瓦祖简介

我们都知道，今天的组织有各种端点（机器）运行多种服务来成功地执行业务操作。如今，即使是小型组织，其基础设施中也至少有 10 到 20 个系统。这些机器不断地收集数据并生成日志。问题不在于大数据！组织面临的实际挑战是分析和利用这些大数据。这些端点生成对分析和为严重安全违规/攻击创建警报至关重要的各种事件（记录）。组织采用 SIEM（安全信息事件管理）解决方案来解决这个问题。

了解 SIEM 的实际含义必须了解两个关键术语：

• SEM – 安全事件管理：它处理从端点收集日志。
• SIM – 安全信息管理：它处理收集的日志分析。

所以公式总结如下：

SEM + SIM  = SIEM (Security Information Event Management)

通过了解上述公式，我们可以得出结论，SIEM 是一种解决方案，可以帮助公司收集日志，并帮助将记录转换为以后可以分析的有用信息（随着日志的存储）。同时，它还提供实时监控和分析能力，并在发生任何违反规则或安全攻击时发出警报。

主要方面是数据聚合。在此阶段，记录的数据从防火墙、桌面等各种端点收集并存储在集中式数据库中。这些日志经过充分汇总，以便更好地了解大量记录中的可疑事件。

下面列出了 SIEM 中存在/必须存在的一些基本功能：

• 日志收集
• 用户活动监控
• 实时事件关联
• 日志保留
• 它的报告
• 日志监控
• 规则及其映射
• 集成 CTI（网络威胁情报）
• 可视化仪表板

有许多行业认可的供应商为公司提供一流的 SIEM 解决方案。 IBM QRadar、Splunk Security、LogRythm 等都是一些示例，仅举几例。这些解决方案处于优质范围内，这意味着人们必须投入合理的金额来采用这些解决方案。是的，公司确实会投资，因为网络防御是首要任务。尽管如此，对于像学校或大学这样的小型组织或机构机构来说，仅仅为安全解决方案付出高昂的代价是不可行的。

因此，这些机构/公司很容易依赖开源SIEM 解决方案。即使是大型组织也采用这些开源解决方案来实现更好的定制和可扩展性。但是，唯一需要注意的是，需要有技术专家来实施这些开源 SIEM。是的，供应商提供了完整、编写良好的文档和指南，但通常这些文档会被非技术人员忽略。其次，可以直接联系供应商寻求部署帮助，但这可能会带来成本。

WAZUH 是著名且广受欢迎的 SIEM 之一。

Wazuh 是一个免费和开源的威胁预防、检测和响应平台。它可以保护本地、虚拟化、容器化和云设置中的工作负载。 Wazuh 被全球数百家公司使用，从小公司到大公司。 Wazuh 是一种安全数据收集、聚合、索引和分析工具，可帮助企业检测入侵、威胁和可疑行为。

现在让我们了解 Wazuh 的基本工作和组件工作流程。

Wazuh 的平台包括云、容器和服务器应用程序的安全功能。日志数据分析、入侵和恶意软件检测、文件完整性监控、配置评估、漏洞检测和法规遵从性帮助是这些服务的示例。构成 Wazuh 解决方案的三个组件如下：

• Wazuh 代理：安装在笔记本电脑、台式机、服务器、云实例或虚拟机等端点上时，提供预防、检测和响应功能。它与 Windows、Linux、macOS、HP-UX、Solaris 和 AIX 兼容。
• Wazuh 服务器：检查从代理收到的数据，使用解码器和规则对其进行处理，并利用威胁情报来寻找众所周知的妥协指标 (IOC)。当配置为集群时，单个服务器可以评估来自数百或数千个代理的数据并水平扩展。
• Elastic Stack ：索引并保存 Wazuh 服务器警报。此外，Wazuh 和 Kibana 的集成为数据可视化和分析提供了丰富的用户界面。 Wazuh 设置和状态也通过此界面进行管理和监控。

除了基于代理的设备外，Wazuh 平台还可以监控无代理设备，例如防火墙、交换机、路由器和网络 IDS 等。例如，系统可以使用 Syslog 来收集系统日志数据，并且可以通过定期探测其数据来监控其设置。 Wazuh 组件和数据流如下图所示。它代表了 Wazuh 代理、Wazuh 服务器和 Elastic Stack，它们是解决方案的三个关键组件。

Wazuh 代理检查受监控系统上的恶意软件、rootkit 和可疑异常。隐藏文件、隐藏进程、未注册的网络侦听器以及系统调用响应中的差异都可以被检测到。除了代理功能之外，服务器组件还采用基于签名的方法进行入侵检测、分析获取的日志数据并使用其正则表达式引擎寻找入侵迹象。

下面列出了Wazuh的一些核心功能：

• 入侵检测
• 日志数据分析
• 文件完整性监控
• 漏洞检测
• 事件响应
• 合规性
• 云和容器安全监控

总而言之，Wazuh 是开源 SIEM 的绝佳选择，它可靠、简单，并且可以提供可操作的安全工作流来加强安全态势。