Co to jest Wazuh?

Wazuh to darmowa platforma open-source służąca do monitorowania bezpieczeństwa, wykrywania zagrożeń i reagowania na incydenty. Łączy w sobie funkcje SIEM (Security Information and Event Management) oraz XDR (Extended Detection and Response).

Mówiąc prościej: jeśli Suricata (o której pisaliśmy wcześniej) jest strażnikiem pilnującym bramy (sieci), to Wazuh jest systemem kamer i czujników wewnątrz każdego pokoju (serwera). Analizuje to, co dzieje się na samym systemie.

Jak działa Wazuh?

System składa się z dwóch głównych elementów:

  1. Wazuh Agent: Mały program instalowany na monitorowanych serwerach (Linux, Windows, macOS). Zbiera logi, monitoruje pliki i przesyła dane do centrali.
  2. Wazuh Server (Manager): Centralny mózg, który odbiera dane od agentów, analizuje je w oparciu o tysiące reguł i generuje alerty.

Dane są następnie wizualizowane w Wazuh Dashboard (opartym na OpenSearch/Kibana), co pozwala na łatwe przeglądanie incydentów.

Kluczowe funkcje dla administratora Linuxa

1. Monitorowanie integralności plików (FIM)

To jedna z najważniejszych funkcji. Wazuh tworzy sumy kontrolne (hash) ważnych plików systemowych (np. /etc/passwd, /bin/ls, konfiguracje Apache/Nginx). Jeśli haker lub złośliwy skrypt zmieni zawartość pliku, Wazuh natychmiast wygeneruje alert.

“Uwaga! Plik /etc/shadow został zmodyfikowany przez użytkownika www-data!”

2. Wykrywanie podatności (Vulnerability Detector)

Agent Wazuha skanuje zainstalowane pakiety i porównuje ich wersje z bazami CVE (Common Vulnerabilities and Exposures) dla Twojej dystrybucji (Debian, Ubuntu, RedHat). Dzięki temu wiesz, że np. Twoja wersja OpenSSL ma dziurę bezpieczeństwa i wymaga aktualizacji.

3. Analiza logów i detekcja intruzów

Wazuh analizuje logi systemowe (syslog, auth.log, logi aplikacji). Potrafi wykryć np.:

  • Wielokrotne nieudane próby logowania SSH (Brute Force).
  • Uruchomienie sudo przez nieautoryzowanego użytkownika.
  • Błędy w aplikacjach wskazujące na próbę ataku SQL Injection.

4. Aktywna reakcja (Active Response)

Wazuh nie tylko “patrzy”, ale może też “działać”. Możesz skonfigurować go tak, aby w odpowiedzi na konkretny alert (np. atak Brute Force) automatycznie zablokował adres IP atakującego w iptables lub firewalld na określony czas.

Integracja z Suricatą

Wazuh i Suricata to duet idealny. Agent Wazuha może czytać plik eve.json generowany przez Suricatę. Dzięki temu w jednym panelu (Wazuh Dashboard) widzisz zarówno alerty sieciowe (od Suricaty), jak i systemowe (od Agenta). To daje pełny obraz bezpieczeństwa Twojej infrastruktury.

Instalacja Agenta (szybki start)

Pełna instalacja serwera Wazuh jest złożona (często używa się do tego Dockera), ale instalacja Agenta na Twoim serwerze Linux jest banalna.

  1. Dodaj repozytorium GPG Wazuha.
  2. Zainstaluj pakiet wazuh-agent.
  3. Edytuj /var/ossec/etc/ossec.conf, podając adres IP swojego serwera Wazuh.
  4. Uruchom usługę: 
    sudo systemctl enable wazuh-agent
sudo systemctl start wazuh-agent

Podsumowanie

Wazuh to potężne narzędzie, które przenosi bezpieczeństwo Twoich serwerów na poziom korporacyjny, pozostając przy tym całkowicie darmowym rozwiązaniem. W połączeniu z Suricatą, daje Ci kompletny wgląd w to, co dzieje się w Twojej infrastrukturze, pozwalając spać spokojniej.