Wazuh jest otwartą platformą bezpieczeństwa łączącą funkcje SIEM i XDR. Agenci instalowani na systemach końcowych oraz integracje bezagentowe przesyłają informacje do centralnego środowiska, gdzie reguły wykrywają podejrzane zdarzenia, niezgodności konfiguracji i zmiany w systemie.
1. Z czego składa się Wazuh?
Typowe wdrożenie obejmuje agentów, serwer zarządzający, indeks danych i dashboard. Agent zbiera zdarzenia z systemu operacyjnego, logów aplikacji i mechanizmów bezpieczeństwa. Serwer dekoduje dane i uruchamia reguły, a indeks oraz panel umożliwiają wyszukiwanie, analizę i wizualizację.
2. Co można monitorować?
3. Kontrola integralności plików
File Integrity Monitoring informuje o utworzeniu, zmianie lub usunięciu wskazanych plików. Funkcja może pomóc wykryć nieautoryzowaną zmianę konfiguracji, podmianę pliku aplikacji albo uruchomienie mechanizmu trwałości. Zakres trzeba jednak dostroić, ponieważ monitorowanie zbyt wielu często zmienianych katalogów generuje ogromną liczbę alertów.
4. Wykrywanie podatności
Wazuh może zestawiać informacje o zainstalowanym oprogramowaniu z danymi o znanych podatnościach. Wynik nie oznacza automatycznie, że luka jest możliwa do wykorzystania w danej konfiguracji. Alert powinien zostać zweryfikowany, przypisany do właściciela systemu i objęty procesem aktualizacji.
5. Reguły i dostrajanie
Domyślny zestaw reguł jest dobrym początkiem, lecz każde środowisko generuje inne zdarzenia. Trzeba odróżnić normalną administrację od zachowania podejrzanego, wyciszyć powtarzalny szum i podnieść priorytet alertów dotyczących systemów krytycznych. Własne reguły powinny być wersjonowane i testowane po aktualizacjach.
6. Źródła danych
| Źródło | Przykładowe zdarzenia | Znaczenie |
|---|---|---|
| Windows | Logowania, PowerShell, Defender, zmiany kont | Wykrywanie przejęć kont i aktywności na stacjach |
| Linux | SSH, sudo, PAM, systemd, auditd | Kontrola dostępu i zmian administracyjnych |
| Firewall | Blokady, VPN, IDS/IPS, ruch wychodzący | Korelacja aktywności sieciowej z hostami |
| Aplikacje | Błędy logowania, żądania, wyjątki | Wykrywanie nadużyć i awarii usług |
7. Wymagania utrzymaniowe
System monitoringu sam wymaga ochrony, aktualizacji, kopii konfiguracji i kontroli pojemności. Retencja logów musi być dopasowana do wielkości środowiska i potrzeb analitycznych. Warto rozdzielić role użytkowników, zabezpieczyć dostęp do dashboardu przez MFA lub VPN i monitorować stan agentów.
8. Alert bez reakcji nie poprawia bezpieczeństwa
Dla najważniejszych scenariuszy trzeba przygotować prostą instrukcję: kto otrzymuje alert, jak go weryfikuje, kiedy izoluje komputer, gdzie zapisuje ustalenia i kto kontaktuje się z kierownictwem. W małej organizacji rolę tę może pełnić zewnętrzny administrator, ale odpowiedzialność musi być jasno określona.
9. Jak wdrażać etapami?
- uruchom monitoring kilku reprezentatywnych systemów,
- sprawdź jakość czasu, nazw hostów i logów,
- dostrój najczęstsze alerty,
- zdefiniuj powiadomienia dla zdarzeń krytycznych,
- rozszerz wdrożenie na kolejne urządzenia,
- wykonuj regularny przegląd reguł i retencji.
Źródła i dalsza lektura
Słownik
Skróty i pojęcia użyte w artykule
Kliknij wybraną nazwę, aby rozwinąć jej znaczenie.
SIEM
Platforma zbierająca i korelująca logi oraz zdarzenia bezpieczeństwa z wielu źródeł.
XDR
Rozszerzone wykrywanie i reagowanie łączące dane z punktów końcowych, sieci, poczty, chmury i innych źródeł.
HIDS
System wykrywania naruszeń działający na konkretnym serwerze lub komputerze.
FIM
Monitorowanie integralności plików, które informuje o ich utworzeniu, zmianie lub usunięciu.
SOC
Zespół lub centrum operacyjne odpowiedzialne za ciągły monitoring i reagowanie na zagrożenia.
IOC
Wskaźnik mogący świadczyć o naruszeniu, np. złośliwy adres IP, skrót pliku lub nietypowy wpis w systemie.
CVE
Standardowy identyfikator publicznie opisanej podatności.
MITRE ATT&CK
Baza wiedzy opisująca taktyki i techniki stosowane przez atakujących.
API
Interfejs pozwalający integrować Wazuh z innymi systemami i automatyzować operacje.

