WAZUH
Tehdit algılama, bütünlük izleme,
olay müdahale ve uyumluluk için ücretsiz, açık kaynaklı ve kurumsal kullanıma
hazır bir güvenlik izleme çözümüdür. Wazuh agent’ları ağdaki endpointlere
kurulduğunda bu endpointlerde (host) neler olup bittiğine dair görünürlük elde
edilmektedir. Linux, Windows ve MacOS işletim sistemlerinde çalışabilmektedir.
Wazuh, Elastic Stack ve OpenSCAP
ile entegre edilerek daha kapsamlı bir çözüm
haline getirilebilmektedir. Entegre edilerek kullanıldığında daha kapsamlı
kurumsal kullanıma uygun güvenlik izleme çözümü haline gelmektedir. Wazuh
sahip olduğu yetenekler ile sisteminiz üzerinde oluşabilecek zayıflıkları,
yetkisiz erişimleri, log analizi, tehdit algılama, bütünlük izleme, olay
müdahale, uyumluluk takibi, dosya bütünlüğü kontrolü, policy monitoring,
rootkit tespiti, Windows kayıt defteri izleme, gerçek zamanlı uyarı ve active
response gibi birçok denetimi gerçekleştirebilirsiniz.
Wazuh’ un Sahip Olduğu Özellikler;
-
Security Analtics (Güvenlik Analitiği);
Wazuh, güvenlik verilerini toplamak, index ve analiz etmek için kullanılır
ve kuruluşların izinsiz girişleri, tehditleri ve davranışsal anormallikleri
tespit etmesine yardımcı olur. Karmaşıklaşan siber tehditlere daha hızlı bir
şekilde algılama ve gelmeden tehdidi savurulabilmesi için gerçek zamanlı izleme
ve güvenlik analizine ihtiyaç vardır bu nedenle gerekli izlemeyi ve yanıt
yetenekleri ve güvenlik istihbaratı sağlanabilmektedir.
-
Intrusion Detection (İzinsiz giriş
tespiti)
Wazuh ajanları, kötü amaçlı yazılım, rootkit ve şüpheli anormallikleri arayan
izlenen sistemleri tarar. Gizlenmiş dosyaları, gizlenmiş işlemleri veya
kayıtsız ağ dinleyicilerini ayrıca sistem çağrısı yanıtlarındaki
tutarsızlıkları tespit edebilirler
-
Log Data Analysis (Günlük Veri Analizi)
Wazuh, işletim sistemi ve uygulama günlüklerini okur ve bunları kural
tabanlı analiz ve depolama için güvenli bir şekilde merkezi bir yöneticiye
iletir.
-
File Integrity Monitoring (Dosya Bütünlüğü İzleme)
Wazuh dosya sistemini izler ve göz önünde bulundurmanız gereken dosyaların
içerik, izinler, sahiplik ve özniteliklerindeki değişikliklerini tanımlar. Ek
olarak dosyaları oluşturmak veya değiştirmek için kullanılan kullanıcıları ve
uygulamaları yerel olarak tanımlar.
-
Vulnerability Detection
(Güvenlik Açığı Tespiti)
Wazuh, yazılım envanter verilerini çeker be bu bilgileri, iyi bilinen
savunmasız yazılımları belirlemek için sürekli güncellenen CVE veri tabanları
ile ilişkilendirildiği sunucuya gönderir.
-
Configuration Assessment (Yapılandırma Değerlendirmesi)
Wazuh, güvenlik politikalarını, standartlarını güçlendirme kılavuzlarınızla
uyumlu olduklarından emin olmak için sistem ve uygulama yapılandırma ayarlarını
izler. Aracılar, savunmasız olduğu, yamalanmadığı veya güvenliği olmayan
şekilde yapılandırıldığı bilinen uygulamaları tespit etmek için periyodik
taramalar gerçekleştirir.
-
Incident Response (Olay Yanıtı)
Wazuh, belirli kriterler karşılandığında bir sisteme erişimin engellenmesi
gibi aktif tehditleri ele almak için çeşitli karşı önlemler gerçekleştirmek
için kullanıma hazır aktif tehditleri ele almak için çeşitli önlemler
gerçekleştirmek için kullanıma hazır aktif yanıtlar sağlar.
-
Regulatory Compliance (Mevzuata uygunluk)
Endüstri standartlarına ve yönetmeliklerine uymak için gerekli kontrolleri
sağlar. PCI, GDPR, KVKK uyumluluğunu kontrol edip oluşturulan logları
etiketleyebilmektedir. Ölçeklenebilirliği ve
çoklu platform desteğiyle birlikte bu özellikler, kuruluşların teknik uyumluluk
gereksinimlerini karşılamasına yardımcı olur.
-
Cloud Security (Bulut Güvenliği)
Bulut sağlayıcılardan güvenlik verilerini çekebilen entegrasyon modüllerini
kullanarak bulut altyapısının API düzeyinde izlenmesine yardımcı olur. Aynı
zamanda kullanılan bulut ortamının konfigürasyonunu değerlendirmek için
kurallar sağlar ve zayıflıkları tespit edebilmektedir.
-
Containers Security (Konteyner Güvenliği)
Docker ana bilgisayar ve konteyner için güvenlik görünürlüğü sağlar,
davranışlarını izler ve tehditleri ve güvenlik açıklıklarını da tespit
edebilmektedir.
Wazuh’un Sunmuş Olduğu Çözümler;
Endpoint Detection and Response (EDR) - Uç Nokta Tespiti ve Yanıtı
Wazuh, sürekli izleme ve gelişmiş
tehditlere yanıt verme ihtiyacını karşılar. Güvenlik analistlerinin birden çok
uç noktada tehditleri ve saldırı kampanyalarını keşfetmesine, araştırmasına ve
bunlara yanıt vermesine yardımcı olmayı, doğru görünürlüğü sağlamaya
odaklanmıştır. Wazuh, temel imza modelini yani gelenekselleşmiş olan koruma
sağlayan antivirüslerden farklı olarak, daha karmaşık saldırıları, gizli
istismar süreçlerinin tespit edilmesine yardımcı olur. Ayrıca Wazuh aracısı,
bir ağ saldırısını engellemek, kötü amaçlı bir işlemi durdurmak veya kötü
amaçlı yazılım bulaşmış bir dosyayı karantinaya almak için kullanılabilecek
etkin yanıt yetenekleri sağlar.
Host-based Intrusion Detection System (HIDS) - Ana Bilgisayar Tabanlı Saldırı Tespit Sistemi
Wazuh, Host Intrusion Detection
System (HIDS) yani Host tabanlı saldırı tespiti olarak da kullanır. Wazuh
aracısı, izinsiz girişleri veya yazılımın kötüye kullanımını tespit etmek için
anormallik ve imza tabanlı teknolojileri birleştiren bir ana bilgisayar
düzeyinde çalışır. Ayrıca, kullanıcı etkinliklerini izlemek, sistem
yapılandırmasını değerlendirmek ve güvenlik açıklarını tespit etmek için de
kullanılabilir.
Compliance & Security Management - Uyumluluk ve
Güvenlik Yönetimi
Wazuh, PCI DSS, HIPAA, GDPR ve
diğerleri gibi standartların gerektirdiği gerekli güvenlik kontrollerini
sağlar. Çözüm, birden çok sistemden gelen verileri toplar ve analiz eder,
güvenlik uyarılarını uyumluluk gereksinimleriyle eşleştirir.
A Comprehensive SIEM Solution - Kapsamlı bir
SIEM çözümü
Wazuh, tehdit algılama, uyum
yönetimi ve olay müdahale yetenekleri sunma becerisiyle verileri toplamak,
analiz etmek ve ilişkilendirmek için kullanılır. Şirket içinde veya hibrit ve
bulut ortamlarında devreye alınabilir
Wazuh Nasıl Çalışır?
Wazuh, altyapınızı izleme,
tehditleri, saldırı girişimlerini, sistem anormalliklerini, kötü
yapılandırılmış uygulamaları ve yetkisiz kullanıcı eylemlerini tespit edebilen
bir güvenlik çözümü sunar. Ayrıca, olay müdahalesi ve mevzuata uygunluk için
bir çerçeve sağlar.
Agent – Manager yönetimiyle
çalışmaktadır yani wazuh bir hosta yani endpointe birde server’a kurulmaktadır.
Wazuh agent (host) almış olduğu logları server’a göndermektedir ve bunlarla
ilgili alarmlar oluşturmaktadır aynı zamanda malware rootkit detection, veya file
intent,on monitöring, regürasyonlar yani PCI, GDPR, KVKK uyumluluğunu kontrol
edip oluşturulan logları etiketleyebilmektedir.
Wazuh ekibi tarafında geliştirilen, Wazuh Bulut tabanlı korumada sağlamaktadır.
Saldırıları gerçek zamanlı olarak önler, tespit eder ve yanıtlamayı sağlar.
Wazuh Cloud, hepsi tek bir platformda olmak üzere, Güvenlik Bilgileri ve Olay
Yönetimi (SIEM) ve Uç Nokta Tespit ve Yanıt (EDR) için bir çözüm sunar.
Agent – Manager Yönetimiyle
Koruma
Wazuh Ajanı
Endponit (agent) tarafına
kurulmaktadır. Wazuh ajanı, tehditleri tespit etmek ve gerektiğinde otomatik
yanıtları tetiklemek amacıyla bir dizi görevi gerçekleştirmek için
tasarlanmıştır. Wazuh ajanı; Windows, Linux, Mac OS X gibi farklı platformda
çalışır. Wazuh sunucusundan yapılandırılabilir ve yönetilebilirler. Aracı temel
yetenekleri şunlardır:
-
Günlük ve olay
verileri toplama
-
Dosya ve kayıt
defteri anahtarlarının bütünlüğünü izleme
-
Çalışan işlemlerin ve
yüklü uygulamaların envanteri
-
Açık bağlantı
noktalarının ve ağ yapılandırmasının izlenmesi
-
Malware tespiti
-
Yapılandırma
değerlendirmesi ve politika izleme
-
Aktif yanıtların
yürütülmesi
Wazuh Sunucusu
Eazuh yönetilecek sunucuya
kurulur (Manager). Wazuh sunucusu, aracılardan alınan verileri analiz etmekten,
olayları kod çözücüler ve kurallar aracılığıyla işlemek ve iyi bilinen IOC'leri
(Indicators Of Compromise) aramak için tehdit istihbaratını kullanmaktan sorumludur.
Tek bir Wazuh sunucusu, yüzlerce veya binlerce aracıdan gelen verileri analiz
edebilir ve küme modunda kurulduğunda yatay olarak ölçeklenebilir. Sunucu
ayrıca aracıları yönetmek, gerektiğinde onları uzaktan yapılandırmak ve
yükseltmek için kullanılır. Ek olarak, sunucu aracılara, örneğin bir tehdit
algılandığında bir yanıtı tetiklemek için emirler gönderebilir.
Elastik Yığın
Wazuh
tarafından oluşturulan uyarılar, indekslendikleri ve saklandıkları Elastic
Stack'e gönderilir. Wazuh ve Kibana (Elastik Yığının bileşenlerinden biri)
arasındaki benzersiz entegrasyon, aracıların yapılandırmasını ve durumunu
yönetmek ve izlemek için de kullanılabilen, veri görselleştirme ve analiz için
güçlü bir kullanıcı ara yüzü sağlar.
Wazuh
web kullanıcı ara yüzü, yasal uyumluluk (örneğin PCI DSS, GDPR, CIS), tespit
edilen savunmasız uygulamalar, dosya bütünlüğü izleme, yapılandırma
değerlendirmesi, güvenlik olayları, bulut altyapısı izleme ve diğerleri için
kullanıma hazır gösterge panolarını içerir.
0 Yorumlar
Yorumunuz için teşekkür ederiz.