Wazuh cung cấp nền tảng an ninh mạng mã nguồn mở tích hợp các khả năng SIEM (Security information and event management) và XDR (Extended detection and response) trong cùng một giải pháp. Tham khảo mô hình all-in-one của Wazuh bên dưới:

Thành phần trung tâm (Central components)

Wazuh indexer: là một bộ công cụ phân tích, tìm kiếm toàn văn bản có khả năng mở rộng cao. Module này có trách nhiệm lập chỉ mục và lưu trữ các cảnh báo do máy chủ Wazuh tạo ra. Nó có thể được cài đặt dưới dạng một “node” hoặc nhiều “node” tùy vào yêu cầu của người dùng.

Wazuh server: Máy chủ sẽ quản lý các “agent”, cấu hình và cập nhật chúng từ xa khi cần thiết. Nó phân tích dữ liệu nhận được từ các “agent”, xử lý dữ liệu đó thông qua bộ giải mã và “rule”, đồng thời sử dụng các thông tin về mối đe dọa để phát hiện các dấu hiệu tấn công/xâm nhập.

Wazuh dashboard: Giao diện web linh hoạt và trực quan để khai thác, phân tích và đánh giá trực quan dữ liệu. Dashboard được sử dụng để quản lý cấu hình Wazuh và theo dõi trạng thái của nó.

Endpoint security agent

Wazuh agent: có thể chạy trên đa nền tảng của thiết bị đầu cuối (Windows, iOS, Linux, …) Agent cung cấp khả năng phòng ngừa, phát hiện và phản hồi. Và nó là một thành phần của mô hình all-in-one ở trên.

Vậy, Wazuh có thể được sử dụng để:

• Phân tích bảo mật

Wazuh được sử dụng để thu thập, tổng hợp, lập chỉ mục và phân tích dữ liệu bảo mật, giúp các tổ chức phát hiện các hành vi xâm nhập, mối đe dọa và hành vi bất thường. Khi các mối đe dọa ngày càng tinh vi hơn, cần phải giám sát và phân tích bảo mật theo thời gian thực để phát hiện và khắc phục mối đe dọa nhanh chóng. Đó là lý do “endpoint security agent” cung cấp khả năng giám sát và phản hồi, máy chủ sẽ cung cấp thông tin bảo mật và thực hiện phân tích dữ liệu.

• Phát hiện xâm nhập:

Wazuh agent quét các hệ thống được giám sát để tìm phần mềm độc hại, rootkit và các điểm bất thường đáng ngờ. Nó có thể phát hiện các tập ẩn, quy trình được ẩn hoặc trình xử lý “cloaked” và sự không nhất quán trong phản hồi của hệ thống.

Ngoài ra, máy chủ còn sử dụng các phương pháp tiếp cận dựa trên các “signature-based” để phát hiện xâm nhập, sử dụng các công cụ để phân tích dữ liệu nhật ký và tìm kiếm dấu hiệu xâm nhập.

• Phân tích dữ liệu nhật ký

Wazuh agent đọc nhật ký của ứng dụng và hệ điều hành, đồng thời chuyển tiếp chúng một cách an toàn đến trung tâm quản lý để phân tích và lưu trữ dựa trên những quy tắc an toàn lưu trữ.

Các “rule” của Wazuh giúp người quản trị nhận biết các lỗi ứng dụng hoặc hệ thống, cấu hình sai, các hoạt động độc hại, các vi phạm chính sách cùng nhiều vấn đề vận hành và bảo mật khác.

• Giám sát tính toàn vẹn của tệp tin

Wazuh giám sát hệ thống tệp, xác định các thay đổi về nội dung, quyền, quyền sở hữu và thuộc tính của tệp cần theo dõi, đồng thời, xác định nguyên bản người dùng và ứng dụng được sử dụng để tạo/sửa đổi tệp.

• Phát hiện lỗ hổng

Wazuh agent lấy dữ liệu từ phần mềm và gửi thông tin này đến máy chủ để so sánh với cơ sở dữ liệu CVE (các lỗ hổng bảo mật) được cập nhật liên tục để xác định phần mềm dễ bị tấn công.

Đánh giá lỗ hổng giúp tìm ra điểm yếu trong các tài sản công nghệ (phần mềm) quan trọng, thực hiện hành động khắc phục trước khi kẻ tấn công khai thác chúng để phá hoại hoặc đánh cắp dữ liệu bí mật.

• Đánh giá cấu hình

Wazuh giám sát cài đặt các cấu hình ứng dụng và hệ thống để đảm bảo chúng tuân thủ các chính sách, tiêu chuẩn bảo mật và/hoặc các chính sách nâng cao khác. Agent thực hiện quét định kì để phát hiện các ứng dụng được xác định là dễ bị tấn công, chưa được vá lỗi hoặc được cấu hình không an toàn. Ngoài ra, việc kiểm tra cấu hình có thể được tùy chỉnh, điều chỉnh để phù hợp với tổ chức. Các cảnh báo có thể đưa ra: đề xuất để cấu hình, tham chiếu và theo dõi việc tuân thủ quy định.

• Các tính năng khác:

Wazuh còn cung cấp các tính năng khác như: Ứng phó sự cố, Tuân thủ quy định, Bảo mật đám mây, An ninh container. Với nhiều tính năng đáp ứng gần như hoàn toàn nhu cầu của người dùng và tổ chức.

Hy vọng với thông tin cơ bản về Wazuh như trên có thể giúp người dùng hình dung về mã nguồn này và tham khảo, ứng dụng phù hợp vào công việc.