it-swarm.com.de

HIDS - Wahl zwischen normaler OSSEC- oder Wazuh-Gabel

Ich beabsichtige, OSSEC einzurichten, und habe festgestellt, dass es zwei Hauptvarianten zu geben scheint: plain [~ # ~] ossec [~ # ~] und Wazuh Gabel.

Nach dem, was ich sammeln konnte (aus Wazuhs Website und Dokumentation ), sind die Hauptvorteile von Wazuh:

  • seine Fähigkeit, sich in ELK zu integrieren
  • ein verbesserter Regelsatz
  • erholsame API

Ich habe kein Interesse daran, ELK für dieses Projekt zu verwenden, aber wir haben bereits eine bereits vorhandene Graylog-Instanz, die ich mit OSSEC verbinden möchte, was in regulärem OSSEC im Syslog-Cef-Format möglich sein sollte.

Ich gehe davon aus, dass ich den verbesserten Regelsatz auch dann verwenden kann, wenn ich reguläres OSSEC ausführe. Zumindest habe ich nichts gesehen, was auf etwas anderes hinweist.

Was die erholsame API betrifft, bin ich immer noch sehr unerfahren und habe erst kürzlich von REST - Ich weiß nicht einmal, wie ich sie verwenden würde - also bin ich es Ich bin mir nicht sicher, ob ich die Wazuh-Gabel nur dafür verwenden soll.

Ziel ist es, OSSEC-Agenten auf den Computern in unserer Cloud-Umgebung auszuführen und sie auf einen OSSEC-Server in einem Computer zu verweisen, der bereits für die Protokollverwaltung und -überwachung im selben Netzwerk verwendet wird.

Gibt es andere Vorteile beim Ausführen von Wazuh anstelle des regulären OSSEC? Gibt es noch etwas, das ich berücksichtigen sollte?

11
simoesf

In Bezug auf die Unterschiede zwischen Wazuh und OSSEC arbeitet das Wazuh-Team an der Aktualisierung der Dokumentation, um diese besser zu erläutern (sowie an einer neuen Version und neuen Installationsprogrammen).

Die Highlights der neuen Version von Wazuh (2.0, derzeit unter der Hauptniederlassung zu finden) sind:

  • OpenSCAP ist als Teil des Agenten integriert, sodass Benutzer OVAL-Prüfungen ausführen können.
  • Neue WUI auf Kibana 5 und in die RESTful-API integriert, um die Konfiguration des Managers, die Regeln und den Status der Agenten zu überwachen.
  • Verbesserte Protokollanalyse und FIM-Funktionen.
  • Regelsatz mit Compliance-Mapping.
  • Agent-Manager-Kommunikation über TCP unterstützt. Ein Modulmanager, der die zukünftige Integration anderer Tools ermöglicht (in der Roadmap sind OSquery- und Threat Intelligence-Quellen enthalten).

Das vollständige Changelog finden Sie hier:

https://github.com/wazuh/wazuh/blob/master/CHANGELOG.md

Wenn Sie neugierig sind, finden Sie hier einige Screenshots der WUI.

https://github.com/wazuh/wazuh-documentation/tree/2.0/source/images/screenshots

Erwähnenswert ist auch, dass das Wazuh-Projekt als Gabelung auf der Arbeit der OSSEC-Entwickler und Mitwirkenden basiert, für die wir dankbar sind. Wazuh plant, weiterhin mit Fehlerkorrekturen zum OSSEC Github-Repository beizutragen, aber wir haben auch eine eigene Roadmap, sodass sich beide Projekte höchstwahrscheinlich auf unterschiedliche Weise entwickeln werden.

7
snaow

Obwohl meine Meinung hier wahrscheinlich voreingenommen ist (ich bin Teil des Wazuh-Teams), gibt es hier ein Update zu den Unterschieden zwischen OSSEC und Wazuh:

Scalability and reliability
•   Cluster support for managers to scale horizontally.
•   Support for Puppet, Chef, Ansible and Docker deployments.
•   TCP support for agent-manager communications.
•   Anti-flooding feature to prevent large burst of events from being lost or negatively impact network performance.
•   AES encryption used for agent-manager communications (instead of Blowfish).
•   Multi-thread support for manager processes, dramatically increaing their performance.

Intrusion detection
•   Improved log analysis engine, with native JSON decoding and ability to name fields dynamically.
•   Increased maximum message size from 6KB to 64KB (being able to analyze much larger log messages).
•   Updated ruleset with new log analysis rules and decoders.
•   Native rules for Suricata, making use of JSON decoder.
•   Integration with Owhl project for unified NIDS management.
•   Support for IP reputation databases (e.g. AlienVault OTX).
•   Native integration with Linux auditing kernel subsystem and Windows audit policies to capture who-data for FIM events.

Integration with cloud providers
•   Module for native integration with Amazon AWS (pulling data from Cloudtrail or Cloudwatch).
•   New rules and decoders for Amazon AWS.
•   Module for native integration with Microsoft Azure.
•   New rules and decoders for Microsoft Azure.

Regulatory compliance
•   Alert mapping with PCI DSS and GPG13 requirements.
•   Compliance dashboards for Elastic Stack, provided by Wazuh Kibana plugin.
•   Compliance dashboards for Splunk, provided by Wazuh app.
•   Use of Owhl project Suricata mapping for compliance.
•   SHA256 hashes used for file integrity monitoring (in addition to to MD5 and SHA1).
•   Module for integration with OpenScap, used for configuration assessment.

Elastic Stack integration
•   Provides the ability to index and query data.
•   Data enrichment using GeoIP Logstash module.
•   Kibana plugin used to visualize data (integrated using Wazuh REStful API).
•   Web user interface pre-configured extensions, adapting it to your use cases.

Incident response
•   Module for collection of software and hardware inventory data.
•   Ability to query for software and hardware via RESTful API.
•   Module for integration with Osquery, being able to run queries on demand.
•   Implementation of new output options for log collector component.
•   Module for integration with Virustotal, used to detect the presence of malicious files.

Vulnerability detection and configuration assessment
•   Dynamic creation of CVE vulnerability databases, gathering data from OVAL repositories.
•   Cross correlation with applications inventory data to detect vulnerable software.
•   Module for integration with OpenScap allows the user to remotely configured scans.
•   Support for CIS-CAT, by Center of Internet Security scanner integration.

Link zur Dokumentation:

https://documentation.wazuh.com/current/migrating-from-ossec/

Dies zeigt, dass wir in den letzten drei Jahren definitiv viel Arbeit über OSSEC geleistet haben, was meiner Meinung nach die Verwendung von Wazuh rechtfertigt.

3