2023/10/28 更新目錄
以下是本系列文章的目錄
一個人的藍隊
在數位戰場之中,藍隊作為企業組織資安防護的關鍵角色,不少公司都會打造堅韌的防禦團隊或是採用SOC資安委外監控服務。而台灣有許多的中小企業,可能無法有足夠的資源去打造一個專屬的資安防禦團隊,沒辦法聘用多個不同性質的資安人員,只能當個兼任的工程師,形成了一人多工的情況。
別人是Blue Team的時候,而你是Blue Man,要如何能夠與之抗衡呢?本系列的文章會以一個人的藍隊角度出來,分享在中小規模的組織當中,如何在有限的資源下做好資安防護。內容會側重技術,並以防禦策略、威脅情資、安全監控、弱點管理、合規檢查為主要方向進行。
整個系列的文章其實大部分就是來自於過往的一些筆記的整理。今天是開賽的第一篇文章,會介紹這個系列中第一個會介紹的工具與解決方案 - 就是具有SIEM與EDR技術的開源平台Wazuh。Wazuh因為功能挺強大的,所以可能也花上不少篇的內容來介紹。
Wazuh則是一個強大的開源安全監控和事件管理平台,可以讓你打造自己的資訊安全活動監控,在公司組織當中開啟你的鷹眼,時時刻刻監視所有安全活動。
Wazuh 可用來幫助組織實即時識別、評估和回應各種資訊安全事件。它結合了強大的資訊安全功能,如入侵偵測、漏洞管理和日誌分析,為組織提供了綜合的資訊安全解決方案。
Wazuh 通過監控系統和網路活動,識別和警報可能的入侵事件。它可以檢測惡意登入行為、惡意程式行為和其他可能的攻擊行為跟可疑的活動。這有助於組織及早發現和應對潛在的安全威脅。
Wazuh 提供強大的規則引擎,可以根據特定的事件模式和行為樣式來生成警報。它也支持自定義規則,讓你根據組織的需求建立自己的警報機制。
Wazuh 可以幫助組織識別和評估系統中的漏洞,從而有助於及早解決可能的安全問題。它整合了漏洞資料庫,讓你能夠追蹤和管理系統中的弱點。
Wazuh 可以監控和分析系統和應用程式的日誌,從中識別不正常的行為。這有助於識別可能的威脅,並支持安全事件的調查和分析。
Wazuh 提供內建的合規性規則檢查,可以幫助組織符合各種資訊安全標準和法規,如PCI DSS、HIPAA等。這有助於確保組織的資訊安全政策和實踐遵循標準。
Wazuh 提供了一個對於日誌跟端點監控的完整安全解決方案,有助於組織在不斷變化的資訊安全環境中保護自己。並且Wazuh是一個開源免費的解決方案,對於沒有足夠預算採用商業解決方案的團隊是一個很好的選擇。技術層面上它也具有足夠的彈性,讓你可以根據自己組織的需求進行客製和擴展,從而實現最佳的資安防護。
透過Wazuh廣泛的功能,可以幫助組織建立起強大的資訊安全鷹眼,讓你可以監控和保護你的系統和資訊,偵測到可能潛在的安全攻擊和行為。無論是中小企業還是大型組織,Wazuh 都是可以採用的工具,幫助你構建堅固的資訊安全防線。Wazuh 就像你的鷹眼,隨時警惕並保護你的資訊資產免受外部威脅。
不過上面的內容都是說得漂亮的話,關於Wauzh口頭介紹大概就這樣,接下來會花幾篇文章介紹如何架設Wazuh Server,以及安裝agent,還有設定管理的文章。每一篇內容都會跟實作相關,為了讓想要跟著學習操作的人可以順利,這邊先說一下,我接下來所架設的機器以及一些資訊:
首先,我是利用VMware Workstation 15.5.5
總共架設了三台Ubuntu 22.04 (只架設完一台,安裝完需要的工具。另外兩台是用vmware clone建立的)
以下是作業系統與docker,docker-compose版本資訊
wazuh@wazuh-vm:~$ lsb_release -a
No LSB modules are available.
Distributor ID: Ubuntu
Description: Ubuntu 22.04.3 LTS
Release: 22.04
Codename: jammy
wazuh@wazuh-vm:~$ docker version
Client: Docker Engine - Community
Version: 24.0.5
API version: 1.43
Go version: go1.20.6
Git commit: ced0996
Built: Fri Jul 21 20:35:18 2023
OS/Arch: linux/amd64
Context: default
Server: Docker Engine - Community
Engine:
Version: 24.0.5
API version: 1.43 (minimum version 1.12)
Go version: go1.20.6
Git commit: a61e2b4
Built: Fri Jul 21 20:35:18 2023
OS/Arch: linux/amd64
Experimental: false
containerd:
Version: 1.6.22
GitCommit: 8165feabfdfe38c65b599c4993d227328c231fca
runc:
Version: 1.1.8
GitCommit: v1.1.8-0-g82f18fe
docker-init:
Version: 0.19.0
GitCommit: de40ad0
wazuh@wazuh-vm:~$ docker-compose version
docker-compose version 1.29.2, build unknown
docker-py version: 5.0.3
CPython version: 3.10.12
OpenSSL version: OpenSSL 3.0.2 15 Mar 2022