis de datos de alerta y registro. Además, la interfaz de usuario de Wazuh (que funciona sobre Kibana) se puede utilizar para la gerencia y la supervisión de su infraestructura de Wazuh.

• Flexibilidad para extraer y analizar, a partir de un registro en bruto, un número ilimitado de campos.
• Posibilidad de utilizar variables en las descripciones de reglas, para generar dinámicamente diferentes tipos de alertas.
• Capacidad para procesar datos JSON de forma nativa, por lo que no hay necesidad de crear decodificadores o utilizar expresiones regulares.
• Salida JSON enriquecida tanto para archivos como para alertas de datos.

• Soporte TCP y mejora de la fiabilidad de las comunicaciones UDP.
• Posibilidad de desplegar archivos de configuración en paralelo, desde el gestor hasta varios agentes.

• Interfaz para monitorizar y modificar la configuración de la plataforma (agentes y gestores).
• Proporciona información relacionada con el estado de los agentes y servicios.
• Ofrece un servicio para el registro de agentes (para obtener claves precompartidas).

• Capacidad de empujar las actualizaciones del agente desde el gestor (utilizando nuevos paquetes de formato WPK).
• Posibilidad de controlar la configuración de los agentes desde el gestor (creación de grupos y perfiles de configuración).

• Reglas y decodificadores, creados, actualizados y mantenidos en un repositorio público.
• Herramienta para actualizaciones automáticas (comprobación contra repositorio público).
• Nuevas reglas para Netscaler, Puppet, Amazon AWS, Suricata, Docker, Mongodb, y más.
• Mapeo de reglas con controles de cumplimiento normativo PCI DSS.

• Mecanismo para controlar inundaciones de eventos, evitando interrupciones, caídas o impactos en el rendimiento de la red (EPS y tamaño de cola son configurables).
• Integración nativa con OpenSCAP (configurado y ejecutado por el agente), utilizado para monitorear la configuración del sistema y las políticas de seguridad.
• Soporte para nuevos formatos de eventos (p. ej., multi-línea Auditd, JSON).
• Soporte para etiquetas de eventos, que se utilizan para ayudar a crear una taxonomía al analizar o buscar datos (por ejemplo, ID de instancia AWS, dirección MAC).
• Mejora del rendimiento y la fiabilidad de la supervisión de la integridad de los archivos.

• Plantillas personalizadas para indexación de datos de alertas Wazuh.
• Plugin Kibana para el análisis de datos de alertas y para la monitorización y gestión de infraestructuras Wazuh. Incluye cuadros de mando para la FIM, supervisión de políticas, SCAP y PCI DSS.

• Soporte para Puppet, SCCM, Chef, Ansible.
• Máquina virtual y contenedores Docker.
• Instaladores precompilados para Linux, Windows, Solaris, Mac OS X.
• Los managers pueden ser configurados en modo cluster, proporcionando alta disponibilidad y carga de balanceo.

Wazuh tiene un motor de análisis de registro que es capaz a correlacionar y analizar registros de múltiples dispositivos y formatos. Actualmente soporta lo siguiente:

• Unix: Unix PAM, sshd (OpenSSH), Solaris telnetd, Samba, Su y Sudo
• Servidores FTP: ProFTPd, Pure-FTPd, vsftpd, Servidor FTP de Microsoft, y Solaris ftpd
• Servidores de correo: Imapd y pop3d, Postfix, Sendmail, vpopmail, y Microsoft Exchange Server
• Bases de datos: PostgreSQL y MySQL
• Servidores Web: Apache HTTP Server (registro de acceso y registro de errores), servidor web IIS (NSCA y extendido W3C), y Zeus Servidor Web de registro de errores
• Aplicaciones Web: Horde IMP, SquirrelMail, y Modsecurity
• Firewalls: iptables firewall, Solaris IPFilter firewall, AIX ipsec/firewall, Netscreen firewall, el Firewall de Windows, PIX de Cisco, Cisco FWSM, y Cisco ASA
• NIDS: IOS de Cisco IDS/IPS módulo, y ISD Snort (full, fast, y syslog)
• Herramientas de seguridad: AntiVirus de Symantec, Nmap, Arpwatch, y Cisco VPN
• Otros: Named (BIND), Squid proxy, Zeus eXtensible Traffic Manager^[1]​ (ahora Riverbed Stingray Traffic Manage)
• Registros de eventos de Windows (conexiones, desconexiones, información de auditoría, etc.)
• Resgitro de Enrutamiento de Windows y Acceso Remoto
• Autenticación Genérica de Unix (Adicionar usuarios, inicios de sesión, etc.)

• Anfitrión-sistema de detección de intrusión basado comparación

• Wazuh Documentación
• Blog
• Repositorio Github

• Sitio web oficial
• Lista de Correo