wazuh.com

Что если у нас больше одного устройства (или сервера в аренду) и каждое нужно обезопасить в мире не прекращающихся ни на секунду кибератак? От вирусов защитит антивирус, от сканирования прописан файрвол, от фишинга — фильтры в DNS или браузере, но список векторов атаки можно продолжать бесконечно, как и атаковать сегодня проще чем когда-либо, а защищать — чуть ли не невозможно.

Да, это тяжело, но достаточный для большинства моделей угроз уровень безопасности вполне возможно выстроить. Wazuh — практически единственный свободный представитель своего класса. Это единый центр контроля безопасности, помогающий в мониторинге уязвимостей и реагировании на атаки.

Wazuh собирает логи со всех машин в сети и анализирует их уровень защищенности, совмещая в себе сразу 2 класса средств защиты корпоративного уровня: XDR (Extended Detection and Response) и SIEM (Security Information and Event Management). Причем ответ (response) здесь активный и гибко настраивается.

Разворачивается Wazuh запуском одного shell-скрипта (удобно при установке на отдельный чистый сервер) или множестом других вариантов: готовые виртуальные машины VirtualBox и Amazon Machine Image, контейнеры Docker и Kubernetis, а также через системы управления конфигурациями — Ansible и Puppet.

📌 Детали

  • открытый исходный код на C++
  • разработка американской коммерческой организации, без рекламы и отслеживания
  • командный сервер (панель управления) на Linux
  • подконтрольные клиенты (агенты) на Linux, Windows, macOS, AIX, Solaris и HP-UX разных версий (до Win XP и Ubuntu 14) и архитектур процессора (x86, ARM, SPARC и др.)
  • мониторинг логов, ключей реестра Windows и целостности файлов с настройкой интервалов сканирования
  • конфигурация через графический интерфейс или файлы с понятной разметкой
  • обнаружение конечных точек и техник атак из базы MITRE, применимых к ним
  • детальная справка по обнаруженным проблемам
  • активное реагирование на инциденты
  • проверка соответствия безопасности стандартам PCI DSS, GDPR, HIPAA, NIST и др.
  • сообщество на Reddit и в Discord
  • обширная и детальная документация (точно как у платных конкурентов)

ИМХО:  Тяжело поверить, что это бесплатно и даже свободно. Такого уровня софт обычно даже on-premise клиентам ставят в бинарном виде и за нехилые ценники. Тут не просто можно безопасность поднять, но еще и научиться многому по пути благодаря детальной справке, что у нас плохо настроено, почему так Обэме и как это исправить.

Свежее