Wazuh framework een OpenSource fork van OSSEC

Wazuh security monitoring

Jeffrey Menick

Jeffrey Menick

Er zijn verschillende SIEM (Security Information and Event Management) producten op de markt verkrijgbaar. Van commerciële tot OpenSource varianten. Er zitten natuurlijk verschillen in integratiemogelijkheden en functionaliteiten. Vaak worden OSSEC en Wazuh ook als een HIDS (Hostbased Intrusion Detection Systeem) gezien, omdat men gebruik maakt van een hostbased agent. Wij hebben Wazuh onder de loep genomen om te zien wat dit OpenSource product te bieden heeft.

Wazuh als Security en Event Management

Wazuh is een product dat is afgeleid van OSSEC. Wazuh biedt een beveiligingsoplossing die in staat is om hostbased infrastructuur te bewaken, bedreigingen, inbraakpogingen, systeemafwijkingen, slecht geconfigureerde applicaties en ongeautoriseerde gebruikersacties te detecteren. Het biedt ook de mogelijkheid om incidenten en response na te leven aan de hand van regelgeving.

Wazuh maakt gebruik van Elasticsearch, Kibana, Wazuh Manager en App, Filebeaten een Wazuh Agent. Het is mogelijk om een distributed installatie uit te voeren, waarbij de Wazuh Manager + Wazuh API + Filebeat op een server instance worden geïnstalleerd en Elasticsearch + Kibana + Wazuh App op een andere server instance worden geïnstalleerd. De Wazuh Agent is de monitoring endpoint. Bij een stand-alone installatie wordt alles op een server instance geïnstalleerd.

  • Wazuh server: Hierop draait de Wazuh manager en API. Deze collecteert en analyseert data van de Wazuh agents.



  • Elastic Stack: De Elasticsearch engine, Filebeat en Kibana (inclusief de Wazuh App). Het leest, pareert, indexeert en slaat waarschuwingsgegevens op die gegenereerd worden door de Wazuh manager.



  • Wazuh agent: Is geïnstalleerd op de monitored host en heeft als functie het collecteren van systeemlog en configuratie data. Het detecteren van intrusions en afwijkingen. De agent staat in verbinding met de Wazuh manager die deze informatie ontvangt voor verdere analyse.

Wazuh features

Er zijn 4 modules in categorieën opgedeeld; Security Information Management, Auditing and Policy Monitoring, Threat Detection and Respons en Regulation & Compliance. De features zijn hierin onderverdeeld.

Wazuh features
  • Signature-based log analyse
  • File integratie monitoring (file analyse op basis van MD5 en SHA1 checksum)
  • Rootkit detectie
  • Security Configuratie Assessment (Discovery van misconfiguratie)
  • Security inventory (System asset collector van hardware, O/s, software, services, etc)
  • Vulnerability dectection (Detecteren van systeem zwakheden op basis van CVE's)
  • Cloud security monitoring (Monitoring van Amazon Web Services en Microsoft Azure)
  • Container security monitoring (Monitoring van de Docker server)

Specifiek heeft Wazuh de mogelijkheid om gebruik te maken van extra features of integraties zoals bestand check via VirusTotal (API). Data informatie kan worden vergeleken op basis van PCI DSS, HIPAA, GDPR, TSC en NIST 800-53 compliancies.

Wazuh Agent

De Wazuh server beschikt over een agent die beschikbaar is voor: Windows, Solaris, BSD en Mac operating systemen. Over een versleutelde verbinding wordt informatie naar de Wazuh server gestuurd. De agents kunnen worden gebruikt om fysieke servers, virtuele machines en cloudinstanties te monitoren. Verschillende processen worden gebruikt voor het bewaken van bestandsintegriteit, systeemlog en voor het scannen van systeemconfiguratie.

Assets waarop geen Wazuh Agent kan worden geïnstalleerd, kunnen ook worden gemonitord op basis van agentless integratie (SSH) en syslog. De Wazuh server zal als een Syslog server fungeren en alle syslog events gebruiken en correleren.

Agentless monitoring

Monitoring zonder agents stelt je in staat om apparaten of systemen zonder agent via SSH te bewaken, zoals routers, firewalls, switches en linux / bsd-systemen. Hierdoor kunnen gebruikers met software-installatiebeperkingen voldoen aan de vereisten voor beveiliging en compliance. Wanneer de checksum op de output verandert, zal gewaarschuwd worden betreffende de wijzigingen die gedaan zijn. Dit gebeurt op basis van diff-output.

Systemen van Cisco, Juniper, Checkpoint etc, die syslog kunnen doorsturen, kunnen worden gemonitord.

Onze Wazuh setup

Wij hebben een Stand-alone Wazuh omgeving neergezet op basis van Debian 10 (Buster) en de volgende pakketten geïnstalleerd: Elasticsearch 7.8, Wazuh 3.13 en App revisie 0881, NodeJS v10.21, Filebeat 7.8.0. Daarnaast hebben we rekening gehouden met het groeien van de logfiles en de Elasticsearch Indices en onze Wazuh omgeving beschikt over 300 GB storage. Hiervoor hebben we gebruik gemaakt van Linux logrotate en Elasticsearch curator. Voor event alerts is er gebruik gemaakt van e-mail alert op basis van een lokale postfix als relayservice.

Wazuh stand-alone setup

Op de Wazuh website bevindt zich een uitgebreide en duidelijke installatiehandleiding voor ondersteuning van de diverse Linux distributies en integraties met bijv. Splunk.

Gebruikte Wazuh functionaliteiten

  • Wazuh Agent (Linux en Windows)
  • Aggentless (Cisco)
  • Security event management
  • Policy monitoring
  • Integriteit monitoring
  • File integratie met VirusTotal
  • Syslog collector
  • Mail alert
  • Geolocation
  • Eigen custom decoders en rules
  • Reports

Bevindingen

Zoals ieder Security en Event Management product vergt het tijd om het een en ander goed in te richten. Denk aan het uitrollen van de Agents (via MSI) of Linux (Scripts) en het triggeren van events, dat behoeft vaak aangepaste decoders en rules. Maar we zien hier wel het voordeel van, zodat er niet continue false-positive meldingen worden gestuurd. De reeds aanwezige decoders en rulesets geven een goede basis om mee te starten. Omdat diverse systemen gemonitord worden, is het mogelijk om events te correleren zodat flow en afkomst te achterhalen zijn.

Voor een OpenSource Security en Event Management product beschikt het over een gebruikersvriendelijke Webgebaseerde interface die makkelijk te begrijpen is. De "inventory data" beschikt over voldoende informatie over het device en in report formaat ziet dit er keurig uit. Wij hebben de e-mail alert als standaard tekst formaat gelaten en is zeker aan te passen om het fancy te kunnen laten uitzien.


Tuurlijk beschikt Wazuh niet over bepaalde integraties, die commerciële producten wel bieden zoals InsightIDR en OSSIM van AlienVault. Het installeren en configureren van de Wazuh server vergt enige kennis van het Linux O/s systemen.


Wazuh is een oplossing die voor ons toereikend is. Door Wazuh hebben we meer inzicht over al onze assets en Security events. Zeker aan te raden voor middel-groot bedrijf die meer "In Control" willen zijn over hun assets en meer willen met Security en Event Management zonder veel te hoeven investeren in het aanschaffen van software. Grote bedrijven en multinationals daarentegen zullen misschien eerder kiezen voor een een commerciële variant.

  • Interesse in Security Information and Event Management, neem contact met ons op!

Andere Blogs

Ethical Hacking

Experts in hacking for an innovating business.