iT邦幫忙

2023 iThome 鐵人賽

DAY 1
0
Security

一個人的藍隊系列 第 1

一個人的藍隊-甚麼是Wazuh?打造你的鷹眼

  • 分享至 

  • xImage
  •  

2023/10/28 更新目錄
以下是本系列文章的目錄

一個人的藍隊


在數位戰場之中,藍隊作為企業組織資安防護的關鍵角色,不少公司都會打造堅韌的防禦團隊或是採用SOC資安委外監控服務。而台灣有許多的中小企業,可能無法有足夠的資源去打造一個專屬的資安防禦團隊,沒辦法聘用多個不同性質的資安人員,只能當個兼任的工程師,形成了一人多工的情況。

別人是Blue Team的時候,而你是Blue Man,要如何能夠與之抗衡呢?本系列的文章會以一個人的藍隊角度出來,分享在中小規模的組織當中,如何在有限的資源下做好資安防護。內容會側重技術,並以防禦策略、威脅情資、安全監控、弱點管理、合規檢查為主要方向進行。

整個系列的文章其實大部分就是來自於過往的一些筆記的整理。今天是開賽的第一篇文章,會介紹這個系列中第一個會介紹的工具與解決方案 - 就是具有SIEM與EDR技術的開源平台Wazuh。Wazuh因為功能挺強大的,所以可能也花上不少篇的內容來介紹。

甚麼是Wazuh?

Wazuh則是一個強大的開源安全監控和事件管理平台,可以讓你打造自己的資訊安全活動監控,在公司組織當中開啟你的鷹眼,時時刻刻監視所有安全活動。

Wazuh 可用來幫助組織實即時識別、評估和回應各種資訊安全事件。它結合了強大的資訊安全功能,如入侵偵測、漏洞管理和日誌分析,為組織提供了綜合的資訊安全解決方案。

Wazuh 的功能

入侵偵測

Wazuh 通過監控系統和網路活動,識別和警報可能的入侵事件。它可以檢測惡意登入行為、惡意程式行為和其他可能的攻擊行為跟可疑的活動。這有助於組織及早發現和應對潛在的安全威脅。

強大的規則引擎

Wazuh 提供強大的規則引擎,可以根據特定的事件模式和行為樣式來生成警報。它也支持自定義規則,讓你根據組織的需求建立自己的警報機制。

漏洞管理

Wazuh 可以幫助組織識別和評估系統中的漏洞,從而有助於及早解決可能的安全問題。它整合了漏洞資料庫,讓你能夠追蹤和管理系統中的弱點。

日誌分析

Wazuh 可以監控和分析系統和應用程式的日誌,從中識別不正常的行為。這有助於識別可能的威脅,並支持安全事件的調查和分析。

資訊安全合規性

Wazuh 提供內建的合規性規則檢查,可以幫助組織符合各種資訊安全標準和法規,如PCI DSS、HIPAA等。這有助於確保組織的資訊安全政策和實踐遵循標準。

Wazuh 的優勢

Wazuh 提供了一個對於日誌跟端點監控的完整安全解決方案,有助於組織在不斷變化的資訊安全環境中保護自己。並且Wazuh是一個開源免費的解決方案,對於沒有足夠預算採用商業解決方案的團隊是一個很好的選擇。技術層面上它也具有足夠的彈性,讓你可以根據自己組織的需求進行客製和擴展,從而實現最佳的資安防護。

透過Wazuh廣泛的功能,可以幫助組織建立起強大的資訊安全鷹眼,讓你可以監控和保護你的系統和資訊,偵測到可能潛在的安全攻擊和行為。無論是中小企業還是大型組織,Wazuh 都是可以採用的工具,幫助你構建堅固的資訊安全防線。Wazuh 就像你的鷹眼,隨時警惕並保護你的資訊資產免受外部威脅。

不過上面的內容都是說得漂亮的話,關於Wauzh口頭介紹大概就這樣,接下來會花幾篇文章介紹如何架設Wazuh Server,以及安裝agent,還有設定管理的文章。每一篇內容都會跟實作相關,為了讓想要跟著學習操作的人可以順利,這邊先說一下,我接下來所架設的機器以及一些資訊:

首先,我是利用VMware Workstation 15.5.5
總共架設了三台Ubuntu 22.04 (只架設完一台,安裝完需要的工具。另外兩台是用vmware clone建立的)

https://ithelp.ithome.com.tw/upload/images/20230916/20114110ckMIYqAiFl.png

以下是作業系統與docker,docker-compose版本資訊

wazuh@wazuh-vm:~$ lsb_release -a
No LSB modules are available.
Distributor ID:	Ubuntu
Description:	Ubuntu 22.04.3 LTS
Release:	22.04
Codename:	jammy
wazuh@wazuh-vm:~$ docker version
Client: Docker Engine - Community
 Version:           24.0.5
 API version:       1.43
 Go version:        go1.20.6
 Git commit:        ced0996
 Built:             Fri Jul 21 20:35:18 2023
 OS/Arch:           linux/amd64
 Context:           default

Server: Docker Engine - Community
 Engine:
  Version:          24.0.5
  API version:      1.43 (minimum version 1.12)
  Go version:       go1.20.6
  Git commit:       a61e2b4
  Built:            Fri Jul 21 20:35:18 2023
  OS/Arch:          linux/amd64
  Experimental:     false
 containerd:
  Version:          1.6.22
  GitCommit:        8165feabfdfe38c65b599c4993d227328c231fca
 runc:
  Version:          1.1.8
  GitCommit:        v1.1.8-0-g82f18fe
 docker-init:
  Version:          0.19.0
  GitCommit:        de40ad0
wazuh@wazuh-vm:~$ docker-compose version
docker-compose version 1.29.2, build unknown
docker-py version: 5.0.3
CPython version: 3.10.12
OpenSSL version: OpenSSL 3.0.2 15 Mar 2022

下一篇
第一次架設Wazuh就上手
系列文
一個人的藍隊30
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

尚未有邦友留言

立即登入留言