Kullanım Senaryoları
Wazuh platformu, kuruluşların ve bireylerin tehdit önleme, algılama ve yanıtlama yoluyla veri varlıklarını korumalarına yardımcı olur. Ayrıca Wazuh, PCI DSS veya HIPAA gibi düzenleyici uyumluluk gereksinimlerini ve CIS güçlendirme kılavuzları gibi yapılandırma standartlarını karşılamak için de kullanılır. Ayrıca, Wazuh ayrıca IaaS (Amazon AWS, Azure veya Google Cloud) kullanıcılarının sanal makineleri ve bulut örneklerini izlemesi için bir çözümdür. Bu, Wazuh güvenlik aracısını kullanarak sistem düzeyinde ve verileri doğrudan bulut sağlayıcı API'sinden çekerek altyapı düzeyinde yapılır. Ek olarak, Wazuh, bulut tabanlı çalışma zamanı güvenliği sağlayarak konteynerleştirilmiş ortamları korumak için kullanılır. Bu özellik, Docker motor API'si ve Kubernetes API'si ile entegrasyona dayanmaktadır. Wazuh güvenlik aracısı, tehdit algılama ve yanıt yeteneklerinin tam bir setini sağlayarak Docker ana bilgisayarında çalışabilir. Aşağıda Wazuh platformunun en yaygın kullanım örneklerinden bazılarını bulabilirsiniz.
- Güvenlik Yapılandırmaları (SCA)
- Zararlı Tespiti
- Dosya Bütünlük Monitörleme (FIM)
- Tehdit Avcılığı
- Log Analizi
- Zafiyet Tespiti
- Olay Müdahalesi
- Mevzuata Uygunluk Denetimi
- BT Sağlığı
- Konteyner Güvenliği
- Bulut Altyapı Koruması
Güvenlik Yapılandırmaları (SCA)
Yapılandırma değerlendirmesi, uç noktaların yapılandırma ayarları ve onaylanmış uygulama kullanımıyla ilgili önceden tanımlanmış bir dizi kurala uyup uymadığını doğrulayan bir süreçtir. Mevcut yapılandırmayı, güvenlik açıklarını ve yanlış yapılandırmaları belirlemek için yerleşik endüstri standartları ve kurumsal politikalarla karşılaştırmayı içerir.
Düzenli yapılandırma değerlendirmeleri, kuruluşların güvenlik açıklarını proaktif bir şekilde belirlemesine ve yamalamasına yardımcı oldukları için güvenli ve uyumlu bir ortamın sürdürülmesinde önemlidir. Bu uygulama güvenlik kontrollerini güçlendirir ve güvenlik olayı riskini en aza indirir.
Wazuh SCA Modülü
Wazuh, güvenlik ekiplerinin ortamlarındaki yanlış yapılandırmaları tarayıp tespit etmelerine yardımcı olan bir Güvenlik Yapılandırma Değerlendirmesi (SCA) modülü sunar. Wazuh aracısı, izlediği uç noktaları taramak için politika dosyalarını kullanır. Bu dosyalar, izlenen her uç noktada gerçekleştirilecek önceden tanımlanmış kontrolleri içerir.
Wazuh, İnternet Güvenliği Merkezi (CIS) güvenlik ölçütlerine dayalı olarak SCA politikalarını kullanıma hazır olarak içerir. Bu ölçütler, BT sistemlerini ve verilerini siber saldırılardan korumak için en iyi uygulamalara ilişkin temel kılavuzlar olarak hizmet eder. Güvenli bir temel yapılandırma oluşturmak için net talimatlar sağlar ve kullanıcıların kritik varlıklarını korumak ve olası güvenlik açıklarını azaltmak için etkili önlemler uygulamasını sağlamak üzere rehberlik sunar. Bu standartlara uyarak, genel güvenlik duruşunuzu iyileştirebilir ve işletmenize yönelik siber tehdit riskini azaltabilirsiniz.
Wazuh Güvenlik Yapılandırma Değerlendirmesi (SCA) modülünün diğer bazı faydaları şunlardır:
-
Güvenlik duruşu yönetimi : Wazuh SCA, kuruluşların uç noktalarının güvenli bir şekilde yapılandırılmasını sağlamalarına yardımcı olur. Bu, yanlış yapılandırmalardan kaynaklanan güvenlik açıklarını en aza indirir ve güvenlik ihlalleri riskini azaltır.
-
Uyumluluk izleme : Kuruluşların düzenleyici standartlara, en iyi uygulamalara ve iç güvenlik politikalarına uyumu değerlendirmelerine ve uygulamalarına olanak tanır.
-
Sürekli izleme : Wazuh SCA, uç noktaların yapılandırmasını sürekli olarak izler ve yanlış yapılandırmalar tespit ettiğinde uyarı verir.
Wazuh SCA Politikalarına Genel Bakış
Wazuh SCA modülü YAML formatında yazılmış politikaları kullanır. Her politika denetimlerden oluşur ve her denetim bir veya daha fazla kuraldan oluşur. Bu kurallar, dosyaların, dizinlerin, Windows kayıt defteri anahtarlarının, çalışan işlemlerin ve daha fazlasının varlığı gibi bir uç noktanın çeşitli yönlerini inceleyebilir.
Varsayılan olarak, Wazuh aracısı, kural kümesi dizininde bulunan her politika ( .yaml
veya .yml
dosya) için taramalar çalıştırır. Bu dizin, Wazuh aracısını çalıştıran her işletim sisteminde aşağıdaki konumlarda bulunabilir:
-
Linux ve Unix tabanlı ajanlar:
/var/ossec/ruleset/sca
. -
Windows aracıları: .
C:\Program Files (x86)\ossec-agent\ruleset\sca
-
macOS aracıları:
/Library/Ossec/ruleset/sca
.
Wazuh ayrıca uç noktaları tarayıp kuruluşunuzun politikalarına uyup uymadıklarını doğrulamak için kullanılabilecek özel politikalar oluşturmanıza da olanak tanır .
/var/ossec/ruleset/sca/cis_ubuntu22-04.yml
Ubuntu 22.04 uç noktalarında kutudan çıktığı haliyle dahil edilen bir CIS politika dosyasının bir kesitini görün . CIS kıyaslamalarına dayanan SCA politikası, sistem güçlendirme için en iyi uygulamalara uyup uymadığını belirlemek için uç noktada kontroller çalıştırır. Kimlikli SCA politikası, dizinin ayrı bir bölümde olup 28500
olmadığını kontrol eder ./tmp
- id: 28500 title: "Ensure /tmp is a separate partition." description: "The /tmp directory is a world-writable directory used for temporary storage by all users and some applications." rationale: "Making /tmp its own file system allows an administrator to set additional mount options such as the noexec option on the mount, making /tmp useless for an attacker to install executable code. It would also prevent an attacker from establishing a hard link to a system setuid program and wait for it to be updated. Once the program was updated, the hard link would be broken and the attacker would have his own copy of the program. If the program happened to have a security vulnerability, the attacker could continue to exploit the known flaw. This can be accomplished by either mounting tmpfs to /tmp, or creating a separate partition for /tmp." impact: "Since the /tmp directory is intended to be world-writable, there is a risk of resource exhaustion if it is not bound to a separate partition. Running out of /tmp space is a problem regardless of what kind of filesystem lies under it, but in a configuration where /tmp is not a separate file system it will essentially have the whole disk available, as the default installation only creates a single / partition. On the other hand, a RAM-based /tmp (as with tmpfs) will almost certainly be much smaller, which can lead to applications filling up the filesystem much more easily. Another alternative is to create a dedicated partition for /tmp from a separate volume or disk. One of the downsides of a disk-based dedicated partition is that it will be slower than tmpfs which is RAM-based. /tmp utilizing tmpfs can be resized using the size={size} parameter in the relevant entry in /etc/fstab." remediation: "First ensure that systemd is correctly configured to ensure that /tmp will be mounted at boot time. # systemctl unmask tmp.mount For specific configuration requirements of the /tmp mount for your environment, modify /etc/fstab or tmp.mount. Example of /etc/fstab configured tmpfs file system with specific mount options: tmpfs 0 /tmp tmpfs defaults,rw,nosuid,nodev,noexec,relatime,size=2G 0 Example of tmp.mount configured tmpfs file system with specific mount options: [Unit] Description=Temporary Directory /tmp ConditionPathIsSymbolicLink=!/tmp DefaultDependencies=no Conflicts=umount.target Before=local-fs.target umount.target After=swap.target [Mount] What=tmpfs Where=/tmp Type=tmpfs." references: - https://www.freedesktop.org/wiki/Software/systemd/APIFileSystems/ - https://www.freedesktop.org/software/systemd/man/systemd-fstab-generator.html compliance: - cis: ["1.1.2.1"] - cis_csc_v7: ["14.6"] - cis_csc_v8: ["3.3"] - mitre_techniques: ["T1499", "T1499.001"] - mitre_tactics: ["TA0005"] - mitre_mitigations: ["M1022"] - cmmc_v2.0: ["AC.L1-3.1.1", "AC.L1-3.1.2", "AC.L2-3.1.5", "AC.L2-3.1.3", "MP.L2-3.8.2"] - hipaa: ["164.308(a)(3)(i)", "164.308(a)(3)(ii)(A)", "164.312(a)(1)"] - pci_dss_v3.2.1: ["7.1", "7.1.1", "7.1.2", "7.1.3"] - pci_dss_v4.0: ["1.3.1", "7.1"] - nist_sp_800-53: ["AC-5", "AC-6"] - soc_2: ["CC5.2", "CC6.1"] condition: all rules: - 'c:findmnt --kernel /tmp -> r:\s*/tmp\s' - "c:systemctl is-enabled tmp.mount -> r:generated|enabled"
Dizin /tmp
, sistem ve kullanıcı uygulamaları tarafından kısa bir süre için ihtiyaç duyulan verileri depolamak için kullanılır. /tmp
Ayrı bir bölüme bağlanma, bir yöneticinin noexec
, nodev
, ve gibi ek bağlama seçenekleri ayarlamasına olanak tanır nosuid
. Bu nedenle, dizini bir saldırganın yürütülebilir kod yüklemesi için işe yaramaz hale getirir. SCA ilke dosyası ayrıca bu sorunun nasıl düzeltileceğine dair öneriler sunar.
SCA Sonuçlarını Görüntüleme
Wazuh kontrol panelinde, her bir acente için SCA tarama sonuçlarını görüntülemenize olanak tanıyan bir Yapılandırma Değerlendirme modülü bulunur.

SCA Sonuçlarının Yorumlanması
Aşağıdaki görüntü, Ubuntu Linux 22.04 LTS için CIS kıyaslamasına dayalı politikayı göstermektedir. Ubuntu 22.04 uç noktasına karşı 191 denetimin yürütüldüğünü görebilirsiniz. Bunlardan 56'sı geçti, 87'si başarısız oldu ve 48'i uç noktaya uygulanamaz. Ayrıca, geçilen test sayısına göre hesaplanan %39'luk bir puan da göstermektedir.

Daha fazla bilgi edinmek için çeklere tıklayabilirsiniz. Aşağıdaki resimde gerekçe, düzeltme ve kimliği olan çekin açıklaması gibi bilgileri görebilirsiniz 3003
.

Yukarıdaki SCA tarama sonucu, failed
ssh için genel anahtar kimlik doğrulamasının etkinleştirilmediğini gösteriyor. Düzeltme uygulanırsa, sonuç passed
uç noktanın güvenliğini artıracak şekilde değişecektir.
SCA İyileştirme Adımlarının Uygulanması
Önceki bölümdeki örnekte, Wazuh SCA tarafından sağlanan düzeltmenin uygulanması uç noktanın güvenliğini artırır. Bu, PubkeyAuthentication
dosyadaki seçenek değerinin değiştirilmesini içerir sshd_config
. Aşağıdaki görüntüde, kontrolün durumunun . 3003
olarak değiştiğini görebilirsiniz passed
.

Wazuh SCA modülünü kullanarak yanlış yapılandırmaları tespit edebilir, bunları düzeltebilir ve uç noktalarınızın sektördeki en iyi uygulamalara uyduğunu doğrulayabilirsiniz. Bu proaktif yaklaşım, ortamınızdaki güvenlik ihlallerinin olasılığını önemli ölçüde azaltır.
Zararlı Tespiti
Kötü amaçlı yazılım, kötü amaçlı yazılım anlamına gelir ve bilgisayar sistemlerine, ağlara veya kullanıcılara zarar vermek veya bunları istismar etmek için özel olarak tasarlanmış herhangi bir yazılımı ifade eder. Yetkisiz erişim elde etmek, hasara yol açmak, hassas bilgileri çalmak veya hedef sistemde başka kötü amaçlı faaliyetler gerçekleştirmek amacıyla oluşturulur. Her biri belirli işlevlere ve enfeksiyon yöntemlerine sahip çeşitli kötü amaçlı yazılım türleri vardır. Bazı yaygın kötü amaçlı yazılım türleri arasında virüsler, solucanlar, fidye yazılımları, botnet'ler, casus yazılımlar, truva atları ve kök araç takımları bulunur.
Kötü amaçlı yazılım tespiti, bilgisayar sistemlerini ve ağlarını siber tehditlerden korumak için çok önemlidir. Veri ihlaline, sistem ihlaline ve mali kayba neden olabilecek kötü amaçlı yazılımları belirlemeye ve azaltmaya yardımcı olur.
Kötü Amaçlı Yazılım Tespiti İçin Wazuh
Yalnızca imza tabanlı tespitlere dayanan geleneksel yöntemlerin sınırlamaları vardır ve yeni tehditleri yakalamada başarısız olurlar. İmza tabanlı yaklaşımlar, sıfırıncı gün saldırılarını, polimorfik kötü amaçlı yazılımları ve tehdit aktörleri tarafından kullanılan diğer kaçınma tekniklerini tespit etmede zorluk çeker. Sonuç olarak, kuruluşlar tespit edilemeyen ihlaller ve veri sızdırma riski altındadır. Wazuh, kuruluşların karmaşık ve kaçamak tehditleri etkili bir şekilde tespit etmelerini ve bunlara yanıt vermelerini sağlar. Wazuh, kötü amaçlı yazılım özelliklerini, etkinlikleri, ağ bağlantılarını ve daha fazlasını tanımlayan farklı modülleri kapsar.
Tehdit Algılama Kurallarıyla Kötü Amaçlı Faaliyetlerin Tespiti
Wazuh, davranış tabanlı kötü amaçlı yazılım tespitini etkinleştiren tehdit tespit kurallarına sahiptir. Wazuh, yalnızca önceden tanımlanmış imzalara güvenmek yerine, kötü amaçlı yazılım tarafından sergilenen anormal davranışları izleme ve analiz etmeye odaklanır. Bu, Wazuh'un bilinen ve daha önce bilinmeyen tehditleri tespit etmesini sağlar. Bu şekilde, Wazuh siber tehditlere karşı proaktif ve uyarlanabilir bir savunma sağlar. Wazuh, tanınan kötü amaçlı yazılım kalıpları için uyarıları tetiklemek üzere özel olarak tasarlanmış, kullanıma hazır kural setlerine sahiptir ve olası güvenlik olaylarına hızlı bir yanıt sağlar. Örneğin, aşağıdaki görüntü, 92213
kötü amaçlı yazılımlar tarafından yaygın olarak kullanılan bir klasöre bir yürütülebilir dosya bırakıldığında tetiklenen kural kimliğine sahip bir uyarıyı gösterir. Bu uyarı, güvenlik ekiplerini soruşturma ve düzeltme sürecini başlatmaya yönlendirir.

Wazuh, kullanıcıların algılamada daha fazla esneklik için özel kurallar oluşturmasına olanak tanır , ilgili etkinliklere odaklanmalarını ve kötü amaçlı yazılım algılamasını optimize etmelerini sağlar. Wazuh, izlenen uç noktalardan gelen günlükleri kod çözer ve alanlara düzenler, daha sonra kötü amaçlı etkinlik algılandığında uyarı vermek için özel kurallar oluşturmak üzere kullanılabilir.
Wazuh kuralları, yanlış pozitifleri azaltmak ve bilinen kötü amaçlı yazılımları belirli davranışlara göre tespit etmek için tehlike göstergelerini (IOC'ler) belirten birden fazla alan kullanır. Bu kurallar, kapsamlı tespit için saldırı, ayrıcalık yükseltme, yanal hareket, karartma ve sızdırma gibi ilgili kötü amaçlı yazılım etkinliklerini birbirine bağlayabilir.
Aşağıda, LimeRAT kötü amaçlı yazılımının kötü amaçlı faaliyetleri konusunda uyarı vermek için oluşturulmuş bazı Wazuh özel kurallarına bir örnek verilmiştir:
<group name="lime_rat,sysmon,"> <!-- Rogue create netflix.exe creation --> <rule id="100024" level="12"> <if_sid>61613</if_sid> <field name="win.eventdata.image" type="pcre2">\.exe</field> <field name="win.eventdata.targetFilename" type="pcre2">(?i)[c-z]:\\\\Users\\\\.+\\\\AppData\\\\Roaming\\\\checker netflix\.exe</field> <description>Potential LimeRAT activity detected: checker netflix.exe created at $(win.eventdata.targetFilename) by $(win.eventdata.image).</description> <mitre> <id>T1036</id> </mitre> </rule> <!-- Registry key creation for persistence --> <rule id="100025" level="12"> <if_group>sysmon</if_group> <field name="win.eventdata.details" type="pcre2">(?i)[c-z]:\\\\Users\\\\.+\\\\AppData\\\\Roaming\\\\checker netflix\.exe</field> <field name="win.eventdata.targetObject" type="pcre2" >HKU\\\\.+\\\\Software\\\\Microsoft\\\\Windows\\\\CurrentVersion\\\\Run\\\\checker netflix\.exe</field> <field name="win.eventdata.eventType" type="pcre2" >^SetValue$</field> <description>Potential LimeRAT activity detected: $(win.eventdata.details) added itself to the Registry as a startup program $(win.eventdata.targetObject) to establish persistence.</description> <mitre> <id>T1547.001</id> </mitre> </rule> <!-- Network activity detection --> <rule id="100026" level="12"> <if_sid>61605</if_sid> <field name="win.eventdata.image" type="pcre2">(?i)[c-z]:\\\\Users\\\\.+\\\\AppData\\\\Roaming\\\\checker netflix\.exe</field> <description>Potential LimeRAT activity detected: Suspicious DNS query made by $(win.eventdata.image).</description> <mitre> <id>T1572</id> </mitre> </rule> <!-- LimeRAT service creation --> <rule id="100028" level="12"> <if_sid>61614</if_sid> <field name="win.eventdata.targetObject" type="pcre2" >HKLM\\\\System\\\\CurrentControlSet\\\\Services\\\\disk</field> <field name="win.eventdata.eventType" type="pcre2" >^CreateKey$</field> <description>Potential LimeRAT activity detected: LimeRAT service $(win.eventdata.targetObject) has been created on $(win.system.computer).</description> <mitre> <id>T1543.003</id> </mitre> </rule> </group>
Bu kurallar , Wazuh panosundaki Tehdit Avı modülünde görülebilen uyarılar oluşturur .

Tam yapılandırma için Wazuh ile LimeRat tespiti ve tepkisi hakkındaki blog yazısına bakın .
Wazuh, kötü amaçlı yazılımlara işaret eden davranışları belirler, gerçek zamanlı uyarılar ve bildirimler üretir ve böylece güvenlik ekiplerinin hızlı bir şekilde yanıt vermesini ve potansiyel riskler tırmanmadan önce bunları azaltmasını sağlar.
Kötü Amaçlı Yazılım Etkinliğini Tespit Etmek İçin Dosya Bütünlüğü İzleme Özelliğinden Yararlanma
Dosya Bütünlüğü İzleme (FIM), kötü amaçlı yazılım tespitinde değerli bir bileşendir. Wazuh, izlenen uç noktalardaki dosya ve dizinlerdeki değişiklikleri izlemek ve tespit etmek için FIM yetenekleri sağlar. Bu değişiklikler oluşturma, değiştirme veya silmeyi içerir. FIM temel içgörüler sağlarken, onu diğer yetenekler ve entegrasyonlarla birleştirmek kötü amaçlı yazılım tespiti için etkinliğini daha da artırır. Wazuh, güvenlik ekiplerinin FIM olaylarına dayalı özel kurallar oluşturmasına olanak tanır ve hedefli kötü amaçlı yazılım tespitini mümkün kılar. Bu özelleştirilebilir kurallar, FIM olaylarını şüpheli dosya uzantıları, kod parçacıkları veya bilinen kötü amaçlı yazılım imzaları gibi belirli tehlike göstergeleriyle ilişkilendirir.
Aşağıdaki görüntü, bir web kabuğunun web sunucusunda bir dosya oluşturduğunda veya değiştirdiğinde oluşan uyarıyı göstermektedir.

Kötü amaçlı yazılımlar, kalıcılık oluşturma ve diğer kötü amaçlı eylemleri gerçekleştirme gibi kötü amaçlı hedeflere ulaşmak için sıklıkla Windows Kayıt Defterini hedef alır. Wazuh Dosya Bütünlüğü İzleme (FIM) modülü, değişiklikleri tespit etmek için yaygın olarak hedeflenen kayıt defteri yollarını izleyen Windows Kayıt Defteri izlemesini içerir . Değişiklikler meydana geldiğinde, FIM modülü gerçek zamanlı uyarıları tetikleyerek güvenlik ekiplerinin şüpheli kayıt defteri anahtarı manipülasyonunu hızla belirlemesini ve bunlara yanıt vermesini sağlar.
Aşağıdaki görseller Wazuh FIM modülünün panosunu ve Windows Kayıt Defteri değişikliklerinin olaylarını göstermektedir.


Tehdit İstihbaratı Entegrasyonuyla Kötü Amaçlı Yazılım Algılamayı Geliştirme
Kullanıcılar, tehdit istihbarat kaynaklarıyla entegre olarak kötü amaçlı yazılım tespit yeteneklerini artırabilirler . Bu istihbarat beslemeleri, bilinen kötü amaçlı IP adresleri, etki alanları, URL'ler ve diğer tehlike göstergeleri hakkında ek güncel bilgilerle Wazuh bilgi tabanını zenginleştirir. Wazuh'un entegre olabileceği tehdit istihbarat kaynaklarına örnek olarak VirusTotal, MISP ve daha fazlası verilebilir.

Wazuh, tanımlanan IOC'leri CDB listelerinde (sabit veritabanları) depolanan bilgilerle karşılaştırarak kötü amaçlı dosyaları proaktif bir şekilde belirler . Bu listeler, dosya karmaları, IP adresleri ve etki alanı adları dahil olmak üzere bilinen kötü amaçlı yazılım tehlike göstergelerini (IOC'ler) depolayabilir.
key:value
Girişleri, özelleştirilmiş algılama için her iki biçimde de özelleştirebilirsiniz key:
, bunun bir örneği aşağıda görülmektedir. Mirai ve Xbash kötü amaçlı yazılımlarının bilinen MD5 kötü amaçlı yazılım karmalarını içeren bir CBD listesi algılama için kullanılır:
e0ec2cd43f71c80d42cd7b0f17802c73:mirai 55142f1d393c5ba7405239f232a6c059:Xbash
Tespit edildiğinde bu uyarılar, aşağıda görüldüğü gibi Wazuh kontrol panelinin Tehdit Avı modülünde gözlemlenir .

Tam yapılandırmalar için Kullanım örneğine bakın : CDB listesindeki dosya karma değerlerini kullanarak kötü amaçlı yazılımları tespit etme .
Rootkit Tespiti ile Gizli Tehditleri Açığa Çıkarma
Rootkit'ler, sistem çağrılarını değiştirmek veya çekirdek veri yapılarını değiştirmek gibi işletim sistemi işlevlerini manipüle ederek bir uç noktadaki kötü amaçlı yazılımların varlığını gizlemek için tasarlanmış kötü amaçlı yazılımlardır. Wazuh, izlenen uç noktayı periyodik olarak tarayarak hem çekirdek hem de kullanıcı alanı düzeyinde rootkit'leri tespit eden bir Rootcheck modülüne sahiptir . Rootcheck, olası rootkit etkinliğini belirler ve uyarır. Wazuh, sistem davranışını analiz ederek ve bunu bilinen rootkit kalıplarıyla karşılaştırarak rootkit ile ilgili kalıpları derhal tespit eder ve daha fazla araştırma için uyarılar verir.
Aşağıda, Wazuh Rootcheck modülünün dosya sisteminde bir anormallik tespit ettiğinde oluşturduğu bir uyarının örneğini gösteriyoruz:
** Alert 1668497750.1838326: - ossec,rootcheck,pci_dss_10.6.1,gdpr_IV_35.7.d, 2022 Nov 15 09:35:50 (Ubuntu) any->rootcheck Rule: 510 (level 7) -> 'Host-based anomaly detection event (rootcheck).' Rootkit 't0rn' detected by the presence of file '/usr/bin/.t0rn'. title: Rootkit 't0rn' detected by the presence of file '/usr/bin/.t0rn'.
Wazuh, rootkit davranış algılama yeteneklerini geliştirmeye devam ederken , Komut izleme modülü ayrıca uç noktalardaki komut satırı etkinliklerini izlemek üzere yapılandırılabilir ve bu da kötü amaçlı komutların ve kötü amaçlı yazılım etkinliklerinin algılanmasını sağlar. Bu modül, kuruluşlara gizli tehditleri ortaya çıkarmak ve sistemlerini etkili bir şekilde korumak için kapsamlı bir yaklaşım sağlar.
İzleme Sistemi Kötü Amaçlı Yazılım ve Anormallik Algılamayı Gerektirir
Wazuh, kötü amaçlı yazılım tespitini güçlendirmek ve anormallik tespitine yardımcı olmak için Linux uç noktalarındaki sistem çağrılarını izler . Wazuh, sistem çağrılarını izlemek için Linux Denetim sistemini kullanır.
Wazuh Dosya Bütünlüğü İzleme (FIM) ve tehdit istihbaratı entegrasyonuyla birlikte sistem çağrısı izleme, kötü amaçlı yazılım tespitini geliştirir. Dosya erişimi, komut yürütme ve ayrıcalık yükseltme gibi güvenlikle ilgili olayları yakalayarak olası güvenlik olaylarına ilişkin gerçek zamanlı içgörüler sağlar. Bu kapsamlı yaklaşım, kuruluşların siber güvenlik dayanıklılığını güçlendirir. Aşağıdaki görüntüde, Ubuntu Linux 22.04 için Wazuh panosundaki ayrıcalık kötüye kullanımı uyarılarını görselleştirebilirsiniz.

Wazuh, güvenlik ekiplerinin Auditd tarafından sağlanan denetim kurallarını kullanmasını sağlar. Sistem çağrı olaylarına dayalı özel kurallar oluşturmak kötü amaçlı yazılım tespit çabalarını geliştirir ve genel siber güvenlik dayanıklılığını güçlendirir.
Dosya Bütünlük Monitörleme (FIM)
Dosya Bütünlüğünün İzlenmesi
Dosya Bütünlüğü İzleme (FIM), dosya ekleme, değiştirme veya silme olayları olduğunda algılamak ve uyarmak için dosyaların ve dizinlerin bütünlüğünü izlemeyi içerir. FIM, bu varlıkların bütünlüğünü düzenli olarak tarayarak ve doğrulayarak hassas dosyalar ve veriler için önemli bir koruma katmanı sağlar. Bir siber saldırının göstergesi olabilecek dosya değişikliklerini belirler ve gerekirse daha fazla araştırma ve düzeltme için uyarılar oluşturur.
Wazuh açık kaynaklı Dosya Bütünlüğü İzleme modülü, dosya oluşturma, değiştirme ve silme hakkında kapsamlı bilgi edinmek için izlenen dizinler veya dosyalar içinde gerçekleştirilen etkinlikleri izler. Bir dosya değiştirildiğinde, Wazuh onun sağlama toplamını önceden hesaplanmış bir temel çizgiyle karşılaştırır ve bir uyumsuzluk bulursa bir uyarı tetikler.
Açık kaynaklı FIM modülü, izlenen dosyaların hassasiyet düzeyine bağlı olarak gerçek zamanlı izleme ve planlı taramalar gerçekleştirir.
Dosya Bütünlüğü İzleme tarama sonuçlarını görüntüleme
Wazuh panosunda, izlenen uç noktalardan tetiklenen tüm dosya bütünlüğü olaylarının raporlandığı özel bir Dosya Bütünlüğü İzleme modülü bulabilirsiniz . Bu, izlenen dizinlerin durumu ve güvenlik duruşu üzerindeki potansiyel etkileri hakkında değerli bilgiler sağladığı için görünürlüğü artırır. Wazuh FIM panosunda FIM analiz sonuçlarını görüntülemek için üç farklı bölüm bulunur; Envanter, Pano ve Olaylar .
- Envanter bölümü , FIM modülünün dizinlediği tüm dosyaların bir listesini görüntüler. Her dosyanın dosya adı, son değişiklik tarihi, kullanıcı, kullanıcı kimliği, grup ve dosya boyutu gibi giriş bilgileri vardır.
2. Pano bölümü , tüm izlenen uç noktalar için FIM modülü tarafından tetiklenen olayların genel görünümünü gösterir. Ayrıca, seçili izlenen uç nokta için olayları gösterecek şekilde düzenleyebilirsiniz.
3. Olaylar bölümü , FIM modülü tarafından tetiklenen uyarıları gösterir. Aracı adı, izlenen dosyanın dosya yolu, FIM olayının türü, uyarının açıklaması ve her uyarının kural düzeyi gibi ayrıntıları görüntüler.
Aşağıda Wazuh FIM modülünün ortamınızda izleme yapmanıza yardımcı olacağı yaygın kullanım durumları listelenmiştir.
Dosya bütünlüğünün izlenmesi
Yapılandırma dosyalarında ve dosya özniteliklerinde yapılan değişiklikler, bir BT altyapısındaki uç noktalarda sık görülen olaylardır. Ancak doğrulanmazsa, uç noktaların veya bunlarda çalışan uygulamaların davranışını etkileyebilecek yetkisiz ve kasıtsız değişiklikler olabilir. Wazuh FIM modülü, gerçek zamanlı olarak dosya değişikliklerini tespit etmek için belirli dosyalar ve dizinler üzerinde periyodik taramalar çalıştırır. Mevcut durumun bir taban çizgisini oluşturmak için belirlenen dosyaları tarar. Toplam kontrol değerlerini ve öznitelik değerlerini taban çizgiyle karşılaştırarak dosya değişikliklerini kontrol eder ve tutarsızlıklar bulunursa uyarılar üretir.
Wazuh FIM modülü, varlıkların etkili bir şekilde izlenmesini sağlayan çeşitli yapılandırma seçeneklerini destekler:
-
Gerçek zamanlı izleme : FIM modülü,
realtime
belirtilen dizinlerin sürekli izlenmesini sağlayan bir öznitelik sağlar. Bu özellik özellikle kritik dizinleri izlemek ve değişiklikleri meydana geldikten hemen sonra izlemek için kullanışlıdır. Wazuh, dosya değişiklikleri meydana gelirse gerçek zamanlı olarak raporlanacak izlenen uç noktalardaki dizinleri veya dosyaları belirtmenize olanak tanır. -
Zamanlanmış izleme :
frequency
Wazuh FIM modülündeki seçenek, kullanıcıların izlenen uç noktalarınızda gerçekleştirilen her FIM taramasının zamanlamasını özelleştirmesine olanak tanır. FIM modülü için varsayılan tarama aralığı 12 saattir (43200 saniye) ve her uç noktada özelleştirilebilir. Alternatif olarak, taramalar scan_time ve scan_day seçenekleri kullanılarak zamanlanabilir . Bu seçenekler, kullanıcıların mesai saatleri dışında veya tatillerde FIM taramaları ayarlamasına yardımcı olur. -
Kim-veri izleme : Wazuh, kim-veri işlevselliğini kullanarak dosya değişikliklerine ilişkin gelişmiş içgörüler yakalar. Bu işlevsellik, algılanan dosya değişiklikleri hakkında önemli bilgileri belirlemek için Linux Denetim alt sistemi ve Microsoft Windows SACL gibi denetim araçlarını kullanır. Kim-veri izleme işlevselliği, FIM modülünün değişiklik olayının ne zaman gerçekleştiği, değişikliği kimin veya neyin yaptığı ve hangi içeriğin değiştirildiği hakkında bilgi edinmesini sağlar. Bu, hesap verebilirliği sürdürmede ve izlenen dosyalarda veya dizinlerde yapılan değişikliklerin onaylanmış süreçler kullanılarak yetkilendirilip yetkilendirilmediğini ve gerçekleştirilip gerçekleştirilmediğini doğrulamada faydalıdır.
Aşağıda, Windows uç noktasında izlenen bir dosya değiştirildiğinde oluşturulan bir uyarının örneği gösterilmektedir.
Uyarı alanlarında, who-data meta verisi, kullanıcının wazuh
kelimeyi Hello
dosyaya işlem audit_docu.txt
kullanılarak eklediğini gösterir Notepad.exe
.
- Dosya değerlerindeki değişiklikleri raporlama : FIM modülü,
report_changes
bir metin dosyasında değiştirilen tam içeriği kaydeden ve Wazuh sunucusuna bildiren bir öznitelik sağlar. Öznitelik, Wazuh aracısının izlenen dosyaların kopyalarını daha fazla inceleme için her uç noktadaki özel bir konuma yapmasını sağlar. Bu izleme seçeneği, kullanıcılar izlenen dizinlerdeki dosya değişiklikleri bilinen kötü amaçlı etkinliklerin davranışıyla eşleştiğinde belirli yanıtlar başlatmak istediklerinde yararlıdır. Örneğin, aşağıdaki uyarı, Wazuhwebshell-script.php
izlenen bir dizinde bir web kabuğu komut dosyası dosyasının oluşturulduğunu algıladığında bunu gösterir.
-
Dosya özniteliklerini kaydetme : Kullanıcılar, izlenen bir dosyanın belirli özniteliklerini kaydetmek üzere FIM modülünü yapılandırabilir. Wazuh, kullanıcıların FIM modülünün kaydedeceği veya yoksayacağı dosya meta verilerini belirtmek için kullanabileceği çeşitli dosya özniteliklerini destekler. Örneğin, bu izleme seçeneği, kullanıcılar yalnızca bir yapılandırma dosyasının SHA-256 karma değerini kaydetmek ve diğer karma türlerini hariç tutmak istediklerinde yararlı olacaktır.
Kötü amaçlı yazılımları tespit etme ve bunlara yanıt verme
Wazuh FIM modülü, kapsamlı bir güvenlik izleme ortamı oluşturmak için diğer Wazuh yetenekleri ve üçüncü taraf tehdit istihbarat çözümleriyle entegre olur. Bu, kötü amaçlı yazılım algılama ve yanıt yeteneklerini geliştirmek ve siber tehditlere karşı sağlam bir savunma sağlamak için zorunludur.
Wazuh FIM modülü, aşağıdakiler dahil ancak bunlarla sınırlı olmamak üzere çeşitli entegrasyonları destekler:
-
Dosya bütünlüğü izleme ve YARA : Wazuh FIM modülü ve YARA aracı birleştirilerek, şüpheli dosya eklemeleri veya değişiklikleri belirlendiğinde kötü amaçlı yazılımları tespit etmek mümkündür. YARA kural dosyaları, izlenen uç noktalara indirilen kötü amaçlı yazılım göstergelerinin örneklerini içerir. FIM modülü izlenen dosya veya dizinde bir değişiklik tespit ettiğinde, bunun kötü amaçlı yazılım olup olmadığını belirlemek için bir betik kullanarak bir YARA taraması yürütür. YARA kuralı bir dosyayla eşleşme bulursa, tarama sonuçlarını kod çözme ve uyarı için Wazuh sunucusuna gönderir. Bu, Wazuh sunucusunda yapılandırılan özel kural ve kod çözücü yapılandırmalarına göre raporlanır. Wazuh FIM modülünün YARA ile nasıl entegre edileceği hakkında daha fazla bilgi için bu belgelere bakın .
-
Dosya bütünlüğü izleme ve VirusTotal : Wazuh Integrator modülü, VirusTotal gibi harici API'lere ve uyarı araçlarına bağlanır. VirusTotal entegrasyonu, FIM modülü tarafından izlenen dosyalar ve dizinler içindeki kötü amaçlı dosya karmalarını tespit etmek için VirusTotal API'sini kullanır. Etkinleştirildikten sonra, FIM uyarılar ürettiğinde, Wazuh uyarıdan işaretli dosyayla ilişkili karma değerini çıkarmak için VirusTotal entegrasyonunu başlatır. VirusTotal API daha sonra bu karmaları potansiyel olarak kötü amaçlı içerik için tarama motorlarıyla karşılaştırmak için kullanılır.
-
Dosya bütünlüğü izleme ve Aktif Yanıt : Wazuh Aktif Yanıt modülü, zamanında belirlenen tehditlere otomatik olarak yanıt verir. Bu kombinasyon, FIM modülünün yalnızca kötü amaçlı etkinlikleri algılamasını değil, aynı zamanda bunlara yanıt vermesini de sağlar. FIM modülü izlenen ortamınızdaki dosya değişikliklerini algıladığında yürütülecek aktif yanıt betiklerini yapılandırabilirsiniz. Ayrıca, gerçekleştirilen yanıt için uyarılar da üretir. Bu, algılanan kötü amaçlı değişiklikler zamanında giderildiği için Ortalama Yanıt Süresini (MTTR) azaltır.
Aşağıdaki görüntüde Wazuh, izlenen uç noktaya bir dosya eklendiğinde tetiklenir. VirusTotal API dosyayı tarar ve 55 motorda kötü amaçlı içerik olarak tanımlar. Ardından Wazuh Active Response modülü tehdidi izlenen uç noktadan kaldırmak için hemen harekete geçer.
- Dosya bütünlüğü izleme ve CDB listesi : Wazuh FIM modülü, CDB listeleriyle (sabit veritabanı) birleştirildiğinde bilinen kötü amaçlı yazılım imzalarının varlığını kontrol ederek kötü amaçlı dosyaları da algılar . CDB listeleri, dosya karmaları, IP adresleri ve etki alanı adları gibi bilinen kötü amaçlı yazılım Tehlikeye Atma göstergelerini (IOC'ler) depolamak için kullanılır. CDB listeleri oluşturulduğunda, Wazuh, dosya karmaları gibi FIM uyarılarından gelen alan değerlerinin CDB listelerinde depolanan anahtarlarla eşleşip eşleşmediğini kontrol eder. Eşleşirse, özel kuralınızı nasıl yapılandırdığınıza bağlı olarak bir uyarı ve yanıt oluşturur.
Windows Kayıt Defterini İzleme
Wazuh FIM modülü, Windows Kayıt Defteri girdilerini düzenli olarak tarar, yerel bir veritabanında denetim toplamlarını ve özniteliklerini depolar ve kayıt defteri değerlerinde değişiklikler algılandığında uyarı verir. Bu, kullanıcıları kötü amaçlı olsun veya olmasın, kullanıcı etkinliklerinden veya yazılım yüklemelerinden kaynaklanan kayıt defteri değişiklikleri hakkında bilgilendirir.
Wazuh açık kaynaklı FIM modülünü çeşitli yapılandırma seçeneklerini kullanarak Windows Kayıt Defteri değerlerini izleyecek şekilde yapılandırabilirsiniz . windows_registryreport_changes
seçeneğindeki öznitelik, izlenen Windows Kayıt Defteri değerinde algılanan değişikliklerin ayrıntılı bir dökümünü sağlar. Modülün hangi Windows Kayıt Defteri özniteliklerini kaydedeceğini veya yoksayacağını yapılandırabilirsiniz. Örneğin, CDB listeniz yalnızca kötü amaçlı dosyaların SHA1 karmalarını içeriyorsa, özniteliği kaydetmeyi ve yoksaymayı seçebilirsiniz .check_sha1sum
check_md5sum
Aşağıdaki görüntü, izlenen bir uç noktadaki değiştirilmiş bir Windows kayıt defteri değerinin olayını göstermektedir.
Genişletildiğinde uyarı değiştirilen alanı gösterir.
Tehdit aktörleri, kötü amaçlı faaliyetleri için Kayıt Defterindeki Run ve RunOnce anahtarlarına yaygın olarak programlar ekleyerek kalıcılıklarını sürdürürler. Ayrıca, Wazuh başlangıç kayıt defteri anahtarlarına eklenen şüpheli programları tespit eder. Bu, sisteminize zarar vermeden önce bunları kaldırmak için uygun eylemi gerçekleştirmenizi sağlar.
Mevzuata uygunluğun sağlanması
Düzenleyici uyumluluk gerekliliklerini karşılamak, çeşitli sektörlerdeki kuruluşlar için önemli bir husustur. Dosya bütünlüğü izleme, PCI DSS, SOX, HIPAA, NIST SP 800-53 gibi düzenlemelere uyum sağlamak için bir gerekliliktir.
Wazuh FIM modülünü, kuruluşunuzun hassas ve gizli verilerinin depolandığı belirli dosyaları ve dizinleri izleyecek şekilde özelleştirebilirsiniz. Wazuh, izlenen dosyalarda ve dizinlerde yapılan değişiklikleri özetleyen kapsamlı bir rapor sunar. Bu özellik, çeşitli düzenleyici standartlara uyumu sağlamak için özellikle yararlıdır.
Örneğin, kuruluşlar Wazuh kullanarak NIST SP 800-53 standardındaki CM-3 Yapılandırma değişikliği kontrol gereksinimini karşılayabilir . Kontrol, kuruluşların hareketsiz bilgileri korumasını ve altyapılarındaki yapılandırma değişikliklerini izlemesini gerektirir. Aşağıdaki görüntü, izlenen bir uç noktada Karmaşık Olmayan Güvenlik Duvarı (UFW) kural dosyaları için izinler değiştirildiğinde oluşturulan bir olayı gösterir.
Tehdit Avcılığı
Tehdit avcılığı, geleneksel güvenlik önlemlerinden kaçan siber tehditleri belirlemek ve ortadan kaldırmak için günlükler, ağ trafiği ve uç nokta verileri gibi çok sayıda veri kaynağını analiz etmeyi içeren proaktif bir yaklaşımdır. Bir BT ortamında tespit edilememiş olabilecek potansiyel tehditleri ortaya çıkarmayı amaçlar. Tehdit avcılığı süreci genellikle birkaç adımı içerir: hipotez oluşturma, veri toplama, analiz ve yanıt.
Wazuh, güvenlik ekiplerinin bulundukları ortamdaki tehditleri tespit etmelerine yardımcı olan ve tehditleri kontrol altına almak ve daha fazla hasarı önlemek için hızlı aksiyon almalarını sağlayan çeşitli yetenekler sunuyor.
Günlük Veri Analizi
Etkili günlük veri toplama ve analizi, tehdit avı metodolojinizi geliştirmek için olmazsa olmazdır. Tehdit avı çabalarınızı optimize etmek için Wazuh'un sağlam yeteneklerinden yararlanabilirsiniz.
Birleşik bir XDR ve SIEM platformu olan Wazuh, uç noktalar, ağ cihazları ve uygulamalar gibi çeşitli kaynaklardan veri toplanmasına olanak tanıyan merkezi günlük veri toplama sunar. Bu merkezi yaklaşım, analizi basitleştirir ve birden fazla kaynağı izlemek için gereken çabayı azaltır.
Aşağıdaki görsel, izlenen bir uç noktadan denetim günlüklerini toplamak için Wazuh dashboard yapılandırma ayarlarını göstermektedir.

Wazuh, çeşitli kaynaklardan elde edilen günlük verilerinden anlamlı bilgiler çıkarmak için kod çözücüler kullanır. Ham günlük verilerini zaman damgası, kaynak IP adresi, hedef IP adresi, olay türü ve diğerleri gibi ayrı alanlara veya özniteliklere ayırır. Wazuh panosundaki Dizin desenleri sekmesi, dizin wazuh-alerts-*
desenini ve alanlarını gösterir.

Wazuh, verimli günlük verisi işleme için ajansız izleme ve syslog log toplama sunar . Çeşitli günlük formatları arasında tutarlılık ve uyumluluk sağlar. Wazuh dizinleme ve sorgulama yetenekleri, belirli günlük verilerine hızlı arama ve erişimi kolaylaştırır, analiz ve araştırmayı kolaylaştırır. Wazuh, gelişmiş ayrıştırma ve gerçek zamanlı analizini kullanarak riskleri proaktif olarak belirleyip azaltarak tehdit avını geliştirir ve böylece güvenliği artırır.
Wazuh Arşivleri
Wazuh, izlenen uç noktalardan toplanan tüm günlükleri arşivlemek için merkezi bir depolama konumu sağlar. Wazuh arşiv günlükleri, Wazuh panosunda uyarı tetiklemeyen günlükleri içerir. Wazuh arşivleri varsayılan olarak devre dışıdır ve kolayca etkinleştirilebilir. Ayrıntılı günlüklerin kullanılabilirliği, ortamınıza kapsamlı görünürlük sağlayarak etkili tehdit avcılığı için çok önemlidir.
Wazuh arşivleri, ortamınızdaki belirli izlenen uç noktalardaki olayları analiz etmek için somut görünürlük sağlayan günlük tutma, dizinleme ve sorgulama yetenekleri sağlar. Bu, olay nedenlerini, olay konumlarını, olay iletişimlerini, olay zaman damgalarını ve ilgili ebeveyn-çocuk süreçlerini ortaya çıkarmayı kolaylaştırır. Aşağıdaki görüntü, Wazuh panosundaki Keşfet bölümündeki arşivlenmiş günlükleri gösterir.

MITRE ATT&CK Haritalama
MITRE ATT&CK çerçevesi, siber saldırı taktiklerini, tekniklerini ve prosedürlerini (TTP'ler) haritalamak ve anlamak için standart bir yaklaşım sunar. Wazuh MITRE ATT&CK modülünü kullanarak , tehdit aktörleri tarafından kullanılan TTP'lere ilişkin anlayışımızı geliştirebilir ve bunlara karşı proaktif bir şekilde savunma sağlayabiliriz.
Wazuh MITRE ATT&CK modülü, TTP'leri oluşturulan olaylara eşler ve saldırgan davranışındaki kalıpları hemen belirleyerek etkili tehdit avını kolaylaştırır. Örneğin, şüpheli bir oturum açma girişimi, MITRE ATT&CK çerçevesindeki "Kimlik Bilgisi Doldurma" tekniğiyle ilişkilendirilebilir. Bu, kullanıcıların bu tür saldırıların sıklığını değerlendirmesini ve çok faktörlü kimlik doğrulamayı etkinleştirme veya oturum açma girişimlerini hız sınırlama gibi riskleri azaltmak için gerekli önlemleri uygulamasını sağlar. Wazuh panosundaki MITRE ATT&CK modülü, izlenen bir ortamda bulunan çeşitli teknikleri görüntülemenizi sağlar.

Bu modül, Wazuh panosunda belirli TTP kullanan saldırıların sıklığını ve ciddiyetini gösteren raporlar ve görselleştirmeler üretir. Bu raporlar, güvenlik standartlarına ve yönetmeliklerine uyumu izlemeye yardımcı olurken, güvenlik önlemlerinin güçlendirilmesi gerekebilecek alanları vurgular. Wazuh panosundaki Wazuh MITRE ATT&CK modülü, aşağıda görüldüğü gibi izlenen bir ortamda bulunan TTP'lerin genel görünümünü gösteren özelleştirilebilir bir panoya sahiptir.

MITRE ATT&CK çerçevesinden gelen içgörülerden yararlanarak sistemlerinizi ve verilerinizi proaktif olarak koruyabilirsiniz. MITRE ATT&CK'nin Wazuh ile entegrasyonu tehdit avını önemli ölçüde iyileştirir ve genel güvenliği iyileştirir.
Üçüncü Taraf Entegrasyonu
Wazuh, tehdit avlama yeteneklerini geliştiren üçüncü taraf çözümlerle entegre olur . Bu entegrasyonlar, kullanıcıların çeşitli kaynaklardan gelen verileri birleştirmesini ve tehdit algılama ve yanıtını otomatikleştirmesini sağlar. Wazuh, VirusTotal, AlienVault, URLHaus, MISP ve diğerleri gibi popüler açık kaynak platformlarıyla sorunsuz bir şekilde entegre olur. Bu entegrasyon, kullanıcıların tehdit istihbaratı beslemeleriyle telemetriyi çapraz referanslamasını sağlayarak tehdit algılama ve yanıtını iyileştirir.
Üçüncü taraf entegrasyonları, tehdit istihbaratını ve bir dizi iş birliği aracını kapsayan proaktif tehdit avında önemli bir rol oynar. Bu entegrasyonlar, hem yerleşik hem de ortaya çıkan tehditler hakkında temel içgörüler sunarak tehdit tespitine yönelik kapsamlı ve ileriye dönük bir yaklaşım sağlar. Bu entegrasyonlar, deneyimli güvenlik ekipleri arasında bilgi alışverişini teşvik ederek, genel tehdit avlama sürecinin etkinliğini artıran kolektif bir savunma stratejisini teşvik eder.
Wazuh'un tehdit avına yardımcı olmak için entegre olduğu bazı üçüncü taraf çözümleri şunlardır:
-
VirusTotal : VirusTotal'ı entegre etmek, doğru tanımlama ve daha hızlı olay müdahalesi için VirusTotal kötü amaçlı yazılım veritabanından yararlanarak tehdit tespitini geliştirir. Aşağıdaki görüntü, VirusTotal entegrasyonu aracılığıyla kötü amaçlı yazılım tespitini gösterir.
-
URLHaus : URLHaus by abuse.ch'nin Wazuh ile entegre edilmesi, tehdit istihbarat yeteneklerini artırarak kullanıcıların kötü amaçlı URL'leri gerçek zamanlı olarak proaktif bir şekilde tespit edip engellemesini sağlıyor.
-
osquery : Wazuh, osquery aracını Wazuh ajanlarından yönetmek için bir modül sağlar. osquery modülü, güvenlik analistlerinin osquery tarafından oluşturulan bilgileri yapılandırmasına ve toplamasına olanak tanır. Yapılandırma yönetimi, veri toplama, osquery sorgu sonuçlarına dayalı özel uyarılar ve SQL benzeri sözdizimi sorguları gibi tehdit avlama yetenekleri için ekstra bir katman sağlar.
-
MISP : IOC'lerin tanımlanmasını otomatikleştirerek ve MISP'yi Wazuh ile entegre ederek Wazuh uyarılarını zenginleştirebiliriz.
Wazuh, yukarıda belirtilenlerin ötesinde tehdit avına yardımcı olan diğer araçlarla entegre olur. API'ler ve diğer entegrasyon yöntemlerini kullanarak tehdit istihbarat platformları, SIEM'ler ve mesajlaşma platformları için üçüncü taraf entegrasyonlarını destekler.
Kurallar ve kod çözücüler
Wazuh, çeşitli saldırı vektörleri ve siber faaliyetler için sağlam kurallar, kod çözücüler ve önceden yapılandırılmış kurallarla tehdit avcılığını geliştirir.
Wazuh panosundaki Kurallar modülü , aşağıda görülen sistem anormallikleri, kötü amaçlı yazılım tespiti, kimlik doğrulama hataları ve diğer potansiyel tehditler de dahil olmak üzere çok çeşitli güvenlik olaylarını kapsayan hem varsayılan hem de özel kuralları sunar.

Wazuh, kendi kurallarınızı ve kod çözücülerinizi özelleştirmenize ve oluşturmanıza olanak tanır , bunlar belirli ortamınıza ve tehdit manzaranıza göre uyarlanmıştır. Bu, algılamayı ince ayarlamanıza, benzersiz gereksinimleri ele almanıza ve kör noktaları en aza indirmenize olanak tanır.
Wazuh kod çözücüler, çeşitli günlük formatlarını ve veri kaynaklarını normalleştirme ve ayrıştırmada hayati bir rol oynar. Toplanan bilgilerin standart bir şekilde sunulmasını sağlayarak çeşitli kaynaklardan gelen verilerin etkili bir şekilde analiz edilmesini ve ilişkilendirilmesini kolaylaştırır.
Wazuh panosundaki Decoders modülü varsayılan ve özel decoder'ları görüntülemenizi sağlar. Aşağıdaki görüntü varsayılan decoder'ın ayrıntılarını gösterir agent-upgrade
.

Güvenlik ekipleri, Wazuh kuralları ve kod çözücülerinden yararlanarak eyleme dönüştürülebilir içgörüler elde ediyor ve bu sayede IOC'leri, anormal davranışları ve potansiyel ihlalleri hızla tespit edebiliyor.
Özel kuralları ve kod çözücüleri yapılandırmaya ilişkin ayrıntılı kılavuz için Wazuh kuralları seti belgelerine bakın .
Log Analizi
Günlük veri analizi, farklı sistemler, uygulamalar veya cihazlar tarafından oluşturulan günlük dosyalarını incelemeyi ve bunlardan değerli içgörüler çıkarmayı içeren önemli bir işlemdir. Bu günlükler, sorun giderme, güvenlik analizi ve izleme ve performansı optimize etme için yararlı bilgiler sağlayan olayların kayıtlarını içerir. Günlük veri analizi, güvenli, verimli ve güvenilir bir BT ekosistemine katkıda bulunan temel bir uygulamadır.
Wazuh, uç noktalardan, ağ aygıtlarından ve uygulamalardan günlükleri toplar, analiz eder ve depolar. İzlenen bir uç noktada çalışan Wazuh aracısı, analiz için sistem ve uygulama günlüklerini toplar ve Wazuh sunucusuna iletir. Ayrıca, syslog veya üçüncü taraf API entegrasyonları aracılığıyla günlük mesajlarını Wazuh sunucusuna gönderebilirsiniz.
Günlük veri toplama
Wazuh, BT ortamınızın çeşitli yönlerinin kapsamlı bir şekilde izlenmesini sağlayarak çok çeşitli kaynaklardan günlükler toplar. Wazuh'un izlenen uç noktalardan günlükleri nasıl topladığını ve analiz ettiğini daha iyi anlamak için Günlük veri toplama konusundaki belgelerimize göz atabilirsiniz. Wazuh tarafından desteklenen yaygın günlük kaynaklarından bazıları şunlardır:
-
İşletim sistemi günlükleri : Wazuh, Linux , Windows ve macOS dahil olmak üzere çeşitli işletim sistemlerinden günlükleri toplar .
Wazuh, Linux uç noktalarından syslog, auditd, uygulama günlükleri ve diğerlerini toplayabilir.
Wazuh, Windows olay kanalı ve Windows olay günlüğü biçimini kullanarak Windows uç noktalarında günlükleri toplar. Varsayılan olarak, Wazuh aracısı Windows uç noktalarındaki Sistem, Uygulama ve Güvenlik Windows olay kanallarını izler. Wazuh aracısı diğer Windows olay kanallarını yapılandırma ve izleme esnekliği sunar .
Wazuh, macOS uç noktalarındaki günlükleri toplamak için birleşik günlükleme sistemini (ULS) kullanır. macOS ULS, günlüklerin tüm sistem düzeylerinde yönetimini ve depolanmasını merkezileştirir.
Aşağıdaki görüntü,
Microsoft-Windows-Sysmon/Operational
bir Windows uç noktasındaki olay kanalından toplanan bir olayı göstermektedir. -
Syslog olayları : Wazuh, Linux/Unix sistemleri ve aracı kurulumunu desteklemeyen ağ cihazları da dahil olmak üzere çok çeşitli kaynakları kapsayan syslog etkinleştirilmiş cihazlardan günlükleri toplar. Aşağıdaki görüntü, Linux uç noktasında yeni bir kullanıcı oluşturulduğunda tetiklenen bir uyarıyı ve günlük rsyslog aracılığıyla Wazuh sunucusuna iletildiğini gösterir.
-
Aracısız izleme : Wazuh aracısız izleme modülü, aracı kurulumunu desteklemeyen uç noktaları izler. Uç nokta ile Wazuh sunucusu arasında bir SSH bağlantısı gerektirir. Wazuh aracısız izleme modülü dosyaları, dizinleri veya yapılandırmaları izler ve uç noktada komutlar çalıştırır. Aşağıdaki görüntü, Wazuh panosundaki aracısız bir cihazdan gelen bir uyarıdır.
-
Bulut sağlayıcı günlükleri : Wazuh , EC2 örnekleri, S3 kovaları, Azure VM'leri ve daha fazlası gibi bulut hizmetlerinden günlükleri toplamak için AWS , Azure , Google Cloud ve Office 365 gibi bulut sağlayıcılarıyla entegre olur . Aşağıdaki görüntü , Wazuh panosundaki BULUT GÜVENLİĞİ bölümünü gösterir.
-
Özel günlükler : Wazuh'u VirusTotal , Windows Defender ve ClamAV gibi çeşitli uygulamalardan ve üçüncü taraf güvenlik araçlarından günlükleri toplayıp ayrıştıracak şekilde yapılandırabilirsiniz . Aşağıdaki görüntü, Wazuh sunucusu tarafından işlenen VirusTotal'dan bir günlüğün uyarısını göstermektedir.
Kurallar ve kod çözücüler
Wazuh kuralları ve kod çözücüleri, günlük veri analizi ve tehdit tespiti ve yanıtında temel bileşenlerdir. Wazuh, günlük veri analizi için güçlü bir platform sunarak kuruluşların potansiyel güvenlik tehditlerini derhal tespit edip yanıtlayarak güvenlik duruşlarını geliştirmelerine olanak tanır.
Wazuh kod çözücüleri, çeşitli kaynaklardan toplanan günlük verilerini ayrıştırmak ve normalleştirmekten sorumludur. Kod çözücüler, ham günlük verilerini çeşitli biçimlerde Wazuh'un etkili bir şekilde işleyebileceği birleşik ve yapılandırılmış bir biçime dönüştürmek için gereklidir. Wazuh, syslog, Windows olay kanalı, macOS ULS ve daha fazlası gibi yaygın günlük biçimleri için önceden oluşturulmuş kod çözücülere sahiptir. Ek olarak, Wazuh, benzersiz günlük biçimlerine sahip belirli uygulamalardan veya cihazlardan günlükleri ayrıştırmak için özel kod çözücüler tanımlamanıza olanak tanır. Wazuh, kod çözücüleri kullanarak günlük verilerini verimli bir şekilde yorumlayabilir ve zaman damgaları, günlük düzeyleri, kaynak IP adresleri, kullanıcı adları ve daha fazlası gibi ilgili bilgileri çıkarabilir. Aşağıda gösterildiği gibi, Wazuh panosunun Sunucu yönetimi > Kod çözücüler bölümünde Wazuh'un kullanıma hazır ve özel kod çözücülerini görüntüleyebilirsiniz .

Wazuh kural seti günlük verilerindeki güvenlik olaylarını ve anormallikleri algılar. Bu kurallar belirli bir biçimde yazılır ve belirli koşullar karşılandığında uyarıları tetikler. Kurallar, güvenlik tehditlerini gösterebilecek belirli günlük girişleriyle eşleşmek için günlük alanları, değerler veya kalıplar gibi belirli ölçütlere göre tanımlanır. Wazuh, yaygın güvenlik kullanım durumlarını kapsayan çok çeşitli önceden oluşturulmuş kurallar sağlar. Ayrıca, yöneticiler kendi özel ortamlarına ve güvenlik gereksinimlerine göre uyarlanmış özel kurallar oluşturabilir. Wazuh panosunun Sunucu yönetimi kategorisi, varsayılan ve özel Kuralları görüntülemenizi sağlar.

Örneğin, aşağıdaki kural, match
kuralın aradığı deseni tanımlamak için kullanılan bir alanı içerir. Kural ayrıca, level
sonuç uyarısının önceliğini belirten bir alana sahiptir. Ek olarak, kurallar olayları MITRE ATT&CK çerçevesinden gelen teknik tanımlayıcılarla zenginleştirir ve bunları düzenleyici uyumluluk kontrollerine eşler.
<rule id="5715" level="3"> <if_sid>5700</if_sid> <match>^Accepted|authenticated.$</match> <description>sshd: authentication success.</description> <mitre> <id>T1078</id> <id>T1021</id> </mitre> <group>authentication_success,gdpr_IV_32.2,gpg13_7.1,gpg13_7.2,hipaa_164.312.b,nist_800_53_AU.14,nist_800_53_AC.7,pci_dss_10.2.5,tsc_CC6.8,tsc_CC7.2,tsc_CC7.3,</group> </rule>
Günlük verilerinin indekslenmesi ve depolanması
Wazuh dizinleyicisi, son derece ölçeklenebilir, dağıtılmış gerçek zamanlı bir arama ve analiz motorudur. Wazuh dizinleyicisi, Wazuh sunucusu tarafından oluşturulan uyarıları depolayıp dizinlediği için günlük analizinde kritik öneme sahiptir. Bu uyarılar JSON belgeleri olarak depolanır.
Wazuh dizinleyicisi, JSON belgelerini parçalar adı verilen birkaç kapsayıcıda depolayarak ve parçaları birden fazla düğüme dağıtarak yedekliliği garanti eder. Bu uygulama, donanım arızaları veya siber saldırılar meydana geldiğinde kesintiyi önler ve düğümler bir kümeye eklendikçe sorgu kapasitesini artırır.
Wazuh, çeşitli olay türlerini depolamak için dört endeks kullanır:
-
wazuh-alerts, bir olay yeterince yüksek önceliğe sahip bir kuralı tetiklediğinde Wazuh sunucusu tarafından oluşturulan uyarıları depolar. Aşağıdaki görüntü, Wazuh panosunun Discover
wazuh-alerts-*
modülündeki uyarıları gösterir. Dizin deseni varsayılan olarak olarak ayarlanmıştır . -
wazuh-archives dizini, uyarı tetikleyip tetiklemediklerine bakılmaksızın Wazuh sunucusundan alınan tüm olayları depolar. Wazuh arşivleri, izlenen uç noktalarda gerçekleşen olaylara dair daha derin bir içgörü sunan günlük tutma ve sorgulama yeteneklerini etkinleştirmek için bu dizini kullanır. Wazuh arşivleri, tüm günlükleri depolamak için gereken büyük depolama gereksinimleri nedeniyle varsayılan olarak devre dışıdır. Aşağıdaki görüntü, dizin deseni olarak ayarlanmış Wazuh panosunun Keşfet
wazuh-archives-*
bölümündeki arşivlenmiş olayları gösterir. -
wazuh-monitoring dizini, belirli bir zaman dilimi boyunca Wazuh aracılarının durumuyla ilgili verileri depolar. Aracın durumu
Active
,Disconnected
, veya olabilir . Bu bilgi, birkaç nedenden dolayı panoya rapor vermeyen ve araştırılması gereken Wazuh aracılarını izlemek için çok faydalıdır. Aşağıdaki görüntü, Wazuh panosundaki araçların bağlantı durumunu gösterir. Görüntüde gösterildiği gibi aracı bilgileri dizinden toplanır .Never connected
wazuh-monitoring
-
wazuh-statistics endeksi, Wazuh sunucusuyla ilgili performans verilerini depolar. Bu bilgi, Wazuh sunucusunun mevcut bilgi işlem kaynaklarıyla en iyi şekilde performans göstermesini sağlamak için kritik öneme sahiptir. Aşağıdaki görüntü, Wazuh panosundaki performansla ilgili olayları gösterir.
Günlük verilerinin sorgulanması ve görselleştirilmesi
Wazuh panosu, günlük veri sorgulama ve görselleştirme yetenekleri sunar. Panonun sezgisel arayüzünden yararlanarak Wazuh tarafından toplanan günlük verilerinden anlamlı içgörüler çıkarmak için karmaşık aramalar ve sorgular gerçekleştirebilirsiniz.
Wazuh, güvenlik izleme ve uyumluluk kullanım örneklerine özel olarak uyarlanmış, kullanıma hazır bir dizi önceden tanımlanmış pano ve görselleştirme sunar. Bu panolar, başarısız oturum açmalar, kötü amaçlı yazılım tespiti ve sistem anormallikleri gibi yaygın güvenlik olaylarına ilişkin içgörüler sağlar. Bu panoları özel ihtiyaçlarınıza ve gereksinimlerinize uyacak şekilde daha da özelleştirebilirsiniz. Aşağıda, En İyi 5 PCI DSS Gereksinimi , En İyi 5 uyarı ve Uyarı grupları evrimi gibi çeşitli ilginç bilgileri gösteren Güvenlik olayı panosunun örnek bir görüntüsü bulunmaktadır .
Wazuh panosu kullanıcıların günlük girişlerini gerçek zamanlı olarak incelemesini, çeşitli filtreler uygulamasını ve belirli olaylara veya zaman aralıklarına ayrıntılı olarak bakmasını sağlar. Bu esneklik, güvenlik analistlerinin ortamlarındaki eğilimleri, anormallikleri ve olası güvenlik olaylarını belirlemesine olanak tanır.
Wazuh, kullanıcıların temel performans göstergelerini, güvenlik ölçümlerini ve kritik sistemlerin ve uygulamaların gerçek zamanlı izlenmesini görüntüleyen özelleştirilmiş panolar oluşturmasına olanak tanır . Kullanıcılar, pasta grafikleri, çizgi grafikler ve ısı haritaları gibi birden fazla görselleştirmeyi tek bir panoda bir araya getirerek altyapılarının güvenlik duruşuna dair bütünsel bir görünüm sağlayabilir.
Zafiyet Tespiti
Yazılım güvenlik açıkları, saldırganların bir uygulamaya erişmesini veya davranışını değiştirmesini sağlayabilen koddaki zayıflıklardır. Güvenlik açığı olan yazılım uygulamaları, saldırganlar tarafından uç noktaları tehlikeye atmak ve hedeflenen ağlarda kalıcı bir varlık elde etmek için sıklıkla hedef alınır.
Güvenlik açığı tespiti, bu kusurların saldırganlar tarafından keşfedilip istismar edilmesinden önce tespit edilmesi sürecidir. Güvenlik açığı tespitinin amacı, başarılı saldırıları önlemek için düzeltme yapılabilmesi için güvenlik açıklarını tespit etmektir.
Wazuh aracısı, izlenen uç noktadan envanter ayrıntılarını toplamak için Syscollector modülünü kullanır . Toplanan verileri Wazuh sunucusuna gönderir. Wazuh sunucusunda, Güvenlik Açığı Algılama modülü, izlenen uç noktadaki güvenlik açığı yazılımlarını tespit etmek için yazılım envanter verilerini güvenlik açığı içerik belgeleriyle ilişkilendirir.
Wazuh, Cyber Threat Intelligence (CTI) platformumuzu kullanarak risk raporları oluşturarak savunmasız uygulamaları tespit eder. Bu platformda, işletim sistemi satıcıları ve güvenlik açığı veritabanları gibi çeşitli kaynaklardan gelen güvenlik açığı verilerini bir araya getirerek bunları birleşik, güvenilir bir havuzda birleştiriyoruz. Süreç, çeşitli formatların ortak bir yapıda standartlaştırılmasını içerir. Ayrıca, aşağıdakileri yaparak güvenlik açığı verilerimizin bütünlüğünü koruyoruz.
-
Sürüm hataları ve yazım yanlışları gibi biçim tutarsızlıklarının düzeltilmesi.
-
Eksik bilgilerin tamamlanması.
-
Yeni siber güvenlik açıklarını dahil etmek.
Daha sonra bu içeriği birleştirerek derlenen belgeleri bir bulut sunucusuna yüklüyoruz. Son olarak bu belgeleri CTI API'mizde yayınlıyoruz.
Wazuh CTI'a güvenen Güvenlik Açığı Tespiti modülü, Windows, CentOS, Red Hat Enterprise Linux, Ubuntu, Debian, Amazon Linux, Arch Linux ve macOS işletim sistemleri ve uygulamaları gibi çeşitli işletim sistemlerini destekler.
Kapsamlı Görünürlük Elde Edin
Güvenlik Açığı Algılama modülü, izlenen uç noktada yüklü işletim sistemi ve uygulamalarda keşfedilen güvenlik açıkları için uyarılar üretir. Wazuh aracısı tarafından toplanan yazılım envanterini güvenlik açığı içerik belgeleriyle ilişkilendirir ve üretilen uyarıyı Wazuh panosunda görüntüler. Bu, izlenen tüm uç noktalarda tanımlanan güvenlik açıklarının net ve kapsamlı bir görünümünü sağlayarak güvenlik açıklarını görüntülemenize, analiz etmenize ve düzeltmenize olanak tanır.
Güvenlik açığı algılama panosu, paket adı, işletim sistemi, aracı adı, güvenlik açığı kimliği ve uyarı ciddiyeti gibi farklı kategorilerdeki oluşum sıklığını gösterir. Bu, analistlerin odaklarını uygun şekilde yönlendirmelerine olanak tanır.

Yeni güvenlik açıkları keşfedildiğinde panoda oluşturulan uyarıları görüntüleyebilirsiniz.

Panoda oluşturulan uyarılar aynı zamanda düzeltme faaliyetlerinin bir sonucu da olabilir. Aşağıdaki görüntü, bir paketin yükseltilmesi veya kaldırılmasının bir güvenlik açığını çözmesinden sonra oluşturulan uyarıları gösterir.

Güvenlik Açığı Uyarılarından Eyleme Dönüştürülebilir İstihbarat Elde Edin
Wazuh güvenlik açığı uyarıları, kullanıcıların düzeltme adımlarını anlamalarına ve karar vermelerine yardımcı olabilecek, tanımlanan güvenlik açığı hakkında ilgili bilgileri içerir. Aşağıda bir güvenlik açığı algılama uyarısı örneğini görebilirsiniz:

{ "_index": "wazuh-alerts-4.x-sample-threat-detection", "_id": "e2ffSY8Be9PWdpLhA_nt", "_version": 1, "_score": null, "_source": { "predecoder": {}, "cluster": { "name": "wazuh" }, "agent": { "ip": "197.17.1.4", "name": "Centos", "id": "005" }, "manager": { "name": "wazuh-server" }, "data": { "vulnerability": { "severity": "Medium", "package": { "condition": "Package less or equal than 2.1.7.3-2", "name": "cryptsetup", "version": "2:1.6.6-5ubuntu2.1", "architecture": "amd64" }, "references": [ "http://hmarco.org/bugs/CVE-2016-4484/CVE-2016-4484_cryptsetup_initrd_shell.html", "http://www.openwall.com/lists/oss-security/2016/11/14/13", "http://www.openwall.com/lists/oss-security/2016/11/15/1", "http://www.openwall.com/lists/oss-security/2016/11/15/4", "http://www.openwall.com/lists/oss-security/2016/11/16/6", "http://www.securityfocus.com/bid/94315", "https://gitlab.com/cryptsetup/cryptsetup/commit/ef8a7d82d8d3716ae9b58179590f7908981fa0cb", "https://nvd.nist.gov/vuln/detail/CVE-2016-4484", "http://people.canonical.com/~ubuntu-security/cve/2016/CVE-2016-4484.html", "https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-4484" ], "cve_version": "4.0", "assigner": "cve@mitre.org", "published": "2017-01-23", "cwe_reference": "CWE-287", "title": "CVE-2016-4484 on Ubuntu 16.04 LTS (xenial) - low.", "rationale": "The Debian initrd script for the cryptsetup package 2:1.7.3-2 and earlier allows physically proximate attackers to gain shell access via many log in attempts with an invalid password.", "cve": "CVE-2016-4484", "state": "Fixed", "bugzilla_references": [ "https://launchpad.net/bugs/1660701" ], "cvss": { "cvss2": { "base_score": "7.200000", "vector": { "integrity_impact": "complete", "confidentiality_impact": "complete", "availability": "complete", "attack_vector": "local", "access_complexity": "low", "authentication": "none" } }, "cvss3": { "base_score": "6.800000", "vector": { "user_interaction": "none", "integrity_impact": "high", "scope": "unchanged", "confidentiality_impact": "high", "availability": "high", "attack_vector": "physical", "access_complexity": "low", "privileges_required": "none" } } }, "updated": "2017-01-26" } }, "@sampledata": true, "rule": { "firedtimes": 290, "mail": false, "level": 7, "pci_dss": [ "11.2.1", "11.2.3" ], "tsc": [ "CC7.1", "CC7.2" ], "description": "CVE-2016-4484 affects cryptsetup", "groups": [ "vulnerability-detector" ], "id": "23504", "gdpr": [ "IV_35.7.d" ] }, "location": "vulnerability-detector", "id": "1580123327.49031", "decoder": { "name": "json" }, "timestamp": "2024-05-05T17:44:08.518+0000" }, "fields": { "data.vulnerability.published": [ "2017-01-23T00:00:00.000Z" ], "data.vulnerability.updated": [ "2017-01-26T00:00:00.000Z" ], "timestamp": [ "2024-05-05T17:44:08.518Z" ] }, "highlight": { "manager.name": [ "@opensearch-dashboards-highlighted-field@wazuh-server@/opensearch-dashboards-highlighted-field@" ], "rule.groups": [ "@opensearch-dashboards-highlighted-field@vulnerability-detector@/opensearch-dashboards-highlighted-field@" ] }, "sort": [ 1714931048518 ] }
Yukarıda görebileceğiniz gibi, uyarı tespit edilen güvenlik açığı hakkında önemli bilgiler içerir. Bu bilgiler CVE bilgilerini, daha fazla araştırma için referans bağlantılarını ve güvenlik açığının özlü bir açıklamasını sağlayan bir açıklamayı içerir.
Güvenlik Açığının Giderilmesini Takip Edin
Wazuh Vulnerability Detection modülü ayrıca bir güvenlik açığının ne zaman giderildiğini onaylamanıza olanak tanır. Bu özellik, bir yama veya yazılım yükseltmesinin daha önce tespit edilen bir güvenlik açığını çözdüğünü algılar. Bu özellik, düzeltmeler seçeneği kullanılarak etkinleştirilir ve Windows uç noktaları için kullanılabilir.

Kritik Güvenlik Sorunlarını Belirlemek İçin Güvenlik Açığı Raporlarını Kullanın
Wazuh, kullanıcılara keşfedilen ve çözülen güvenlik açıklarıyla ilgili güvenlik olaylarını içeren bir raporu indirme olanağı sağlar. Bu özellik, kullanıcıların çözülmemiş güvenlik açıkları olan uç noktaları belirlemesine ve düzeltme etkinliklerini takip etmesine olanak tanır.

Olay Müdahalesi
Bir güvenlik olayı, dijital varlıkların, ağların, verilerin veya kaynakların gizliliğini, bütünlüğünü veya kullanılabilirliğini riske atan veya tehdit eden herhangi bir olumsuz olay veya faaliyeti ifade eder. Bu tür olaylara yetkisiz erişim, veri ihlalleri, kötü amaçlı yazılım enfeksiyonları, hizmet reddi saldırıları ve bir kuruluşun bilgi teknolojisi ortamının güvenlik duruşunu tehlikeye atan diğer tüm faaliyetler dahildir.
Olay müdahalesinin amacı, bir güvenlik olayını etkili bir şekilde ele almak ve normal iş operasyonlarını mümkün olan en kısa sürede geri yüklemektir. Kuruluşların dijital varlıkları sürekli büyüdükçe, olayları manuel olarak yönetmek giderek daha zor hale gelir, dolayısıyla otomasyona ihtiyaç duyulur.
Otomatik olay müdahalesi, güvenlik olaylarına müdahale ederken gerçekleştirilen otomatik eylemleri içerir. Bu eylemler, tehlikeye atılmış uç noktaları izole etmeyi, kötü amaçlı IP adreslerini engellemeyi, enfekte cihazları karantinaya almayı veya tehlikeye atılmış kullanıcı hesaplarını devre dışı bırakmayı içerebilir. Olay müdahalesini otomatikleştirerek, siber güvenlik ekipleri tespit edilen tehditlere verilen yanıt süresini azaltır, olayların etkisini önler veya en aza indirir ve büyük miktarda güvenlik olayını verimli bir şekilde yönetir.
Wazuh Aktif Tepki modülü
Wazuh Aktif Tepki modülü, kullanıcıların uç noktalarda olaylar algılandığında otomatik eylemler yürütmesine olanak tanır. Bu, bir organizasyonun olay yanıtlama süreçlerini iyileştirerek güvenlik ekiplerinin algılanan tehditlere karşı anında ve otomatik eylemler gerçekleştirmesini sağlar.
Eylemleri durumsuz veya durumlu olacak şekilde de yapılandırabilirsiniz. Durumsuz etkin yanıtlar tek seferlik eylemlerdir, durumlu yanıtlar ise bir süre sonra eylemlerini geri alır.
Varsayılan Etkin Yanıt Eylemleri
Wazuh aracılarını çalıştıran her işletim sisteminde kullanıma hazır betikler mevcuttur. Varsayılan etkin yanıt betiklerinden bazıları şunlardır:
Komut dosyası adı |
Tanım |
---|---|
hesabı devre dışı bırak |
Bir kullanıcı hesabını devre dışı bırakır |
güvenlik duvarı-bırakma |
Iptables reddetme listesine bir IP adresi ekler. |
güvenlik duvarıd-bırak |
Güvenlik duvarının bırakma listesine bir IP adresi ekler. |
yeniden başlat.sh |
Wazuh aracısını veya sunucusunu yeniden başlatır. |
netsh.exe |
Netsh kullanarak bir IP adresini engeller. |
Özel etkin yanıt eylemleri
Wazuh Active Response modülünün faydalarından biri de uyarlanabilirliğidir. Wazuh, güvenlik ekiplerinin herhangi bir programlama dilinde özel aktif yanıt eylemleri oluşturmasına ve bunları kendi özel ihtiyaçlarına göre uyarlamasına olanak tanır. Bu, bir tehdit algılandığında yanıtın kuruluşun gereksinimleriyle uyumlu olacak şekilde özelleştirilebilmesini sağlar.
Wazuh ile olay müdahalesini otomatikleştirme
Wazuh Active Response modülünden yararlanmak için, izlenen bir uç noktada belirli bir olay meydana geldiğinde gerçekleştirilecek eylemi yapılandırmanız gerekir . Örneğin, Wazuh Active Response modülünü enfekte bir uç noktadan kötü amaçlı bir yürütülebilir dosyayı silecek şekilde yapılandırabilirsiniz. Aşağıdaki örneklerde, Wazuh Active Response modülünün farklı olayları nasıl ele aldığını gösteriyoruz.
Kötü amaçlı yazılımları kaldırma
Kötü amaçlı dosyaları bir uç noktadan tespit etmek ve kaldırmak için Wazuh Active Response modülünü Dosya Bütünlüğü İzleme modülü ve VirusTotal entegrasyonuyla birlikte kullanabilirsiniz .
Aşağıdaki görselde şu aktiviteler gösterilmektedir:
-
Wazuh Dosya Bütünlüğü İzleme modülü ile izlenen dizine
554
bir dosya eklendiğinde Kural Kimliği tetiklenir.Downloads
-
Kural Kimliği,
87105
Wazuh dosya karmasını çıkardığında, API'si aracılığıyla VirusTotal veritabanından dosya karması hakkında veri istediğinde ve kötü amaçlı bir dosya yanıtı aldığında tetiklenir. -
Wazuh Dosya Bütünlüğü İzleme modülü ile izlenen dizinden
553
bir dosya silindiğinde Kural Kimliği tetiklenir.Downloads
-
Kural Kimliği,
110006
Wazuh Active Response modülü kötü amaçlı dosyayı uç noktadan sildiğinde tetiklenir.

Bu senaryoda, Wazuh Active Response modülü kötü amaçlı dosyayı otomatik olarak kaldırarak tehdit tespiti ile azaltma arasındaki süreyi kısaltır.
DoS saldırılarına yanıt verme
Bir DoS saldırısının birincil amacı, hedefi meşru kullanıcılar için erişilemez hale getirerek hizmet reddi oluşturmaktır. Aşağıdaki görüntüde, Wazuh Active Response modülünün Ubuntu uç noktasındaki bir web sunucusuna karşı DoS gerçekleştiren kötü amaçlı IP adreslerini nasıl engellediğini gösteriyoruz.

Bu durumda, Wazuh Active Response modülü kötü niyetli ana bilgisayarların web sunucusunda bir DoS saldırısı düzenlemesini otomatik olarak engeller. Böylece web sunucusunun yetkili kullanıcılar için kullanılabilirliği garanti altına alınır.
Kaba kuvvet saldırısından sonra bir kullanıcı hesabını devre dışı bırakma
Hesap kilitleme, bir kullanıcının belirli bir zaman diliminde yapabileceği oturum açma girişimi sayısını sınırlayarak kaba kuvvet saldırılarına karşı savunmak için kullanılan bir güvenlik önlemidir. Parolası bir saldırgan tarafından tahmin edilen kullanıcı hesabını devre dışı bırakmak için Wazuh Active Response modülünü kullanırız.
Aşağıdaki görselde Wazuh Active Response modülü, Linux uç noktasındaki hesabı devre dışı bırakıyor ve 5 dakika sonra tekrar etkinleştiriyor.

Bu senaryoda, bir saldırgan bir kullanıcının parolasını tekrar tekrar tahmin etmeye çalıştığında ve başarısız olduğunda, hesap geçici olarak erişilemez hale gelir. Bu, kullanıcı hesabı parolalarını tahmin etmek için kaba kuvvet yöntemlerine güvenen saldırganların işini engeller.
Wazuh Active Response modülünü kullanarak güvenlik ekipleri farklı olaylara verilen yanıtları otomatikleştirebilir. Böylece etkili olay yanıtı ve daha dayanıklı bir siber güvenlik duruşu sağlanabilir.
Mevzuata Uygunluk Denetimi
Mevzuata uygunluk
Düzenleyici uyumluluk, hükümet organları, endüstri düzenleyicileri veya diğer yetkililer tarafından belirlenen yasaları, kuralları, düzenlemeleri ve standartları takip etmek anlamına gelir. Kuruluşların, iş operasyonlarının bütünlüğünü korumak ve hassas verileri korumak için düzenleyici uyumluluğa uymaları gerekir.
Düzenleyici gerekliliklere uymak, bir organizasyonun siber güvenlik çerçevesinin önemli bir bileşenini oluşturur. İlgili yasalar, kurallar ve ölçütlerle uyum sağlayarak, kuruluşlar bilgi kaynaklarını koruyabilir ve güvenlik ihlalleri olasılığını azaltabilir.
Wazuh, uyumluluğun uygulanması için çeşitli yetenekler sunar, bunlar arasında şunlar yer alır:
-
Dosya Bütünlüğü İzleme (FIM).
-
Güvenlik Yapılandırma Değerlendirmesi (SCA).
-
Güvenlik açığı tespiti.
-
Kötü amaçlı yazılım tespiti.
-
Olay tepkisi.
Wazuh, PCI DSS, HIPAA, NIST 800-53, TSC ve GDPR çerçeveleri ve standartları için uyumluluk etiketlerine göre eşlenen kullanıma hazır kural kümeleri sağlar.

Wazuh, özel kurallar oluşturmanıza ve bunları ihtiyaçlarınıza uygun uyumluluk standartlarına etiketlemenize olanak tanır. Aşağıdaki bölüm, desteklenen standartlar için kullanım durumlarını ayrıntılı olarak açıklar.
PCI DSS
PCI DSS (Ödeme Kartı Endüstrisi Veri Güvenliği Standardı), kart verilerini işleyen, depolayan ve ileten işletmelerin uyması gereken güvenlik kriterlerini ana hatlarıyla belirtir. Bu standart, kart sahibi verilerini çevreleyen güvenlik önlemlerini sıkılaştırmak ve ödeme kartı endüstrisindeki dolandırıcılığı azaltmak için tasarlanmıştır.
Ödeme kartı endüstrileri, PCI DSS uyumluluğunu güçlendirmek için Wazuh yeteneklerinden yararlanabilir. Kullanıcılar, bu yetenekleri, standart tarafından belirtildiği gibi belirli iş ihtiyaçlarıyla uyumlu hale getirmek için özelleştirebilir. Örneğin, maskelenmemiş bir Birincil Hesap Numarasının (PAN) varlığını algılayan gümrük kuralları oluşturarak bir PAN taraması yapmak için Wazuh'u kullanabilirsiniz .

Wazuh'un kuruluşların PCI DSS standardını karşılamasına nasıl yardımcı olduğu hakkında daha fazla bilgi edinebilirsiniz .
GDPR
Avrupa Birliği tarafından geliştirilen Genel Veri Koruma Yönetmeliği (GDPR), kıta genelinde veri gizliliği yasalarını uyumlu hale getirmeyi amaçlamaktadır. Avrupa Birliği vatandaşlarının verilerinin korunması başlıca önceliğidir. GDPR çerçevesi, kullanıcı veri gizliliğini artırmayı ve Avrupa Birliği'nin ve AB vatandaşlarının verilerini işleyen kuruluşların veri gizliliğini nasıl ele aldığını değiştirmeyi amaçlamaktadır.

Wazuh, farklı siber saldırı türlerini, yanlış yapılandırılmış sistemleri, güvenlik açıklarını ve politika ihlallerini tanımlamak için varsayılan kurallar ve kod çözücülerle birlikte gelir. Bu olaylar ilgili GDPR gerekliliklerine etiketlenir. Wazuh'un kuruluşların GDPR düzenleme uyumluluğunu karşılamasına nasıl yardımcı olduğu hakkında daha fazla bilgi bulabilirsiniz .
HIPAA
Sağlık Sigortası Taşınabilirliği ve Sorumluluk Yasası, sağlık kuruluşlarının ve organizasyonlarının hassas hasta sağlık bilgilerinin yetkisiz ifşasını önlemesini sağlayan yasal bir çerçevedir. Sağlık Sigortası Taşınabilirliği ve Sorumluluk Yasası (HIPAA), sağlık hizmetlerinin verimliliğini artırmak için sağlık bilgilerinin işlenmesine ilişkin yönergeler ve prosedürler belirler. Elektronik sağlık hizmetleri işlemleri için yönergeler ve güvenlik ve ayırt edici sağlık kimliği standartları içerir.
HIPAA çerçevesi, bu bilgilerin gizliliği ve güvenliği üzerinde etkisi olan teknolojik gelişmeler nedeniyle sağlık bilgileri için federal gizlilik korumaları gerektirmektedir.
Kuruluşlar, Wazuh FIM modülünü kullanarak PII (kişisel olarak tanımlanabilir bilgiler) ve diğer gizli belgelere erişimi ve bunlarda yapılan değişiklikleri izleyebilir .
Wazuh'un kuruluşların HIPAA çerçevesini karşılamalarına nasıl yardımcı olduğu hakkında daha fazla bilgi bulabilirsiniz .
Aşağıdaki görüntü, izlenen bir uç noktada bir dosyanın oluşturulmasını ve silinmesini göstermektedir.

NIST 800-53
Ulusal Standartlar ve Teknoloji Enstitüsü (NIST) 800-53, Federal Bilgi Sistemleri ve Kuruluşları için Güvenlik ve Gizlilik Kontrolleri olarak bilinir. Daha büyük NIST Özel Yayını 800 serisinin önemli bir bileşenidir.
NIST 800-53, federal kuruluşlar ve ajanslar için bilgi güvenliği ve gizliliğini yönetmeye yönelik öneriler sunar. Kuruluşların hassas verileri korurken bilgi sistemlerini ve verilerini çeşitli tehditlerden korumasına yardımcı olur.

Güvenlik açığı tespit modülü sonuçlarını, izlenen uç noktadaki güvenlik açığı uygulamalarını ve paketlerini içeren Wazuh panosunda görüntüleyebilirsiniz . Wazuh'un kuruluşların NIST 800-53 standardını karşılamalarına nasıl yardımcı olduğu hakkında daha fazla bilgi bulabilirsiniz .

TŞK
Güven Hizmetleri Kriterleri, AICPA'nın Güvence Hizmetleri Yürütme Komitesi (ASEC) tarafından geliştirilmiştir. TSC'nin güvenlik, kullanılabilirlik, işlem bütünlüğü, gizlilik ve mahremiyet olmak üzere beş güven hizmeti alanı vardır. Kuruluşlar, müşteri verilerini yetkisiz erişim, kullanım, ifşa, değişiklik veya imhadan korumak için TSC'yi uygular.
Wazuh, kuruluşlara bilgi güvenliği politikalarının etkinliğini değerlendirmeleri ve raporlamaları için standart bir yol sağlayan TSC Ortak Kriterleri için kullanıma hazır etiketler sağlar. Wazuh'un kuruluşların TSC uyumluluğunu nasıl karşılamasına yardımcı olduğu hakkında daha fazla bilgi bulabilirsiniz .
Aşağıdaki resim, Wazuh'un kuruluşların CC7.2 - Olaylara işaret eden tüm düzensiz faaliyetlerin sürekli izlenmesini gerektiren - karşılamalarına yardımcı olduğu bazı Ortak kriterleri göstermektedir .

BT Sağlığı
BT hijyeni, kuruluşların ve bireylerin BT varlıklarının sağlığını ve güvenliğini korumak için aldıkları önlemleri ifade eder. BT hijyeni, ortaya çıkan siber güvenlik tehditlerine ve zorluklarına karşı koymak için uygulamaların ve süreçlerin sürekli olarak uyarlanmasını, güvenli ve dayanıklı bir BT ortamının teşvik edilmesini gerektirir. Kuruluşlar, veri kaybına, hizmet kesintisine, itibar kaybına veya finansal istikrarsızlığa yol açabilecek siber saldırıları, veri ihlallerini ve diğer güvenlik endişelerini önlemek için sağlam BT hijyeni uygulamaları uygular.
Sistem Envanteri
Güncel bir sistem envanteri, kuruluşların ortamlarındaki varlık görünürlüğünü optimize etmelerine yardımcı olur ve iyi bir BT hijyeni sağlamak için olmazsa olmazdır. Wazuh, donanım ve işletim sistemi bilgileri, yüklü yazılımlar, ağ arayüzleri, bağlantı noktaları ve çalışan süreçleri içeren sistem envanter verilerini toplar. Wazuh aracıları, izlenen uç noktalardan envanter verilerini toplamak ve bunları Wazuh sunucusuna göndermek için Syscollector modülünü kullanır.
Wazuh panosundaki Envanter veri modülünden sistem envanter raporları oluşturabilirsiniz . Raporda yer alan bilgiler istenmeyen uygulamaları, süreçleri, hizmetleri ve kötü amaçlı eserleri belirlemeye yardımcı olur.

İzlenen bir uç nokta için özelliğe özgü raporlar da üretebilirsiniz. Örneğin, izlenen bir uç noktada yüklü yazılımların listesini veya çalışan işlemlerin listesini içeren bir rapor alabilirsiniz.

Toplanan envanter verileri, JSON biçiminde iç içe geçmiş verileri alan Wazuh API'si kullanılarak sorgulanabilir . Örneğin, Wazuh panosundaki Sunucu yönetimi > Geliştirme Araçlarıwazuh-agent
modülünü kullanarak izlenen bir uç noktada paketi kontrol etmek için paket envanterini sorgulayabilirsiniz . cURL gibi komut satırı araçları da envanter veritabanını sorgulamak için kullanılabilir.

Güvenlik Yapılandırma Değerlendirmesi
İyi BT hijyeni uygulamanın hedeflerinden biri, kuruluşunuzun saldırı yüzeyini azaltmaktır. Wazuh SCA modülü, güvenlik yanlış yapılandırmalarını ve kusurlarını belirlemek için izlenen uç noktaları İnternet Güvenliği Merkezi (CIS) kıyaslamalarına dayalı politikalara göre düzenli olarak tarar. CIS kıyaslamaları, kritik varlıklar için güvenli bir temel yapılandırma oluşturmak için temel yönergelerdir. Bu, yanlış yapılandırmalardan kaynaklanan güvenlik açıklarını en aza indirir ve güvenlik ihlalleri riskini azaltır.
Wazuh panosundaki Yapılandırma Değerlendirme modülü her bir aracının SCA tarama sonucunu sağlar. Sonuçlar uç noktada gerçekleştirilen kontrol sayısını, başarısız olanların sayısını ve geçen kontrollerin sayısını gösterir. Ayrıca, geçilen test sayısına göre hesaplanan bir puan gösterir ve size uyumluluk düzeyine ilişkin genel bir bakış sunar.
Wazuh panosundan geçen ve başarısız olan kontrolleri görüntülemek için daha fazla içgörü elde edebilirsiniz. Ayrıca, düzeltme faaliyetlerine yardımcı olmak için bir CSV raporu oluşturabilir ve böylece uç nokta güvenlik duruşunu iyileştirebilirsiniz.

Wazuh panosunda, gerekçe, düzeltme adımları ve uç noktada gerçekleştirilen kontrollerin açıklaması gibi bilgileri görebilirsiniz. Bu bilgiler Wazuh tarafından oluşturulan raporda yer almaktadır.

Yukarıdaki SCA tarama sonucu, uç noktanın cramfs dosya sistemini bağlamanıza izin vermesi nedeniyle bir başarısızlığa işaret ediyor. Güvenlik duruşunu iyileştirmek için raporda önerilen düzeltmeyi uygulayabilirsiniz.
Güvenlik Açığı Yönetimi
Güvenlik açığı yönetimi, siber saldırıları önlemek için güvenlik açıklarını tespit edip gidermeyi amaçlar. Güvenlik açıklarını gidermek için proaktif adımlar atarak kuruluşunuz saldırı yüzeyini önemli ölçüde azaltabilir ve böylece BT hijyenini iyileştirebilir.
Wazuh güvenlik açığı tespit modülü, Wazuh CTI'mızda bulunan güvenlik açığı bilgilerini kullanarak güvenlik açığı bulunan uygulamaları belirler . Güvenlik açığı tespit modülü, izlenen uç noktalarda keşfedilen güvenlik açıkları için uyarılar üretir. Bu, izlenen tüm uç noktalarda tanımlanan güvenlik açıklarının kapsamlı bir görünümünü sağlayarak güvenlik açıklarının düzeltilmesini görüntülemenize, analiz etmenize, düzeltmenize ve takip etmenize olanak tanır.
Keşfedilen güvenlik açıkları önem düzeylerine göre gruplandırılır ve Wazuh panosunda uygulama adı, CVE ve CVSS3 puanına göre bir özet sağlanır.

Wazuh panosundan izlenen bir uç noktada keşfedilen ve çözülen güvenlik açıklarıyla ilgili güvenlik olaylarını içeren bir rapor indirebilirsiniz. Bu özellik, çözülmemiş güvenlik açıkları olan uç noktaları belirlemenizi ve düzeltme etkinliklerini takip etmenizi sağlar.

Wazuh güvenlik açığı tespit modülü ayrıca, BT hijyenini iyileştirme veya sürdürme konusunda bir ilerleme raporu olarak hizmet edebilecek düzeltme faaliyetlerini izlemenizi sağlar. Örneğin, bir güvenlik açığı giderildiğinde, Wazuh panosunda bir uyarı oluşturulur. Bu özellik, bir yama veya yazılım yükseltmesinin daha önce tespit edilen bir güvenlik açığını çözdüğünü tespit eder.

Kötü amaçlı yazılım tespiti
Kötü amaçlı yazılım tespiti, bilgisayar sistemlerini ve ağlarını siber tehditlerden korumak için olmazsa olmazdır. Kuruluşlar, veri ihlallerine, sistem ihlallerine ve finansal kayıplara neden olabilecek kötü amaçlı yazılımları belirleyip azaltarak BT hijyenlerini iyileştirebilir.
Wazuh, kötü amaçlı yazılım modellerini tanımak ve hızlı yanıt için uyarıları tetiklemek üzere tasarlanmış, kullanıma hazır bir kurallar seti sunar. Wazuh ayrıca güvenlik analistlerinin ortamlarına göre uyarlanmış özel kurallar oluşturmalarına olanak tanır ve böylece kötü amaçlı yazılım algılama çabalarını optimize eder. Örneğin, Wazuh kullanarak Vidar bilgi hırsızı kötü amaçlı yazılımını algılamak için özel kurallar oluşturduk .
<group name="windows,sysmon,vidar_detection_rule,"> <!-- Vidar downloads malicious DLL files on victim endpoint --> <rule id="100084" level="10"> <if_sid>61613</if_sid> <field name="win.eventdata.image" type="pcre2">(?i)\\\\.+(exe|dll|bat|msi)</field> <field name="win.eventdata.targetFilename" type="pcre2">(?i)\\\\ProgramData\\\\(freebl3|mozglue|msvcp140|nss3|softokn3|vcruntime140)\.dll</field> <description>Possible Vidar malware detected. $(win.eventdata.targetFilename) was downloaded on $(win.system.computer)</description> <mitre> <id>T1056.001</id> </mitre> </rule> <!-- Vidar loads malicious DLL files --> <rule id="100085" level="12"> <if_sid>61609</if_sid> <field name="win.eventdata.image" type="pcre2">(?i)\\\\.+(exe|dll|bat|msi)</field> <field name="win.eventdata.imageLoaded" type="pcre2">(?i)\\\\programdata\\\\(freebl3|mozglue|msvcp140|nss3|softokn3|vcruntime140)\.dll</field> <description>Possible Vidar malware detected. Malicious $(win.eventdata.imageLoaded) file loaded by $(win.eventdata.image)</description> <mitre> <id>T1574.002</id> </mitre> </rule> <!-- Vidar deletes itself or a malicious process it creates --> <rule id="100086" level="7" frequency="5" timeframe="360"> <if_sid>61603</if_sid> <if_matched_sid>100085</if_matched_sid> <field name="win.eventdata.image" type="pcre2">(?i)\\\\cmd.exe</field> <match type="pcre2">cmd.exe\\" /c timeout /t \d{1,}.+del /f /q \\".+(exe|dll|bat|msi)</match> <description>Possible Vidar malware detected. Malware deletes $(win.eventdata.parentCommandLine)</description> <mitre> <id>T1070.004</id> </mitre> </rule> </group>
Yukarıdaki kurallar, Vidar infostealer zararlı yazılımının belirli davranışlarını tespit eder ve kontrol panelinde uyarıları tetikler.

Wazuh , VirusTotal, MISP ve daha fazlası gibi tehdit istihbarat kaynaklarıyla entegre olarak kötü amaçlı yazılım tespit yeteneklerini artırır . Wazuh ayrıca ClamAV ve Windows Defender gibi üçüncü taraf kötü amaçlı yazılım tespit araçlarının entegre edilmesi için destek sunar . Wazuh, üçüncü taraf kötü amaçlı yazılım tespit araçlarından günlükleri toplayarak ve analiz ederek güvenlik analistlerine merkezi bir izleme platformu sağlar. Wazuh, üçüncü taraf araçlardan gelen çeşitli tehdit istihbaratlarını birleştirerek kötü amaçlı yazılım tespitinde verimliliği artırır ve böylece kuruluşun BT hijyenini iyileştirir.
Aşağıdaki görüntü, Wazuh sunucusu tarafından işlenen VirusTotal olayına ait uyarıyı göstermektedir.

Wazuh, kötü amaçlı yazılımları tespit etmek için tehlike göstergeleri (IOC'ler) içeren CDB listelerini (sabit veritabanları) kullanır . Bu listeler, dosya karmaları, IP adresleri ve etki alanı adları gibi bilinen kötü amaçlı yazılım IOC'lerini içerir. Wazuh, tanımlanan IOC'leri CDB listelerinde depolanan bilgilerle karşılaştırarak kötü amaçlı dosyaları proaktif olarak belirler.

Mevzuata Uygunluk
Düzenleyici standartlar, müşteri güvenini ve işletme itibarını iyileştirmeye yardımcı olmak için en iyi iş uygulamaları için küresel bir ölçüt sağlar. Düzenleyici standartlara uyum, kuruluşların BT hijyenlerini geliştirmelerine de yardımcı olur.
Wazuh , PCI DSS, HIPAA, GDPR ve diğerleri gibi endüstri standartlarının gereksinimlerini karşılayan sağlam bir çözüm sunarak düzenleyici uyumluluk yükümlülüklerini karşılama sürecini kolaylaştırır .

Wazuh, uyumluluk ihlallerini belirlemek ve raporlamak için SCA , güvenlik açığı tespiti , FIM ve daha fazlası gibi yeteneklerini kullanır . Ayrıca uyumluluk durumunu izlemeye, iyileştirme alanlarını belirlemeye ve uygun düzeltme eylemlerini gerçekleştirmeye yardımcı olmak için özel uyumluluk panoları sağlar.
Örneğin, Wazuh panosunda izlenen bir uç noktanın PCI DSS gereksinimine ilişkin genel bir bakış elde edebilirsiniz.

Denetimler sekmesinden, politika ihlallerinin nerede meydana geldiğini bulmak için bireysel PCI DSS gereksinimlerine ayrıntılı olarak bakabilirsiniz .

Aşağıdaki görselde PCI DSS Gereksinimi 11.2.1'i ihlal eden güvenlik açıkları için oluşturulan uyarılar gösterilmektedir .

Bu özellik GDPR, TSC, HIPAA ve NIST-800-53 gibi diğer uyumluluk standartları için de mevcuttur.
Konteyner Güvenliği
Konteyner güvenliği, konteynerleri ve uygulamalarını güvenlik tehditlerine karşı korumaya odaklanan bir BT uygulamasıdır. Kuruluşlar, böyle bir ortamda sağlam güvenlik önlemleri uygulayarak hem konteynerlerin hem de içerdikleri uygulamaların kullanımına ilişkin görünürlük elde edebilirler.
Konteynerler, uygulama kodu, çalışma zamanı ve bağımlılıklarla hafif, izole ortamlar sunar. Hem şirket içinde hem de bulutta uygulamaları dağıtmak ve ölçeklendirmek için yaygın olarak kullanılırlar. Konteyner uygulamaları ve altyapı daha popüler hale geldikçe, bunları olası tehditlerden korumak önemli hale gelir.
Konteyner güvenliği için Wazuh
Wazuh, Docker ve Kubernetes gibi konteyner platformlarıyla entegre olur ve konteyner çalışma zamanı olaylarını, uygulama günlüklerini ve genel konteyner sağlığını etkin bir şekilde izler. Wazuh, konteyner günlüklerini önceden tanımlanmış kurallara göre değerlendirerek anormallikleri belirler. Ayrıca, konteynerleştirilmiş bir ortamda yetkisiz etkinlikleri tespit etmek için konteyner motoru eylemlerinin bir kaydını tutar. Ayrıca, bir kuruluşta performans darboğazlarını önlemek için sağlık ölçümlerini de izler.
Wazuh konteyner güvenlik özellikleri, konteyner çalışma zamanlarını izleme, konteynerleştirilmiş uygulama günlüklerini takip etme, konteyner kaynak kullanımını izleme, merkezi günlük kaydı ve konteyner uyarı bildirimlerini içerir. Bu kapsamlı yetenekler seti güvenliği artırır ve olay yanıtını kolaylaştırır.
Konteyner çalışma zamanı izleme
Kuruluşlar, konteyner olaylarını izleyerek konteynerleştirilmiş uygulamalarının güvenliğini artırabilir. Önceden tanımlanmış kurallar tarafından tetiklenen uyarılara derhal yanıt vererek beklenmeyen davranışları proaktif bir şekilde ele alabilirler. Wazuh ayrıca konteyner motoru etkileşimlerine ilişkin içgörü sağlar ve konteynerleştirilmiş uygulamalardaki düzensizlikleri tespit eder.
Konteyner motorunun izlenmesi
Wazuh, Docker dinleyici modülü aracılığıyla Docker motoru tarafından gerçekleştirilen gerçek zamanlı olayları yakalar . Bu, hiçbir önemli Docker olayının veya işleminin algılanmadan kalmamasını sağlar.
Kullanıcının Docker kaynaklarıyla etkileşiminin izlenmesi, Wazuh'un konteyner motorunun konteynerler ve görüntülerle etkileşimlerine ilişkin görünürlüğü nasıl artırdığını göstermektedir.

Wazuh ayrıca yetkisiz eylemleri ve olası güvenlik ihlallerini belirlemeye yardımcı olmak için Kubernetes kümelerindeki kaynakların oluşturulmasını ve yok edilmesini de izliyor.
Wazuh ile Kubernetes Denetleme blog yazısı, Kubernetes kaynak etkileşimlerinin Wazuh ile nasıl izleneceğini göstermektedir.

Konteynerleştirilmiş uygulama günlüklerinin izlenmesi
Wazuh, kuruluşların konteynerize edilmiş uygulamaları izlemesine olanak tanır. Konteynerde bulunan uygulamalara görünürlük sağlar. Uygulama olayları Wazuh yöneticisine iletildiğinde, Güvenlik mühendisleri kuruluşlarının benzersiz gereksinimleriyle uyumlu özel kurallar oluşturabilir. Bu, konteynerlere ve barındırdıkları uygulamalara genel görünürlüğü artıran oldukça kişiselleştirilmiş bir yaklaşımı kolaylaştırır.
Konteyner çalışma zamanını izleme belgeleri, konteynerleştirilmiş uygulama günlüklerinin izlenmesi hakkında daha fazla bilgi içerir.

Wazuh ile konteyner kaynak kullanımını izleyin
Wazuh, konteynerleştirilmiş uygulamaların kaynak tüketimini izler ve analiz eder. Konteynerlerin CPU, bellek ve ağ kullanım istatistiklerine ilişkin içgörüler sağlayarak performans darboğazlarının belirlenmesine yardımcı olur.
Wazuh, kuruluşların alışılmadık kaynak artışlarını veya tüketim modellerini tespit edip proaktif bir şekilde yanıt vermesini sağlayan özelleştirilebilir uyarılar ve bildirimler sunar.
Wazuh ile Docker konteyner güvenliği izleme hakkındaki blog yazısı, Wazuh'un konteynerleştirilmiş bir ortamda ağ kullanımını nasıl izlediğini göstermektedir.

Konteyner olaylarının merkezi olarak kaydedilmesi ve görselleştirilmesi
Wazuh, konteyner olay günlüğü tutma ve görselleştirmeyi merkezileştirir. Ölçeklenebilir dizinleyicisi, günlükleri güçlü bir arama ve analiz motorunda toplayarak gerçek zamanlı içgörüler sağlar. Bu dizinleyici, olay akışını yönetirken günlük tutma politikaları gibi uyumluluk ihtiyaçlarını da destekler.
Wazuh, kuruluşların konteyner günlüklerini özelleştirilmiş bir panodan görüntülemesini sağlar. Güvenlik uzmanları, ortaya çıkan faaliyetleri takip edip analiz edebilir, tehditleri ve yetkisiz eylemleri hızla belirleyebilir. Bu erken tespit, güvenlik uzmanlarının güvenlik olaylarına ortaya çıktıkça hızla yanıt vermesini sağlayarak riskleri en aza indirmek için aktif bir yaklaşım oluşturur.
Aşağıdaki görselde Wazuh'un özelleştirilmiş konteyner kontrol paneli gösterilmektedir. Burada tüm konteynerlerden gelen etkinlikler sergilenmektedir.

Wazuh ile konteyner uyarı bildirimi
Wazuh, e-posta ve Slack gibi mesajlaşma platformlarıyla entegre olur . Ayrıca, olay yanıtlama ve gerçek zamanlı uyarılar için Jira gibi vaka yönetimi çözümleriyle de entegre olur . Bu, konteynerleştirilmiş ortamlarda olası tehditler veya yetkisiz eylemler meydana geldiğinde güvenlik ekiplerinin derhal bilgilendirilmesini sağlar.
Harici API entegrasyonuna ilişkin dokümantasyon, Integrator daemon'un Wazuh'un harici API'lere ve PagerDuty gibi vaka yönetim sistemleri araçlarına bağlanmasına nasıl olanak sağladığını açıklar .

Bulut Altyapı Koruması
Wazuh güvenlik platformu, şirket içi, bulut ve hibrit ortamlar için tehdit algılama, yapılandırma uyumluluğu ve sürekli izleme sağlar. Altyapıyı iki düzeyde izleyerek bulut iş yüklerini korur:
-
Uç nokta düzeyi : Hafif Wazuh aracısını kullanarak bulut örneklerini veya sanal makineleri izleme .
-
Bulut altyapısı düzeyi : sağlayıcı API'sinden veri toplayıp analiz ederek bulut hizmeti etkinliğini izleme. Wazuh, Amazon AWS, Microsoft Azure ve Google Cloud'u destekler.
Güvenlik operasyonlarını geliştirmek, bulut tabanlı uygulamaları korumak ve güvenli bir bulut ortamı için uyumluluk çabalarını kolaylaştırmak amacıyla Wazuh'un kullanılmasının bazı avantajlarını açıklıyoruz.
Bulut Günlük Veri Analizi ve Saklama
Bulut ortamları, güvenlik olaylarını tanımlamak için hayati önem taşıyan büyük miktarda günlük verisi üretir. Wazuh kuralları ve kod çözücüleri, anormal olayları tespit etmek için günlük verilerini ayrıştırmaktan ve analiz etmekten sorumludur. Wazuh, AWS, Azure, Google Cloud, Office 365 ve GitHub gibi çeşitli bulut platformlarından ve hizmetlerinden günlük verilerini toplar ve analiz eder.
Aşağıdaki görsel, bulut altyapısından toplanan olayların eğilimini gösteren Wazuh'taki bir AWS panosunun örneğidir.

Wazuh, buluttaki etkinlikleri izler ve kaydeder ve tüm bulut altyapısındaki kullanıcı eylemlerinin merkezi bir görünümünü sağlar. Wazuh, şüpheli veya yetkisiz etkinlikleri tespit etmek için kullanıma hazır kurallara sahiptir. Kullanıcılar, yerleşik kurallara ek olarak tehdit tespitini birleştirmek için özel kurallar oluşturabilir .
Amazon Web Servisleri
Wazuh, AWS bulut altyapısını izlemek ve güvence altına almak için özel modüllere sahiptir . Wazuh'un izlediği AWS hizmetlerinden bazıları şunlardır:
-
Amazon Guardduty, kötü amaçlı faaliyetleri ve yetkisiz davranışları sürekli olarak izleyen ve AWS hesaplarının, iş yüklerinin ve Amazon S3'te depolanan verilerin korunmasını sağlayan bir tehdit algılama hizmetidir.
-
Amazon Inspector, AWS'de dağıtılan uygulamaların güvenliğini ve uyumluluğunu iyileştirmeye yardımcı olan otomatik bir güvenlik değerlendirme hizmetidir.
-
Amazon Key Management Service (KMS), AWS servisleri genelinde şifreleme anahtarı yönetimi için kullanılır.
-
Amazon Macie, tamamen yönetilen bir veri güvenliği ve gizlilik hizmetidir. Şifrelenmemiş S3 kovalarını, herkese açık kovaları ve harici AWS hesaplarıyla paylaşılan kovaları otomatik olarak algılar.
-
Amazon Sanal Özel Bulut (VPC), AWS kaynaklarının kullanıcı tarafından tanımlanan sanal bir ağ üzerinde başlatılabileceği AWS Bulutunun mantıksal olarak izole edilmiş bir bölümünü sağlar.
-
AWS Config, AWS kaynaklarınızın yapılandırmalarını değerlendirir, denetler ve değerlendirir. Kullanıcıların AWS kaynakları arasındaki yapılandırmalardaki değişiklikleri ve ilişkileri incelemesine yardımcı olur.
-
AWS Cloudtrail , AWS hesabınızın yönetimini, uyumluluğunu, operasyonel denetimini ve risk denetimini sağlar. CloudTrail ile AWS altyapınızdaki eylemlerle ilgili hesap etkinliğini kaydedebilir, sürekli olarak izleyebilir ve saklayabilirsiniz.
-
AWS Trusted Advisor, kullanıcıların AWS ortamlarını optimize ederek maliyetleri düşürmelerine, performansı artırmalarına ve güvenliği iyileştirmelerine yardımcı olur. Kullanıcıların kaynaklarını AWS en iyi uygulamalarını izleyerek sağlamalarına yardımcı olmak için gerçek zamanlı rehberlik sağlar.
-
AWS Web Uygulama Güvenlik Duvarı (WAF), web uygulamalarınızı veya API'lerinizi, kullanılabilirliği etkileyebilecek, güvenliği tehlikeye atabilecek veya aşırı kaynak tüketebilecek yaygın web saldırılarına karşı korumaya yardımcı olur.
Microsoft Azure
Wazuh, Azure platformundan günlükleri çeken ve izleyen özel bir modüle sahiptir . Bu modül, aşağıdakiler de dahil olmak üzere kritik Azure hizmetlerinden veri alır:
-
Log Analytics API : Log Analytics API, Azure Monitor hizmetinin temel bir bileşenidir ve günlük verilerini toplamak ve analiz etmek için kullanılır. Bu tür verilerin kaynakları bulut uygulamaları, işletim sistemleri ve Azure kaynaklarıdır. Azure için Wazuh modülü, Log Analytics API'sini sorgulayabilir ve Azure Monitor hizmeti tarafından toplanan günlükleri çekebilir.
-
Blob Storage API : Azure hizmetlerinden gelen günlükler isteğe bağlı olarak Azure Blob Storage'a gönderilir. Özellikle, bir Azure hizmetini günlükleri bu amaçla oluşturulmuş bir depolama hesabındaki bir kapsayıcıya aktaracak şekilde yapılandırmak mümkündür. Daha sonra, Wazuh aracısı bu günlükleri Blob Storage API ile entegrasyonu aracılığıyla indirecektir.
-
Active Directory Graph API : Azure Active Directory (AD) Graph API, REST API uç noktaları aracılığıyla AZURE AD'ye erişim sağlar. Wazuh tarafından Active Directory olaylarını izlemek için kullanılır (örneğin, yeni bir kullanıcı oluşturma, kullanıcı özelliklerini güncelleme, kullanıcı hesaplarının devre dışı bırakılması, vb.)
Google Bulut Platformu
Wazuh, olay alımı ve dağıtımı için bir ara yazılım olan Google Pub/Sub mesajlaşma hizmetinden olayları çekerek Google Cloud hizmetlerini izler. Bu entegrasyon, Google Cloud varlıklarınızı hedef alan tehditleri tespit etmeye yardımcı olur. Daha fazla bilgi için lütfen GCP hizmetlerini izlemek için Wazuh'u kullanma bölümüne bakın .
Office 365
Wazuh, Office 365 Yönetim Etkinliği API'siyle etkileşim kurmak üzere tasarlanmış özel bir modül içerir. Bu modül, Office 365'ten günlükleri almak ve bunları Wazuh platformu içinde analiz için kullanılabilir hale getirmekten sorumludur. Yönetim Etkinliği API'si, Office 365 için denetim günlüklerinin kaynağı olarak hizmet eder ve Office 365 ortamındaki çeşitli eylemler ve olaylar hakkında bilgi içerir. Bu günlükler, kiracıya özgü içerik blob'ları halinde düzenlenir ve içerik türlerine ve kaynaklarına göre sınıflandırılır. Wazuh, bu günlükler üzerinde analiz, uyarı ve raporlama gerçekleştirerek Office 365 ortamındaki güvenlik ve uyumluluk izleme yeteneklerini geliştirir. Daha ayrıntılı bilgi için lütfen Office 365'i izlemek için Wazuh'u kullanma bölümüne bakın .
GitHub
Wazuh, GitHub API'sini kullanarak kuruluş üyeleri tarafından gerçekleştirilen eylemler hakkında bilgi içeren GitHub denetim günlüklerini çeken bir GitHub modülüne sahiptir. Bu günlük, eylemi başlatan kullanıcı, eylemin niteliği (örneğin, depo oluşturma, erişim değişiklikleri, vb.), eylemin ne zaman gerçekleştiğini gösteren zaman damgası ve diğerleri gibi temel ayrıntıları içerir. Wazuh bu günlükleri toplar, işler ve depolar, analiz, uyarı ve raporlamayı mümkün kılar. Daha fazla bilgi için GitHub'ı izlemek için Wazuh'u kullanma konusuna bakın.
Bulut Tabanlı Uygulamaları Koruyun
Wazuh, bulut tabanlı uygulamalar için güvenlik tehditlerine ve güvenlik açıklarına karşı koruma sağlayarak koruma sağlar. Kubernetes ve Docker gibi konteyner düzenleme platformlarıyla entegre olur ve konteyner etkinliğini gerçek zamanlı olarak izlemesine ve analiz etmesine olanak tanır. Wazuh, şüpheli konteyner davranışlarını, yetkisiz görüntü değişikliklerini ve olası güvenlik yanlış yapılandırmalarını tespit ederek konteynerleştirilmiş uygulamaların genel bütünlüğünü garanti eder.
Aşağıdaki görüntü izlenen bir Docker altyapısından üretilen uyarıları göstermektedir.

Bulutta Güvenlik Operasyonlarını Destekleyin
Wazuh, güvenlik ekiplerinin tehditleri tespit edip yanıtlamalarına, hasarları azaltmalarına ve bulut altyapısı üzerindeki genel etkiyi azaltmalarına olanak tanıyarak bulut ortamlarındaki güvenlik operasyonlarını teşvik eder. Ayrıca Wazuh, kırmızı ve mavi takım faaliyetlerini kolaylaştırır. Platformun özelleştirilebilir kuralları, kuruluşların saldırıları simüle etmelerini ve güvenlik savunmalarını test etmelerini sağlar. Mavi takımlar, kırmızı takım faaliyetlerinden Wazuh'ta elde edilen içgörüleri güvenlik önlemlerini ince ayarlamak ve savunmalarını güçlendirmek için kullanabilir.

Wazuh'un merkezi günlük kaydı ve raporlama yetenekleri, bulut ortamlarında uyumluluk yönetimini basitleştirir. Denetim izlerini yakalayıp depolayarak, hesap verebilirliği sağlayarak ve güvenlik olaylarının araştırılmasını kolaylaştırarak kuruluşların düzenleyici gereklilikleri karşılamalarına yardımcı olur. Wazuh'un analiz, raporlama ve uyumluluk çabalarına nasıl yardımcı olduğu hakkında daha fazla bilgi için Wazuh dashboard belgelerine bakın.