회사에서 취약점 진단 솔루션을 찾아보다가 취약점 진단 및 HIDS 기능을 가지고 있는 강력한 오픈소스 솔루션 Wazuh를 알게되어 프로젝트를 진행하면서 알게된 내용을 정리하고자 한다.
🙄 그래서 Wazuh가 뭔데?
- XDR 및 SIEM 기능을 통합하는 무료 오픈 소스 보안 플랫폼
- 온프레미스, 가상화, 컨테이너화된 클라우드 기반 환경에서 시스템 보호 가능
- Wazuh는 세 개의 중앙 플랫폼 구성 요소와 단일 범용 에이전트 구성
Wazuh는 총 3가지 서버 사이드 구성요소와 클라이언트 사이드의 에이전트로 구성되어진다.
- Wazuh 인덱서(Indexer)
확장성이 뛰어난 전체 텍스트 검색 및 분석 엔진이며, Wazuh 서버에서 생성된 알림을 색인하고 저장한다. - Wazuh 서버(Server)
에이전트로부터 받은 데이터를 분석하여, 디코더와 규칙을 통해 데이터를 처리하여 보안 이벤트를 생성하며, 또한 에이전트를 관리, 원격 구성/업그레이드 하는데 사용한다. - Wazuh 대시보드(Dashboard)
데이터 시각화 및 분석을 위한 웹 사용자 인터페이스이며, Wazuh 구성을 관리하고 상태를 모니터링 하는데 사용한다.
(보안이벤트, 컴플라이언스, CVE, 파일 무결성 모니터링 등 기본 제공 대시보드 포함) - Wazuh 에이전트(Agent)
엔드포인트에 설치되며, 위협 예방, 탐지 및 대응 기능을 제공한다.
(Linux, Windows, macOS, Solaris, AIX, HP-UX 지원)
출처
Successhan