Wazuhとは

Wazuhは、脅威の予防、検知、および対応に使用される無償のオープンソースプラットフォームです。オンプレミス、仮想化、コンテナ化、クラウドベースの環境におけるワークロードを保護できます。

Wazuhソリューションは、監視対象システムに展開されるエンドポイントセキュリティエージェントと、エージェントが収集したデータを収集・分析する管理サーバーで構成されています。さらに、WazuhはElastic Stackと完全に統合されており、ユーザーがセキュリティ警告をナビゲートするための検索エンジンとデータ可視化ツールを提供します。

Wazuhの機能

Wazuhソリューションの一般的なユースケースを簡単にご紹介します。

侵入検知

Wazuhエージェントは、マルウェア、ルートキット、疑わしい異常を探すために監視対象のシステムをスキャンします。隠しファイル、クロークされたプロセス、未登録のネットワークリスナー、システムコール応答における不整合などを検出できます。

エージェント機能に加えて、サーバーコンポーネントは、正規表現エンジンを使用して収集したログデータを分析し、侵害の指標を探すために、侵入検知に署名ベースのアプローチを使用しています。

ログデータの解析

Wazuhエージェントは、オペレーティングシステムとアプリケーションのログを読み、ルールベースの分析と保存のために中央管理者に安全に転送します。エージェントが配置されていない場合、サーバーはネットワークデバイスやアプリケーションからsyslog経由でデータを受信することも可能です。

Wazuhのルールは、アプリケーションやシステムのエラー、設定ミス、悪意のある行為の試みと成功、ポリシー違反、その他さまざまなセキュリティと運用上の問題を認識するのに役立ちます。

ファイル整合性監視

Wazuhはファイルシステムを監視し、コンテンツ、パーミッション、所有者、属性など、監視が必要なファイルの変更を特定します。さらに、ファイルの作成や変更に使用されたユーザーやアプリケーションをネイティブに識別します。

ファイルの整合性監視機能は、脅威インテリジェンスと組み合わせて使用することで、脅威や侵害されたホストを特定できます。さらに、PCI DSSなどのいくつかの規制コンプライアンス基準では、この機能を必要としています。

脆弱性の検出

Wazuhエージェントはソフトウェアインベントリデータを取得し、この情報をサーバーに送信します。サーバーは、継続的に更新されるCVE(Common Vulnerabilities and Exposure)データベースと関連付け、よく知られている脆弱なソフトウェアを識別します。

自動化された脆弱性評価により、重要な資産の弱点を発見し、攻撃者がそれを悪用してビジネスを妨害したり、機密データを盗む前に是正措置を講じることができます。

コンフィギュレーション評価

システムおよびアプリケーションの設定を監視し、お客様のセキュリティポリシー、標準、およびハードニングガイドに準拠していることを確認します。エージェントは定期的にスキャンを行い、脆弱性、パッチ未適用、安全でない設定のあることが分かっているアプリケーションを検出します。

さらに、設定チェックはカスタマイズ可能であり、お客様の組織に合わせて適切に調整できます。アラートには、より良い設定、参照、および規制コンプライアンスとのマッピングのための推奨事項が含まれます。

インシデントレスポンス

Wazuhは、特定の条件を満たした場合、脅威の発生源からシステムへのアクセスをブロックするなど、アクティブな脅威に対応するためのさまざまな対策を実行するためのアクティブレスポンスをすぐに利用できるようにします。

さらに、Wazuhはリモートでコマンドやシステムクエリーを実行し、IOC(indicators of compromise)を特定し、その他のライブフォレンジックやインシデントレスポンスのタスクの実行を支援するために使用できます。

規制遵守

Wazuhは、業界標準や規制に準拠するために必要なセキュリティコントロールのいくつかを提供します。これらの機能は、そのスケーラビリティとマルチプラットフォームのサポートと組み合わせることで、組織が技術的なコンプライアンス要件を満たすのに役立ちます。

Wazuhは、PCI DSS(Payment Card Industry Data Security Standard)要件を満たす決済処理会社や金融機関に広く利用されています。そのWebユーザーインターフェイスは、この規制やその他の規制(GPG13やGDPRなど)に役立つレポートやダッシュボードを提供します。

クラウドセキュリティ

Wazuhは、Amazon AWS、Azure、Google Cloudなどの有名なクラウドプロバイダーからセキュリティデータを引き出すことができる統合モジュールを使用し、APIレベルでクラウドインフラの監視を支援します。また、クラウド環境の構成を評価するルールを提供し、弱点を容易に発見できます。

さらに、Wazuhの軽量でマルチプラットフォームなエージェントは、インスタンスレベルでクラウド環境を監視するためによく使用されます。

コンテナセキュリティ

Wazuhは、Dockerホストとコンテナの挙動を監視し、脅威、脆弱性、異常を検出することで、セキュリティの可視性を提供します。WazuhエージェントはDockerエンジンとネイティブに統合されており、ユーザーはイメージ、ボリューム、ネットワーク設定、および実行中のコンテナを監視できます。

Wazuhは継続的に詳細な実行時情報を収集し、分析します。たとえば、特権モードで実行されているコンテナ、脆弱なアプリケーション、コンテナ内で実行されているシェル、永続ボリュームやイメージへの変更、その他の脅威の可能性に対して警告を発します。

オーケストレーション

Wazuhチームによって管理されているすべての自動化ツールを見つけることができます。

  • Wazuh AWS CloudFormation
  • Dockerコンテナ
  • Wazuh Ansible
  • Wazuh Chef
  • Wazuh Puppet
  • Wazuh Kubernetes
  • Wazuh Bosh
  • Wazuh Salt

ブランチ

masterブランチには最新のコードが含まれています。このブランチにはバグがある可能性がありますのでご注意ください。 stableブランチは、最新のWazuh安定版に対応しています。

使用ソフトウェアおよびライブラリ

  • Zlibの修正版とOpenSSLの組み込み部分(SHA1、SHA256、SHA512、AES、Blowfishライブラリ)
  • OpenSSL Toolkit (http://www.openssl.org/)で使用するためのOpenSSLプロジェクト
  • Eric Youngによって書かれた暗号化ソフトウェア (eay@cryptsoft.com)
  • Zlibプロジェクト (Jean-loup GaillyとMark Adler) が開発したソフトウェア
  • cJSONプロジェクト(Dave Gamble)が開発したソフトウェア
  • MessagePackプロジェクトが開発したソフトウェア (https://msgpack.org/)
  • CURLプロジェクトが開発したソフトウェア([https://curl.haxx.se/](https://curl.haxx.se/)
  • bzip2プロジェクトが開発したソフトウェア (Julian Seward)
  • libYAMLプロジェクトが開発したソフトウェア (Kirill Simonov)
  • Linux audit userspaceプロジェクト(https://github.com/linux-audit/audit-userspace)が開発したソフトウェア
  • Berkeley DBライブラリの組み込み部分(https://github.com/berkeleydb/libdb
  • Guido van RossumとPython Software FoundationによるCPythonインタプリタ (https://www.python.org)
  • PyPiパッケージ: azure-storage-blob, boto3, cryptography, docker, pytz, requestsおよびuvloop
  • Philip HazelによるPCRE2ライブラリ (https://www.pcre.org/)

ソフトウェア情報

本家サイト https://wazuh.com/
https://github.com/wazuh/wazuh
バージョン v4.3.0 5 May 2022
ライセンス GPLv2 License
日本語対応 -
プラットフォーム サーバ:Linux/Windows
主要環境 C/Python/C++/Shell/CMake/Makefile/Other
カテゴリ セキュリティ
オススメ度 ★★★★☆
コメント -
更新日 2022-05-08