Wazuh Security Platform တွင် ပြီးပြည့်စုံသော security platform အဖြစ် သတ်မှတ်ရမည့် အင်္ဂါရပ်များစွာ ပါဝင်သည်။
Security Analytics
Wazuh သည် မှတ်တမ်းရင်းမြစ်များမှ အဖြစ်အပျက်များကို စုဆောင်းကာ ပေါင်းစည်းကာ ခြိမ်းခြောက်မှုများကို ရှာဖွေရန် ၎င်းတို့ကို အညွှန်းများပေးသည်။ ၎င်း၏အဆင့်မြင့်စည်းမျဉ်းနှင့် ဆက်စပ်ဖွဲ့စည်းပုံကြောင့်၊ ၎င်းသည် တိုက်ခိုက်မှုအမျိုးအစားများစွာကို ဆန့်ကျင်ရန် အဆင်သင့်ဖြစ်နေသော ဖွဲ့စည်းပုံကို ပေးဆောင်ထားသည်။ မှတ်တမ်းများကို အချိန်နှင့်တပြေးညီ စုဆောင်းထားပြီး တိုက်ခိုက်မှုကို လျင်မြန်စွာ သိရှိနိုင်စေခြင်းဖြင့် ဆန္ဒရှိပါက တိုက်ခိုက်မှုများကို တုံ့ပြန်နိုင်သည်။
ဥပမာ၊ Firewall မှတ်တမ်းများမှ ဆိပ်ကမ်းစကင်န်လုပ်ဆောင်မှုကို ရှာဖွေခြင်းနှင့် အစီရင်ခံခြင်း။
Intrusion Detection
Wazuh Agent သည် ၎င်းကိုထည့်သွင်းသည့်စနစ်များတွင် malware၊ rootkits နှင့် စသည်တို့ကဲ့သို့ သံသယဖြစ်ဖွယ်လုပ်ဆောင်ချက်များကို ရှာဖွေနိုင်သည်။ ၎င်းသည် သံသယဖြစ်ဖွယ် လျှို့ဝှက်ထားသော လုပ်ငန်းစဉ်များနှင့် ဖိုင်များအပြင် နားဆင်မုဒ်တွင် ဖွင့်ထားသည့် ဆိပ်ကမ်းအသစ်များကို စောင့်ကြည့်ပြီး ရှာဖွေနိုင်သည်။ ၎င်းတွင် လက်မှတ်အခြေခံ၊ အဆင့်မြင့် regex အသုံးအနှုန်းများနှင့် IoC အခြေပြု ကျူးကျော်ဝင်ရောက်မှုကို ထောက်လှမ်းသည့် ယန္တရားများ ပါရှိသည်။ တစ်နည်းဆိုရသော် Wazuh Agent သည် မှတ်တမ်းများကို စုဆောင်းရုံသာမက အဆုံးမှတ်တွင် လုံခြုံရေးချိုးဖောက်မှုစစ်ဆေးမှုများကိုလည်း လုပ်ဆောင်နိုင်သည်။
ဥပမာအားဖြင့်၊ Endpoint တွင် bind-shell တစ်ခုကို ရယူရန်အတွက် တိုက်ခိုက်သူမှ နားဆင်မုဒ်တွင် ဆိပ်ကမ်းအသစ်တစ်ခုကို ဖွင့်ထားကြောင်း ရှာဖွေခြင်းနှင့် အစီရင်ခံခြင်း။
Log Data Analysis
Wazuh Agent သည် ၎င်းကို ထည့်သွင်းသည့် အဆုံးမှတ်တွင် အရေးကြီးသော မှတ်တမ်းများ (စနစ်၊ လုံခြုံရေး၊ အက်ပ်ပလီကေးရှင်း၊ စသည်) ကို စုဆောင်းပြီး ဖြစ်နိုင်ချေရှိသော ခြိမ်းခြောက်မှုများ၊ ပုံမှန်မဟုတ်သော စနစ်လုပ်ဆောင်ချက်များ သို့မဟုတ် အမှားအယွင်းများကို စည်းကမ်းသတ်မှတ်မှုမှတစ်ဆင့် ၎င်းတို့အား ဖြတ်သန်းခြင်းဖြင့် ရှာဖွေပြီး သတင်းပို့နိုင်သည်။ ဤအခြေအနေများအတွက်၊ ၎င်းသည် Wazuh သတ်မှတ်စည်းမျဉ်းအရ နှိုးစက်များထုတ်ပေးခြင်းဖြင့် သတင်းအချက်အလက်ကို ပေးသည်။
ဥပမာအားဖြင့်၊ Windows Security မှတ်တမ်းများမှ "Domain Admin" အုပ်စုရှိ အပြောင်းအလဲကို ရှာဖွေပြီး အစီရင်ခံခြင်း။
File Integrity Monitoring
Wazuh အေးဂျင့်သည် အကြောင်းအရာ၊ ပိုင်ဆိုင်မှု၊ အရေးကြီးသောဖိုင်များနှင့် လမ်းညွှန်များ၏ ခွင့်ပြုချက်များကဲ့သို့သော အဆုံးမှတ်တွင် အပြောင်းအလဲများ၊ ဖျက်မှုများနှင့် ထပ်တိုးမှုများကို အခါအားလျော်စွာ စစ်ဆေးပြီး ထောက်လှမ်းကာ ၎င်းတို့နှင့်ပတ်သက်သော အစီရင်ခံစာများနှင့် သတိပေးချက်များကို ထုတ်ပေးပါသည်။ PCI-DSS ကဲ့သို့သော စည်းမျဉ်းများသည် ဤထိန်းချုပ်မှုကို မဖြစ်မနေလုပ်ဆောင်သည်။
ဥပမာအားဖြင့်၊ Linux စနစ်ရှိ /etc/hosts ဖိုင်တွင် အပြောင်းအလဲကို ရှာဖွေခြင်းနှင့် အစီရင်ခံခြင်း။
Vulnerability Detection
Wazuh Agent သည် Wazuh ဆာဗာသို့ ထည့်သွင်းထားသော စနစ်တွင် အပလီကေးရှင်းစာရင်းကို ဆွဲထုတ်သည်။ ၎င်းသည် ဤအပလီကေးရှင်းစာရင်းကို အခါအားလျော်စွာ မွမ်းမံထားသော CVE (Common Vulnerabilities and Exposure) ဒေတာဘေ့စ်နှင့် ဆက်စပ်နေပြီး ကိုက်ညီသော အပလီကေးရှင်းတစ်ခုရှိပါက ကိုးကားချက်အချက်အလက်ဖြင့် ၎င်းကို အစီရင်ခံပါသည်။
ဥပမာအားဖြင့်၊ Windows စနစ်တွင် ထည့်သွင်းထားသည့် MSSQL 2014 ပက်ကေ့ခ်ျတွင် CVE-2017-8516 အားနည်းချက်ကို ရှာဖွေခြင်းနှင့် အစီရင်ခံခြင်း။
Configuration Assessment
Wazuh Agent သည် ၎င်းတွင် ထည့်သွင်းထားသည့် လည်ပတ်မှုစနစ်နှင့် လည်ပတ်မှုစနစ်တွင် ထည့်သွင်းထားသည့် အပလီကေးရှင်းများပေါ်တွင် လုံခြုံရေးဖွဲ့စည်းပုံ စစ်ဆေးမှုများကို လုပ်ဆောင်ပြီး ၎င်းတို့ကို ၎င်း၏ အကြံပြုချက်များနှင့်အတူ အစီရင်ခံပါသည်။ Wazuh Agent သည် ဤစကင်ဖတ်စစ်ဆေးမှုများကို အခါအားလျော်စွာ လုပ်ဆောင်ပြီး ၎င်းထိန်းချုပ်ထားသော ဖွဲ့စည်းမှုများအတွက် ပျက်ကွက် သို့မဟုတ် ဖြတ်သွားသည့် အစီရင်ခံစာကို ထုတ်ပေးပါသည်။
ဥပမာအားဖြင့်၊ Linux စနစ်များတွင် root အသုံးပြုသူနှင့် တိုက်ရိုက် SSH ဝင်ရောက်နိုင်သည်ဆိုသည်ကို သိရှိပြီး အစီရင်ခံပါသည်။
Incident Response
အချို့သော စံသတ်မှတ်ချက်များနှင့် ပြည့်မီသောအခါ သံသယဖြစ်ဖွယ် လုပ်ဆောင်ချက် ဖြစ်ပေါ်သည့် စနစ်တွင် Wazuh က အရေးယူနိုင်သည်။ သက်ဆိုင်ရာ endpoint အတွက် သင့်လျော်သော scripting language ဖြင့် ပြင်ဆင်ထားသော script ဖိုင်များကို run ခြင်းဖြင့် ၎င်းကို လုပ်ဆောင်နိုင်သည်။ ဥပမာအားဖြင့်၊ အသုံးပြုသူတစ်ဦးသည် အလုပ်မလုပ်သည့်အချိန်အတွင်း Active Directory သို့ ဝင်ရောက်ပါက၊ ၎င်းသည် နှိုးစက်ကို ထုတ်ပေးနိုင်ပြီး၊ ဤနှိုးစက်ကို ထုတ်ပေးသည့်အခါ သက်ဆိုင်ရာစနစ်တွင် အကောင့်ဝင်ထားသည့် အသုံးပြုသူအကောင့်ကို ပိတ်ရန် သင့်လျော်သောလုပ်ဆောင်ချက်ကို လုပ်ဆောင်နိုင်သည်။
ဥပမာအားဖြင့်၊ brute force attack တစ်ခုပြီးနောက် အောင်မြင်စွာ login ဝင်သော user ကို disable လုပ်ခြင်း။
Regulatory Compliance
Wazuh သည် လုပ်ငန်းဆိုင်ရာ စံချိန်စံညွှန်းများနှင့် စည်းမျဉ်းများကို လိုက်နာရန် လိုအပ်သော လုံခြုံရေး ထိန်းချုပ်မှုများကို ပံ့ပိုးပေးသည့်အပြင် PCI-DSS၊ GDPR၊ NIST၊ HIPAA ကဲ့သို့သော စည်းမျဉ်းများအတိုင်း အစီရင်ခံစာများ ထုတ်ပေးပါသည်။
ဥပမာအားဖြင့်၊ PCI-DSS စည်းမျဉ်းအရ ငွေပေးချေမှုဆိုင်ရာ အခြေခံအဆောက်အအုံအဖွဲ့အစည်းများသည် Wazuh ကိုင်တွယ်ဖြေရှင်းခဲ့သည့် "10.2.4-တရားမဝင်သော ယုတ္တိဝင်ရောက်ခွင့်ကြိုးပမ်းမှုများ" ကို လျင်မြန်စွာ အစီရင်ခံနိုင်ပါသည်။
Cloud Security
Wazuh သည် လူသိများသော cloud အခြေခံအဆောက်အဦဝန်ဆောင်မှုပေးသူများ (AWS, GCP, Azure) ထံမှ ဆက်စပ်ပတ်၀န်းကျင်ဆိုင်ရာ မှတ်တမ်းများရယူရန်အတွက် အဆင်သင့်လုပ်ထားသော module များကို ပေးဆောင်ပါသည်။ ၎င်းသည် သက်ဆိုင်ရာ cloud အခြေခံအဆောက်အအုံပံ့ပိုးပေးသူများထံမှ စုဆောင်းထားသော မှတ်တမ်းများကို ပိုင်းခြားစိတ်ဖြာပြီး သံသယဖြစ်ဖွယ်အခြေအနေများကို သတင်းပို့ပါသည်။ ထို့အပြင်၊ Office365 မှတ်တမ်းများရယူရန် module တစ်ခုရှိသည်။
ဥပမာအားဖြင့်၊ ၎င်းသည် AWS S3 Bucket ထပ်တိုးမှုနှင့် ဖျက်မှုများကို ရှာဖွေပြီး အစီရင်ခံသည်။
Containers Security
Wazuh သည် Docker လည်ပတ်နေသော ပင်မအိမ်ရှင်စနစ်နှင့် ကွန်တိန်နာများကို စောင့်ကြည့်ပြီး ခြိမ်းခြောက်မှုများ၊ အားနည်းချက်များနှင့် ကွဲလွဲချက်များကို ရှာဖွေပြီး သတင်းပို့ပါသည်။ Wazuh Agent သည် Docker နှင့် ၎င်း၏ဇာတိပေါင်းစပ်မှုကြောင့် Docker ပုံများ၊ ပမာဏများ၊ ကွန်ရက်ဆက်တင်များနှင့် လုပ်ဆောင်နေသည့် ကွန်တိန်နာများကို စောင့်ကြည့်နိုင်သည်။
ဥပမာအားဖြင့်၊ ၎င်းသည် Docker image pull, run, delete activities တို့ကို ရှာဖွေပြီး သတင်းပို့နိုင်သည်။
Capabilities of Wazuh
Wazuh Security Platform includes many features to be considered as a complete security platform. In this topic, we will briefly talk about what these features are.
Security Analytics
Wazuh collects events from log sources, combines, and indexes them to detect threats. Thanks to its advanced rule and correlation structure, it offers a ready-to-go structure against many attack types. Logs are collected in real time and can respond to attacks if desired by performing attack detection very quickly.
For example, detection and reporting of port-scan activity from Firewall logs.
Intrusion Detection
Wazuh Agent can detect suspicious activities such as malware, rootkits and etc. on the systems where it is installed. It can monitor and detect suspicious hidden processes and files, as well as new ports that are opened in the listening mode. It has signature-based, advanced regex expressions and IoC-based intrusion detection mechanism. In other words, Wazuh Agent can not only collect logs, but also perform security breach checks on the endpoint.
For example, detecting and reporting that a new port is opened in the listening mode by the attacker in order to get a bind-shell on the Endpoint.
Log Data Analysis
Wazuh Agent collects the important logs (system, security, application, etc.) on the endpoint where it is installed and can detect and report potential threats, abnormal system activities or errors by passing them through the rule set. For these situations, it provides information by generating alarms according to the Wazuh rule set.
For example, detecting and reporting the change in the "Domain Admin" group from Windows Security logs.
File Integrity Monitoring
Wazuh agent periodically checks and detects changes, deletions, and additions on the endpoint such as content, ownership, access permissions of important files and directories and generates reports and alarms regarding to these. Regulations such as PCI-DSS make this control mandatory.
For example, detecting and reporting the change in the /etc/hosts file on a Linux system.
Vulnerability Detection
Wazuh Agent pulls the application inventory on the system it is installed to the Wazuh Server. It associates this application inventory with the periodically updated CVE (Common Vulnerabilities and Exposure) database and reports it with the reference information if there is a matching application.
For example, detection and reporting of CVE-2017-8516 vulnerability in MSSQL 2014 package installed on Windows system.
Configuration Assessment
Wazuh Agent performs security configuration checks on the operating system it is installed on and the applications installed on the operating system, and reports them together with its recommendations. Wazuh Agent periodically performs these scans and generates a fail or pass report on the configurations it controls.
For example, it detects and reports if direct SSH access can be made with the root user on Linux systems.
Incident Response
Wazuh can take action on the system where suspicious activity occurs when certain criterias are met. It is capable of doing this by running the script files it has prepared with the appropriate scripting language for the relevant endpoint. For example, if a user logs into Active Directory during non-working hours, it can generate an alarm, and also, when this alarm is generated, it can take proper action to disable the user account logged in on the relevant system.
For example, disabling the user who successfully logged in after a brute force attack.
Regulatory Compliance
Wazuh provides the security controls necessary to comply with industry standards and regulations as well as generates reports according to regulations such as PCI-DSS, GDPR, NIST, HIPAA.
For example, payment infrastructure organizations subject to PCI-DSS regulation can quickly report “10.2.4-Invalid logical access attempts” that Wazuh has addressed.
Cloud Security
Wazuh offers ready-made modules for obtaining logs of related environments from known cloud infrastructure providers (AWS, GCP, Azure). It analyzes the logs collected from the relevant cloud infrastructure providers and also reports suspicious situations. In addition, there is a module for obtaining Office365 logs.
For example, it detects and reports AWS S3 Bucket addition and deletions.
Containers Security
Wazuh monitors the main host system and containers running Docker, detects and reports the threats, vulnerabilities, and anomalies. Wazuh Agent can monitor Docker images, volumes, network settings and running containers thanks to its native integration with Docker.
For example, it can detect and report Docker image pull, run, delete activities.