WAZUH Nedir?

 

WAZUH

Tehdit algılama, bütünlük izleme, olay müdahale ve uyumluluk için ücretsiz, açık kaynaklı ve kurumsal kullanıma hazır bir güvenlik izleme çözümüdür. Wazuh agent’ları ağdaki endpointlere kurulduğunda bu endpointlerde (host) neler olup bittiğine dair görünürlük elde edilmektedir. Linux, Windows ve MacOS işletim sistemlerinde çalışabilmektedir.

Wazuh, Elastic Stack ve OpenSCAP ile entegre edilerek daha kapsamlı bir çözüm haline getirilebilmektedir. Entegre edilerek kullanıldığında daha kapsamlı kurumsal kullanıma uygun güvenlik izleme çözümü haline gelmektedir. Wazuh sahip olduğu yetenekler ile sisteminiz üzerinde oluşabilecek zayıflıkları, yetkisiz erişimleri, log analizi, tehdit algılama, bütünlük izleme, olay müdahale, uyumluluk takibi, dosya bütünlüğü kontrolü, policy monitoring, rootkit tespiti, Windows kayıt defteri izleme, gerçek zamanlı uyarı ve active response gibi birçok denetimi gerçekleştirebilirsiniz.

 

Wazuh’ un Sahip Olduğu Özellikler;

 

 

-         Security Analtics (Güvenlik Analitiği);

Wazuh, güvenlik verilerini toplamak, index ve analiz etmek için kullanılır ve kuruluşların izinsiz girişleri, tehditleri ve davranışsal anormallikleri tespit etmesine yardımcı olur. Karmaşıklaşan siber tehditlere daha hızlı bir şekilde algılama ve gelmeden tehdidi savurulabilmesi için gerçek zamanlı izleme ve güvenlik analizine ihtiyaç vardır bu nedenle gerekli izlemeyi ve yanıt yetenekleri ve güvenlik istihbaratı sağlanabilmektedir.

 

-         Intrusion Detection (İzinsiz giriş tespiti)

Wazuh ajanları, kötü amaçlı yazılım, rootkit ve şüpheli anormallikleri arayan izlenen sistemleri tarar. Gizlenmiş dosyaları, gizlenmiş işlemleri veya kayıtsız ağ dinleyicilerini ayrıca sistem çağrısı yanıtlarındaki tutarsızlıkları tespit edebilirler

 

-         Log Data Analysis (Günlük Veri Analizi)

Wazuh, işletim sistemi ve uygulama günlüklerini okur ve bunları kural tabanlı analiz ve depolama için güvenli bir şekilde merkezi bir yöneticiye iletir.

 

-         File Integrity Monitoring (Dosya Bütünlüğü İzleme)

Wazuh dosya sistemini izler ve göz önünde bulundurmanız gereken dosyaların içerik, izinler, sahiplik ve özniteliklerindeki değişikliklerini tanımlar. Ek olarak dosyaları oluşturmak veya değiştirmek için kullanılan kullanıcıları ve uygulamaları yerel olarak tanımlar.

 

-         Vulnerability Detection  (Güvenlik Açığı Tespiti)

Wazuh, yazılım envanter verilerini çeker be bu bilgileri, iyi bilinen savunmasız yazılımları belirlemek için sürekli güncellenen CVE veri tabanları ile ilişkilendirildiği sunucuya gönderir.

 

-         Configuration Assessment (Yapılandırma Değerlendirmesi)

Wazuh, güvenlik politikalarını, standartlarını güçlendirme kılavuzlarınızla uyumlu olduklarından emin olmak için sistem ve uygulama yapılandırma ayarlarını izler. Aracılar, savunmasız olduğu, yamalanmadığı veya güvenliği olmayan şekilde yapılandırıldığı bilinen uygulamaları tespit etmek için periyodik taramalar gerçekleştirir.

 

-         Incident Response (Olay Yanıtı)

Wazuh, belirli kriterler karşılandığında bir sisteme erişimin engellenmesi gibi aktif tehditleri ele almak için çeşitli karşı önlemler gerçekleştirmek için kullanıma hazır aktif tehditleri ele almak için çeşitli önlemler gerçekleştirmek için kullanıma hazır aktif yanıtlar sağlar.

 

-         Regulatory Compliance (Mevzuata uygunluk)

Endüstri standartlarına ve yönetmeliklerine uymak için gerekli kontrolleri sağlar.  PCI, GDPR, KVKK uyumluluğunu kontrol edip oluşturulan logları etiketleyebilmektedir. Ölçeklenebilirliği ve çoklu platform desteğiyle birlikte bu özellikler, kuruluşların teknik uyumluluk gereksinimlerini karşılamasına yardımcı olur.

 

 

 

 

 

-         Cloud Security (Bulut Güvenliği)

Bulut sağlayıcılardan güvenlik verilerini çekebilen entegrasyon modüllerini kullanarak bulut altyapısının API düzeyinde izlenmesine yardımcı olur. Aynı zamanda kullanılan bulut ortamının konfigürasyonunu değerlendirmek için kurallar sağlar ve zayıflıkları tespit edebilmektedir.

 

-         Containers Security (Konteyner Güvenliği)

Docker ana bilgisayar ve konteyner için güvenlik görünürlüğü sağlar, davranışlarını izler ve tehditleri ve güvenlik açıklıklarını da tespit edebilmektedir.

 

 

Wazuh’un Sunmuş Olduğu Çözümler;

 

Endpoint Detection and Response (EDR) - Uç Nokta Tespiti ve Yanıtı

Wazuh, sürekli izleme ve gelişmiş tehditlere yanıt verme ihtiyacını karşılar. Güvenlik analistlerinin birden çok uç noktada tehditleri ve saldırı kampanyalarını keşfetmesine, araştırmasına ve bunlara yanıt vermesine yardımcı olmayı, doğru görünürlüğü sağlamaya odaklanmıştır. Wazuh, temel imza modelini yani gelenekselleşmiş olan koruma sağlayan antivirüslerden farklı olarak, daha karmaşık saldırıları, gizli istismar süreçlerinin tespit edilmesine yardımcı olur. Ayrıca Wazuh aracısı, bir ağ saldırısını engellemek, kötü amaçlı bir işlemi durdurmak veya kötü amaçlı yazılım bulaşmış bir dosyayı karantinaya almak için kullanılabilecek etkin yanıt yetenekleri sağlar.

Host-based Intrusion Detection System (HIDS) - Ana Bilgisayar Tabanlı Saldırı Tespit Sistemi

Wazuh, Host Intrusion Detection System (HIDS) yani Host tabanlı saldırı tespiti olarak da kullanır. Wazuh aracısı, izinsiz girişleri veya yazılımın kötüye kullanımını tespit etmek için anormallik ve imza tabanlı teknolojileri birleştiren bir ana bilgisayar düzeyinde çalışır. Ayrıca, kullanıcı etkinliklerini izlemek, sistem yapılandırmasını değerlendirmek ve güvenlik açıklarını tespit etmek için de kullanılabilir.

 

Compliance & Security Management - Uyumluluk ve Güvenlik Yönetimi

Wazuh, PCI DSS, HIPAA, GDPR ve diğerleri gibi standartların gerektirdiği gerekli güvenlik kontrollerini sağlar. Çözüm, birden çok sistemden gelen verileri toplar ve analiz eder, güvenlik uyarılarını uyumluluk gereksinimleriyle eşleştirir.

 

A Comprehensive SIEM Solution - Kapsamlı bir SIEM çözümü

Wazuh, tehdit algılama, uyum yönetimi ve olay müdahale yetenekleri sunma becerisiyle verileri toplamak, analiz etmek ve ilişkilendirmek için kullanılır. Şirket içinde veya hibrit ve bulut ortamlarında devreye alınabilir

 

 

 

Wazuh Nasıl Çalışır?

Wazuh, altyapınızı izleme, tehditleri, saldırı girişimlerini, sistem anormalliklerini, kötü yapılandırılmış uygulamaları ve yetkisiz kullanıcı eylemlerini tespit edebilen bir güvenlik çözümü sunar. Ayrıca, olay müdahalesi ve mevzuata uygunluk için bir çerçeve sağlar.

Agent – Manager yönetimiyle çalışmaktadır yani wazuh bir hosta yani endpointe birde server’a kurulmaktadır. Wazuh agent (host) almış olduğu logları server’a göndermektedir ve bunlarla ilgili alarmlar oluşturmaktadır aynı zamanda malware rootkit detection, veya file intent,on monitöring, regürasyonlar yani PCI, GDPR, KVKK uyumluluğunu kontrol edip oluşturulan logları etiketleyebilmektedir.
Wazuh ekibi tarafında geliştirilen, Wazuh Bulut tabanlı korumada sağlamaktadır. Saldırıları gerçek zamanlı olarak önler, tespit eder ve yanıtlamayı sağlar. Wazuh Cloud, hepsi tek bir platformda olmak üzere, Güvenlik Bilgileri ve Olay Yönetimi (SIEM) ve Uç Nokta Tespit ve Yanıt (EDR) için bir çözüm sunar.

 

Agent – Manager Yönetimiyle Koruma

 

Wazuh Ajanı

Endponit (agent) tarafına kurulmaktadır. Wazuh ajanı, tehditleri tespit etmek ve gerektiğinde otomatik yanıtları tetiklemek amacıyla bir dizi görevi gerçekleştirmek için tasarlanmıştır. Wazuh ajanı; Windows, Linux, Mac OS X gibi farklı platformda çalışır. Wazuh sunucusundan yapılandırılabilir ve yönetilebilirler. Aracı temel yetenekleri şunlardır:

-         Günlük ve olay verileri toplama

-         Dosya ve kayıt defteri anahtarlarının bütünlüğünü izleme

-         Çalışan işlemlerin ve yüklü uygulamaların envanteri

-         Açık bağlantı noktalarının ve ağ yapılandırmasının izlenmesi

-         Malware tespiti

-         Yapılandırma değerlendirmesi ve politika izleme

-         Aktif yanıtların yürütülmesi

 

 

 

Wazuh Sunucusu

Eazuh yönetilecek sunucuya kurulur (Manager). Wazuh sunucusu, aracılardan alınan verileri analiz etmekten, olayları kod çözücüler ve kurallar aracılığıyla işlemek ve iyi bilinen IOC'leri (Indicators Of Compromise) aramak için tehdit istihbaratını kullanmaktan sorumludur. Tek bir Wazuh sunucusu, yüzlerce veya binlerce aracıdan gelen verileri analiz edebilir ve küme modunda kurulduğunda yatay olarak ölçeklenebilir. Sunucu ayrıca aracıları yönetmek, gerektiğinde onları uzaktan yapılandırmak ve yükseltmek için kullanılır. Ek olarak, sunucu aracılara, örneğin bir tehdit algılandığında bir yanıtı tetiklemek için emirler gönderebilir.

 

 

Elastik Yığın

Wazuh tarafından oluşturulan uyarılar, indekslendikleri ve saklandıkları Elastic Stack'e gönderilir. Wazuh ve Kibana (Elastik Yığının bileşenlerinden biri) arasındaki benzersiz entegrasyon, aracıların yapılandırmasını ve durumunu yönetmek ve izlemek için de kullanılabilen, veri görselleştirme ve analiz için güçlü bir kullanıcı ara yüzü sağlar.

Wazuh web kullanıcı ara yüzü, yasal uyumluluk (örneğin PCI DSS, GDPR, CIS), tespit edilen savunmasız uygulamalar, dosya bütünlüğü izleme, yapılandırma değerlendirmesi, güvenlik olayları, bulut altyapısı izleme ve diğerleri için kullanıma hazır gösterge panolarını içerir.