|
Wazuhは、脅威の防止、検知、対応のためのオープンソースプラットフォームです。サイト固有環境、仮想化環境、コンテナ環境、クラウドベース環境など、あらゆる環境のワークロードを保護します。このソリューションには、監視対象システムに展開されるエンドポイントセキュリティエージェントと、エージェントによって収集されたデータを収集・分析する管理サーバーが含まれています。さらに、WazuhはElastic Stackと完全に統合されており、ユーザーがセキュリティアラートをナビゲートするための検索エンジンとデータ可視化ツールを提供します。 ユースケース侵入検知Wazuhエージェントは、監視対象システムをスキャンし、マルウェア、ルートキット、疑わしい異常を検出します。隠しファイル、隠しプロセス、未登録のネットワークリスナー、システムコール応答の不一致などを検出できます。エージェント機能に加えて、サーバーコンポーネントはシグネチャベースの侵入検知手法を採用し、正規表現エンジンを用いて収集されたログデータを分析し、被害の兆候を探します。 ログデータ分析Wazuhエージェントは、オペレーティングシステムとアプリケーションのログを読み取り、ルールベースの分析と保存のために中央管理サーバに安全に転送します。エージェントが展開されていない場合でも、サーバーはSyslog経由でネットワークデバイスやアプリケーションからデータを受信できます。Wazuhルールは、アプリケーションまたはシステムのエラー、設定ミス、悪意のあるアクティビティの試行または成功、ポリシー違反、その他さまざまなセキュリティおよび運用上の問題を把握するのに役立ちます。 整合性チェックWazuhはファイルシステムを監視し、綿密な監視が必要なファイルの内容、権限、所有権、属性の変更を識別します。さらに、ファイルの作成または変更に使用されたユーザーとアプリケーションをネイティブに識別します。整合性チェック機能と脅威インテリジェンスを組み合わせることで、脅威にさらされているホストや侵害されたホストを特定できます。さらに、PCI DSSなど、いくつかの米国のコンプライアンス基準でも必須となっています。 脆弱性検出Wazuhエージェントはソフトウェアインベントリデータを抽出し、サーバーに送信します。サーバーでは、この情報を常に更新されるCVEデータベースと照合し、既知のソフトウェア脆弱性を特定します。自動化された脆弱性評価により、重要な資産の弱点を発見し、攻撃者がその弱点を悪用してビジネスを妨害したり機密データを盗んだりする前に是正措置を講じることができます。 構成評価Wazuhは、システムとアプリケーションの構成設定を監視し、セキュリティポリシー、標準、および強化ガイドラインへの準拠を確保します。エージェントは定期的にスキャンを実行し、既知の脆弱性、パッチ未適用の脆弱性、または安全でない構成を持つアプリケーションを検出します。さらに、構成チェックは組織のニーズに合わせてカスタマイズ・調整可能です。アラートには、より適切な構成の推奨事項、参考情報、コンプライアンスマップへのマッピングが含まれます。 事故対応Wazuhは、特定の条件が満たされた場合に脅威源からのシステムへのアクセスをブロックするなど、プロアクティブな脅威に対する様々な対策を実行するための、すぐに使用可能なプロアクティブレスポンス機能を提供します。さらに、Wazuhは、リモートからのコマンドやシステムクエリの実行、重大度指標(IOC)の特定、その他のリアルタイムフォレンジックやインシデント対応タスクの実行を支援するために使用できます。 コンプライアンスWazuhは、業界標準や規制への準拠に必要なセキュリティ管理機能を提供します。これらの機能に加え、拡張性とマルチプラットフォームサポートにより、組織は技術コンプライアンス要件を満たすことができます。Wazuhは、決済処理会社や金融機関でPCI DSS(Payment Card Industry Data Security Standard)要件への準拠に広く利用されています。Webユーザーインターフェースには、PCI DSSやその他の規制(GPG13やGDPRなど)への対応に役立つレポートとダッシュボードが用意されています。 クラウドセキュリティWazuhは、Amazon AWS、Azure、Google Cloudなどの信頼できるクラウドサービスプロバイダーからセキュリティデータを取得するための統合モジュールを使用することで、APIレベルでのクラウドインフラストラクチャの監視を支援します。さらに、Wazuhはクラウド環境の構成を評価するためのルールを提供し、脆弱性の特定を容易にします。さらに、Wazuhの軽量でマルチプラットフォーム対応のエージェントは、主にクラウド環境のインスタンスレベルの監視に使用されます。 コンテナの安全性Wazuhは、Dockerホストとコンテナの安全な可視性を提供し、それらの動作を監視し、脅威、脆弱性、異常を検出します。WazuhエージェントはDockerエンジンにネイティブに統合されており、ユーザーはイメージ、ボリューム、ネットワーク設定、実行中のコンテナを監視できます。特権モードで実行されているコンテナ、脆弱なアプリケーション、コンテナ内で実行されているシェル、永続ボリュームまたはイメージへの変更、その他の潜在的な脅威に関するアラートなど、詳細なランタイム情報を継続的に収集・分析します。 クイックインストール1. Wazuh Installation Assistant をダウンロードして実行します。 curl -sO https://packages.wazuh.com/4.3/wazuh-install.sh && sudo bash ./wazuh-install.sh -a アシスタントがインストールを完了すると、出力にアクセス資格情報とインストールの成功を確認するメッセージが表示されます。 情報: --- 概要--- Wazuh がインストールされ、設定されました。 2. https://<wazuh-dashboard-ip> と認証情報(ユーザー名:admin、パスワード:<ADMIN_PASSWORD>)を使用してWazuhのウェブインターフェースにアクセスします。Wazuhダッシュボードに初めてアクセスすると、証明書が信頼できる機関によって発行されていないことを示す警告メッセージがブラウザに表示されます。これは想定内の動作です。ユーザーは証明書を受け入れるか、信頼できる機関の証明書を使用するようにシステムを設定するかを選択できます。 Wazuh 中央コンポーネントをアンインストールするには、オプション -u または --uninstall を使用して Wazuh インストール アシスタントを実行します。 Wazuhのインストールと準備が完了したら、Wazuhエージェントの導入を開始できます。Wazuhエージェントは、ノートパソコン、デスクトップ、サーバー、クラウドインスタンス、コンテナ、仮想マシンの保護に使用できます。エージェントは、様々なセキュリティ機能を提供します。 エージェントは、自身のシステムに基づいて適切なインストールパッケージを選択する必要があります。インストールパッケージは公式ドキュメントから入手できます:https://documentation.wazuh.com/current/installation-guide/wazuh-agent/index.html Wazuh WUIは、データの視覚化と分析のための強力なユーザーインターフェースを提供します。このインターフェースは、Wazuhの設定管理やステータスの監視にも使用できます。 Wazuh の使用方法の詳細については、https://documentation.wazuh.com/current/index.html にある公式ドキュメントを参照してください。 Git リポジトリ: https://github.com/wazuh/wazuh。 |
