Da Cyberangriffe jedes Jahr zunehmen, ist es wichtig geworden, die Informationssysteme Ihres Unternehmens proaktiv zu schützen. Aus diesem Grund kann die Verwendung von File Integrity Monitoring (FIM)-Software wie Wazuh für Ihr Unternehmen unglaublich vorteilhaft sein, da Sie damit potenzielle Sicherheitsprobleme überwinden können.
Was ist File Integrity Monitoring (FIM)?
FIM, auch als Änderungsüberwachung bekannt, bietet eine Möglichkeit, Änderungen in Dateien zu überwachen und zu erkennen, die Hacker dazu veranlassen könnten, einen Cyberangriff vorzubereiten. Mit der File Integrity Monitoring-Software können Sie Antworten auf die folgenden Fragen erhalten:
- Wann trat die Änderung auf?
- Wie hat es sich verändert?
- Wer hat es geändert? War es eine nicht autorisierte Änderung?
- Was kann getan werden, um die Originaldateien wiederherzustellen?
Welche Vorteile bietet die Verwendung einer Software zur Dateiintegritätsüberwachung?
- Sichere IT-Infrastruktur: Jedes Tool zur Dateiintegritätsüberwachung warnt Sie vor nicht autorisierten Änderungen an Ihren Servern, Anwendungen, Datenbanken oder Ihrer Cloud-Umgebung.
- Rootkit- und Malware-Erkennung: Mit FIM können Sie böswillige Aktivitäten an Ihrer Infrastruktur erkennen.
- Halten Sie die Vorschriften ein: Manche Unternehmen müssen je nach Branche möglicherweise bestimmte Compliance-Standards einhalten (PCI-DSS, HIPAA usw.).
Was ist Wazuh?
Wazuh ist eine Open Source und unternehmensreife Sicherheitsüberwachungslösung zur Bedrohungserkennung, Integritätsüberwachung, Reaktion auf Vorfälle und Compliance.
Wazuh und Dateiintegritätsüberwachung
Für viele Unternehmen ist die Implementierung einer Dateiintegritätsüberwachung schwierig, da dies normalerweise die Bereitstellung einer störanfälligen Überwachungslösung bedeutet, die den Benutzer bei Änderungen benachrichtigt, ohne den Kontext dieser Änderungen anzugeben. Ende 2015 entschied sich das Team hinter Wazuh jedoch, das OSSEC- Projekt abzuspalten, da es an der Entwicklung eines zuverlässigeren und umfassenderen Dateiintegritätsüberwachungstools mangelte.
Heute hat sich Wazuh mit über 200 GitHub-Mitwirkenden nicht nur schnell weiterentwickelt, sondern verbessert die Lösung auch ständig. Darüber hinaus hat Wazuh einen Migrationsplan für die Benutzer von OSSEC vorgelegt. Die gute Nachricht ist, dass Sie hier mehr über die zusätzlichen Funktionen erfahren können, die Sie mit Wazuh im Vergleich zu OSSEC erhalten:
So stellen Sie Wazuh bereit
Die einfachste Möglichkeit, diese Software zur Dateiintegritätsüberwachung einzusetzen, ist die Verwendung der All-in-One-Bereitstellungsmethode , bei der sich der Server und der Elastic Stack von Wazuh auf demselben Host befinden.
Wenn Sie die Bereitstellung segmentieren möchten, können Sie die verteilte Methode verwenden, bei der jede Komponente auf einem separaten Host installiert wird, was für hohe Verfügbarkeit und Skalierbarkeit bei der Bereitstellung sorgt.
Noch besser – und das ist wahrscheinlich die beste Möglichkeit, Wazuh bereitzustellen – sind drei Docker-Container mit einer Docker-Compose-Datei verfügbar, die den Bereitstellungsprozess zum Kinderspiel machen:
Wenn Sie jedoch über einen Kubernetes-Cluster verfügen, könnte diese Bereitstellungsmethode für Sie interessant sein .
Wie Sie sehen, deckt Wazuh mit seinen verschiedenen Bereitstellungsmethoden, die zu Ihrer Infrastruktur passen, alles ab.
Was ist Wazuh Cloud?
Die oben genannten Bereitstellungsmethoden sind kostenlos verfügbar, aber Wazuh bietet auch Wazuh Cloud an , ihre SaaS-Lösung.
Wenn Sie die Infrastruktur, die Wazuh verwaltet, nicht warten möchten, keinen professionellen Supportplan haben ODER über ein Team von Ingenieuren verfügen, das Ihre Umgebung kontinuierlich überprüft, ist dies wahrscheinlich die beste Lösung für Sie.
Die Preise für Wazuh Cloud beginnen bei 500 $/Monat. Weitere Preisinformationen finden Sie unter diesem Link: https://wazuh.com/cloud/#pricing
So verbinden Sie Ihre Knoten mit einem Agenten mit Wazuh
Für diesen Blogbeitrag haben wir uns für die Docker-Compose-Anweisungen entschieden. Sobald die Container einsatzbereit sind, ist das Wazuh-Dashboard unter der folgenden URL zugänglich:
Standardanmeldeinformationen: admin/admin
Sobald Sie angemeldet sind, gelangen Sie zu einem leeren Dashboard. Das ist normal, da alle Datenereignisse vom Wazuh-Agenten erfasst werden, der sie an den Wazuh-Manager weiterleitet. Sie müssen auf jedem Knoten, den Sie überwachen möchten, einen Agenten bereitstellen. In diesem Fall ist auf Ihrem Dashboard ein Symbol „Neuen Agenten bereitstellen“ verfügbar, wo Anweisungen für einen Linux-, Windows- oder MacOS X-Knoten bereitgestellt werden:
Der nächste Schritt besteht darin, den Agenten bei einem Wazuh-Server zu registrieren, was auf verschiedene Arten erfolgen kann. Die Dokumentation dazu ist hier verfügbar:
Ihr Dashboard sieht folgendermaßen aus:
Sicherheitsereignisse und Integritätsüberwachung
Angesichts der Komplexität der Cyberbedrohungen und -angriffe hilft Ihnen dieses Dashboard zur Überwachung von Sicherheitsereignissen und Integrität bei der visuellen Erkennung von Fehlverhalten und Anomalien, die Ihre Knoten unterbrechen könnten.
Im Wesentlichen durchsucht Wazuh das gesamte Dateisystem nach ungewöhnlichen Dateien, Berechtigungen, versteckten Verzeichnissen und Prozess-IDs (PID) und sucht nach Unstimmigkeiten bei unterschiedlichen Systemaufrufen. (getsid, getpgid)
Sie können den Agenten auch so einrichten, dass er bestimmte Pfade/Dateien überwacht, wie eine herkömmliche Lösung zur Dateiintegritätsüberwachung. Weitere Informationen hierzu finden Sie hier:
Eventuelle Erkenntnisse können als Bericht im PDF-Format exportiert werden.
Sicherheitslücken
Wenn ein Ereignis protokolliert wird, werden alle 5 Minuten alle Ereignisse mit CVE-Datenbanken (Common Vulnerabilities and Exposure) auf bekannte Schwachstellen überprüft.
Eine Liste der CVE-Datenbanken, aus denen Wazuh Daten zieht, umfasst:
- https://canonical.com
- https://www.redhat.com
- https://www.debian.org
- https://nvd.nist.gov
- https://feed.wazuh.com
Dieses Dashboard hilft Ihnen dabei, Schwachstellen in Ihren Assets zu finden, sodass Sie Maßnahmen ergreifen können, bevor Tracker sie ausnutzen. Beachten Sie, dass ein Wazuh-Agent standardmäßig Netzwerkverbindungen blockieren, einen laufenden Prozess stoppen, eine schädliche Datei löschen oder unter bestimmten Bedingungen sogar ein Python-/Bash-/PowerShell-Skript blockieren kann.
Bewertung der Sicherheitskonfiguration
Mithilfe der Sicherheitskonfigurationsbewertung (Security Configuration Assessment, SCA) können Sie ermitteln, ob Sie das jeweilige Paket benötigen, nicht benötigte Dienste deaktivieren, die TCP/IP-Stack-Konfiguration prüfen und vieles mehr.
SCA führt einen Scan Ihrer Knoten durch, um etwaige Schwachstellen oder Fehlkonfigurationen zu erkennen, die Ihre Hosts für potenzielle Angriffe anfällig machen könnten. Dies ist eine großartige Funktion, die Ihnen dabei hilft, Empfehlungen für Ihre Infrastruktur zu befolgen.
Für unsere Kunden, die HIPAA-konform sein müssen, ist dies eine großartige Funktion, die uns hilft, etwaige Mängel zu erkennen, da alle Ereignisse automatisch Konformitätsinformationen enthalten. Weitere unterstützte Standards sind:
- Datensicherheitsstandard der Zahlungskartenindustrie (PCI DSS)
- Datenschutz-Grundverordnung (DSGVO)
- NIST-Sonderveröffentlichung 800-53 (NIST 800-53)
- Leitfaden für bewährte Verfahren 13 (GPG13)
- Kriterien für vertrauenswürdige Dienste (TSC SOC2)
Hier ist ein Beispiel für eine der Empfehlungen, die Sie finden könnten:
Systeminventar
Alle Agenten sammeln Hardware- und Softwareinformationen von Ihren Servern. Dies kann Ihnen helfen, besser zu verstehen, welche Pakete installiert sind oder welche Netzwerkports Sie möglicherweise offen gelassen haben:
Container-Sicherheitsüberwachung
Dank der nativen Integration mit der Docker-Engine können Sie Wazuh in Ihren Docker-Host oder Kubernetes-Cluster integrieren. In erster Linie können Sie einen Wazuh-Agenten in einem Kubernetes-DaemonSet bereitstellen, sodass der Agent auf allen Ihren Kubernetes-Knoten installiert wird.
Zu den Warnmeldungen, die Sie bei der Bereitstellung von Wazuh erhalten können, gehören unter anderem:
- Ein Docker-Image wird heruntergeladen oder aktualisiert
- Ein Container läuft im privilegierten Modus
- Ein neuer Container oder Pod wird erstellt
- Ein Benutzer führt einen Befehl oder eine Shell innerhalb eines Containers aus
- Auf dem Docker-Host werden Schwachstellen erkannt
Überwachung Ihres Cloud-Anbieters
Durch die Integration mit AWS, Azure und GCP kann Wazuh auf API-Ebene arbeiten, um Konfigurationsänderungen aufzuzeichnen, wie z. B. einen neuen IAM-Benutzer, eine neue Sicherheitsgruppe oder das Anhalten einer EC2-Instanz usw. Um mehr über dieses Modul zu erfahren, klicken Sie hier .
Mehr lesen: Ai models: Wie funktioniert das?
Fazit
Wenn Sie eine lokale oder hybride Infrastruktur verwalten müssen, hilft Ihnen Wazuh auf jeden Fall dabei, Sicherheitsverletzungen vorzubeugen und Fehler zu identifizieren, die Sie potenziellen Angriffen aussetzen könnten. Das Team hinter Wazuh hat großartige Arbeit geleistet, um OSSEC mit vielen neuen Funktionen auf dem neuesten Stand zu halten, die für jedes Unternehmen wertvoll sind, das nach einem Tool zur Überwachung der Dateiintegrität sucht.
Bluelight Consulting ist ein Nearshore-DevOps- und Software-Outsourcing-Unternehmen, das Startups, SaaS und Unternehmen mit innovativen Lösungen unterstützt.
Mit Nearshore Boost, unserem Nearshore-Softwareentwicklungsdienst, können Sie kostengünstiger als die Einstellung von Mitarbeitern im eigenen Unternehmen sicherstellen, dass Ihr Unternehmen mit einem erweiterten Team und einer größeren globalen Präsenz wettbewerbsfähig bleibt und flexibel auf die Bedürfnisse Ihrer Kunden reagieren kann.
Erfahren Sie mehr über unsere Dienstleistungen, indem Sie noch heute eine kostenlose Beratung bei uns buchen!