Wazuh как SIEM и XDR: Полное руководство по архитектуре, внедрению и боевым практикам

Wazuh как SIEM и XDR: Полное руководство по архитектуре, внедрению и боевым практикам

В современной реальности кибербезопасность без централизованного логирования и мониторинга — это опасная иллюзия. Ежедневно на инфраструктуру любой компании обрушивается волна событий: попытки брутфорса, сканирование периметра, модификации критических файлов или аномальная активность пользователей внутри сети. Без системы, способной собрать этот хаос в единую картину, вы не увидите атаку до момента, когда ущерб станет необратимым.

SIEM (Security Information and Event Management) решает эту задачу. Но коммерческие решения вроде Splunk или ArcSight стоят целое состояние. Здесь на сцену выходит Wazuh — мощнейший Open Source инструмент, который при правильной настройке превращается в полноценный XDR.

В этом фундаментальном руководстве мы разберем Wazuh «по косточкам»: от архитектуры и развертывания до написания кастомных правил детекта и защиты самого SIEM.

Часть 1. Почему SIEM — это необходимость, а не роскошь

Даже малый бизнес с 50 сотрудниками сегодня обязан иметь минимальный SIEM. Это больше не прихоть энтерпрайза. Почему? Потому что время обнаружения (Mean Time To Detect) напрямую влияет на стоимость инцидента.

Битва подходов: Open-source (Wazuh) vs Enterprise (Splunk/Sentinel)

Выбор платформы — это первое стратегическое решение.

Плюсы коммерческих решений (Splunk, Microsoft Sentinel):

• Готовые интеграции «из коробки» (Click-to-run).
• Enterprise support и SLA.
• Управляемые сервисы (вашу безопасность мониторит вендор).

Почему выбирают Wazuh (Open-source):

• Отсутствие Vendor Lock-in: Вы владеете данными и кодом. Никто не отключит вам лицензию из-за санкций или смены политики.
• Полная кастомизация: Вы можете переписать любой декодер, правило или скрипт реагирования под специфику вашей инфраструктуры.
• Прозрачность: Вы видите каждую строку кода, отвечающую за вашу безопасность.
• Низкая стоимость владения (TCO): Вы платите только за «железо» (инфраструктуру). Никаких лицензий с оплатой за гигабайт логов.
• Community-driven: Активное сообщество быстрее реагирует на новые угрозы, выпуская правила детекта.

Есть и минусы: Open-source требует инженерной экспертизы. Здесь нет кнопки «Сделать безопасно», ответственность за настройку и аптайм лежит на вас.

Терминологический ликбез: SIEM, EDR или XDR?

Маркетинг часто смешивает эти понятия. Давайте определим место Wazuh на карте технологий. Wazuh — это гибрид SIEM + EDR + XDR, но с оговорками.

КомпонентСуть технологииРеализация в WazuhСпец. решения (конкуренты)SIEMСбор логов, нормализация, корреляция событий.Полная поддержка. Это ядро Wazuh.Splunk, Elastic, QRadarEDREndpoint Detection & Response (мониторинг процессов, памяти).Базовая. Есть FIM, inventory, но нет memory forensics.CrowdStrike, MS Defender for EndpointXDRExtended Detection (Endpoints + Network + Cloud).Возможно. Требует настройки интеграций с сетью и облаками.Palo Alto CortexSOARОркестрация и автоматизация реагирования.Нет. Только вебхуки для запуска внешних систем.Shuffle, TheHive

Вердикт: Wazuh идеален как основной SIEM и первый эшелон EDR для компаний любого размера. Для полноценного Enterprise-уровня его часто усиливают внешними Threat Intel платформами и SOAR-системами.

Часть 2. Архитектура Wazuh: Взгляд изнутри

Понимание архитектуры критически важно для производительности и масштабируемости. Система состоит из четырех ключевых компонентов.

Схема взаимодействия

1. Wazuh Agent: «Глаза и руки»

Устанавливается на конечные точки (Windows, Linux, macOS).

• Функции: Читает локальные логи, следит за изменениями файлов (FIM), проводит инвентаризацию ПО и выполняет команды активного реагирования.
• Безопасность: Не хранит логи локально (защита от кражи данных при физическом доступе), передает данные по TLS.

2. Wazuh Manager: «Мозг»

Серверная часть, где происходит магия анализа.

• Analysisd: Движок корреляции. Именно здесь сырой лог превращается в алерт.
• Хранение: Менеджер временно хранит алерты в сжатом виде (.json.gz) перед отправкой в индексатор.

3. Wazuh Indexer: «Память»

Форк Elasticsearch (OpenSearch).

• Обеспечивает индексацию и поиск по алертам в режиме near-real-time (задержка ~1 сек).
• Поддерживает кластеризацию для отказоустойчивости (High Availability).

4. Wazuh Dashboard: «Интерфейс»

Веб-интерфейс на базе OpenSearch Dashboards для работы аналитиков SOC, визуализации данных и управления конфигурациями.

Часть 3. Функциональные возможности: Что умеет система

Wazuh — это комбайн. Чтобы использовать его эффективно, нужно понимать каждый модуль.

3.1 Сбор и нормализация логов

Wazuh умеет работать с огромным спектром источников:

• Windows Event Log: Нативно, без лишних "костылей".
• Syslog (Linux, Network devices): Стандарт де-факто.
• Application logs: Nginx, Apache, MySQL и другие.
• Cloud: AWS CloudTrail, Azure Audit (через API).

Магия нормализации:
Сырой лог (например, строка из Nginx) попадает в Wazuh, где декодеры разбирают его на поля. На выходе мы получаем структурированный JSON объект.
Было: Jan 20 10:42:33 web nginx: 192.168.1.10 GET /admin 403
Стало:

{
"http": { "method": "GET", "uri": "/admin", "status": "403" },
"srcip": "192.168.1.100"
}

Это позволяет писать правила вида: ЕСЛИ status == 403 И uri == /admin ТОГДА ALERT.

3.2 HIDS и Детектирование атак

Система правил Wazuh построена на иерархии уровней важности (от 0 до 15):

• 0-2: Информационные события (не требуют реакции).
• 3-4: Низкий риск.
• 5-8: Средний и высокий риск (требуют внимания).
• 9-15: Критические инциденты (взлом, малварь).

Встроенный набор правил покрывает MITRE ATT&CK матрицу, включая SSH brute force, повышение привилегий (sudo), обфусцированный PowerShell и многое другое.

3.3 File Integrity Monitoring (FIM)

Один из мощнейших модулей. Агент вычисляет хеши файлов в критических директориях и сверяет их с эталоном.

• Кейс: Загрузка веб-шелла в /var/www/html.
• Кейс: Изменение системного файла hosts или ключей реестра Windows.
• Compliance: Требование стандартов PCI DSS и GDPR.

3.4 Vulnerability Detection (Сканер уязвимостей)

Wazuh собирает список установленного ПО и сверяет версии с базами CVE (NVD, Microsoft, Canonical, RedHat).

• Важно: Наличие CVE не означает факт взлома. Это информация для патч-менеджмента.
• Модуль помогает приоритизировать обновления безопасности.

3.5 Active Response (Активное реагирование)

Автоматическая "ответка" на атаку.

• Блокировка IP: firewall-drop (iptables/netsh).
• Изоляция хоста: host-deny.
• Кастомные скрипты: Например, выключить скомпрометированного пользователя в AD.

Риск: Неправильно настроенный Active Response может привести к DoS вашей собственной инфраструктуры. Всегда тестируйте в режиме dry-run!

Часть 4. Источники логов: Стратегия подключения

Типичная ошибка новичка — подключить все подряд или, наоборот, забыть главное. Если у вас нет логов, SIEM слеп.

Матрица критичности источников

ИсточникКритичностьЧто ловимDomain Controller (AD)КритичноВход в систему, создание учеток, повышение прав.DNS ServerКритичноСвязь с C2 серверами, туннелирование, малварь.FirewallКритичноСканирование портов, дропы, аномальные соединения.VPN GatewayКритичноКто и откуда заходит во внутреннюю сеть.Web Server / ProxyВысокаяАтаки на веб-приложения (SQLi, XSS, RCE).Endpoints (Workstations)СредняяЛокальные процессы, USB, PowerShell.

Важный вывод: SIEM без логов контроллера домена и DNS — это просто красивая карта мира на стене. Вы не увидите ни авторизации, ни перемещения злоумышленника (Lateral Movement).

План подключения:

• Неделя 1: DC + DNS (ядро сети).
• Неделя 2: Периметр (Firewall, VPN).
• Неделя 3: Бизнес-приложения (Web, Databases).

Продолжение на сайте redsec.by >>>