آموزش Wazuh؛ راهنمای کامل نصب و استفاده از سامانه Wazuh

آموزش Wazuh می‌تواند کمک بزرگی به امنیت سایبری سازمان شما باشد. سامانه Wazuh چیست، چه قابلیت‌هایی دارد و چطور به امنیت سایبری سازمان شما کمک می‌کند؟ برای آموزش نصب و استفاده از Wazuh این مقاله را بخوانید.

امروزه هر سازمانی چندین سرور یا رایانه شخصی در اختیار دارد که سرویس‌ها و پرتال‌های مختلفی بر روی آن نصب است. اکثریت این سرویس‌ها برای انجام کارهای سازمان مورد استفاده قرار می‌گیرند که از جمله آن‌ها می‌توان به سامانه‌های اشتراک اطلاعات همانند Sharepoint، سرویس پست الکترونیکی، اشتراک فایل، اتوماسیون اداری و... اشاره کرد. برخی دیگر از این سرویس‌ها نیز ممکن است برای حفظ امنیت سایبری سازمان مورد استفاده قرار گیرند که از این جمله می‌توان به سرور‌های دیواره‌ آتش، ضدویروس و... اشاره کرد. حتی یک اداره کوچک هم حداقل بین ۱۰ تا ۲۰ سرور یا رایانه شخصی دارد که به طور مداوم داده و لاگ تولید می‌کنند که حاوی داده‌های مهمی هستند. 

برای شناسایی حملات سایبری به سازمان خود یا پیدا کردن حفرات امنیتی که ممکن است در سامانه‌های شما وجود داشته باشند، باید این لاگ‌های ایجاد شده توسط سامانه‌های سازمان را به دقت بررسی کنید. طبیعی است که بررسی دستی لاگ‌های تعداد زیادی ماشین، کاری زمان‌بر و تقریبا غیرممکن خواهد بود. اینجاست که سامانه‌های SIEM به کمک سازمان می‌آیند. سازمان‌ها می‌توانند با استفاده از این سامانه‌ها کلیه لاگ‌های درون سازمان را در یک محل تجمیع و تحلیل کنند. یک سامانه SIEM قدرتمند علاوه بر اینکه لاگ‌ها را جمع‌آوری می‌کند، می‌تواند ارتباط بین آن‌ها را شناسایی کند و لاگ‌های مرتبط با هم را به صورت یک لاگ خلاصه‌شده قابل فهم به شما نمایش دهد.

امروزه استفاده از سامانه‌های SIEM و ایجاد واحد SOC در سازمان به یک نیاز اساسی جهت افزایش امنیت سازمان‌ها تبدیل شده است. عموما سامانه‌های SIEM به صورت تجاری ارائه می‌شوند. از مهم‌ترین سامانه‌های SIEM می‌توان به AlienVault USM، IBM QRadar، ArcSight و... اشاره کرد.

سامانه Wazuh‌ یکی از اولین سامانه‌های SIEM متن‌باز و رایگان است. این سامانه نه تنها یک SIEM است، بلکه اکثر قابلیت‌های یک سامانه XDR را نیز دارد و در واقع قابلیت‌های یک SIEM و XDR را با هم ترکیب کرده است. با استفاده از Wazuh دیگر نیازی نیست که هزینه زیادی برای خرید مجوز سامانه‌های تجاری SIEM پرداخت کنید و همچنین امکان شخصی‌سازی آن را با توجه به نیازهای سازمان وجود دارد.

در این آموزش Wazuh قابلیت‌های این سامانه‌ و نحوه نصب و راه‌اندازی آن را در سازمان توضیح می‌دهیم. در انتهای مقاله نیز در رابطه با نحوه ارسال لاگ‌های محصولات سایبرنو از جمله کیوسک امن سایبرنو، پویشگر چندموتوره و درایو امن سایبرنو به سامانه Wazuh صحبت می‌کنیم. با ما تا انتهای این مقاله همراه باشید.

معرفی قابلیت‌های Wazuh

در بخش اول از آموزش Wazuh در رابطه با قابلیت‌های این سامانه صحبت می‌کنیم. از مهم‌ترین قابلیت‌های Wazuh می‌توان به سامانه SIEM، قابلیت شناسایی آسیب‌پذیری (vulnerability detection)، قابلیت نظارت یکپارچه (integrity monitoring)، قابلیت سنجش تنظیمات امنیتی (security configuration assessment)، قابلیت مطابقت با قوانین (regulatory compliance)، دسترسی به پایگاه دانش MITRE ATT&CK و قابلیت نظارت بر خطی‌مشی‌ها (Policy Monitoring‌) اشاره کرد که در ادامه، هر یک از این قابلیت‌ها را به صورت جداگانه برای شما توضیح می‌دهیم.

سامانه SIEM

یکی از قابلیت‌های اصلی Wazuh سامانه SIEM آن است. شما می‌توانید کلیه لاگ‌های سازمان خود را در یک رابط کاربری گرافیکی به صورت یکجا مشاهده کنید. Wazuh از داشبورد Kibana برای نمایش لاگ‌ها استفاده می‌کند و بنابراین قابلیت شخصی‌سازی بالایی دارد و شما می‌توانید با اجرای Queryهای مختلف روی لاگ‌ها، نظارت دقیقی روی رخدادهای سازمان داشته باشید. به عنوان نمونه در شکل زیر، به کلیه ورودها (Logins) و خروج‌های (Logoffs) انجام‌شده بر روی رایانه‌های شرکت دسترسی داریم:

قابلیت Vulnerability Detection

سامانه Wazuh به صورت Agent بر روی کلیه رایانه‌های سازمان نصب می‌شود و به طور دوره‌ای وضعیت بروزرسانی رایانه‌ها را بررسی می‌کند. چنانچه یکی از رایانه‌ها دارای نرم‌افزاری آسیب‌پذیر باشد، Wazuh به شما در پنل مدیریتی هشدار می‌دهد. بنابراین Wazuh را می‌توان علاوه بر SIEM، نوعی سامانه مدیریت آسیب‌پذیری (Vulnerability Management‌) نیز دانست.

به عنوان مثال در تصویر زیر Wazuh هشدار می‌دهد یکی از رایانه‌ها دارای ۳ آسیب‌پذیری Critical و ۱۴۸ آسیب‌پذیری High است. همچنین، شناسه CVE این آسیب‌پذیری‌ها نیز نمایش داده شده است. اگر نگاهی به نمودار سمت راست بیندازید، متوجه خواهید شد که اکثر این آسیب‌پذیری‌ها به خاطر نسخه‌های قدیمی Google Chrome، Wireshark و Microsoft Office‌ هستند:

قابلیت Integrity Monitoring

یکی دیگر از قابلیت‌هایی که در این آموزش Wazuh معرفی می‌کنیم، امکان Integrity Monitoring است. با استفاده از این قابلیت به طور مداوم رایانه‌های سازمان شما از لحاظ یکپارچگی (Integrity‌) مورد بررسی قرار می‌گیرند. چنانچه هر کدام از فایل‌های سیستمی یا تنظیمات رایانه شما تغییر کند، بلافاصله هشدار مرتبط به سرور Wazuh ارسال می‌شود. بنابراین شما می‌توانید در جریان کلیه تغییرات رایانه‌های خود قرار بگیرید. ممکن است برخی از این تغییرات ناشی از بروزرسانی‌های نرم‌افزاری یا تغییر در تنظیمات نرم‌افزار توسط کاربر سامانه و برخی دیگر نشان‌دهنده نفوذ به سازمان توسط یک هکر و اعمال تغییرات در رایانه در جهت حفظ دسترسی یا گسترش آن باشد. نمایی از امکان Integrity Monitoring در سامانه Wazuh در شکل زیر نمایش داده شده است:

قابلیت Security Configuration Assessment

CIS موسسه‌ای است که کنترل‌های امنیتی و مستندات جامع امن‌سازی سیستم عامل‌ها، نرم‌افزارها و سخت‌افزارها را منتشر می‌کند. یکی از قابلیت‌های سامانه Wazuh امکان Security Configuration Assessment است. Wazuh‌ با استفاده از این قابلیت به صورت دوره‌ای تنظیمات امنیتی و وضعیت رایانه‌های سازمان و مطابقت آن‌ها با مستندات CIS را بررسی می‌کند تا مشخص کند که امنیت هر رایانه در چه سطحی است. به عنوان نمونه در تصویر زیر مشخص است که یکی از رایانه‌های سازمان که حاوی سیستم عامل Debian 9 است، از بین 175 کنترل امنیتی مربوط به این سیستم عامل (که توسط CIS منتشر شده است)، 64 مورد را به درستی رعایت کرده ولی 104 کنترل امنیتی رعایت نشده است:

قابلیت Regulatory Compliance

از دیگر قابلیت‌هایی که در این آموزش Wazuh به آن می‌پردازیم، قابلیت  Regulatory Compliance‌ است. شما به عنوان یک شرکت یا سازمان باید قوانین و استانداردهای امنیتی مربوط به حوزه فعالیت خود را رعایت کنید. به عنوان مثال یک شرکت ارائه‌دهنده خدمات پرداخت با کارت اعتباری در اروپا باید استاندارد PCI DSS‌ را رعایت کند. همچنین هر سازمانی که در کشورهای اروپایی فعالیت دارد، باید مقررات عمومی حفاظت از داده اتحادیه اروپا (به اختصار GDPR) را رعایت کند.

قابلیت Regulatory Compliance‌ از جمله قابلیت‌های Wazuh‌ است که مطابقت سازمان شما و رایانه‌های درون آن با این قوانین را بررسی می‌کند. شما می‌توانید نوع قانون را انتخاب کنید و ببینید کدام بخش از قوانین در سازمان شما رعایت نشده است. به عنوان نمونه در تصویر زیر بخش‌های مختلف GDPR و وضعیت آن در یکی از رایانه‌های سازمان نمایش داده شده است:

 
قابلیت MITRE ATT&CK

اکثریت رخدادهای ارسال‌شده توسط Wazuh بر اساس پایگاه دانش MITRE ATT&CK دسته‌بندی می‌شوند و شما می‌توانید رخدادهای سازمان خود را بر حسب تاکتیک‌های نفوذ موجود در MITRE ATT&CK نیز مشاهده کنید. در شکل زیر نمایی از بخش MITRE ATT&CK سامانه Wazuh نمایش داده شده است:

قابلیت Policy Monitoring

قابلیت Policy Monitoring‌ با استفاده از ماژول‌هایی همانند Rootcheck، OpenSCAP و CIS-CAT بررسی می‌کند که آیا رایانه‌های شما تنظیمات و خط مشی‌های امنیتی مناسبی دارند یا خیر. در واقع با استفاده از این قابلیت بررسی می‌شود که آیا مشکلاتی از قبیل تنظیم سطوح دسترسی و مجوزهای نادرست در رایانه‌ها وجود دارد یا خیر. نمایی از بخش Policy Monitoring‌ سامانه Wazuh در شکل زیر ارائه شده است:

آموزش نصب و راه‌اندازی Wazuh

در این بخش از آموزش Wazuh به نحوه نصب و راه‌اندازی این سامانه می‌پردازیم. ساده‌ترین راه نصب سرور Wazuh استفاده از فایل OVA ارائه شده توسط Wazuh است. نسخه 4.3.10 در حال حاضر آخرین نسخه Wazuh است که می‌توانید آن را از طریق لینک زیر دانلود کنید:

https://packages.wazuh.com/4.x/vm/wazuh-4.3.10.ova

بعد از دانلود فایل بالا می‌توانید آن را بر روی یک سامانه مجازی‌ساز همانند VMWare Workstation یا VMWare ESXi به صورت یک ماشین مجازی Import کنید. بعد از اجرای ماشین مجازی سرور Wazuh آماده است. نام کاربری پیشفرض سیستم عامل wazuh-user و رمز عبور آن wazuh است. همچنین نام کاربری و رمز عبور پنل مدیریتی admin می‌باشد. 

نکته: شما برای اجرای ماشین مجازی سرور Wazuh حداقل نیاز به 8 گیگابایت RAM و 4 هسته پردازنده دارید.

بعد از نصب سرور باید روی تمامی رایانه‌ها و سرورهای سازمان خود wazuh-agent را نصب کنید. با توجه به اینکه Agentهای Wazuh در واقع نسخه‌ای سفارشی‌شده از OSSEC است، بنابراین نصب آن نیز مشابه با OSSEC‌ انجام می‌شود. در داشبورد Wazuh راهنمای کامل نصب یک Agent‌ ارائه شده است. به عنوان مثال برای نصب Agent بر روی سیستم عامل لینوکس (نسخه 64 بیتی) کافیست همانند شکل زیر عمل کنید:

ارسال لاگ‌های محصولات سایبرنو به Wazuh

در این بخش از آموزش Wazuh برای شما توضیح می‌دهیم که چطور می‌توانید لاگ‌های محصولات سایبرنو را به این سامانه ارسال کنید. سامانه Wazuh به طور پیشفرض امکان ارسال لاگ‌ سامانه‌های مطرح همانند Web Serverهای Apache، Nginx و... را دارد. با این حال برای سایر ابزارها و برنامه‌ها شما باید اقدام به افزودن Decoder لاگ‌های آن ابزارها کنید. ما برای محصولات کیوسک امن سایبرنو، پویشگر چندموتوره و درایو امن سایبرنو، Decoder و Rule مربوطه را برای Wazuh‌ طراحی کرده‌ایم و در این بخش نحوه استفاده از آن‌ها را برای شما عزیزان توضیح می‌دهیم.
برای ارسال لاگ‌های این محصولات به Wazuh، ابتدا باید مطابق سایر ماشین‌های لینوکسی، wazuh-agent را بر روی آن نصب نمایید. سپس در پنل مدیریتی محصولات سایبرنو قابلیت ارسال لاگ‌ها به آدرس 127.0.0.1 را مثل شکل زیر فعال کنید:

بعد از اعمال تنظیمات بالا، یک بار سیستم را راه‌اندازی مجدد کنید. بعد از ارسال لاگ‌ها به 127.0.0.1 (یعنی آدرس رایانه فعلی)، با توجه به اینکه wazuh-agent به صورت پیشفرض کلیه syslogها را می‌گیرد و به سرور Wazuh ارسال می‌کند، بنابراین، کلیه لاگ‌های محصولات سایبرنو نیز به سرور Wazuh ارسال می‌شود. شما باید در Wazuh Server یک Decoder داشته باشید که بتواند این لاگ‌ها را تجزیه و تحلیل کنید. ما یک Decoder برای محصولات سایبرنو طراحی کرده‌ایم که از طریق لینک زیر قابل دریافت است:

https://gist.github.com/cyberno-ir/cf70e2c4d2fb9b53db3c1b18f2b8c3f3#file-kiosk-decoder-xml 

کافیست در داشبورد Wazuh وارد بخش Management و سپس وارد بخش Decoders شوید و روی گزینه Add new decoders file کلیک کنید. سپس کدهای موجود در لینک بالا را وارد و Decoder جدید را با نام kiosk-decoder.xml ذخیره کنید.

حالا باید Ruleهای محصولات Cyberno را به Wazuh اضافه کنید تا لاگ‌های Decodeشده به Event شوند. برای این کار در داشبورد Wazuh وارد بخش Management‌ شوید و گزینه Rules‌ را انتخاب کنید. سپس، گزینه Add new rules file را انتخاب و سپس کدهای موجود در لینک زیر را وارد کنید:

https://gist.github.com/cyberno-ir/cf70e2c4d2fb9b53db3c1b18f2b8c3f3#file-kiosk_rules-xml

در مرحله بعدی Rule جدید را با نام kiosk_rules.xml ذخیره و در انتها اقدام به راه‌اندازی مجدد سرور Wazuh (از طریق داشبورد Wazuh) کنید. بعد از انجام این کار کلیه لاگ‌ها و رخدادهایی که از سمت این سه محصول سایبرنو می‌آیند، در داشبورد Wazuh قابل مشاهده خواهند بود.

نکته: این راهنما تنها برای ۳ محصول کیوسک امن سایبرنو، پویشگر چندموتوره و درایو امن سایبرنو قابل استفاده است. چنانچه نیاز به ارسال لاگ‌های سایر محصولات سایبرنو به سامانه Wazuh را دارید، می‌توانید از طریق پیشتیبانی سایبرنو با ما در ارتباط باشید.

جمع‌بندی

سامانه Wazuh‌ یکی از اولین سامانه‌های SIEM متن‌باز و رایگان است که سازمان‌ها می‌توانند برای نظارت بهتر بر سامانه‌ها و تقویت امنیت سایبری و امنیت شبکه خود از آن استفاده کنند. Wazuh‌ قابلیت‌های متعددی مثل سامانه SIEM، قابلیت شناسایی آسیب‌پذیری (vulnerability detection)، قابلیت نظارت یکپارچه (integrity monitoring)، قابلیت سنجش تنظیمات امنیتی (security configuration assessment)، قابلیت مطابقت با قوانین (regulatory compliance)، انطباق با پایگاه دانش MITRE ATT&CK و قابلیت نظارت بر خطی‌مشی‌ها (Policy Monitoring‌) دارد. در این آموزش Wazuh‌ هر کدام از این قابلیت‌ها را به تفکیک به شما معرفی کردیم و گفتیم که چطور می‌توانید Wazuh‌ را نصب و راه‌اندازی کنید. در پایان نیز نحوه ارسال لاگ‌های محصولات سایبرنو به این سامانه را برای شما توضیح دادیم.