Wazuh SCA Modülü

Wazuh, güvenlik ekiplerinin ortamlarındaki yanlış yapılandırmaları tarayıp tespit etmelerine yardımcı olan bir Güvenlik Yapılandırma Değerlendirmesi (SCA) modülü sunar. Wazuh aracısı, izlediği uç noktaları taramak için politika dosyalarını kullanır. Bu dosyalar, izlenen her uç noktada gerçekleştirilecek önceden tanımlanmış kontrolleri içerir.

Wazuh, İnternet Güvenliği Merkezi (CIS) güvenlik ölçütlerine dayalı olarak SCA politikalarını kullanıma hazır olarak içerir. Bu ölçütler, BT sistemlerini ve verilerini siber saldırılardan korumak için en iyi uygulamalara ilişkin temel kılavuzlar olarak hizmet eder. Güvenli bir temel yapılandırma oluşturmak için net talimatlar sağlar ve kullanıcıların kritik varlıklarını korumak ve olası güvenlik açıklarını azaltmak için etkili önlemler uygulamasını sağlamak üzere rehberlik sunar. Bu standartlara uyarak, genel güvenlik duruşunuzu iyileştirebilir ve işletmenize yönelik siber tehdit riskini azaltabilirsiniz.

Wazuh Güvenlik Yapılandırma Değerlendirmesi (SCA) modülünün diğer bazı faydaları şunlardır:

• Güvenlik duruşu yönetimi : Wazuh SCA, kuruluşların uç noktalarının güvenli bir şekilde yapılandırılmasını sağlamalarına yardımcı olur. Bu, yanlış yapılandırmalardan kaynaklanan güvenlik açıklarını en aza indirir ve güvenlik ihlalleri riskini azaltır.

• Uyumluluk izleme : Kuruluşların düzenleyici standartlara, en iyi uygulamalara ve iç güvenlik politikalarına uyumu değerlendirmelerine ve uygulamalarına olanak tanır.

• Sürekli izleme : Wazuh SCA, uç noktaların yapılandırmasını sürekli olarak izler ve yanlış yapılandırmalar tespit ettiğinde uyarı verir.

Wazuh SCA Politikalarına Genel Bakış

Wazuh SCA modülü YAML formatında yazılmış politikaları kullanır. Her politika denetimlerden oluşur ve her denetim bir veya daha fazla kuraldan oluşur. Bu kurallar, dosyaların, dizinlerin, Windows kayıt defteri anahtarlarının, çalışan işlemlerin ve daha fazlasının varlığı gibi bir uç noktanın çeşitli yönlerini inceleyebilir.

Varsayılan olarak, Wazuh aracısı, kural kümesi dizininde bulunan her politika ( .yamlveya .ymldosya) için taramalar çalıştırır. Bu dizin, Wazuh aracısını çalıştıran her işletim sisteminde aşağıdaki konumlarda bulunabilir:

• Linux ve Unix tabanlı ajanlar: /var/ossec/ruleset/sca.

• Windows aracıları: .C:\Program Files (x86)\ossec-agent\ruleset\sca

• macOS aracıları: /Library/Ossec/ruleset/sca.

Wazuh ayrıca uç noktaları tarayıp kuruluşunuzun politikalarına uyup uymadıklarını doğrulamak için kullanılabilecek özel politikalar oluşturmanıza da olanak tanır .

/var/ossec/ruleset/sca/cis_ubuntu22-04.ymlUbuntu 22.04 uç noktalarında kutudan çıktığı haliyle dahil edilen bir CIS politika dosyasının bir kesitini görün . CIS kıyaslamalarına dayanan SCA politikası, sistem güçlendirme için en iyi uygulamalara uyup uymadığını belirlemek için uç noktada kontroller çalıştırır. Kimlikli SCA politikası, dizinin ayrı bir bölümde olup 28500olmadığını kontrol eder ./tmp

- id: 28500
  title: "Ensure /tmp is a separate partition."
  description: "The /tmp directory is a world-writable directory used for temporary storage by all users and some applications."
  rationale: "Making /tmp its own file system allows an administrator to set additional mount options such as the noexec option on the mount, making /tmp useless for an attacker to install executable code. It would also prevent an attacker from establishing a hard link to a system setuid program and wait for it to be updated. Once the program was updated, the hard link would be broken and the attacker would have his own copy of the program. If the program happened to have a security vulnerability, the attacker could continue to exploit the known flaw. This can be accomplished by either mounting tmpfs to /tmp, or creating a separate partition for /tmp."
  impact: "Since the /tmp directory is intended to be world-writable, there is a risk of resource exhaustion if it is not bound to a separate partition. Running out of /tmp space is a problem regardless of what kind of filesystem lies under it, but in a configuration where /tmp is not a separate file system it will essentially have the whole disk available, as the default installation only creates a single / partition. On the other hand, a RAM-based /tmp (as with tmpfs) will almost certainly be much smaller, which can lead to applications filling up the filesystem much more easily. Another alternative is to create a dedicated partition for /tmp from a separate volume or disk. One of the downsides of a disk-based dedicated partition is that it will be slower than tmpfs which is RAM-based. /tmp utilizing tmpfs can be resized using the size={size} parameter in the relevant entry in /etc/fstab."
  remediation: "First ensure that systemd is correctly configured to ensure that /tmp will be mounted at boot time. # systemctl unmask tmp.mount For specific configuration requirements of the /tmp mount for your environment, modify /etc/fstab or tmp.mount. Example of /etc/fstab configured tmpfs file system with specific mount options: tmpfs 0 /tmp tmpfs defaults,rw,nosuid,nodev,noexec,relatime,size=2G 0 Example of tmp.mount configured tmpfs file system with specific mount options: [Unit] Description=Temporary Directory /tmp ConditionPathIsSymbolicLink=!/tmp DefaultDependencies=no Conflicts=umount.target Before=local-fs.target umount.target After=swap.target [Mount] What=tmpfs Where=/tmp Type=tmpfs."
  references:
    - https://www.freedesktop.org/wiki/Software/systemd/APIFileSystems/
    - https://www.freedesktop.org/software/systemd/man/systemd-fstab-generator.html
  compliance:
    - cis: ["1.1.2.1"]
    - cis_csc_v7: ["14.6"]
    - cis_csc_v8: ["3.3"]
    - mitre_techniques: ["T1499", "T1499.001"]
    - mitre_tactics: ["TA0005"]
    - mitre_mitigations: ["M1022"]
    - cmmc_v2.0: ["AC.L1-3.1.1", "AC.L1-3.1.2", "AC.L2-3.1.5", "AC.L2-3.1.3", "MP.L2-3.8.2"]
    - hipaa: ["164.308(a)(3)(i)", "164.308(a)(3)(ii)(A)", "164.312(a)(1)"]
    - pci_dss_v3.2.1: ["7.1", "7.1.1", "7.1.2", "7.1.3"]
    - pci_dss_v4.0: ["1.3.1", "7.1"]
    - nist_sp_800-53: ["AC-5", "AC-6"]
    - soc_2: ["CC5.2", "CC6.1"]
  condition: all
  rules:
    - 'c:findmnt --kernel /tmp -> r:\s*/tmp\s'
    - "c:systemctl is-enabled tmp.mount -> r:generated|enabled"

Dizin /tmp, sistem ve kullanıcı uygulamaları tarafından kısa bir süre için ihtiyaç duyulan verileri depolamak için kullanılır. /tmpAyrı bir bölüme bağlanma, bir yöneticinin noexec, nodev, ve gibi ek bağlama seçenekleri ayarlamasına olanak tanır nosuid. Bu nedenle, dizini bir saldırganın yürütülebilir kod yüklemesi için işe yaramaz hale getirir. SCA ilke dosyası ayrıca bu sorunun nasıl düzeltileceğine dair öneriler sunar.

SCA Sonuçlarını Görüntüleme

Wazuh kontrol panelinde, her bir acente için SCA tarama sonuçlarını görüntülemenize olanak tanıyan bir Yapılandırma Değerlendirme modülü bulunur.

SCA Sonuçlarının Yorumlanması

Aşağıdaki görüntü, Ubuntu Linux 22.04 LTS için CIS kıyaslamasına dayalı politikayı göstermektedir. Ubuntu 22.04 uç noktasına karşı 191 denetimin yürütüldüğünü görebilirsiniz. Bunlardan 56'sı geçti, 87'si başarısız oldu ve 48'i uç noktaya uygulanamaz. Ayrıca, geçilen test sayısına göre hesaplanan %39'luk bir puan da göstermektedir.

Daha fazla bilgi edinmek için çeklere tıklayabilirsiniz. Aşağıdaki resimde gerekçe, düzeltme ve kimliği olan çekin açıklaması gibi bilgileri görebilirsiniz 3003.

Yukarıdaki SCA tarama sonucu, failedssh için genel anahtar kimlik doğrulamasının etkinleştirilmediğini gösteriyor. Düzeltme uygulanırsa, sonuç passeduç noktanın güvenliğini artıracak şekilde değişecektir.

SCA İyileştirme Adımlarının Uygulanması

Önceki bölümdeki örnekte, Wazuh SCA tarafından sağlanan düzeltmenin uygulanması uç noktanın güvenliğini artırır. Bu, PubkeyAuthenticationdosyadaki seçenek değerinin değiştirilmesini içerir sshd_config. Aşağıdaki görüntüde, kontrolün durumunun . 3003olarak değiştiğini görebilirsiniz passed.

Wazuh SCA modülünü kullanarak yanlış yapılandırmaları tespit edebilir, bunları düzeltebilir ve uç noktalarınızın sektördeki en iyi uygulamalara uyduğunu doğrulayabilirsiniz. Bu proaktif yaklaşım, ortamınızdaki güvenlik ihlallerinin olasılığını önemli ölçüde azaltır.

Kötü Amaçlı Yazılım Tespiti İçin Wazuh

Yalnızca imza tabanlı tespitlere dayanan geleneksel yöntemlerin sınırlamaları vardır ve yeni tehditleri yakalamada başarısız olurlar. İmza tabanlı yaklaşımlar, sıfırıncı gün saldırılarını, polimorfik kötü amaçlı yazılımları ve tehdit aktörleri tarafından kullanılan diğer kaçınma tekniklerini tespit etmede zorluk çeker. Sonuç olarak, kuruluşlar tespit edilemeyen ihlaller ve veri sızdırma riski altındadır. Wazuh, kuruluşların karmaşık ve kaçamak tehditleri etkili bir şekilde tespit etmelerini ve bunlara yanıt vermelerini sağlar. Wazuh, kötü amaçlı yazılım özelliklerini, etkinlikleri, ağ bağlantılarını ve daha fazlasını tanımlayan farklı modülleri kapsar.

Tehdit Algılama Kurallarıyla Kötü Amaçlı Faaliyetlerin Tespiti

Wazuh, davranış tabanlı kötü amaçlı yazılım tespitini etkinleştiren tehdit tespit kurallarına sahiptir. Wazuh, yalnızca önceden tanımlanmış imzalara güvenmek yerine, kötü amaçlı yazılım tarafından sergilenen anormal davranışları izleme ve analiz etmeye odaklanır. Bu, Wazuh'un bilinen ve daha önce bilinmeyen tehditleri tespit etmesini sağlar. Bu şekilde, Wazuh siber tehditlere karşı proaktif ve uyarlanabilir bir savunma sağlar. Wazuh, tanınan kötü amaçlı yazılım kalıpları için uyarıları tetiklemek üzere özel olarak tasarlanmış, kullanıma hazır kural setlerine sahiptir ve olası güvenlik olaylarına hızlı bir yanıt sağlar. Örneğin, aşağıdaki görüntü, 92213kötü amaçlı yazılımlar tarafından yaygın olarak kullanılan bir klasöre bir yürütülebilir dosya bırakıldığında tetiklenen kural kimliğine sahip bir uyarıyı gösterir. Bu uyarı, güvenlik ekiplerini soruşturma ve düzeltme sürecini başlatmaya yönlendirir.

Wazuh, kullanıcıların algılamada daha fazla esneklik için özel kurallar oluşturmasına olanak tanır , ilgili etkinliklere odaklanmalarını ve kötü amaçlı yazılım algılamasını optimize etmelerini sağlar. Wazuh, izlenen uç noktalardan gelen günlükleri kod çözer ve alanlara düzenler, daha sonra kötü amaçlı etkinlik algılandığında uyarı vermek için özel kurallar oluşturmak üzere kullanılabilir.

Wazuh kuralları, yanlış pozitifleri azaltmak ve bilinen kötü amaçlı yazılımları belirli davranışlara göre tespit etmek için tehlike göstergelerini (IOC'ler) belirten birden fazla alan kullanır. Bu kurallar, kapsamlı tespit için saldırı, ayrıcalık yükseltme, yanal hareket, karartma ve sızdırma gibi ilgili kötü amaçlı yazılım etkinliklerini birbirine bağlayabilir.

Aşağıda, LimeRAT kötü amaçlı yazılımının kötü amaçlı faaliyetleri konusunda uyarı vermek için oluşturulmuş bazı Wazuh özel kurallarına bir örnek verilmiştir:

<group name="lime_rat,sysmon,">

  <!-- Rogue create netflix.exe creation -->
  <rule id="100024" level="12">
    <if_sid>61613</if_sid>
    <field name="win.eventdata.image" type="pcre2">\.exe</field>
    <field name="win.eventdata.targetFilename" type="pcre2">(?i)[c-z]:\\\\Users\\\\.+\\\\AppData\\\\Roaming\\\\checker netflix\.exe</field>
    <description>Potential LimeRAT activity detected: checker netflix.exe created at $(win.eventdata.targetFilename) by $(win.eventdata.image).</description>
    <mitre>
      <id>T1036</id>
    </mitre>
  </rule>

  <!-- Registry key creation for persistence -->
  <rule id="100025" level="12">
    <if_group>sysmon</if_group>
    <field name="win.eventdata.details" type="pcre2">(?i)[c-z]:\\\\Users\\\\.+\\\\AppData\\\\Roaming\\\\checker netflix\.exe</field>
    <field name="win.eventdata.targetObject" type="pcre2" >HKU\\\\.+\\\\Software\\\\Microsoft\\\\Windows\\\\CurrentVersion\\\\Run\\\\checker netflix\.exe</field>
    <field name="win.eventdata.eventType" type="pcre2" >^SetValue$</field>
    <description>Potential LimeRAT activity detected:  $(win.eventdata.details) added itself to the Registry as a startup program $(win.eventdata.targetObject) to establish persistence.</description>
    <mitre>
      <id>T1547.001</id>
    </mitre>
  </rule>

  <!-- Network activity detection -->
  <rule id="100026" level="12">
    <if_sid>61605</if_sid>
    <field name="win.eventdata.image" type="pcre2">(?i)[c-z]:\\\\Users\\\\.+\\\\AppData\\\\Roaming\\\\checker netflix\.exe</field>
    <description>Potential LimeRAT activity detected: Suspicious DNS query made by $(win.eventdata.image).</description>
    <mitre>
      <id>T1572</id>
    </mitre>
  </rule>


  <!-- LimeRAT service creation -->
  <rule id="100028" level="12">
    <if_sid>61614</if_sid>
    <field name="win.eventdata.targetObject" type="pcre2" >HKLM\\\\System\\\\CurrentControlSet\\\\Services\\\\disk</field>
    <field name="win.eventdata.eventType" type="pcre2" >^CreateKey$</field>
    <description>Potential LimeRAT activity detected: LimeRAT service $(win.eventdata.targetObject) has been created on $(win.system.computer).</description>
      <mitre>
    <id>T1543.003</id>
      </mitre>
  </rule>

</group>

Bu kurallar , Wazuh panosundaki Tehdit Avı modülünde görülebilen uyarılar oluşturur .

 

Tam yapılandırma için Wazuh ile LimeRat tespiti ve tepkisi hakkındaki blog yazısına bakın .

Wazuh, kötü amaçlı yazılımlara işaret eden davranışları belirler, gerçek zamanlı uyarılar ve bildirimler üretir ve böylece güvenlik ekiplerinin hızlı bir şekilde yanıt vermesini ve potansiyel riskler tırmanmadan önce bunları azaltmasını sağlar.

Kötü Amaçlı Yazılım Etkinliğini Tespit Etmek İçin Dosya Bütünlüğü İzleme Özelliğinden Yararlanma

Dosya Bütünlüğü İzleme (FIM), kötü amaçlı yazılım tespitinde değerli bir bileşendir. Wazuh, izlenen uç noktalardaki dosya ve dizinlerdeki değişiklikleri izlemek ve tespit etmek için FIM yetenekleri sağlar. Bu değişiklikler oluşturma, değiştirme veya silmeyi içerir. FIM temel içgörüler sağlarken, onu diğer yetenekler ve entegrasyonlarla birleştirmek kötü amaçlı yazılım tespiti için etkinliğini daha da artırır. Wazuh, güvenlik ekiplerinin FIM olaylarına dayalı özel kurallar oluşturmasına olanak tanır ve hedefli kötü amaçlı yazılım tespitini mümkün kılar. Bu özelleştirilebilir kurallar, FIM olaylarını şüpheli dosya uzantıları, kod parçacıkları veya bilinen kötü amaçlı yazılım imzaları gibi belirli tehlike göstergeleriyle ilişkilendirir.

Aşağıdaki görüntü, bir web kabuğunun web sunucusunda bir dosya oluşturduğunda veya değiştirdiğinde oluşan uyarıyı göstermektedir.

 

Kötü amaçlı yazılımlar, kalıcılık oluşturma ve diğer kötü amaçlı eylemleri gerçekleştirme gibi kötü amaçlı hedeflere ulaşmak için sıklıkla Windows Kayıt Defterini hedef alır. Wazuh Dosya Bütünlüğü İzleme (FIM) modülü, değişiklikleri tespit etmek için yaygın olarak hedeflenen kayıt defteri yollarını izleyen Windows Kayıt Defteri izlemesini içerir . Değişiklikler meydana geldiğinde, FIM modülü gerçek zamanlı uyarıları tetikleyerek güvenlik ekiplerinin şüpheli kayıt defteri anahtarı manipülasyonunu hızla belirlemesini ve bunlara yanıt vermesini sağlar.

Aşağıdaki görseller Wazuh FIM modülünün panosunu ve Windows Kayıt Defteri değişikliklerinin olaylarını göstermektedir.

Aşağıda Wazuh FIM modülünün ortamınızda izleme yapmanıza yardımcı olacağı yaygın kullanım durumları listelenmiştir.

Dosya bütünlüğünün izlenmesi

Yapılandırma dosyalarında ve dosya özniteliklerinde yapılan değişiklikler, bir BT altyapısındaki uç noktalarda sık görülen olaylardır. Ancak doğrulanmazsa, uç noktaların veya bunlarda çalışan uygulamaların davranışını etkileyebilecek yetkisiz ve kasıtsız değişiklikler olabilir. Wazuh FIM modülü, gerçek zamanlı olarak dosya değişikliklerini tespit etmek için belirli dosyalar ve dizinler üzerinde periyodik taramalar çalıştırır. Mevcut durumun bir taban çizgisini oluşturmak için belirlenen dosyaları tarar. Toplam kontrol değerlerini ve öznitelik değerlerini taban çizgiyle karşılaştırarak dosya değişikliklerini kontrol eder ve tutarsızlıklar bulunursa uyarılar üretir.

Wazuh FIM modülü, varlıkların etkili bir şekilde izlenmesini sağlayan çeşitli yapılandırma seçeneklerini destekler:

• Gerçek zamanlı izleme : FIM modülü,realtimebelirtilen dizinlerin sürekli izlenmesini sağlayan bir öznitelik sağlar. Bu özellik özellikle kritik dizinleri izlemek ve değişiklikleri meydana geldikten hemen sonra izlemek için kullanışlıdır. Wazuh, dosya değişiklikleri meydana gelirse gerçek zamanlı olarak raporlanacak izlenen uç noktalardaki dizinleri veya dosyaları belirtmenize olanak tanır.

• Zamanlanmış izleme :frequencyWazuh FIM modülündeki seçenek, kullanıcıların izlenen uç noktalarınızda gerçekleştirilen her FIM taramasının zamanlamasını özelleştirmesine olanak tanır. FIM modülü için varsayılan tarama aralığı 12 saattir (43200 saniye) ve her uç noktada özelleştirilebilir. Alternatif olarak, taramalar scan_time ve scan_day seçenekleri kullanılarak zamanlanabilir . Bu seçenekler, kullanıcıların mesai saatleri dışında veya tatillerde FIM taramaları ayarlamasına yardımcı olur.

• Kim-veri izleme : Wazuh, kim-veri işlevselliğini kullanarak dosya değişikliklerine ilişkin gelişmiş içgörüler yakalar. Bu işlevsellik, algılanan dosya değişiklikleri hakkında önemli bilgileri belirlemek için Linux Denetim alt sistemi ve Microsoft Windows SACL gibi denetim araçlarını kullanır. Kim-veri izleme işlevselliği, FIM modülünün değişiklik olayının ne zaman gerçekleştiği, değişikliği kimin veya neyin yaptığı ve hangi içeriğin değiştirildiği hakkında bilgi edinmesini sağlar. Bu, hesap verebilirliği sürdürmede ve izlenen dosyalarda veya dizinlerde yapılan değişikliklerin onaylanmış süreçler kullanılarak yetkilendirilip yetkilendirilmediğini ve gerçekleştirilip gerçekleştirilmediğini doğrulamada faydalıdır.

Aşağıda, Windows uç noktasında izlenen bir dosya değiştirildiğinde oluşturulan bir uyarının örneği gösterilmektedir.

Uyarı alanlarında, who-data meta verisi, kullanıcının wazuhkelimeyi Hellodosyaya işlem audit_docu.txtkullanılarak eklediğini gösterir Notepad.exe.

• Dosya değerlerindeki değişiklikleri raporlama : FIM modülü,report_changesbir metin dosyasında değiştirilen tam içeriği kaydeden ve Wazuh sunucusuna bildiren bir öznitelik sağlar. Öznitelik, Wazuh aracısının izlenen dosyaların kopyalarını daha fazla inceleme için her uç noktadaki özel bir konuma yapmasını sağlar. Bu izleme seçeneği, kullanıcılar izlenen dizinlerdeki dosya değişiklikleri bilinen kötü amaçlı etkinliklerin davranışıyla eşleştiğinde belirli yanıtlar başlatmak istediklerinde yararlıdır. Örneğin, aşağıdaki uyarı, Wazuhwebshell-script.phpizlenen bir dizinde bir web kabuğu komut dosyası dosyasının oluşturulduğunu algıladığında bunu gösterir.

Windows Kayıt Defterini İzleme

Wazuh FIM modülü, Windows Kayıt Defteri girdilerini düzenli olarak tarar, yerel bir veritabanında denetim toplamlarını ve özniteliklerini depolar ve kayıt defteri değerlerinde değişiklikler algılandığında uyarı verir. Bu, kullanıcıları kötü amaçlı olsun veya olmasın, kullanıcı etkinliklerinden veya yazılım yüklemelerinden kaynaklanan kayıt defteri değişiklikleri hakkında bilgilendirir.

Wazuh açık kaynaklı FIM modülünü çeşitli yapılandırma seçeneklerini kullanarak Windows Kayıt Defteri değerlerini izleyecek şekilde yapılandırabilirsiniz . windows_registryreport_changes seçeneğindeki öznitelik, izlenen Windows Kayıt Defteri değerinde algılanan değişikliklerin ayrıntılı bir dökümünü sağlar. Modülün hangi Windows Kayıt Defteri özniteliklerini kaydedeceğini veya yoksayacağını yapılandırabilirsiniz. Örneğin, CDB listeniz yalnızca kötü amaçlı dosyaların SHA1 karmalarını içeriyorsa, özniteliği kaydetmeyi ve yoksaymayı seçebilirsiniz .check_sha1sumcheck_md5sum

Aşağıdaki görüntü, izlenen bir uç noktadaki değiştirilmiş bir Windows kayıt defteri değerinin olayını göstermektedir.

Genişletildiğinde uyarı değiştirilen alanı gösterir.

Günlük Veri Analizi

Etkili günlük veri toplama ve analizi, tehdit avı metodolojinizi geliştirmek için olmazsa olmazdır. Tehdit avı çabalarınızı optimize etmek için Wazuh'un sağlam yeteneklerinden yararlanabilirsiniz.

Birleşik bir XDR ve SIEM platformu olan Wazuh, uç noktalar, ağ cihazları ve uygulamalar gibi çeşitli kaynaklardan veri toplanmasına olanak tanıyan merkezi günlük veri toplama sunar. Bu merkezi yaklaşım, analizi basitleştirir ve birden fazla kaynağı izlemek için gereken çabayı azaltır.

Aşağıdaki görsel, izlenen bir uç noktadan denetim günlüklerini toplamak için Wazuh dashboard yapılandırma ayarlarını göstermektedir.

Wazuh, çeşitli kaynaklardan elde edilen günlük verilerinden anlamlı bilgiler çıkarmak için kod çözücüler kullanır. Ham günlük verilerini zaman damgası, kaynak IP adresi, hedef IP adresi, olay türü ve diğerleri gibi ayrı alanlara veya özniteliklere ayırır. Wazuh panosundaki Dizin desenleri sekmesi, dizin wazuh-alerts-* desenini ve alanlarını gösterir.

Wazuh, verimli günlük verisi işleme için ajansız izleme ve syslog log toplama sunar . Çeşitli günlük formatları arasında tutarlılık ve uyumluluk sağlar. Wazuh dizinleme ve sorgulama yetenekleri, belirli günlük verilerine hızlı arama ve erişimi kolaylaştırır, analiz ve araştırmayı kolaylaştırır. Wazuh, gelişmiş ayrıştırma ve gerçek zamanlı analizini kullanarak riskleri proaktif olarak belirleyip azaltarak tehdit avını geliştirir ve böylece güvenliği artırır.

Wazuh Arşivleri

Wazuh, izlenen uç noktalardan toplanan tüm günlükleri arşivlemek için merkezi bir depolama konumu sağlar. Wazuh arşiv günlükleri, Wazuh panosunda uyarı tetiklemeyen günlükleri içerir. Wazuh arşivleri varsayılan olarak devre dışıdır ve kolayca etkinleştirilebilir. Ayrıntılı günlüklerin kullanılabilirliği, ortamınıza kapsamlı görünürlük sağlayarak etkili tehdit avcılığı için çok önemlidir.

Wazuh arşivleri, ortamınızdaki belirli izlenen uç noktalardaki olayları analiz etmek için somut görünürlük sağlayan günlük tutma, dizinleme ve sorgulama yetenekleri sağlar. Bu, olay nedenlerini, olay konumlarını, olay iletişimlerini, olay zaman damgalarını ve ilgili ebeveyn-çocuk süreçlerini ortaya çıkarmayı kolaylaştırır. Aşağıdaki görüntü, Wazuh panosundaki Keşfet bölümündeki arşivlenmiş günlükleri gösterir.

MITRE ATT&CK Haritalama

MITRE ATT&CK çerçevesi, siber saldırı taktiklerini, tekniklerini ve prosedürlerini (TTP'ler) haritalamak ve anlamak için standart bir yaklaşım sunar. Wazuh MITRE ATT&CK modülünü kullanarak , tehdit aktörleri tarafından kullanılan TTP'lere ilişkin anlayışımızı geliştirebilir ve bunlara karşı proaktif bir şekilde savunma sağlayabiliriz.

Wazuh MITRE ATT&CK modülü, TTP'leri oluşturulan olaylara eşler ve saldırgan davranışındaki kalıpları hemen belirleyerek etkili tehdit avını kolaylaştırır. Örneğin, şüpheli bir oturum açma girişimi, MITRE ATT&CK çerçevesindeki "Kimlik Bilgisi Doldurma" tekniğiyle ilişkilendirilebilir. Bu, kullanıcıların bu tür saldırıların sıklığını değerlendirmesini ve çok faktörlü kimlik doğrulamayı etkinleştirme veya oturum açma girişimlerini hız sınırlama gibi riskleri azaltmak için gerekli önlemleri uygulamasını sağlar. Wazuh panosundaki MITRE ATT&CK modülü, izlenen bir ortamda bulunan çeşitli teknikleri görüntülemenizi sağlar.

Bu modül, Wazuh panosunda belirli TTP kullanan saldırıların sıklığını ve ciddiyetini gösteren raporlar ve görselleştirmeler üretir. Bu raporlar, güvenlik standartlarına ve yönetmeliklerine uyumu izlemeye yardımcı olurken, güvenlik önlemlerinin güçlendirilmesi gerekebilecek alanları vurgular. Wazuh panosundaki Wazuh MITRE ATT&CK modülü, aşağıda görüldüğü gibi izlenen bir ortamda bulunan TTP'lerin genel görünümünü gösteren özelleştirilebilir bir panoya sahiptir.

MITRE ATT&CK çerçevesinden gelen içgörülerden yararlanarak sistemlerinizi ve verilerinizi proaktif olarak koruyabilirsiniz. MITRE ATT&CK'nin Wazuh ile entegrasyonu tehdit avını önemli ölçüde iyileştirir ve genel güvenliği iyileştirir.

Üçüncü Taraf Entegrasyonu

Wazuh, tehdit avlama yeteneklerini geliştiren üçüncü taraf çözümlerle entegre olur . Bu entegrasyonlar, kullanıcıların çeşitli kaynaklardan gelen verileri birleştirmesini ve tehdit algılama ve yanıtını otomatikleştirmesini sağlar. Wazuh, VirusTotal, AlienVault, URLHaus, MISP ve diğerleri gibi popüler açık kaynak platformlarıyla sorunsuz bir şekilde entegre olur. Bu entegrasyon, kullanıcıların tehdit istihbaratı beslemeleriyle telemetriyi çapraz referanslamasını sağlayarak tehdit algılama ve yanıtını iyileştirir.

Üçüncü taraf entegrasyonları, tehdit istihbaratını ve bir dizi iş birliği aracını kapsayan proaktif tehdit avında önemli bir rol oynar. Bu entegrasyonlar, hem yerleşik hem de ortaya çıkan tehditler hakkında temel içgörüler sunarak tehdit tespitine yönelik kapsamlı ve ileriye dönük bir yaklaşım sağlar. Bu entegrasyonlar, deneyimli güvenlik ekipleri arasında bilgi alışverişini teşvik ederek, genel tehdit avlama sürecinin etkinliğini artıran kolektif bir savunma stratejisini teşvik eder.

Wazuh'un tehdit avına yardımcı olmak için entegre olduğu bazı üçüncü taraf çözümleri şunlardır:

• VirusTotal : VirusTotal'ı entegre etmek, doğru tanımlama ve daha hızlı olay müdahalesi için VirusTotal kötü amaçlı yazılım veritabanından yararlanarak tehdit tespitini geliştirir. Aşağıdaki görüntü, VirusTotal entegrasyonu aracılığıyla kötü amaçlı yazılım tespitini gösterir.

  

• URLHaus : URLHaus by abuse.ch'nin Wazuh ile entegre edilmesi, tehdit istihbarat yeteneklerini artırarak kullanıcıların kötü amaçlı URL'leri gerçek zamanlı olarak proaktif bir şekilde tespit edip engellemesini sağlıyor.

• osquery : Wazuh, osquery aracını Wazuh ajanlarından yönetmek için bir modül sağlar. osquery modülü, güvenlik analistlerinin osquery tarafından oluşturulan bilgileri yapılandırmasına ve toplamasına olanak tanır. Yapılandırma yönetimi, veri toplama, osquery sorgu sonuçlarına dayalı özel uyarılar ve SQL benzeri sözdizimi sorguları gibi tehdit avlama yetenekleri için ekstra bir katman sağlar.

• MISP : IOC'lerin tanımlanmasını otomatikleştirerek ve MISP'yi Wazuh ile entegre ederek Wazuh uyarılarını zenginleştirebiliriz.

Wazuh, yukarıda belirtilenlerin ötesinde tehdit avına yardımcı olan diğer araçlarla entegre olur. API'ler ve diğer entegrasyon yöntemlerini kullanarak tehdit istihbarat platformları, SIEM'ler ve mesajlaşma platformları için üçüncü taraf entegrasyonlarını destekler.

Kurallar ve kod çözücüler

Wazuh, çeşitli saldırı vektörleri ve siber faaliyetler için sağlam kurallar, kod çözücüler ve önceden yapılandırılmış kurallarla tehdit avcılığını geliştirir.

Wazuh panosundaki Kurallar modülü , aşağıda görülen sistem anormallikleri, kötü amaçlı yazılım tespiti, kimlik doğrulama hataları ve diğer potansiyel tehditler de dahil olmak üzere çok çeşitli güvenlik olaylarını kapsayan hem varsayılan hem de özel kuralları sunar.

Wazuh, kendi kurallarınızı ve kod çözücülerinizi özelleştirmenize ve oluşturmanıza olanak tanır , bunlar belirli ortamınıza ve tehdit manzaranıza göre uyarlanmıştır. Bu, algılamayı ince ayarlamanıza, benzersiz gereksinimleri ele almanıza ve kör noktaları en aza indirmenize olanak tanır.

Wazuh kod çözücüler, çeşitli günlük formatlarını ve veri kaynaklarını normalleştirme ve ayrıştırmada hayati bir rol oynar. Toplanan bilgilerin standart bir şekilde sunulmasını sağlayarak çeşitli kaynaklardan gelen verilerin etkili bir şekilde analiz edilmesini ve ilişkilendirilmesini kolaylaştırır.

Wazuh panosundaki Decoders modülü varsayılan ve özel decoder'ları görüntülemenizi sağlar. Aşağıdaki görüntü varsayılan decoder'ın ayrıntılarını gösterir agent-upgrade.

Güvenlik ekipleri, Wazuh kuralları ve kod çözücülerinden yararlanarak eyleme dönüştürülebilir içgörüler elde ediyor ve bu sayede IOC'leri, anormal davranışları ve potansiyel ihlalleri hızla tespit edebiliyor.

Özel kuralları ve kod çözücüleri yapılandırmaya ilişkin ayrıntılı kılavuz için Wazuh kuralları seti belgelerine bakın .

Günlük veri toplama

Wazuh, BT ortamınızın çeşitli yönlerinin kapsamlı bir şekilde izlenmesini sağlayarak çok çeşitli kaynaklardan günlükler toplar. Wazuh'un izlenen uç noktalardan günlükleri nasıl topladığını ve analiz ettiğini daha iyi anlamak için Günlük veri toplama konusundaki belgelerimize göz atabilirsiniz. Wazuh tarafından desteklenen yaygın günlük kaynaklarından bazıları şunlardır:

• İşletim sistemi günlükleri : Wazuh, Linux , Windows ve macOS dahil olmak üzere çeşitli işletim sistemlerinden günlükleri toplar .

  Wazuh, Linux uç noktalarından syslog, auditd, uygulama günlükleri ve diğerlerini toplayabilir.

  Wazuh, Windows olay kanalı ve Windows olay günlüğü biçimini kullanarak Windows uç noktalarında günlükleri toplar. Varsayılan olarak, Wazuh aracısı Windows uç noktalarındaki Sistem, Uygulama ve Güvenlik Windows olay kanallarını izler. Wazuh aracısı diğer Windows olay kanallarını yapılandırma ve izleme esnekliği sunar .

  Wazuh, macOS uç noktalarındaki günlükleri toplamak için birleşik günlükleme sistemini (ULS) kullanır. macOS ULS, günlüklerin tüm sistem düzeylerinde yönetimini ve depolanmasını merkezileştirir.

  Aşağıdaki görüntü, Microsoft-Windows-Sysmon/Operationalbir Windows uç noktasındaki olay kanalından toplanan bir olayı göstermektedir.
  
  

   

  
  
  

• Syslog olayları : Wazuh, Linux/Unix sistemleri ve aracı kurulumunu desteklemeyen ağ cihazları da dahil olmak üzere çok çeşitli kaynakları kapsayan syslog etkinleştirilmiş cihazlardan günlükleri toplar. Aşağıdaki görüntü, Linux uç noktasında yeni bir kullanıcı oluşturulduğunda tetiklenen bir uyarıyı ve günlük rsyslog aracılığıyla Wazuh sunucusuna iletildiğini gösterir.
  
  

  
  
  

• Aracısız izleme : Wazuh aracısız izleme modülü, aracı kurulumunu desteklemeyen uç noktaları izler. Uç nokta ile Wazuh sunucusu arasında bir SSH bağlantısı gerektirir. Wazuh aracısız izleme modülü dosyaları, dizinleri veya yapılandırmaları izler ve uç noktada komutlar çalıştırır. Aşağıdaki görüntü, Wazuh panosundaki aracısız bir cihazdan gelen bir uyarıdır.
  
  

  
  
  

• Bulut sağlayıcı günlükleri : Wazuh , EC2 örnekleri, S3 kovaları, Azure VM'leri ve daha fazlası gibi bulut hizmetlerinden günlükleri toplamak için AWS , Azure , Google Cloud ve Office 365 gibi bulut sağlayıcılarıyla entegre olur . Aşağıdaki görüntü , Wazuh panosundaki BULUT GÜVENLİĞİ bölümünü gösterir.
  
  

  
  
  

• Özel günlükler : Wazuh'u VirusTotal , Windows Defender ve ClamAV gibi çeşitli uygulamalardan ve üçüncü taraf güvenlik araçlarından günlükleri toplayıp ayrıştıracak şekilde yapılandırabilirsiniz . Aşağıdaki görüntü, Wazuh sunucusu tarafından işlenen VirusTotal'dan bir günlüğün uyarısını göstermektedir.

  

Kurallar ve kod çözücüler

Wazuh kuralları ve kod çözücüleri, günlük veri analizi ve tehdit tespiti ve yanıtında temel bileşenlerdir. Wazuh, günlük veri analizi için güçlü bir platform sunarak kuruluşların potansiyel güvenlik tehditlerini derhal tespit edip yanıtlayarak güvenlik duruşlarını geliştirmelerine olanak tanır.

Wazuh kod çözücüleri, çeşitli kaynaklardan toplanan günlük verilerini ayrıştırmak ve normalleştirmekten sorumludur. Kod çözücüler, ham günlük verilerini çeşitli biçimlerde Wazuh'un etkili bir şekilde işleyebileceği birleşik ve yapılandırılmış bir biçime dönüştürmek için gereklidir. Wazuh, syslog, Windows olay kanalı, macOS ULS ve daha fazlası gibi yaygın günlük biçimleri için önceden oluşturulmuş kod çözücülere sahiptir. Ek olarak, Wazuh, benzersiz günlük biçimlerine sahip belirli uygulamalardan veya cihazlardan günlükleri ayrıştırmak için özel kod çözücüler tanımlamanıza olanak tanır. Wazuh, kod çözücüleri kullanarak günlük verilerini verimli bir şekilde yorumlayabilir ve zaman damgaları, günlük düzeyleri, kaynak IP adresleri, kullanıcı adları ve daha fazlası gibi ilgili bilgileri çıkarabilir. Aşağıda gösterildiği gibi, Wazuh panosunun Sunucu yönetimi > Kod çözücüler bölümünde Wazuh'un kullanıma hazır ve özel kod çözücülerini görüntüleyebilirsiniz .

Wazuh kural seti günlük verilerindeki güvenlik olaylarını ve anormallikleri algılar. Bu kurallar belirli bir biçimde yazılır ve belirli koşullar karşılandığında uyarıları tetikler. Kurallar, güvenlik tehditlerini gösterebilecek belirli günlük girişleriyle eşleşmek için günlük alanları, değerler veya kalıplar gibi belirli ölçütlere göre tanımlanır. Wazuh, yaygın güvenlik kullanım durumlarını kapsayan çok çeşitli önceden oluşturulmuş kurallar sağlar. Ayrıca, yöneticiler kendi özel ortamlarına ve güvenlik gereksinimlerine göre uyarlanmış özel kurallar oluşturabilir. Wazuh panosunun Sunucu yönetimi kategorisi, varsayılan ve özel Kuralları görüntülemenizi sağlar.

Örneğin, aşağıdaki kural, matchkuralın aradığı deseni tanımlamak için kullanılan bir alanı içerir. Kural ayrıca, levelsonuç uyarısının önceliğini belirten bir alana sahiptir. Ek olarak, kurallar olayları MITRE ATT&CK çerçevesinden gelen teknik tanımlayıcılarla zenginleştirir ve bunları düzenleyici uyumluluk kontrollerine eşler.

<rule id="5715" level="3">
  <if_sid>5700</if_sid>
  <match>^Accepted|authenticated.$</match>
  <description>sshd: authentication success.</description>
  <mitre>
    <id>T1078</id>
    <id>T1021</id>
  </mitre>
  <group>authentication_success,gdpr_IV_32.2,gpg13_7.1,gpg13_7.2,hipaa_164.312.b,nist_800_53_AU.14,nist_800_53_AC.7,pci_dss_10.2.5,tsc_CC6.8,tsc_CC7.2,tsc_CC7.3,</group>
</rule>

Günlük verilerinin indekslenmesi ve depolanması

Wazuh dizinleyicisi, son derece ölçeklenebilir, dağıtılmış gerçek zamanlı bir arama ve analiz motorudur. Wazuh dizinleyicisi, Wazuh sunucusu tarafından oluşturulan uyarıları depolayıp dizinlediği için günlük analizinde kritik öneme sahiptir. Bu uyarılar JSON belgeleri olarak depolanır.

Wazuh dizinleyicisi, JSON belgelerini parçalar adı verilen birkaç kapsayıcıda depolayarak ve parçaları birden fazla düğüme dağıtarak yedekliliği garanti eder. Bu uygulama, donanım arızaları veya siber saldırılar meydana geldiğinde kesintiyi önler ve düğümler bir kümeye eklendikçe sorgu kapasitesini artırır.

Wazuh, çeşitli olay türlerini depolamak için dört endeks kullanır:

• wazuh-alerts, bir olay yeterince yüksek önceliğe sahip bir kuralı tetiklediğinde Wazuh sunucusu tarafından oluşturulan uyarıları depolar. Aşağıdaki görüntü, Wazuh panosunun Discoverwazuh-alerts-* modülündeki uyarıları gösterir. Dizin deseni varsayılan olarak olarak ayarlanmıştır .

  

• wazuh-archives dizini, uyarı tetikleyip tetiklemediklerine bakılmaksızın Wazuh sunucusundan alınan tüm olayları depolar. Wazuh arşivleri, izlenen uç noktalarda gerçekleşen olaylara dair daha derin bir içgörü sunan günlük tutma ve sorgulama yeteneklerini etkinleştirmek için bu dizini kullanır. Wazuh arşivleri, tüm günlükleri depolamak için gereken büyük depolama gereksinimleri nedeniyle varsayılan olarak devre dışıdır. Aşağıdaki görüntü, dizin deseni olarak ayarlanmış Wazuh panosunun Keşfetwazuh-archives-* bölümündeki arşivlenmiş olayları gösterir.

   

  

   

• wazuh-monitoring dizini, belirli bir zaman dilimi boyunca Wazuh aracılarının durumuyla ilgili verileri depolar. Aracın durumu Active, Disconnected, veya olabilir . Bu bilgi, birkaç nedenden dolayı panoya rapor vermeyen ve araştırılması gereken Wazuh aracılarını izlemek için çok faydalıdır. Aşağıdaki görüntü, Wazuh panosundaki araçların bağlantı durumunu gösterir. Görüntüde gösterildiği gibi aracı bilgileri dizinden toplanır .Never connectedwazuh-monitoring

  
  
  

• wazuh-statistics endeksi, Wazuh sunucusuyla ilgili performans verilerini depolar. Bu bilgi, Wazuh sunucusunun mevcut bilgi işlem kaynaklarıyla en iyi şekilde performans göstermesini sağlamak için kritik öneme sahiptir. Aşağıdaki görüntü, Wazuh panosundaki performansla ilgili olayları gösterir.

  
  

  

   

Günlük verilerinin sorgulanması ve görselleştirilmesi

Wazuh panosu, günlük veri sorgulama ve görselleştirme yetenekleri sunar. Panonun sezgisel arayüzünden yararlanarak Wazuh tarafından toplanan günlük verilerinden anlamlı içgörüler çıkarmak için karmaşık aramalar ve sorgular gerçekleştirebilirsiniz.

Wazuh, güvenlik izleme ve uyumluluk kullanım örneklerine özel olarak uyarlanmış, kullanıma hazır bir dizi önceden tanımlanmış pano ve görselleştirme sunar. Bu panolar, başarısız oturum açmalar, kötü amaçlı yazılım tespiti ve sistem anormallikleri gibi yaygın güvenlik olaylarına ilişkin içgörüler sağlar. Bu panoları özel ihtiyaçlarınıza ve gereksinimlerinize uyacak şekilde daha da özelleştirebilirsiniz. Aşağıda, En İyi 5 PCI DSS Gereksinimi , En İyi 5 uyarı ve Uyarı grupları evrimi gibi çeşitli ilginç bilgileri gösteren Güvenlik olayı panosunun örnek bir görüntüsü bulunmaktadır .

Wazuh panosu kullanıcıların günlük girişlerini gerçek zamanlı olarak incelemesini, çeşitli filtreler uygulamasını ve belirli olaylara veya zaman aralıklarına ayrıntılı olarak bakmasını sağlar. Bu esneklik, güvenlik analistlerinin ortamlarındaki eğilimleri, anormallikleri ve olası güvenlik olaylarını belirlemesine olanak tanır.

Wazuh, kullanıcıların temel performans göstergelerini, güvenlik ölçümlerini ve kritik sistemlerin ve uygulamaların gerçek zamanlı izlenmesini görüntüleyen özelleştirilmiş panolar oluşturmasına olanak tanır . Kullanıcılar, pasta grafikleri, çizgi grafikler ve ısı haritaları gibi birden fazla görselleştirmeyi tek bir panoda bir araya getirerek altyapılarının güvenlik duruşuna dair bütünsel bir görünüm sağlayabilir.

Kapsamlı Görünürlük Elde Edin

Güvenlik Açığı Algılama modülü, izlenen uç noktada yüklü işletim sistemi ve uygulamalarda keşfedilen güvenlik açıkları için uyarılar üretir. Wazuh aracısı tarafından toplanan yazılım envanterini güvenlik açığı içerik belgeleriyle ilişkilendirir ve üretilen uyarıyı Wazuh panosunda görüntüler. Bu, izlenen tüm uç noktalarda tanımlanan güvenlik açıklarının net ve kapsamlı bir görünümünü sağlayarak güvenlik açıklarını görüntülemenize, analiz etmenize ve düzeltmenize olanak tanır.

Güvenlik açığı algılama panosu, paket adı, işletim sistemi, aracı adı, güvenlik açığı kimliği ve uyarı ciddiyeti gibi farklı kategorilerdeki oluşum sıklığını gösterir. Bu, analistlerin odaklarını uygun şekilde yönlendirmelerine olanak tanır.

Yeni güvenlik açıkları keşfedildiğinde panoda oluşturulan uyarıları görüntüleyebilirsiniz.

Panoda oluşturulan uyarılar aynı zamanda düzeltme faaliyetlerinin bir sonucu da olabilir. Aşağıdaki görüntü, bir paketin yükseltilmesi veya kaldırılmasının bir güvenlik açığını çözmesinden sonra oluşturulan uyarıları gösterir.

Güvenlik Açığı Uyarılarından Eyleme Dönüştürülebilir İstihbarat Elde Edin

Wazuh güvenlik açığı uyarıları, kullanıcıların düzeltme adımlarını anlamalarına ve karar vermelerine yardımcı olabilecek, tanımlanan güvenlik açığı hakkında ilgili bilgileri içerir. Aşağıda bir güvenlik açığı algılama uyarısı örneğini görebilirsiniz:

{
 "_index": "wazuh-alerts-4.x-sample-threat-detection",
 "_id": "e2ffSY8Be9PWdpLhA_nt",
 "_version": 1,
 "_score": null,
 "_source": {
   "predecoder": {},
   "cluster": {
     "name": "wazuh"
   },
   "agent": {
     "ip": "197.17.1.4",
     "name": "Centos",
     "id": "005"
   },
   "manager": {
     "name": "wazuh-server"
   },
   "data": {
     "vulnerability": {
       "severity": "Medium",
       "package": {
         "condition": "Package less or equal than 2.1.7.3-2",
         "name": "cryptsetup",
         "version": "2:1.6.6-5ubuntu2.1",
         "architecture": "amd64"
       },
       "references": [
         "http://hmarco.org/bugs/CVE-2016-4484/CVE-2016-4484_cryptsetup_initrd_shell.html",
         "http://www.openwall.com/lists/oss-security/2016/11/14/13",
         "http://www.openwall.com/lists/oss-security/2016/11/15/1",
         "http://www.openwall.com/lists/oss-security/2016/11/15/4",
         "http://www.openwall.com/lists/oss-security/2016/11/16/6",
         "http://www.securityfocus.com/bid/94315",
         "https://gitlab.com/cryptsetup/cryptsetup/commit/ef8a7d82d8d3716ae9b58179590f7908981fa0cb",
         "https://nvd.nist.gov/vuln/detail/CVE-2016-4484",
         "http://people.canonical.com/~ubuntu-security/cve/2016/CVE-2016-4484.html",
         "https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-4484"
       ],
       "cve_version": "4.0",
       "assigner": "cve@mitre.org",
       "published": "2017-01-23",
       "cwe_reference": "CWE-287",
       "title": "CVE-2016-4484 on Ubuntu 16.04 LTS (xenial) - low.",
       "rationale": "The Debian initrd script for the cryptsetup package 2:1.7.3-2 and earlier allows physically proximate attackers to gain shell access via many log in attempts with an invalid password.",
       "cve": "CVE-2016-4484",
       "state": "Fixed",
       "bugzilla_references": [
         "https://launchpad.net/bugs/1660701"
       ],
       "cvss": {
         "cvss2": {
           "base_score": "7.200000",
           "vector": {
             "integrity_impact": "complete",
             "confidentiality_impact": "complete",
             "availability": "complete",
             "attack_vector": "local",
             "access_complexity": "low",
             "authentication": "none"
           }
         },
         "cvss3": {
           "base_score": "6.800000",
           "vector": {
             "user_interaction": "none",
             "integrity_impact": "high",
             "scope": "unchanged",
             "confidentiality_impact": "high",
             "availability": "high",
             "attack_vector": "physical",
             "access_complexity": "low",
             "privileges_required": "none"
           }
         }
       },
       "updated": "2017-01-26"
     }
   },
   "@sampledata": true,
   "rule": {
     "firedtimes": 290,
     "mail": false,
     "level": 7,
     "pci_dss": [
       "11.2.1",
       "11.2.3"
     ],
     "tsc": [
       "CC7.1",
       "CC7.2"
     ],
     "description": "CVE-2016-4484 affects cryptsetup",
     "groups": [
       "vulnerability-detector"
     ],
     "id": "23504",
     "gdpr": [
       "IV_35.7.d"
     ]
   },
   "location": "vulnerability-detector",
   "id": "1580123327.49031",
   "decoder": {
     "name": "json"
   },
   "timestamp": "2024-05-05T17:44:08.518+0000"
 },
 "fields": {
   "data.vulnerability.published": [
     "2017-01-23T00:00:00.000Z"
   ],
   "data.vulnerability.updated": [
     "2017-01-26T00:00:00.000Z"
   ],
   "timestamp": [
     "2024-05-05T17:44:08.518Z"
   ]
 },
 "highlight": {
   "manager.name": [
     "@opensearch-dashboards-highlighted-field@wazuh-server@/opensearch-dashboards-highlighted-field@"
   ],
   "rule.groups": [
     "@opensearch-dashboards-highlighted-field@vulnerability-detector@/opensearch-dashboards-highlighted-field@"
   ]
 },
 "sort": [
   1714931048518
 ]
}

Yukarıda görebileceğiniz gibi, uyarı tespit edilen güvenlik açığı hakkında önemli bilgiler içerir. Bu bilgiler CVE bilgilerini, daha fazla araştırma için referans bağlantılarını ve güvenlik açığının özlü bir açıklamasını sağlayan bir açıklamayı içerir.

Güvenlik Açığının Giderilmesini Takip Edin

Wazuh Vulnerability Detection modülü ayrıca bir güvenlik açığının ne zaman giderildiğini onaylamanıza olanak tanır. Bu özellik, bir yama veya yazılım yükseltmesinin daha önce tespit edilen bir güvenlik açığını çözdüğünü algılar. Bu özellik, düzeltmeler seçeneği kullanılarak etkinleştirilir ve Windows uç noktaları için kullanılabilir.

Kritik Güvenlik Sorunlarını Belirlemek İçin Güvenlik Açığı Raporlarını Kullanın

Wazuh, kullanıcılara keşfedilen ve çözülen güvenlik açıklarıyla ilgili güvenlik olaylarını içeren bir raporu indirme olanağı sağlar. Bu özellik, kullanıcıların çözülmemiş güvenlik açıkları olan uç noktaları belirlemesine ve düzeltme etkinliklerini takip etmesine olanak tanır.

Wazuh Aktif Tepki modülü

Wazuh Aktif Tepki modülü, kullanıcıların uç noktalarda olaylar algılandığında otomatik eylemler yürütmesine olanak tanır. Bu, bir organizasyonun olay yanıtlama süreçlerini iyileştirerek güvenlik ekiplerinin algılanan tehditlere karşı anında ve otomatik eylemler gerçekleştirmesini sağlar.

Eylemleri durumsuz veya durumlu olacak şekilde de yapılandırabilirsiniz. Durumsuz etkin yanıtlar tek seferlik eylemlerdir, durumlu yanıtlar ise bir süre sonra eylemlerini geri alır.

Wazuh ile olay müdahalesini otomatikleştirme

Wazuh Active Response modülünden yararlanmak için, izlenen bir uç noktada belirli bir olay meydana geldiğinde gerçekleştirilecek eylemi yapılandırmanız gerekir . Örneğin, Wazuh Active Response modülünü enfekte bir uç noktadan kötü amaçlı bir yürütülebilir dosyayı silecek şekilde yapılandırabilirsiniz. Aşağıdaki örneklerde, Wazuh Active Response modülünün farklı olayları nasıl ele aldığını gösteriyoruz.

Kötü amaçlı yazılımları kaldırma

Kötü amaçlı dosyaları bir uç noktadan tespit etmek ve kaldırmak için Wazuh Active Response modülünü Dosya Bütünlüğü İzleme modülü ve VirusTotal entegrasyonuyla birlikte kullanabilirsiniz .

Aşağıdaki görselde şu aktiviteler gösterilmektedir:

1. Wazuh Dosya Bütünlüğü İzleme modülü ile izlenen dizine 554bir dosya eklendiğinde Kural Kimliği tetiklenir.Downloads

2. Kural Kimliği, 87105Wazuh dosya karmasını çıkardığında, API'si aracılığıyla VirusTotal veritabanından dosya karması hakkında veri istediğinde ve kötü amaçlı bir dosya yanıtı aldığında tetiklenir.

3. Wazuh Dosya Bütünlüğü İzleme modülü ile izlenen dizinden 553bir dosya silindiğinde Kural Kimliği tetiklenir.Downloads

4. Kural Kimliği, 110006Wazuh Active Response modülü kötü amaçlı dosyayı uç noktadan sildiğinde tetiklenir.

Bu senaryoda, Wazuh Active Response modülü kötü amaçlı dosyayı otomatik olarak kaldırarak tehdit tespiti ile azaltma arasındaki süreyi kısaltır.

 

DoS saldırılarına yanıt verme

Bir DoS saldırısının birincil amacı, hedefi meşru kullanıcılar için erişilemez hale getirerek hizmet reddi oluşturmaktır. Aşağıdaki görüntüde, Wazuh Active Response modülünün Ubuntu uç noktasındaki bir web sunucusuna karşı DoS gerçekleştiren kötü amaçlı IP adreslerini nasıl engellediğini gösteriyoruz.

Düzenleyici uyumluluk, hükümet organları, endüstri düzenleyicileri veya diğer yetkililer tarafından belirlenen yasaları, kuralları, düzenlemeleri ve standartları takip etmek anlamına gelir. Kuruluşların, iş operasyonlarının bütünlüğünü korumak ve hassas verileri korumak için düzenleyici uyumluluğa uymaları gerekir.

Düzenleyici gerekliliklere uymak, bir organizasyonun siber güvenlik çerçevesinin önemli bir bileşenini oluşturur. İlgili yasalar, kurallar ve ölçütlerle uyum sağlayarak, kuruluşlar bilgi kaynaklarını koruyabilir ve güvenlik ihlalleri olasılığını azaltabilir.

Wazuh, uyumluluğun uygulanması için çeşitli yetenekler sunar, bunlar arasında şunlar yer alır:

• Dosya Bütünlüğü İzleme (FIM).

• Güvenlik Yapılandırma Değerlendirmesi (SCA).

• Güvenlik açığı tespiti.

• Kötü amaçlı yazılım tespiti.

• Olay tepkisi.

Wazuh, PCI DSS, HIPAA, NIST 800-53, TSC ve GDPR çerçeveleri ve standartları için uyumluluk etiketlerine göre eşlenen kullanıma hazır kural kümeleri sağlar.

Wazuh, özel kurallar oluşturmanıza ve bunları ihtiyaçlarınıza uygun uyumluluk standartlarına etiketlemenize olanak tanır. Aşağıdaki bölüm, desteklenen standartlar için kullanım durumlarını ayrıntılı olarak açıklar.

PCI DSS

PCI DSS (Ödeme Kartı Endüstrisi Veri Güvenliği Standardı), kart verilerini işleyen, depolayan ve ileten işletmelerin uyması gereken güvenlik kriterlerini ana hatlarıyla belirtir. Bu standart, kart sahibi verilerini çevreleyen güvenlik önlemlerini sıkılaştırmak ve ödeme kartı endüstrisindeki dolandırıcılığı azaltmak için tasarlanmıştır.

Ödeme kartı endüstrileri, PCI DSS uyumluluğunu güçlendirmek için Wazuh yeteneklerinden yararlanabilir. Kullanıcılar, bu yetenekleri, standart tarafından belirtildiği gibi belirli iş ihtiyaçlarıyla uyumlu hale getirmek için özelleştirebilir. Örneğin, maskelenmemiş bir Birincil Hesap Numarasının (PAN) varlığını algılayan gümrük kuralları oluşturarak bir PAN taraması yapmak için Wazuh'u kullanabilirsiniz .

Wazuh'un kuruluşların PCI DSS standardını karşılamasına nasıl yardımcı olduğu hakkında daha fazla bilgi edinebilirsiniz .

GDPR

Avrupa Birliği tarafından geliştirilen Genel Veri Koruma Yönetmeliği (GDPR), kıta genelinde veri gizliliği yasalarını uyumlu hale getirmeyi amaçlamaktadır. Avrupa Birliği vatandaşlarının verilerinin korunması başlıca önceliğidir. GDPR çerçevesi, kullanıcı veri gizliliğini artırmayı ve Avrupa Birliği'nin ve AB vatandaşlarının verilerini işleyen kuruluşların veri gizliliğini nasıl ele aldığını değiştirmeyi amaçlamaktadır.

Wazuh, farklı siber saldırı türlerini, yanlış yapılandırılmış sistemleri, güvenlik açıklarını ve politika ihlallerini tanımlamak için varsayılan kurallar ve kod çözücülerle birlikte gelir. Bu olaylar ilgili GDPR gerekliliklerine etiketlenir. Wazuh'un kuruluşların GDPR düzenleme uyumluluğunu karşılamasına nasıl yardımcı olduğu hakkında daha fazla bilgi bulabilirsiniz .

HIPAA

Sağlık Sigortası Taşınabilirliği ve Sorumluluk Yasası, sağlık kuruluşlarının ve organizasyonlarının hassas hasta sağlık bilgilerinin yetkisiz ifşasını önlemesini sağlayan yasal bir çerçevedir. Sağlık Sigortası Taşınabilirliği ve Sorumluluk Yasası (HIPAA), sağlık hizmetlerinin verimliliğini artırmak için sağlık bilgilerinin işlenmesine ilişkin yönergeler ve prosedürler belirler. Elektronik sağlık hizmetleri işlemleri için yönergeler ve güvenlik ve ayırt edici sağlık kimliği standartları içerir.

HIPAA çerçevesi, bu bilgilerin gizliliği ve güvenliği üzerinde etkisi olan teknolojik gelişmeler nedeniyle sağlık bilgileri için federal gizlilik korumaları gerektirmektedir.

Kuruluşlar, Wazuh FIM modülünü kullanarak PII (kişisel olarak tanımlanabilir bilgiler) ve diğer gizli belgelere erişimi ve bunlarda yapılan değişiklikleri izleyebilir .

Wazuh'un kuruluşların HIPAA çerçevesini karşılamalarına nasıl yardımcı olduğu hakkında daha fazla bilgi bulabilirsiniz .

Aşağıdaki görüntü, izlenen bir uç noktada bir dosyanın oluşturulmasını ve silinmesini göstermektedir.

NIST 800-53

Ulusal Standartlar ve Teknoloji Enstitüsü (NIST) 800-53, Federal Bilgi Sistemleri ve Kuruluşları için Güvenlik ve Gizlilik Kontrolleri olarak bilinir. Daha büyük NIST Özel Yayını 800 serisinin önemli bir bileşenidir.

NIST 800-53, federal kuruluşlar ve ajanslar için bilgi güvenliği ve gizliliğini yönetmeye yönelik öneriler sunar. Kuruluşların hassas verileri korurken bilgi sistemlerini ve verilerini çeşitli tehditlerden korumasına yardımcı olur.

Güvenlik açığı tespit modülü sonuçlarını, izlenen uç noktadaki güvenlik açığı uygulamalarını ve paketlerini içeren Wazuh panosunda görüntüleyebilirsiniz . Wazuh'un kuruluşların NIST 800-53 standardını karşılamalarına nasıl yardımcı olduğu hakkında daha fazla bilgi bulabilirsiniz .

TŞK

Güven Hizmetleri Kriterleri, AICPA'nın Güvence Hizmetleri Yürütme Komitesi (ASEC) tarafından geliştirilmiştir. TSC'nin güvenlik, kullanılabilirlik, işlem bütünlüğü, gizlilik ve mahremiyet olmak üzere beş güven hizmeti alanı vardır. Kuruluşlar, müşteri verilerini yetkisiz erişim, kullanım, ifşa, değişiklik veya imhadan korumak için TSC'yi uygular.

Wazuh, kuruluşlara bilgi güvenliği politikalarının etkinliğini değerlendirmeleri ve raporlamaları için standart bir yol sağlayan TSC Ortak Kriterleri için kullanıma hazır etiketler sağlar. Wazuh'un kuruluşların TSC uyumluluğunu nasıl karşılamasına yardımcı olduğu hakkında daha fazla bilgi bulabilirsiniz .

Aşağıdaki resim, Wazuh'un kuruluşların CC7.2 - Olaylara işaret eden tüm düzensiz faaliyetlerin sürekli izlenmesini gerektiren - karşılamalarına yardımcı olduğu bazı Ortak kriterleri göstermektedir .

Sistem Envanteri

Güncel bir sistem envanteri, kuruluşların ortamlarındaki varlık görünürlüğünü optimize etmelerine yardımcı olur ve iyi bir BT hijyeni sağlamak için olmazsa olmazdır. Wazuh, donanım ve işletim sistemi bilgileri, yüklü yazılımlar, ağ arayüzleri, bağlantı noktaları ve çalışan süreçleri içeren sistem envanter verilerini toplar. Wazuh aracıları, izlenen uç noktalardan envanter verilerini toplamak ve bunları Wazuh sunucusuna göndermek için Syscollector modülünü kullanır.

Wazuh panosundaki Envanter veri modülünden sistem envanter raporları oluşturabilirsiniz . Raporda yer alan bilgiler istenmeyen uygulamaları, süreçleri, hizmetleri ve kötü amaçlı eserleri belirlemeye yardımcı olur.

İzlenen bir uç nokta için özelliğe özgü raporlar da üretebilirsiniz. Örneğin, izlenen bir uç noktada yüklü yazılımların listesini veya çalışan işlemlerin listesini içeren bir rapor alabilirsiniz.

Toplanan envanter verileri, JSON biçiminde iç içe geçmiş verileri alan Wazuh API'si kullanılarak sorgulanabilir . Örneğin, Wazuh panosundaki Sunucu yönetimi > Geliştirme Araçlarıwazuh-agent modülünü kullanarak izlenen bir uç noktada paketi kontrol etmek için paket envanterini sorgulayabilirsiniz . cURL gibi komut satırı araçları da envanter veritabanını sorgulamak için kullanılabilir.

Güvenlik Yapılandırma Değerlendirmesi

İyi BT hijyeni uygulamanın hedeflerinden biri, kuruluşunuzun saldırı yüzeyini azaltmaktır. Wazuh SCA modülü, güvenlik yanlış yapılandırmalarını ve kusurlarını belirlemek için izlenen uç noktaları İnternet Güvenliği Merkezi (CIS) kıyaslamalarına dayalı politikalara göre düzenli olarak tarar. CIS kıyaslamaları, kritik varlıklar için güvenli bir temel yapılandırma oluşturmak için temel yönergelerdir. Bu, yanlış yapılandırmalardan kaynaklanan güvenlik açıklarını en aza indirir ve güvenlik ihlalleri riskini azaltır.

Wazuh panosundaki Yapılandırma Değerlendirme modülü her bir aracının SCA tarama sonucunu sağlar. Sonuçlar uç noktada gerçekleştirilen kontrol sayısını, başarısız olanların sayısını ve geçen kontrollerin sayısını gösterir. Ayrıca, geçilen test sayısına göre hesaplanan bir puan gösterir ve size uyumluluk düzeyine ilişkin genel bir bakış sunar.

Wazuh panosundan geçen ve başarısız olan kontrolleri görüntülemek için daha fazla içgörü elde edebilirsiniz. Ayrıca, düzeltme faaliyetlerine yardımcı olmak için bir CSV raporu oluşturabilir ve böylece uç nokta güvenlik duruşunu iyileştirebilirsiniz.

Wazuh panosunda, gerekçe, düzeltme adımları ve uç noktada gerçekleştirilen kontrollerin açıklaması gibi bilgileri görebilirsiniz. Bu bilgiler Wazuh tarafından oluşturulan raporda yer almaktadır.

Yukarıdaki SCA tarama sonucu, uç noktanın cramfs dosya sistemini bağlamanıza izin vermesi nedeniyle bir başarısızlığa işaret ediyor. Güvenlik duruşunu iyileştirmek için raporda önerilen düzeltmeyi uygulayabilirsiniz.

Güvenlik Açığı Yönetimi

Güvenlik açığı yönetimi, siber saldırıları önlemek için güvenlik açıklarını tespit edip gidermeyi amaçlar. Güvenlik açıklarını gidermek için proaktif adımlar atarak kuruluşunuz saldırı yüzeyini önemli ölçüde azaltabilir ve böylece BT hijyenini iyileştirebilir.

Wazuh güvenlik açığı tespit modülü, Wazuh CTI'mızda bulunan güvenlik açığı bilgilerini kullanarak güvenlik açığı bulunan uygulamaları belirler . Güvenlik açığı tespit modülü, izlenen uç noktalarda keşfedilen güvenlik açıkları için uyarılar üretir. Bu, izlenen tüm uç noktalarda tanımlanan güvenlik açıklarının kapsamlı bir görünümünü sağlayarak güvenlik açıklarının düzeltilmesini görüntülemenize, analiz etmenize, düzeltmenize ve takip etmenize olanak tanır.

Keşfedilen güvenlik açıkları önem düzeylerine göre gruplandırılır ve Wazuh panosunda uygulama adı, CVE ve CVSS3 puanına göre bir özet sağlanır.

Wazuh panosundan izlenen bir uç noktada keşfedilen ve çözülen güvenlik açıklarıyla ilgili güvenlik olaylarını içeren bir rapor indirebilirsiniz. Bu özellik, çözülmemiş güvenlik açıkları olan uç noktaları belirlemenizi ve düzeltme etkinliklerini takip etmenizi sağlar.

Wazuh güvenlik açığı tespit modülü ayrıca, BT hijyenini iyileştirme veya sürdürme konusunda bir ilerleme raporu olarak hizmet edebilecek düzeltme faaliyetlerini izlemenizi sağlar. Örneğin, bir güvenlik açığı giderildiğinde, Wazuh panosunda bir uyarı oluşturulur. Bu özellik, bir yama veya yazılım yükseltmesinin daha önce tespit edilen bir güvenlik açığını çözdüğünü tespit eder.

Kötü amaçlı yazılım tespiti

Kötü amaçlı yazılım tespiti, bilgisayar sistemlerini ve ağlarını siber tehditlerden korumak için olmazsa olmazdır. Kuruluşlar, veri ihlallerine, sistem ihlallerine ve finansal kayıplara neden olabilecek kötü amaçlı yazılımları belirleyip azaltarak BT hijyenlerini iyileştirebilir.

Wazuh, kötü amaçlı yazılım modellerini tanımak ve hızlı yanıt için uyarıları tetiklemek üzere tasarlanmış, kullanıma hazır bir kurallar seti sunar. Wazuh ayrıca güvenlik analistlerinin ortamlarına göre uyarlanmış özel kurallar oluşturmalarına olanak tanır ve böylece kötü amaçlı yazılım algılama çabalarını optimize eder. Örneğin, Wazuh kullanarak Vidar bilgi hırsızı kötü amaçlı yazılımını algılamak için özel kurallar oluşturduk .

<group name="windows,sysmon,vidar_detection_rule,">
<!-- Vidar downloads malicious DLL files on victim endpoint -->
  <rule id="100084" level="10">
    <if_sid>61613</if_sid>
    <field name="win.eventdata.image" type="pcre2">(?i)\\\\.+(exe|dll|bat|msi)</field>
    <field name="win.eventdata.targetFilename" type="pcre2">(?i)\\\\ProgramData\\\\(freebl3|mozglue|msvcp140|nss3|softokn3|vcruntime140)\.dll</field>
    <description>Possible Vidar malware detected. $(win.eventdata.targetFilename) was downloaded on $(win.system.computer)</description>
    <mitre>
      <id>T1056.001</id>
    </mitre>
  </rule>
<!-- Vidar loads malicious DLL files -->
  <rule id="100085" level="12">
    <if_sid>61609</if_sid>
    <field name="win.eventdata.image" type="pcre2">(?i)\\\\.+(exe|dll|bat|msi)</field>
    <field name="win.eventdata.imageLoaded" type="pcre2">(?i)\\\\programdata\\\\(freebl3|mozglue|msvcp140|nss3|softokn3|vcruntime140)\.dll</field>
    <description>Possible Vidar malware detected. Malicious $(win.eventdata.imageLoaded) file loaded by $(win.eventdata.image)</description>
    <mitre>
      <id>T1574.002</id>
    </mitre>
  </rule>
<!-- Vidar deletes itself or a malicious process it creates -->
  <rule id="100086" level="7" frequency="5" timeframe="360">
    <if_sid>61603</if_sid>
    <if_matched_sid>100085</if_matched_sid>
    <field name="win.eventdata.image" type="pcre2">(?i)\\\\cmd.exe</field>
    <match type="pcre2">cmd.exe\\" /c timeout /t \d{1,}.+del /f /q \\".+(exe|dll|bat|msi)</match>
    <description>Possible Vidar malware detected. Malware deletes $(win.eventdata.parentCommandLine)</description>
    <mitre>
      <id>T1070.004</id>
    </mitre>
  </rule>
</group>

Yukarıdaki kurallar, Vidar infostealer zararlı yazılımının belirli davranışlarını tespit eder ve kontrol panelinde uyarıları tetikler.

Wazuh , VirusTotal, MISP ve daha fazlası gibi tehdit istihbarat kaynaklarıyla entegre olarak kötü amaçlı yazılım tespit yeteneklerini artırır . Wazuh ayrıca ClamAV ve Windows Defender gibi üçüncü taraf kötü amaçlı yazılım tespit araçlarının entegre edilmesi için destek sunar . Wazuh, üçüncü taraf kötü amaçlı yazılım tespit araçlarından günlükleri toplayarak ve analiz ederek güvenlik analistlerine merkezi bir izleme platformu sağlar. Wazuh, üçüncü taraf araçlardan gelen çeşitli tehdit istihbaratlarını birleştirerek kötü amaçlı yazılım tespitinde verimliliği artırır ve böylece kuruluşun BT hijyenini iyileştirir.

Aşağıdaki görüntü, Wazuh sunucusu tarafından işlenen VirusTotal olayına ait uyarıyı göstermektedir.

Wazuh, kötü amaçlı yazılımları tespit etmek için tehlike göstergeleri (IOC'ler) içeren CDB listelerini (sabit veritabanları) kullanır . Bu listeler, dosya karmaları, IP adresleri ve etki alanı adları gibi bilinen kötü amaçlı yazılım IOC'lerini içerir. Wazuh, tanımlanan IOC'leri CDB listelerinde depolanan bilgilerle karşılaştırarak kötü amaçlı dosyaları proaktif olarak belirler.

Mevzuata Uygunluk

Düzenleyici standartlar, müşteri güvenini ve işletme itibarını iyileştirmeye yardımcı olmak için en iyi iş uygulamaları için küresel bir ölçüt sağlar. Düzenleyici standartlara uyum, kuruluşların BT hijyenlerini geliştirmelerine de yardımcı olur.

Wazuh , PCI DSS, HIPAA, GDPR ve diğerleri gibi endüstri standartlarının gereksinimlerini karşılayan sağlam bir çözüm sunarak düzenleyici uyumluluk yükümlülüklerini karşılama sürecini kolaylaştırır .

Wazuh, uyumluluk ihlallerini belirlemek ve raporlamak için SCA , güvenlik açığı tespiti , FIM ve daha fazlası gibi yeteneklerini kullanır . Ayrıca uyumluluk durumunu izlemeye, iyileştirme alanlarını belirlemeye ve uygun düzeltme eylemlerini gerçekleştirmeye yardımcı olmak için özel uyumluluk panoları sağlar.

Örneğin, Wazuh panosunda izlenen bir uç noktanın PCI DSS gereksinimine ilişkin genel bir bakış elde edebilirsiniz.

Denetimler sekmesinden, politika ihlallerinin nerede meydana geldiğini bulmak için bireysel PCI DSS gereksinimlerine ayrıntılı olarak bakabilirsiniz .

Aşağıdaki görselde PCI DSS Gereksinimi 11.2.1'i ihlal eden güvenlik açıkları için oluşturulan uyarılar gösterilmektedir .

Bu özellik GDPR, TSC, HIPAA ve NIST-800-53 gibi diğer uyumluluk standartları için de mevcuttur.

Konteyner güvenliği, konteynerleri ve uygulamalarını güvenlik tehditlerine karşı korumaya odaklanan bir BT uygulamasıdır. Kuruluşlar, böyle bir ortamda sağlam güvenlik önlemleri uygulayarak hem konteynerlerin hem de içerdikleri uygulamaların kullanımına ilişkin görünürlük elde edebilirler.

Konteynerler, uygulama kodu, çalışma zamanı ve bağımlılıklarla hafif, izole ortamlar sunar. Hem şirket içinde hem de bulutta uygulamaları dağıtmak ve ölçeklendirmek için yaygın olarak kullanılırlar. Konteyner uygulamaları ve altyapı daha popüler hale geldikçe, bunları olası tehditlerden korumak önemli hale gelir.

Konteyner güvenliği için Wazuh

Wazuh, Docker ve Kubernetes gibi konteyner platformlarıyla entegre olur ve konteyner çalışma zamanı olaylarını, uygulama günlüklerini ve genel konteyner sağlığını etkin bir şekilde izler. Wazuh, konteyner günlüklerini önceden tanımlanmış kurallara göre değerlendirerek anormallikleri belirler. Ayrıca, konteynerleştirilmiş bir ortamda yetkisiz etkinlikleri tespit etmek için konteyner motoru eylemlerinin bir kaydını tutar. Ayrıca, bir kuruluşta performans darboğazlarını önlemek için sağlık ölçümlerini de izler.

Wazuh konteyner güvenlik özellikleri, konteyner çalışma zamanlarını izleme, konteynerleştirilmiş uygulama günlüklerini takip etme, konteyner kaynak kullanımını izleme, merkezi günlük kaydı ve konteyner uyarı bildirimlerini içerir. Bu kapsamlı yetenekler seti güvenliği artırır ve olay yanıtını kolaylaştırır.

Konteyner çalışma zamanı izleme

Kuruluşlar, konteyner olaylarını izleyerek konteynerleştirilmiş uygulamalarının güvenliğini artırabilir. Önceden tanımlanmış kurallar tarafından tetiklenen uyarılara derhal yanıt vererek beklenmeyen davranışları proaktif bir şekilde ele alabilirler. Wazuh ayrıca konteyner motoru etkileşimlerine ilişkin içgörü sağlar ve konteynerleştirilmiş uygulamalardaki düzensizlikleri tespit eder.

Konteyner motorunun izlenmesi

Wazuh, Docker dinleyici modülü aracılığıyla Docker motoru tarafından gerçekleştirilen gerçek zamanlı olayları yakalar . Bu, hiçbir önemli Docker olayının veya işleminin algılanmadan kalmamasını sağlar.

Kullanıcının Docker kaynaklarıyla etkileşiminin izlenmesi, Wazuh'un konteyner motorunun konteynerler ve görüntülerle etkileşimlerine ilişkin görünürlüğü nasıl artırdığını göstermektedir.

Wazuh ayrıca yetkisiz eylemleri ve olası güvenlik ihlallerini belirlemeye yardımcı olmak için Kubernetes kümelerindeki kaynakların oluşturulmasını ve yok edilmesini de izliyor.

Wazuh ile Kubernetes Denetleme blog yazısı, Kubernetes kaynak etkileşimlerinin Wazuh ile nasıl izleneceğini göstermektedir.

Konteynerleştirilmiş uygulama günlüklerinin izlenmesi

Wazuh, kuruluşların konteynerize edilmiş uygulamaları izlemesine olanak tanır. Konteynerde bulunan uygulamalara görünürlük sağlar. Uygulama olayları Wazuh yöneticisine iletildiğinde, Güvenlik mühendisleri kuruluşlarının benzersiz gereksinimleriyle uyumlu özel kurallar oluşturabilir. Bu, konteynerlere ve barındırdıkları uygulamalara genel görünürlüğü artıran oldukça kişiselleştirilmiş bir yaklaşımı kolaylaştırır.

Konteyner çalışma zamanını izleme belgeleri, konteynerleştirilmiş uygulama günlüklerinin izlenmesi hakkında daha fazla bilgi içerir.

Wazuh ile konteyner kaynak kullanımını izleyin

Wazuh, konteynerleştirilmiş uygulamaların kaynak tüketimini izler ve analiz eder. Konteynerlerin CPU, bellek ve ağ kullanım istatistiklerine ilişkin içgörüler sağlayarak performans darboğazlarının belirlenmesine yardımcı olur.

Wazuh, kuruluşların alışılmadık kaynak artışlarını veya tüketim modellerini tespit edip proaktif bir şekilde yanıt vermesini sağlayan özelleştirilebilir uyarılar ve bildirimler sunar.

Wazuh ile Docker konteyner güvenliği izleme hakkındaki blog yazısı, Wazuh'un konteynerleştirilmiş bir ortamda ağ kullanımını nasıl izlediğini göstermektedir.

Konteyner olaylarının merkezi olarak kaydedilmesi ve görselleştirilmesi

Wazuh, konteyner olay günlüğü tutma ve görselleştirmeyi merkezileştirir. Ölçeklenebilir dizinleyicisi, günlükleri güçlü bir arama ve analiz motorunda toplayarak gerçek zamanlı içgörüler sağlar. Bu dizinleyici, olay akışını yönetirken günlük tutma politikaları gibi uyumluluk ihtiyaçlarını da destekler.

Wazuh, kuruluşların konteyner günlüklerini özelleştirilmiş bir panodan görüntülemesini sağlar. Güvenlik uzmanları, ortaya çıkan faaliyetleri takip edip analiz edebilir, tehditleri ve yetkisiz eylemleri hızla belirleyebilir. Bu erken tespit, güvenlik uzmanlarının güvenlik olaylarına ortaya çıktıkça hızla yanıt vermesini sağlayarak riskleri en aza indirmek için aktif bir yaklaşım oluşturur.

Aşağıdaki görselde Wazuh'un özelleştirilmiş konteyner kontrol paneli gösterilmektedir. Burada tüm konteynerlerden gelen etkinlikler sergilenmektedir.

Wazuh ile konteyner uyarı bildirimi

Wazuh, e-posta ve Slack gibi mesajlaşma platformlarıyla entegre olur . Ayrıca, olay yanıtlama ve gerçek zamanlı uyarılar için Jira gibi vaka yönetimi çözümleriyle de entegre olur . Bu, konteynerleştirilmiş ortamlarda olası tehditler veya yetkisiz eylemler meydana geldiğinde güvenlik ekiplerinin derhal bilgilendirilmesini sağlar.

Harici API entegrasyonuna ilişkin dokümantasyon, Integrator daemon'un Wazuh'un harici API'lere ve PagerDuty gibi vaka yönetim sistemleri araçlarına bağlanmasına nasıl olanak sağladığını açıklar .

Bulut Günlük Veri Analizi ve Saklama

Bulut ortamları, güvenlik olaylarını tanımlamak için hayati önem taşıyan büyük miktarda günlük verisi üretir. Wazuh kuralları ve kod çözücüleri, anormal olayları tespit etmek için günlük verilerini ayrıştırmaktan ve analiz etmekten sorumludur. Wazuh, AWS, Azure, Google Cloud, Office 365 ve GitHub gibi çeşitli bulut platformlarından ve hizmetlerinden günlük verilerini toplar ve analiz eder.

Aşağıdaki görsel, bulut altyapısından toplanan olayların eğilimini gösteren Wazuh'taki bir AWS panosunun örneğidir.

Wazuh, buluttaki etkinlikleri izler ve kaydeder ve tüm bulut altyapısındaki kullanıcı eylemlerinin merkezi bir görünümünü sağlar. Wazuh, şüpheli veya yetkisiz etkinlikleri tespit etmek için kullanıma hazır kurallara sahiptir. Kullanıcılar, yerleşik kurallara ek olarak tehdit tespitini birleştirmek için özel kurallar oluşturabilir .

Bulut Tabanlı Uygulamaları Koruyun

Wazuh, bulut tabanlı uygulamalar için güvenlik tehditlerine ve güvenlik açıklarına karşı koruma sağlayarak koruma sağlar. Kubernetes ve Docker gibi konteyner düzenleme platformlarıyla entegre olur ve konteyner etkinliğini gerçek zamanlı olarak izlemesine ve analiz etmesine olanak tanır. Wazuh, şüpheli konteyner davranışlarını, yetkisiz görüntü değişikliklerini ve olası güvenlik yanlış yapılandırmalarını tespit ederek konteynerleştirilmiş uygulamaların genel bütünlüğünü garanti eder.

Aşağıdaki görüntü izlenen bir Docker altyapısından üretilen uyarıları göstermektedir.

Bulutta Güvenlik Operasyonlarını Destekleyin

Wazuh, güvenlik ekiplerinin tehditleri tespit edip yanıtlamalarına, hasarları azaltmalarına ve bulut altyapısı üzerindeki genel etkiyi azaltmalarına olanak tanıyarak bulut ortamlarındaki güvenlik operasyonlarını teşvik eder. Ayrıca Wazuh, kırmızı ve mavi takım faaliyetlerini kolaylaştırır. Platformun özelleştirilebilir kuralları, kuruluşların saldırıları simüle etmelerini ve güvenlik savunmalarını test etmelerini sağlar. Mavi takımlar, kırmızı takım faaliyetlerinden Wazuh'ta elde edilen içgörüleri güvenlik önlemlerini ince ayarlamak ve savunmalarını güçlendirmek için kullanabilir. 

Wazuh'un merkezi günlük kaydı ve raporlama yetenekleri, bulut ortamlarında uyumluluk yönetimini basitleştirir. Denetim izlerini yakalayıp depolayarak, hesap verebilirliği sağlayarak ve güvenlik olaylarının araştırılmasını kolaylaştırarak kuruluşların düzenleyici gereklilikleri karşılamalarına yardımcı olur. Wazuh'un analiz, raporlama ve uyumluluk çabalarına nasıl yardımcı olduğu hakkında daha fazla bilgi için Wazuh dashboard belgelerine bakın.