معرفی Wazuh

معرفی Wazuh

Wazuh یک پلتفرم متن باز و جامع برای مانیتورینگ امنیتی و شناسایی تهدیدات سایبری است. این ابزار به مدیران سیستم و تیم‌های امنیتی کمک می‌کند تا وضعیت امنیتی سرورها و سرویس‌های خود را به صورت متمرکز بررسی و مدیریت کنند. Wazuh قابلیت‌هایی مانند تشخیص نفوذ بررسی تغییرات فایل‌ها تحلیل لاگ‌ها و رعایت الزامات امنیتی را در یک محیط یکپارچه ارائه می‌دهد.

این پلتفرم با معماری ماژولار طراحی شده و قابلیت توسعه‌پذیری بالایی دارد به همین دلیل هم برای کسب‌وکارهای کوچک و هم برای سازمان‌های بزرگ قابل استفاده است.

قابلیت‌ها و ویژگی‌های اصلی Wazuh

Wazuh امکان مانیتورینگ رویدادهای سیستم و شبکه را فراهم می‌کند تا فعالیت‌های مشکوک و حملات سایبری شناسایی شوند. این سیستم تغییرات فایل‌ها و پوشه‌های حساس را بررسی می‌کند و در صورت هرگونه تغییر غیرمجاز هشدار می‌دهد.

تمام لاگ‌های سیستم‌ها به صورت متمرکز جمع‌آوری و تحلیل می‌شوند و با استفاده از قوانین هوشمند همبستگی تهدیدات امنیتی شناسایی می‌گردند. Wazuh قادر است بدافزارها را با استفاده از تحلیل رفتاری و امضاهای امنیتی تشخیص دهد. همچنین نرم‌افزارهای نصب‌شده روی سیستم را به صورت مداوم از نظر آسیب‌پذیری‌های شناخته‌شده بررسی می‌کند.

یکی دیگر از قابلیت‌های مهم Wazuh بررسی تطابق سیستم‌ها با استانداردهای امنیتی و قانونی مانند PCI DSS GDPR HIPAA و NIST است. این پلتفرم برای محیط‌های ابری نیز مناسب است و امکان مانیتورینگ سرویس‌های ابری و منابع Cloud را فراهم می‌کند. همچنین می‌توان آن را با ابزارهای امنیتی دیگر یکپارچه کرد و فرآیند پاسخ به رخدادهای امنیتی را به صورت خودکار انجام داد.

ویژگی‌های نصب و راه‌اندازی Wazuh

Wazuh روی سیستم عامل Ubuntu نسخه 22.04 قابل نصب است. فرآیند نصب و راه‌اندازی کامل آن که شامل نصب سرور Wazuh به همراه Indexer و Dashboard می‌شود معمولاً بین 30 تا 60 دقیقه زمان می‌برد.

پس از نصب داشبورد مدیریتی Wazuh از طریق پورت 8080 و با اتصال امن HTTPS در دسترس خواهد بود. وضعیت سلامت سیستم و کلاستر بعد از نصب به صورت خودکار بررسی می‌شود. اطلاعات ورود مدیر سیستم در زمان نصب به صورت خودکار تولید می‌گردد.

فایل‌های پیکربندی Wazuh در مسیر var ossec قرار دارند. فایل‌های مربوط به داشبورد در مسیر usr share wazuh dashboard ذخیره می‌شوند. اسکریپت‌ها و فایل‌های نصب در مسیر opt wazuh قرار گرفته‌اند و رمز عبور مدیر نیز در فایل opt wazuh password نگهداری می‌شود.

حداقل منابع سخت‌افزاری مورد نیاز

برای اجرای صحیح Wazuh حداقل دو هسته پردازنده و چهار گیگابایت حافظه رم نیاز است. فضای ذخیره‌سازی پیشنهادی حداقل پنجاه گیگابایت است اما این مقدار بسته به تعداد ایجنت‌ها و حجم لاگ‌ها می‌تواند افزایش پیدا کند.

در محیط‌های عملیاتی و سازمانی که تعداد ایجنت‌ها زیاد است پیشنهاد می‌شود حداقل صد گیگابایت فضای ذخیره‌سازی در نظر گرفته شود. این مشخصات برای نصب پایه Wazuh است و در پروژه‌های بزرگ‌تر به منابع سخت‌افزاری قوی‌تر نیاز خواهد بود.

شروع کار با Wazuh پس از راه‌اندازی

پس از ثبت سفارش و آماده شدن سرور اطلاعات دسترسی از طریق ایمیل برای شما ارسال می‌شود. این اطلاعات شامل آدرس آی پی سرور و نام کاربری و رمز عبور جهت اتصال به سرور است. مدیریت سرور از طریق پنل مدیریت سرور و API انجام می‌شود.

اطلاعات ورود به پنل تحت وب Wazuh نیز از طریق ایمیل یا بخش اطلاعات سرور قابل مشاهده است. برای مدیریت سرور از کاربر root و برای ورود به داشبورد Wazuh از کاربر admin استفاده می‌شود.

دریافت اطلاعات ورود و ورود به پنل Wazuh

برای ورود به داشبورد مدیریتی Wazuh باید اطلاعات کاربری مدیر که به صورت خودکار در زمان نصب ایجاد شده است را دریافت کنید. ابتدا از طریق SSH با کاربر root به سرور متصل شوید. سپس فایل opt wazuh password را مشاهده کنید. در این فایل نام کاربری admin و رمز عبور مربوطه نمایش داده می‌شود.

تغییر رمز عبور مدیر سیستم

پس از اولین ورود به پنل توصیه می‌شود رمز عبور پیش‌فرض مدیر تغییر داده شود. برای این کار از منوی پروفایل گزینه تغییر رمز عبور را انتخاب کنید. رمز جدید باید حداقل هشت کاراکتر داشته باشد و شامل حروف بزرگ حروف کوچک عدد و کاراکتر ویژه باشد.

توجه داشته باشید که پس از تغییر رمز عبور از طریق پنل وب اطلاعات جدید به صورت خودکار در فایل opt wazuh password به‌روزرسانی نمی‌شود.

آشنایی با داشبورد Wazuh

پس از ورود موفق داشبورد اصلی Wazuh نمایش داده می‌شود که نمای کلی از وضعیت امنیت سیستم را ارائه می‌دهد. در این بخش تعداد ایجنت‌های متصل نمایش داده می‌شود و در صورتی که هنوز ایجنتی اضافه نشده باشد پیام مربوط به افزودن ایجنت جدید نمایش داده خواهد شد.

همچنین تعداد هشدارهای امنیتی در 24 ساعت گذشته بر اساس سطح شدت نمایش داده می‌شود. بخش امنیت نقاط پایانی برای بررسی تنظیمات شناسایی بدافزار و مانیتورینگ تغییرات فایل‌ها استفاده می‌شود. بخش تحلیل تهدیدات امکان بررسی هشدارها شناسایی آسیب‌پذیری‌ها و تطبیق حملات با چارچوب MITRE ATTACK را فراهم می‌کند. در نهایت بخش امنیت ابری امکان مانیتورینگ سرویس‌های ابری و کانتینرهایی مانند Docker سرویس‌های ابری آمازون گوگل گیت‌هاب و Office 365 را در اختیار شما قرار می‌دهد.