오픈소스 SIEM 보안솔루션 Wazuh
안녕하세요. 달소입니다.
오늘은 새로운 보안 솔루션을 가져왔습니다!
2023년 SC Award 수상을 한 Wazuh 입니다. 역시 신기한 오픈소스가 많네요 ㅎㅎ
홈서버에서 운영하기보다 기업에서 사용할만하긴한데 ㅎㅎ,, 뭐 보안도 중요하니 한번 테스트 삼아 올려보려고합니다.
서버에 ssh 접근을 로깅하거나 웹쉘등을 탐지할수있을것같고 모든 이벤트로그를 Wazuh에서 받아서 데이터들을 가공하는게 목적입니다.
SIEM이란?
아마 SIEM이라는게 생소하신분들도 계실텐데 기본적인 개념은 아래와같습니다.
SIEM이란?
SIEM은 보안 정보 및 이벤트 관리 시스템(Security Information and Event Management System)의 약자입니다.
SIEM은 조직의 네트워크 및 시스템에서 발생하는 보안 이벤트와 로그 데이터를 수집, 분석, 보고하는 데 사용되는 솔루션입니다.
SIEM은 보안 위협을 탐지하고 대응하기 위해 실시간으로 이벤트를 모니터링하고, 로그 데이터를 수집하여 분석하고, 보안 이벤트에 대한 경고 및 보고를 생성합니다.
이를 통해 조직은 보안 위협을 식별하고 대응할 수 있으며, 규정 준수 요구 사항을 충족시키고 보안 사고 대응 능력을 향상시킬 수 있습니다.
단순하게 모든서버의 이벤트를 수집해서 가시화 시켜주는(?) 솔루션이라고 보시면 되겠습니다.
Wazuh
Wazuh는 위협 예방, 탐지 및 대응에 사용되는 무료 오픈 소스 플랫폼입니다. 온프레미스, 가상화, 컨테이너화 및 클라우드 기반 환경 전반에서 워크로드를 보호할 수 있습니다.
Wazuh 솔루션은 모니터링 대상 시스템에 배포되는 엔드포인트 보안 에이전트와 에이전트가 수집한 데이터를 수집하고 분석하는 관리 서버로 구성됩니다. 게다가 Wazuh는 Elastic Stack과 완전히 통합되어 사용자가 보안 경고를 탐색할 수 있는 검색 엔진과 데이터 시각화 도구를 제공합니다.
Wazuh 기능
Wazuh 솔루션의 보다 일반적인 사용 사례에 대한 간략한 프레젠테이션입니다.
침입탐지
Wazuh 에이전트는 모니터링되는 시스템을 검사하여 맬웨어, 루트킷 및 의심스러운 이상 현상을 찾습니다. 숨겨진 파일, 숨겨진 프로세스 또는 등록되지 않은 네트워크 수신기는 물론 시스템 호출 응답의 불일치도 탐지할 수 있습니다.
에이전트 기능 외에도 서버 구성 요소는 정규식 엔진을 사용하여 수집된 로그 데이터를 분석하고 손상 지표를 찾는 침입 탐지에 대한 시그니처 기반 접근 방식을 사용합니다.
로그 데이터 분석
Wazuh 에이전트는 운영 체제 및 애플리케이션 로그를 읽고 규칙 기반 분석 및 저장을 위해 중앙 관리자에게 안전하게 전달합니다. 에이전트가 배포되지 않은 경우 서버는 syslog를 통해 네트워크 장치 또는 애플리케이션에서 데이터를 수신할 수도 있습니다.
Wazuh 규칙은 애플리케이션 또는 시스템 오류, 잘못된 구성, 악성 활동 시도 및/또는 성공, 정책 위반 및 기타 다양한 보안 및 운영 문제를 인식하는 데 도움이 됩니다.
파일 무결성 모니터링
Wazuh는 파일 시스템을 모니터링하여 주의해야 할 파일의 콘텐츠, 권한, 소유권 및 속성의 변경 사항을 식별합니다. 또한 파일을 생성하거나 수정하는 데 사용되는 사용자와 애플리케이션을 기본적으로 식별합니다.
파일 무결성 모니터링 기능을 위협 인텔리전스와 함께 사용하여 위협이나 손상된 호스트를 식별할 수 있습니다. 또한 PCI DSS와 같은 여러 규정 준수 표준에서도 이를 요구합니다.
취약점 감지
Wazuh 에이전트는 잘 알려진 취약한 소프트웨어를 식별하기 위해 소프트웨어 인벤토리 데이터를 가져와서 이 정보를 서버로 보냅니다. 서버에서 이 정보는 지속적으로 업데이트되는 CVE(Common Vulnerability and Exposure) 데이터베이스와 연관되어 있습니다.
자동화된 취약성 평가는 공격자가 이를 악용하여 비즈니스를 방해하거나 기밀 데이터를 도용하기 전에 중요한 자산의 약점을 찾아 시정 조치를 취하는 데 도움이 됩니다.
구성 평가
Wazuh는 시스템 및 애플리케이션 구성 설정을 모니터링하여 보안 정책, 표준 및/또는 강화 가이드를 준수하는지 확인합니다. 에이전트는 취약하거나 패치가 적용되지 않았거나 안전하지 않게 구성된 것으로 알려진 애플리케이션을 탐지하기 위해 정기적인 검사를 수행합니다.
또한 구성 검사를 사용자 정의하여 조직에 맞게 조정할 수 있습니다. 경고에는 규정 준수에 따른 더 나은 구성, 참조 및 매핑에 대한 권장 사항이 포함됩니다.
사고 대응
Wazuh는 특정 기준이 충족될 때 위협 소스에서 시스템에 대한 액세스를 차단하는 등 활성 위협을 해결하기 위한 다양한 대응 조치를 수행하는 즉시 사용 가능한 활성 응답을 제공합니다.
또한 Wazuh를 사용하면 명령이나 시스템 쿼리를 원격으로 실행하고 IOC(침해 지표)를 식별하며 기타 실시간 포렌식 또는 사고 대응 작업을 수행하는 데 도움을 줄 수 있습니다.
규제 준수
Wazuh는 업계 표준 및 규정을 준수하는 데 필요한 몇 가지 보안 제어 기능을 제공합니다. 확장성 및 다중 플랫폼 지원과 결합된 이러한 기능은 조직이 기술 규정 준수 요구 사항을 충족하는 데 도움이 됩니다.
Wazuh는 PCI DSS(지불 카드 산업 데이터 보안 표준) 요구 사항을 충족하기 위해 결제 처리 회사 및 금융 기관에서 널리 사용됩니다. 웹 사용자 인터페이스는 이 규정과 기타 규정(예: GPG13 또는 GDPR)에 도움이 될 수 있는 보고서와 대시보드를 제공합니다.
클라우드 보안
Wazuh는 Amazon AWS, Azure 또는 Google Cloud와 같이 잘 알려진 클라우드 공급자로부터 보안 데이터를 가져올 수 있는 통합 모듈을 사용하여 API 수준에서 클라우드 인프라를 모니터링하는 데 도움을 줍니다. 또한 Wazuh는 클라우드 환경의 구성을 평가하여 약점을 쉽게 발견할 수 있는 규칙을 제공합니다.
또한 Wazuh 경량 및 다중 플랫폼 에이전트는 일반적으로 인스턴스 수준에서 클라우드 환경을 모니터링하는 데 사용됩니다.
컨테이너 보안
Wazuh는 Docker 호스트 및 컨테이너에 대한 보안 가시성을 제공하여 해당 동작을 모니터링하고 위협, 취약성 및 이상 현상을 감지합니다. Wazuh 에이전트는 Docker 엔진과 기본적으로 통합되어 사용자가 이미지, 볼륨, 네트워크 설정 및 실행 중인 컨테이너를 모니터링할 수 있습니다.
Wazuh는 상세한 런타임 정보를 지속적으로 수집하고 분석합니다. 예를 들어 권한 있는 모드에서 실행되는 컨테이너, 취약한 애플리케이션, 컨테이너에서 실행되는 셸, 영구 볼륨 또는 이미지 변경, 기타 가능한 위협에 대한 경고입니다.
WUI
Wazuh WUI는 데이터 시각화 및 분석을 위한 강력한 사용자 인터페이스를 제공합니다. 이 인터페이스를 사용하여 Wazuh 구성을 관리하고 상태를 모니터링할 수도 있습니다.
모듈 개요
보안 이벤트
무결성 모니터링
취약점 감지
규제 준수
에이전트 개요
에이전트 요약
홈페이지 / 깃허브
Wazuh - Open Source XDR. Open Source SIEM.wazuh.comWazuh is a free and open source security platform that unifies XDR and SIEM protection for endpoints and cloud workloads.
GitHub - wazuh/wazuh: Wazuh - The Open Source Security Platform. Unified XDR and SIEM protection for endpoints and cloud workloads.github.comWazuh - The Open Source Security Platform. Unified XDR and SIEM protection for endpoints and cloud workloads. - GitHub - wazuh/wazuh: Wazuh - The Open Source Security Platform. Unified XDR and SIEM...
다음에는 설치하는방법을 가지러 한번 와보겠습니다 ㅎㅎ