Názory k článku Wazuh: nástroj pro správu informací o událostech a zabezpečení (SIEM)

Osobně využívám Wazuh jako součást Security Onion. O tom by mohl být třeba příští članek nu?

Souhlasím, o tom bys článek mohl napsat

mně Security Onion připadá jako divnost, to nastavení a deployment služeb je udělaný divně, raději si to spravuji sám, resp. nástroji, které se již používají, ne každému vyhovuje salt.

Chápu ale, že někomu all stack může vyhovat, jak se to celkově používá?

Člověk to nasadí na VM (nebo nainstaluje přímo systém z jejich ISO) a prostě to funguje. Deployment je pro uživatele jednoduchý - prostě to funguje. Nicméně z toho technického pohledu je to celkem komplexní - běží to na Dockeru a skládá se to z mnoha komponent.
Součástí toho Security Onion je konzole - webová aplikace - kde se vše spravuje. Člověk tam vidí alerty, které může povýšít na case (incident) a může to na někoho zadat. Neumí to automaticky zasílat notifikace, takže jsem musel tohle dodělat ručně. Všechny ty alerty jsou v Elastic Searchi, takže jsem použil elastalert a notifikace mi to posílá na Mattermost. To byla asi ta nejsložitější část, jinak je to celkem user-friendly.

Jak se ostatní stavíte k Wazuh? V pár případech jsme to použili, ale postupně se k tomu stavím negativněji a negativněji.

Celý Wazuh je velký balík bash scriptů, low level C kódu, má úzkou integraci na konkrétní OS, spousta věcí hardcodovaných uvnitř, není snadné ověřit, že nasazení je 100 % kompatibilní. Často jsme na projektech v konfliktu s jinými řešením (mluvím hlavně o wazuh-agentu).

Jaký na to máte názor vy, co to používáte?

A používáte nějakou alternativu?

záleží na projektu, ale třeba bitdefender od MS, Cortex od Palo Alto, cybereason, to je enterprise s tučnými fakturami.

Pokud jde o open source, tak zpravidla zeek, suricata, auditd a zpracování logů poskytuje velice dobrý základ na čem stavět. eBPF je sice nebezpečný nepřítel, ale poskytuje zajímavé api pro získávání různých informací o systému a jeho provozu, bpftrace od IO Visor Project je velice schopný. Ale je to celé ve stylu "postav si sám", chybí jemně vyvážená pravidla, alerty, lidské zpracování logů a jejich třídění, to si buď musíš udělat nějak sám nebo si na to zase někoho zaplatit.

No prave, u open source reseni si to clovek musi postavit, nakonfigurovat, ladit, jakekoliv skoleni pro noveho clena tymu je problem protoze vse je udelane na kolene ve firme. Penize se realne neusetri protoze plat jednoho specialisty je obvykle vyssi nez hodnota komercniho reseni ktere je snazsi nasadit, snazsi je k nemu nakoupit skoleni, atd. Spravujeme u zakazniku snad vse co je na komercnim trhu a jednou za cas mame zajemce kteri maji nasazenou nejakou takovouhle open source bastlirnu. Dokumentaci co a jak je nasazeno maji minimalni, lidi co to nasazovali obvykle ve firme jiz nepracuji a v tehle situaci jedine co mohu potencionalnimu zakaznikovi doporucit je budto investovat prachy na prechod k necemu standardnimu, nebo to provozovat jako doted s rizikem ze dulezite eventy neuvidi protoze nikdo netusi jak to vlastne funguje a jestli to funguje.

zase ty komerční řešení jsou často omezeny jen na konkrétní linux distribuce (debian, ubuntu, rhel, sles). Občas ale potřebuješ i monitorovat něco dalšího, různé specializované krabičky, routery, stanice, třeba často používaný citrix hypervisor bývá problém.

Ale tak chybějící dokumentace, knowledge-share je problém i u těch komerčních řešení. Vždy se ty pravidla musí určitým způsobem přizpůsobit běžnému provozu a alerty rozstřídit, když tohle někdo správně nedokumentuje, končíš také na zelené louce.

V případě XDR má ale komerční řešení velkou výhodu v tom, že se snadněji sdílí informace, lépe se spolupracuje s jinými týmu a celkově je pak reakce flexibilnější. Škoda, že open source v tomhle je pozadu.

Problem je, ze i kdyz mate relativne malo serveru potrebujete aby se o to staral alespon jeden clovek na full-time. Jinak se to nasadi, nejak nakonfiguruje a pak to zacne pomalu zahnivat.

Provozuju wazuh pro jeden komunitní server. Zahnívání nastávalo jedině kvůli by default nedokonfigurované policy pro Opensearch
https://wazuh.com/blog/wazuh-index-management/

K vyčerpání shards dojde podle zatížení za pár měsíců, když se zapne uchovávání logů (archives), což je pro LM/SIEM základní potřeba.

Na začátku je potřeba odladit dekodéry a občas se k nim vrátit a doladit pro události, které na začátku nebyly.

Určitě to není jaderná věda, nejsem vývojář, neprovozuju jinde ELK a jde to. Dokumentace ujde, dekodéry jsou regex, podpora https://groups.google.com/g/wazuh? je ochotná, kvalitní-evropská, žádná indie.

Jak je na tom Wazuh s parsovani custom logu regex nebo lepe regex + grok patterns ? Kdybych chtel z log management udelat ten krok vyse, abych pak nelitoval.

Ted pouzivam logmanagement Graylog, je pod tim taky elasticsearch, ale diky grok patterns muzu v tech custom definicich pro parsovani rict i datovy typ, se kterym to pak jde do elasticsearch, takze nemusim posleze obskurne rucne editovat elasticsearch indexy, abych pracoval ve vyhledavani s cisly jako s cisly (podminky vetsi/mensi, sum() atp)

Dal mam moznost pri parsovani provadet rovnou i transformace a enrichment dat nad polozkami naparsovaneho zaznamu, nejen az nasledne pri jejich zobrazeni.

Nastaveni elasticsearch je komfortni, vyjma nastaveni threshold na zaplneni je komplet soucasti UI Graylog

Graylog se da skalovat i horizontalne (nejen v nem obsazeny elasticsearch, ale i konfigurace), protoze konfiguraci drzi v mongoDB

Velke minus je, ze nekter features jsou placene. Opensource to je, ale jen jako CE (community edition) . Wazuh je z pohledu licenci komplet open, nebo si taky hraji na vicero edici ? Z webu to vypada, ze za penize jsou jen webinare a podpora, je to tak ?

Posledni dotaz, webinar zmineny v clanku je free nebo za penize ? Ani na strankach initMAX to nejak nevidim.

Co se týká parsování, Wazuh má vlastní decodéry a parsery a je možné je plně upravovat.

K Wazuh indexeru, ten je postavený na OpenSearch (fork Elastic), který řeší právě problémy (placené funkce) CE edice Elasticu a je open source.

Wazuh jako celek je také open source. Obchodní model mají postavený na jejich cloudu a supportu.

Webinář v článku i ostatní webináře initMAXu jsou ZDARMA.

Mam vyzkouseny wazuh, atomic, ossec i graylog. Je tam trochu boj s elasticsearch, kdy vam zezloutne shards a vy resite proc nebo se dost slozite resi ruzne rollover policies. Nejvic user friendly na spravu je asi ten graylog, ale jak se neco pokazi je to spis naopak.
No a samozrejme obecne je problem, ze nejsou nikde nejaka preddefinovana- chcete videt spatny prihlaseni ve windows a kdyz uz nekde nejake ruleset najdete, tak tam stejne plno eventu neni, ale to je vina spis MS, ze je v tom takovy chliv.