top of page
Ara

Wazuh

ree

Wazuh, güvenlik olaylarını izlemek ve analiz etmek için kullanılan açık kaynaklı bir Host Tabanlı İzinsiz Giriş Tespit Sistemi (HIDS) ve güvenlik bilgi ve olay yönetimi (SIEM) aracıdır. OSSEC’in bir forku olarak geliştirilen Wazuh, Elastic Stack ve OpenSCAP ile entegre olarak daha gelişmiş bir güvenlik çözümü sunar. Bu sistem, çeşitli işletim sistemlerinde (Linux, Windows, MacOS, Solaris) çalışabilir ve çok çeşitli güvenlik özellikleri sunar.

Temel Özellikler ve Bileşenler

Log Analizi

Nasıl Çalışır: Wazuh, sistem, uygulama ve ağ cihazlarından gelen log verilerini toplar ve analiz eder. Loglar belirli kurallara göre değerlendirilir ve tehditler algılandığında uyarılar oluşturulur.Kullanım Senaryosu: Örneğin, bir sistemde başarısız SSH oturum açma denemeleri tespit edildiğinde, Wazuh bu olayları kaydeder ve belirli bir eşik değeri aşıldığında uyarı oluşturur.

Dosya Bütünlüğü İzleme (FIM)

Nasıl Çalışır: Wazuh, önemli dosyalardaki değişiklikleri izler. Dosya içeriği değiştiğinde veya dosya üzerinde bir işlem yapıldığında, Wazuh bunu tespit eder ve bir uyarı oluşturur.Kullanım Senaryosu: Örneğin, /etc/passwd dosyasındaki bir değişiklik, yetkisiz erişimi veya potansiyel bir güvenlik ihlalini gösterebilir. Wazuh, bu tür değişiklikleri izler ve raporlar.

Rootkit Tespiti

Nasıl Çalışır: Wazuh, sistemdeki rootkit’leri tespit etmek için çeşitli yöntemler kullanır. Rootkit’ler, genellikle kötü niyetli yazılımlar tarafından sistemin derinliklerine gizlenen araçlardır.Kullanım Senaryosu: Wazuh, sistemin kernel ve kullanıcı düzeyindeki bileşenlerini tarar ve olağandışı davranışları tespit eder.

Güvenlik Politikası İzleme

Nasıl Çalışır: OpenSCAP entegrasyonu sayesinde, Wazuh, sistemlerin güvenlik politikalarını ve uyumluluklarını denetler. Bu, sistem yapılandırmalarının belirli standartlara uygun olup olmadığını kontrol eder.Kullanım Senaryosu: Örneğin, PCI DSS uyumluluğu gerektiren bir ortamda, Wazuh, sistemin bu standartlara uyup uymadığını denetler ve uyumsuzlukları raporlar.

Aktif Yanıt (Active Response)

Nasıl Çalışır: Wazuh, belirli tehditlere karşı otomatik yanıtlar verebilir. Bu, belirli bir IP adresini engellemek veya belirli komut dosyalarını çalıştırmak gibi işlemleri içerir.Kullanım Senaryosu: Örneğin, belirli bir IP adresinden sürekli olarak başarısız SSH giriş denemeleri tespit edildiğinde, Wazuh bu IP adresini otomatik olarak engelleyebilir.

Virustotal Entegrasyonu

Nasıl Çalışır: Wazuh, izlenen dosyalar üzerinde zararlı yazılım taraması yapmak için VirusTotal ile entegre çalışır. Dosyalar taranır ve sonuçlar raporlanır.Kullanım Senaryosu: Wazuh, sistemde indirilen yeni bir dosyanın zararlı olup olmadığını belirlemek için VirusTotal’den bilgi alır.

Osquery

Nasıl Çalışır: Wazuh, Osquery kullanarak sistem bilgilerini toplar ve analiz eder. Osquery, sistemin durumu ve yapılandırması hakkında SQL benzeri sorgularla bilgi toplar.Kullanım Senaryosu: Örneğin, sistemde çalışan tüm süreçlerin listesini almak için Osquery kullanarak bilgi toplayabilir ve bu bilgileri analiz edebilir.

Wazuh’un Bileşenleri

Wazuh Manager

Görevleri: Log toplama, analiz etme, alarm oluşturma ve yönetme.Konfigürasyon: Manager, konfigürasyon dosyaları aracılığıyla yönetilir. Bu dosyalar, log toplama yollarını, analiz kurallarını ve alarm eşiklerini tanımlar.

Wazuh Agent

ree

Görevleri: İzlenen sistemlerde veri toplama ve Wazuh Manager’a iletme.Kurulum: Agent, izlenen her bir sisteme kurulmalıdır. Bu agent’lar, logları toplar ve manager’a gönderir.

Elastic Stack Entegrasyonu

Görevleri: Log verilerini toplamak, parse etmek, dizinlemek ve görselleştirmek.Bileşenler: Elasticsearch (veri depolama ve arama), Logstash (veri işleme), Kibana (veri görselleştirme).


ree

Wazuh Cluster, bir grup Wazuh yöneticisinin (Wazuh Manager) birlikte çalışarak hizmetin erişilebilirliğini ve ölçeklenebilirliğini artırdığı bir yapılandırmadır. Bu yapılandırma, sistemin ihtiyaçlarına göre yeni düğümler ekleyerek agent sayısını önemli ölçüde artırma potansiyeli sunar.

Wazuh Cluster Kullanım Nedenleri

1. Yatay Ölçeklenebilirlik:

  • Wazuh’un olay işleme kapasitesini artırır ve binlerce agent’ın raporlama yapmasına olanak tanır.

  • Yeni bir düğüm eklemek basittir ve otomatikleştirilebilir, bu da kullanıcının otomatik ölçeklendirme yapabilmesini sağlar.

2. Yüksek Erişilebilirlik:

  • Sunucular zamanla arızalanabilir: donanım bozulabilir, insan hatası olabilir, sistem çöker… Bir sunucu yeniden kurulurken agent’larda olan biteni göremezsiniz. Bir cluster kullanarak, agent’larınızın her zaman raporlayabileceği bir yöneticisi olduğundan emin olursunuz.

Wazuh Cluster Altyapısı

Düğüm Türleri:

Master Node:

  • Master düğüm, worker düğümleri merkezi olarak koordine eder ve tüm kritik ve gerekli verilerin tüm düğümler arasında tutarlı olmasını sağlar. Şu işlevleri merkezi hale getirir:

  • Agent kaydı.

  • Agent silme.

  • Kurallar, decoder’lar ve CDB listelerinin senkronizasyonu.

  • Agent gruplarının yapılandırılması.

Worker Nodes:

  • Worker düğümleri, üç ana görevden sorumludur:

  • Master düğümden bütünlük dosyalarını senkronize etme.

  • Agent durum güncellemelerini master’a gönderme.

  • Agent kayıt isteklerini master’a yönlendirme.

Wazuh Cluster Nasıl Çalışır?

Cluster, tüm düğümlerle iletişim kuran ve master-worker mimarisini izleyen bir daemon olan wazuh-clusterd tarafından yönetilir. Her worker-master iletişimi birbirinden bağımsızdır ve iletişim worker tarafından başlatılır.

İletişim Süreçleri:

  • Keep Alive Thread: Master ile bağlantıyı açık tutmak için periyodik olarak bir keep-alive gönderir.

  • Agent Info Thread: Worker düğümüne raporlama yapan agent’ların durum bilgilerini ve yapılandırılmış etiketleri master’a gönderir.

  • Agent Groups Send Thread: Master’dan worker’lara, agent’ların ait olduğu gruplar hakkında bilgi gönderir.

  • Local Agent-Groups Thread: Master düğüm, agent grupları bilgisini veritabanından alır ve worker bağlantısı başına bir kez istek yapmamak için bu bilgiyi saklar.

  • Integrity Thread: Master düğümden worker’lara gönderilen dosyaların senkronizasyonunu sağlar.

  • Local Integrity Thread: Dosyaların MD5 kontrol toplamını ve değişiklik zamanını kullanarak her dosyanın bütünlüğünü hesaplar.

Wazuh KurulumuKurulum adımları:

  1. Wazuh .ova dosyasını indirin ve import edin.

  2. Network ayarlarını yapın ve ilgili ağa dahil edin. Agent ile aynı ağda olması gerekiyor

  3. Makineyi çalıştırın ve varsayılan kullanıcı adı (wazuh-user) ve şifre (wazuh) ile giriş yapın.

  4. Yönetim IP adresini öğrenin (ip a komutuyla) ve web arayüzüne erişin.

  5. Agent yükleme aşamasına geçin ve ilgili işletim sistemi için komutları uygulayın.

Agent Kurulumu:

  • Agent sekmesinden +deploy new agent’a tıklayın ve işletim sistemini seçin (örneğin, Windows).

  • PowerShell’de gerekli komutları çalıştırarak Wazuh servisini başlatın (NET START WazuhSvc).

  • Key hatası alırsanız, agent dosyasını çalıştırarak ve komutları yeniden girerek sorunu çözebilirsiniz.

Konfigürasyon Dosyalarını Düzenleme

Manager Konfigürasyonu: Manager’ın ossec.conf dosyasını düzenleyerek log toplama yollarını, analiz kurallarını ve alarm eşiklerini belirleyin.Agent Konfigürasyonu: Agent’ın ossec.conf dosyasını düzenleyerek hangi logların toplanacağını ve hangi yönlendirici sunucuya gönderileceğini belirleyin.

Wazuh rulesete bu bağlantıdan ulaşabilirsiniz

Entegrasyon Ayarları

Elastic Stack bileşenlerini kurun ve Wazuh ile entegrasyon için gerekli ayarları yapın. Bu, Logstash ve Elasticsearch gibi bileşenlerin konfigürasyonlarını içerir.

Örnek: Logstash Konfigürasyonu

input {  beats {    port => 5044  }}filter {  if [fileset][module] == "ossec" {    # Wazuh loglarını ayrıştırma    grok {      match => { "message" => "%{GREEDYDATA:message}" }    }  }}output {  elasticsearch {    hosts => ["http://localhost:9200"]    index => "wazuh-alerts-3.x-%{+YYYY.MM.dd}"  }}

Wazuh Kullanımı ve İzleme

Logların Toplanması ve Analizi

Wazuh, agent’lardan gelen logları toplar ve belirli kurallara göre analiz eder. Kurallara uygun olaylar tespit edildiğinde alarm oluşturur.

Görselleştirme ve İzleme

Kibana kullanarak, topladığınız log verilerini görselleştirin ve analiz edin. Önceden tanımlanmış panolar ve görselleştirmeler, sistemdeki potansiyel tehditleri ve güvenlik olaylarını izlemenize yardımcı olur.

Uyarılar ve Alarmlar

Wazuh’un oluşturduğu uyarılar ve alarmlar Kibana üzerinde görüntülenebilir. Bu uyarılar, sistemdeki potansiyel güvenlik tehditlerine karşı sizi bilgilendirir ve gerekli önlemleri almanıza yardımcı olur.

Örnek Kullanım Senaryoları

SSH Kimlik Doğrulama Hatası Tespiti

Wazuh, başarısız SSH kimlik doğrulama denemelerini tespit eder ve belirli bir eşik değeri aşıldığında alarm oluşturur.

Örnek Kural:

<rule id="1002" level="7">  <decoded_as>sshd</decoded_as>  <description>SSH authentication failure.</description>  <group>authentication_failed</group>  <regex>authentication failure</regex></rule>

Dosya Bütünlüğü İzleme

Wazuh, önemli dosyalardaki değişiklikleri izler ve bu değişiklikler algılandığında alarm oluşturur.

Örnek JSON Logu:

{  "timestamp": "2022-01-01T12:00:00.000Z",  "rule": {    "level": 3,    "description": "File integrity changed.",    "id": "550"  },  "agent": {    "id": "001",    "name": "example-agent"  },  "manager": {    "name": "wazuh-manager"  },  "location": "/path/to/monitored/file"}

 
 
bottom of page